城市供水工控系统安全解决方案软件升级

城市供水安全解决方案

背景介绍

饮用水的安全关系着国计民生，随着中国城市化发展进程加快，对自来水供应及需求也随之增加。加强水资源管理，保障水资源安全是保护国家关键基础设施安全之一。城市供水关系千家万户，因此其控制系统一旦遭到非法攻击，必将涉及人民生命安全、区域稳定，破坏性不言而喻。自来水供应控制系统一般分为几个部分：调度中心、分控中心、监控分站、泵站等。它所具有的功能一般包括：数据采集控制、传输、显示及分析、报警、历史数据的存储/检索/查询、报表显示及打印、遥控、网络通信等。

安全挑战

缺少相关顶层设计：在行业内，由于缺少专门针对自来水供应工业控制系统安全的相关标准和规范，所以在设计自来水供应自动化控制系统时，仅考虑工业控制网络与外部网络的隔离，对大量的工控产品、无线设备、嵌入式设备等一般没有风险评估和安全设计标准、机制，导致自来水供应项目的工业控制系统在设计、施工、验收时缺乏相应的依据。

缺乏管理流程：在管理流程上疏于防范，缺乏有效的安全策略与管理流程，给工控系统网络安全带来一定的威胁，如：不严格的访问控制策略、安全管理人员的角色/职责划分不明确、没有对工控系统进行定级备案等。

人员安全意识薄弱：内部人员对自来水供应工业控制系统信息安全问题的紧迫性、重要性认识不足，安全意识薄弱。对企业工业控制系统的安全风险评估不足，防范措施单一，技术和资金投入不足。

保护对象不明确：在自来水供应内部网络边界防护上，无论是过程控制系统，还是监控系统的工业控制网络，与企业管理网络一般没有明确的隔离；自来水供应内采用的工业控制网络通信协议一般也未采取特别的安全措施；

自来水供应工业控制系统还存在的安全技术问题：如设备漏洞、操作系统漏洞、通信协议漏洞，以及边界防护、非法接入、网络审计、安全运维等安全挑战。

典型部署：

监测审计

在调度中心、各分控中心旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计。

入侵检测

在核心交换机上旁路部署入侵检测，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

在不同的区域间部署工控防火墙，实现区域边界防护。在办公网和工控网之间部署工业网闸，实现两网间安全的、受控的数据交换。

运维管控

在安全管理区部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。

终端防护

在操作员站、工程师站上部署终端防护客户端实现终端安全加固、进程白名单管控和USB移动介质管控。

安全管理平台

在安全管理区部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，并对安全设备进行统一管理和策略下发。

客户价值

全面提升自来水供应网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

全面提升自来自来水供应生产网络的整体安全性，确保设备、系统、网络的可靠性、稳定性和安全性，为保障民生保驾护航。

全面改进自来自来水供应业务人员的安全水平和安全意识，提升安全管理水平、工作效率和管理效率。