水利行業解決方案
2019年8月水利部網信辦組織制定了《水利網絡安全管理辦法(試行)》,《辦法》為水利行業網絡安全強監管提供準則和依據,是健全水利網絡安全保障體系、提升水利網絡安全防護能力的重要舉措。
《辦法》突出問題導向,對于2019年水利部攻防演練發現的41.5%屬于信息化項目規劃建設階段沒有同步落實網絡安全等級保護要求留下的問題,以及58.5%屬于運行階段管理不到位造成的問題,明確了具有針對性、有效性的解決措施。同時,《辦法》通過“網絡安全規劃建設”“網絡運行安全”兩章,明確具體任務、責任單位,建立了信息系統全生命周期安全管控規范,有效解決上述問題,確?!掇k法》實用、管用。葉建春副部長強調要加大《辦法》的執行力度,要求部網信辦近期選擇部分部直屬單位開展網絡安全滲透測試,對滲透測試發現的問題,在通報整改的基礎上,結合網絡安全現場檢查,依據《辦法》進行責任追究。
安全隱患
● 區域邊界不夠清晰
目前對水利工業系統的信息安全防護高度依賴隔離方式,如物理上的網絡孤島、密碼門禁等。但對現地測控系統、遠程監控系統、實時控制系統和非實時監控系統間的隔離做的不夠充分,也不夠細致。
● 水利工業系統的定級工作尚未執行
水利調研中,已經對系統的重要性和安全事件時產生的危害進行了評估,但尚未開展定級并落實基于安全等級的保護措施。
● 系統中存在較多漏洞且難以修復
根據摸底情況,發現目前在現場使用的多種控制器存在已知漏洞。而工業計算機,受限于兼容性和性能等原因,極少進行補丁修復,一臺PC中存在數百個漏洞的情況非常普遍,任何一個漏洞的利用都可以導致越權訪問和任意代碼執行等惡劣影響,從而通過一個點的突破,對工業系統進行嚴重的破壞。
● 系統風險的暴露面大
網絡暴露面大,且會繼續擴大:在大型系統中,采用了多種類型的傳輸方式,部分存在借用公共網絡的情況,大大的增加了數據及指令傳輸過程中被分析、竊取及篡改的機會。而在未來,越來越多的數據將會被更廣泛的開放及利用,部分水利系統將會更廣泛的暴露在互聯網環境下。
● 未知威脅的數量大,影響難以發現
工業系統的網絡相對獨立,發生的攻擊事件相對較少且難以被發現。而隨著攻擊工業系統的商業價值、戰略價值被廣泛認知,越來越多的惡意攻擊者開始分析工業系統,導致大量的惡意漏洞被攻擊者掌握。
另一方面,人工智能等技術開始在黑色產業中被使用,越來越多的攻擊具有高度的特異性,在防護難度上也會越來越大。
解決方案
某大型水利系統總體結構
● 某水量調度系統,下轄大量的涵閘與泵站。分為5級遠程監控系統和現地控制系統。其中,5級遠程系統分別為:第一級,總調中心;第二級,省分調中心;第三級,市局管理中心;第四級,縣局管理處管理機構;第五級,閘管所等管理部門。
● 系統使用衛星、鋪設光纖、微波、GPRS等進行通信。在總調中心、分調中心和分中心分別建設星型三層以太網,接入通信通道;在管理處、縣局、閘管所采用兩層工業控制交換機接入通信通道,各控制區域采用二層工業控制交換機接入此區域內的PLC和視頻編解碼器。
方案價值
● 合規避險
滿足等保要求;規避法律風險。
● 運維簡單
設備、軟件統一運維;支持Bypass,保障可用性優先。
● 安全有效
縱深安全體系多維聯動;同時應對已知問題和未知風險。
● 支持運營
由被動的維護變為主動經營;幫助安全服務能力持續提升。
上一篇:煤炭行業解決方案
下一篇:智能制造行業解決方案