背景概述
随着我国“两化”融合的步伐正在不断加快,网络息空间的边界向关键基础设施领域不断延展。水务企业的自动化、信息化水平已经成为衡量一个水务企业现代化水平和竞争力的重要标志。水务行业提出了以感知监测为基础、过程精细监管、.立数字档案、通过动态评价、实现智能调度的智慧水务。通过数据采集终端、通信网络服务器等设备在线监测城市给水排水系统的运行状态,采用可视化的方式高效整合水务管理部门与供排水设施,将水务控制和状态信息进行及时分析与处理,形成相应的处理结果辅助管理部门决策,以更加柔性和精细的方式管理水务系统的整个生产、管理和服务流程,以达到“智慧”的效果,以上理念及技术的提出,导致城市水务SCADA系统越来越多的工业控制系统及设备暴露于互联网,漏洞层出不穷,工业信息安全事件频发,加强城市水务SCADA系统信息安全的保障工作迫在眉捷.
解决方案
建设目标: 以“分区分域、整体保护、积极预防、动态管理”为总体策略,以工业网络安全“白环境”为核心,建立自主可控、安全可靠的工控安全整体防护体系;
建设原则: 纵深防御原则、适度防护原则、技管并重原则、动态调整原则和自主可控原则;
参考标准: GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和工信部信软(2016〕338号《工业控制系统信息安全防护指南》等标准。
安全区域边界:在过程监控层与现场控制层之间部署工业防火墙,利用工业防火墙的ModbuSTCP、S7和DNP3等工业协议深度解析及访问控制策略,有效防止工控网络内的恶意程序和可执行代码等利用PLC漏洞,修改PLC运行参数,导致的设备损坏和工控安全事件;
安全通信网络:在生产管理层部署网络威胁,感知系统,实时分析网络全流量,结合威胁情报数据及网络行为分析技术,深度检测所有可疑活动;
安全计算环境:在操作员站、工程师站和服务器等部署工控主机卫士,实现对工控主机恶意代码防护、外设端口的管理和操作系统的安全防护,全面提升工控丰机安全防护能力;
安全管理中心:在生产管理层部署统一安全管理平台,对安全计算环境,安全通信网络,安全区域边界进行统一管理,构建“一个中心,三重防护”体系,满足行业政策法规及技术要求。
深度理解工控系统广泛使用的Modbus、DNP3、Profinet、OPC等数十种应用通信协议,智能学习各类操作行为和参数,更好的识别攻击行为高度适配工控系统,方案实施无需改造现有工业网络和频繁升级工控系统,无需频繁升级安全特征库,安全设备符合工控环境标准,可靠实用。深度结合实际业务应用,解决生产系统存在的高风险项,降低安全运营风险;通过自主知识产品的安全防护产品配合“白环境”的工控安全解决方案,符合国家相关政策和标准要求