针对水资源调度工控系统面临的安全风险与痛点,国利网安提出“全面管控、纵深防御、高效管理、快速恢复”的水资源调度工控系统网络安全防护方案。
安全技术防护:现地站(特定水闸泵站、水源地、自来水厂等):其环境在水务系统中差异较大,大量有人站和无人站,在建设之初多数未考虑机房环境要求,如果根据等保三级要求,配置精密空调等措施,在经费上不能都满足,因此可以采用等保工业控制系统安全扩展要求中的野外系统要求。运营中心:网络边界采用下一代防火墙,集成防病毒网关、入侵检测、SSL VPN 等,也可采用等保一体机等网络安全虚拟化设备,甚至直接在私有云上采用超融合架构,将所有安全设备用虚拟网元实现。主管部门:物理安防可落实在门卫的登记和核查,也可以采用电子门禁或人脸识别系统。其网络边界纳入机房网络,由机房网络的下一代防火墙统一管理,在数据中心部署集中管控平台和态势感知平台。
针对水资源调度工控系统面临的安全风险与痛点,国利网安提出“全面管控、纵深防御、高效管理、快速恢复”的水资源调度工控系统网络安全防护方案。
安全技术防护:现地站(特定水闸泵站、水源地、自来水厂等):其环境在水务系统中差异较大,大量有人站和无人站,在建设之初多数未考虑机房环境要求,如果根据等保三级要求,配置精密空调等措施,在经费上不能都满足,因此可以采用等保工业控制系统安全扩展要求中的野外系统要求。运营中心:网络边界采用下一代防火墙,集成防病毒网关、入侵检测、SSL VPN 等,也可采用等保一体机等网络安全虚拟化设备,甚至直接在私有云上采用超融合架构,将所有安全设备用虚拟网元实现。主管部门:物理安防可落实在门卫的登记和核查,也可以采用电子门禁或人脸识别系统。其网络边界纳入机房网络,由机房网络的下一代防火墙统一管理,在数据中心部署集中管控平台和态势感知平台。
图1 水资源调度工控系统网络安全防护图
资产全面管控:管理好工控资产才能管理好工控网络安全,构建具有资产识别、空间测绘、状态监测、漏洞识别、基线核查等功能的工控资产管控体系,通过主动、被动方式获取网络中的资产指纹信息,监测并分析资产健康状态,并形成工控资产图鉴,实现资产的全面管控。
图片2 工控资产的精细化管理
安全纵深防御:构建覆盖全局的检测-防护-响应-恢复纵深防御体系,尤其针对水资源调度业务核心控制器的控制指令和控制逻辑,采取针对性防护措施,快速识别非法及不合理指令,监测并可视化呈现控制器控制逻辑的状态,避免因网络攻击破坏工控系统关键设备设施。
图片3 工控系统网络安全纵深防御
安全高效管理:在“资产全面管控”和“安全纵深防御”的基础上,对安全产品功能进行行业场景化定制,充分结合水资源调度工控系统的业务特点及工控资产详情,将安全产品的运行信息转化为运维人员可视可读的工艺操作信息,降低安全管理难度;同时通过内置安全事件应急处置知识库,对常见的事件提供处置建议,提升管理水平。
图片4 安全事件分析及处置建议
生产快速恢复:构建覆盖核心控制器和SCADA监控主机的快速备份与恢复体系,当主机、控制器的程序、系统遭到破坏无法稳定运行,快速恢复主机和控制器的系统和数据,恢复水资源调度控制业务的安全运行。
图片5 主机和控制器的快速备份与恢复体系
