水利行业工控系统网络安全防护方案
2022-10-8 11:53:27 Author: www.aqniu.com(查看原文) 阅读量:33 收藏

总述

水利行业典型工控场景包括闸门控制、水资源调度和农饮水工程,这些工控场景由于工艺逻辑、网络架构、组网方式、水资源体量、管控要求等巨大差异,在网络安全方面面临的挑战和需求也有较大不同,应制定符合其业务特性的网络安全解决方案,为水利工程数字化转型保驾护航,助力我国智慧水利的建设。

本篇为水利行业工控系统(水资源调度)网络安全解决方案第二篇。

背景

水资源调度是水利典型控制场景之一,包括闸站、泵组、管道及监测仪表等,站点多且分散,工控系统呈封闭状态。随着智慧水利的兴起,水资源调度工控系统逐步从封闭走向开放,面临越来越多的网络威胁。针对水资源调度等重大水利工程的网络攻击往往来自特定组织甚至国家级的攻击团队,其网络攻击能力强、攻击工具复杂多样,掌握众多的0day漏洞甚至软件硬件的后门,采用社会工程学等手段潜入目标网络,并在关键节点非法操纵控制器,破坏加压泵组、输水管道等设备设施,影响水资源的调度。2020年4月,以色列污水处理厂等水利设施监控系统(SCADA)遭到多次网络攻击,严重影响区域水资源安全。我国是一个缺水型国家,区域结构性缺水更加严重,部分缺水型城市的生产生活用水严重依赖水资源调度,因此保障水资源调度工控系统的网络安全至关重要。

目前重大水资源调度工控系统均采取一定的安全防护措施,安全建设依照等保2.0系列标准,从多个项目实际运行情况来看,工控系统网络安全面临以下问题及挑战:

  1. 资产管理不彻底、不全面:管理好工控资产才能管理好工控网络安全,水资源调度站点多且分散,工控资产的管理普遍停留在表单。现有安全方案仅能实现对部分资产在线状态进行监测,无法实现对全部资产运行状态的精细化管理,无法及时发现资产的异常状态,更无法将资产的运行状态与安全数据相结合,实现资产与安全的协同联动管理。
  2. 工控核心控制器防护缺失:工控网络安全的核心目标是保障输配水设备设施的运行安全,其防护关键是控制器(PLC)的安全,目前工控系统网络安全建设往往集中在主机层和网络层,未能深入核心控制器的防护。当工控系统遭受网络攻击时,如何确保泵组及闸站控制指令及控制逻辑安全,保障水资源调度工程设备设施的运行安全,是亟待解决的问题。
  3. 安全运维管理难度大:水资源调度工控系统运营单位缺乏充足的安全技术人员和管理人员,难以响应大量且分散的控制站点的安全管理需求;同时现有的安全产品往往从专业角度设计产品功能,较少针对行业业务特性进行定制,安全告警不能结合不同场景下工控系统的实际控制工艺,加大了安全产品运维、告警信息分析的难度,安全运维管理难度大。
  4. 应急恢复能力弱:现有水资源调度工控系统往往采用备份一体机对业务数据进行备份,但市场上常用的产品对工控系统兼容性不足,往往导致系统恢复后组态运行不稳定情况;同时现有的备份恢复措施无法覆盖控制器的备份恢复,难以在安全事件发生时快速恢复业务稳定运行。

解决方案

针对水资源调度工控系统面临的安全风险与痛点,国利网安提出“全面管控、纵深防御、高效管理、快速恢复”的水资源调度工控系统网络安全防护方案。

图1 水资源调度工控系统网络安全防护图

资产全面管控:管理好工控资产才能管理好工控网络安全,构建具有资产识别、空间测绘、状态监测、漏洞识别、基线核查等功能的工控资产管控体系,通过主动、被动方式获取网络中的资产指纹信息,监测并分析资产健康状态,并形成工控资产图鉴,实现资产的全面管控。

工控资产的精细化管理

安全纵深防御:构建覆盖全局的检测-防护-响应-恢复纵深防御体系,尤其针对水资源调度业务核心控制器的控制指令和控制逻辑,采取针对性防护措施,快速识别非法及不合理指令,监测并可视化呈现控制器控制逻辑的状态,避免因网络攻击破坏工控系统关键设备设施。

安全高效管理:“资产全面管控”“安全纵深防御”的基础上,对安全产品功能进行行业场景化定制,充分结合水资源调度工控系统的业务特点及工控资产详情,将安全产品的运行信息转化为运维人员可视可读的工艺操作信息,降低安全管理难度;同时通过内置安全事件应急处置知识库,对常见的事件提供处置建议,提升管理水平。

生产快速恢复:构建覆盖核心控制器和SCADA监控主机的快速备份与恢复体系,当主机、控制器的程序、系统遭到破坏无法稳定运行,快速恢复主机和控制器的系统和数据,恢复水资源调度控制业务的安全运行。

解决方案价值

1、护航水资源战略布局:筑牢水资源调度工控网络安全基座,保障水资源调度系统的安全运行,为我国水资源整体战略布局保驾护航。

2、助力智慧水利建设:夯实水资源调度工控网络安全基石,培养网络安全人才,全面提升工控网络安全防护能力,助力智慧水利建设。

3、减轻安全事件影响:打造监测-防护-响应-恢复于一体的安全体系,有效降低因网络攻击事件带来的经济财产损失和国计民生影响。

4、依法合规:落实《网络安全法》等相关法律法规要求,构建符合等保要求的安全防护能力,助力企业合法合规经营。


文章来源: https://www.aqniu.com/vendor/89776.html
如有侵权请联系:admin#unsafe.sh