引言:面對越來越嚴(yán)峻的信息安全形勢,我國高度重視工業(yè)控制系統(tǒng)信息安全工作。隨著2017年《國家網(wǎng)絡(luò)安全法》頒布和2021年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》實施,其中明確提出“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”要在等級保護制度基礎(chǔ)上,實行重點防護,而關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)定了水利等重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等,說明工業(yè)控制系統(tǒng)安全在關(guān)鍵信息基礎(chǔ)設(shè)施保障中的重要程度。
某水庫工控系統(tǒng)建設(shè)較早,現(xiàn)有網(wǎng)絡(luò)系統(tǒng)缺乏網(wǎng)絡(luò)安全防護能力,存在較大的網(wǎng)絡(luò)安全風(fēng)險,不能滿足政策法規(guī)技術(shù)要求,本項目結(jié)合生產(chǎn)控制系統(tǒng)的安全現(xiàn)狀,幫助用戶建立縱深防御防護體系,完善管理制度,強化網(wǎng)絡(luò)安全技術(shù)保障能力,提高用戶網(wǎng)絡(luò)安全綜合防護能力,確保水庫工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運行。
項目概況
1. 項目背景
(1)城市運營保障責(zé)任重大
某水庫是我國目前(2012年)最大的江心水庫,設(shè)計有效庫容為4.35億立方米。日供水規(guī)模719萬立方米,占全市原水供應(yīng)總規(guī)模的50%以上,是重要的飲用水源地之一,承擔(dān)著全市過半人口用水。
(2)工控整體安全形勢不容樂觀
工業(yè)控制系統(tǒng)越來越多地采用信息技術(shù)和通信技術(shù),水庫工控系統(tǒng)建設(shè)較早,前期工控系統(tǒng)整體網(wǎng)絡(luò)設(shè)計只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,未充分考慮安全防護能力;隨著工業(yè)化和信息化的深度融合,,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、網(wǎng)絡(luò)攻擊等安全威脅也正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的安全風(fēng)險。例如,2015年,河北省某污水處理廠PLC設(shè)備存在繞過權(quán)限修改寄存器值的漏洞,導(dǎo)致鼓風(fēng)機設(shè)備不受操作員站控制,自行頻繁啟停,造成鼓風(fēng)機全部燒毀;2016年,河北省石家莊市某地表水廠受到惡意攻擊,設(shè)置送水泵以最大頻率運行,與此同時強制關(guān)閉泵后閥門,導(dǎo)致送水管道崩裂。
(3)國家法律政策驅(qū)動
面對越來越嚴(yán)峻的信息安全形勢,我國高度重視工業(yè)控制系統(tǒng)信息安全工作。 2016年10月17日,工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護指南》正式頒布,指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責(zé)任十一個方面做好工控安全防護工作,切實提升工業(yè)控制系統(tǒng)信息安全防護水平,保障工業(yè)控制系統(tǒng)安全。2017年6月1日起《中華人民共和國網(wǎng)絡(luò)安全法》正式施行,其中明確提出“基礎(chǔ)設(shè)施的運行安全”,要在等級保護的基礎(chǔ)上實行重點防護。2021年9月1日起《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式實施,明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施包括水利等重要行業(yè)和領(lǐng)域的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
由于我國工業(yè)控制系統(tǒng)起步較晚,信息安全保障能力方面存在較大不足。面對復(fù)雜的工控安全形勢,我國加強工業(yè)控制系統(tǒng)信息安全的保障工作迫在眉捷。
2. 項目簡介
某水庫整體工控系統(tǒng)涉及取水泵閘、下游水閘、輸水泵站、輸水閘井及控制中心等幾個子系統(tǒng),且由于水庫工控系統(tǒng)建設(shè)較早,前期工控系統(tǒng)整體網(wǎng)絡(luò)設(shè)計只考慮了數(shù)據(jù)傳輸?shù)姆€(wěn)定性和可靠性,但工控網(wǎng)缺乏安全防護能力,一旦網(wǎng)絡(luò)內(nèi)某個子系統(tǒng)遭受攻擊,很容易影響整個工控系統(tǒng)的正常運行,將會給自身以及城市的安全運營帶來嚴(yán)重的影響。
同時,該水庫現(xiàn)有工控系統(tǒng)不滿足《中華人民共和國網(wǎng)絡(luò)安全法》和GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》相關(guān)技術(shù)要求,需要對其整改建設(shè),并通過三級等保測評。
3. 項目目標(biāo)
通過對某水庫進行調(diào)研和分析,并結(jié)合現(xiàn)有系統(tǒng)安全現(xiàn)狀,存在的安全風(fēng)險以及面臨威脅,按照國家、行業(yè)相關(guān)標(biāo)準(zhǔn),使之符合網(wǎng)絡(luò)安全等級保護2.0要求,設(shè)計出基于工業(yè)控制系統(tǒng)白環(huán)境理念的縱深防御安全防護方案,建立起完善的技術(shù)防護體系,并在此基礎(chǔ)上構(gòu)建合規(guī)的管理制度體系,從而提高整某水庫的整體綜合防護能力。此次建設(shè)目標(biāo)具體如下:
(1)以改造某水庫生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)為基礎(chǔ),幫助用戶建設(shè)縱深防護防御體系,提高用戶生產(chǎn)網(wǎng)安全防護能力,避免用戶生產(chǎn)網(wǎng)遭受到網(wǎng)絡(luò)入侵等攻擊行為而給用戶造成巨大經(jīng)濟損失。
(2)結(jié)合用戶現(xiàn)有管理制度,以GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》為基準(zhǔn);協(xié)助用戶建立完善的管理制度流程,從而完善用戶網(wǎng)絡(luò)方面管理制度。
(3)開展合規(guī)分析工作,整合工信部的《工業(yè)控制系統(tǒng)信息安全應(yīng)用指南》(GB/T 32919-2016)、GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》進行合規(guī)分析,通過后期培訓(xùn)和材料預(yù)準(zhǔn)備,使得用戶能夠在今后的貫標(biāo)檢查過程中,順利達標(biāo)。
二、項目實施概況
依據(jù)目前某水庫生產(chǎn)網(wǎng)絡(luò)的安全現(xiàn)狀,為滿足安全防護效果能夠滿足國家政策法規(guī)及各級主管單位的相關(guān)要求,具體安全需求如下:
主機安全加固技術(shù)需求
現(xiàn)場根據(jù)調(diào)研,工控機操作系統(tǒng)以Windows server 2012、Win7操作系統(tǒng)為主,現(xiàn)場工控主機無任何惡意代碼防范措施,USB外設(shè)管控未做任何管控措施,現(xiàn)場存在移動介質(zhì)內(nèi)外網(wǎng)濫用等安全問題,極容易遭受U盤擺渡攻擊,從而造成生產(chǎn)業(yè)務(wù)的中斷。
內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界防護需求
目前外部邊界生產(chǎn)管理層和上級企業(yè)資源層之間缺乏外網(wǎng)的邊界隔離技術(shù)措施,無法對經(jīng)過的數(shù)據(jù)流量進行過濾,由一些非法人員可以從上級部門側(cè)入侵到工控網(wǎng),存在一定的安全隱患。
內(nèi)網(wǎng)生產(chǎn)管理層與過程控制層之間缺乏有效的防護措施,容易發(fā)生針對生產(chǎn)控制網(wǎng)絡(luò)內(nèi)的邏輯控制器(PLC)的非法訪問及攻擊行為。
入侵檢測防范及網(wǎng)絡(luò)審計技術(shù)需求
現(xiàn)有工控網(wǎng)絡(luò)內(nèi)缺少入侵檢測及網(wǎng)絡(luò)檢測審計措施,無法及時發(fā)現(xiàn)內(nèi)網(wǎng)的一些惡意流量攻擊,一旦出現(xiàn)內(nèi)網(wǎng)的惡意網(wǎng)絡(luò)攻擊事件,無法進行發(fā)現(xiàn)和回溯。
日志統(tǒng)一存儲需求
工控網(wǎng)缺乏日志集中存儲技術(shù)措施,無法對網(wǎng)絡(luò)內(nèi)服務(wù)器日志、操作員日志、交換機日志、安全設(shè)備日志等進行統(tǒng)一的收集存儲,在不滿足網(wǎng)絡(luò)安全法和等級保護制度要求的同時,也無法對工控網(wǎng)的網(wǎng)絡(luò)運維日志進行有效的大數(shù)據(jù)分析。
集中管控技術(shù)需求
現(xiàn)有工控網(wǎng)缺乏統(tǒng)一管理技術(shù)手段,在后續(xù)安全運維時,會消耗較多的運維時間,同時缺乏對第三方運維審計管控,存在較大安全隱患。
系統(tǒng)漏洞管理需求
工控網(wǎng)目前缺乏有效的系統(tǒng)漏洞及時發(fā)現(xiàn)技術(shù),一旦系統(tǒng)廠商發(fā)布高危漏洞,用戶沒有及時發(fā)現(xiàn)或更新,那么黑客人員很容易利用漏洞對工控網(wǎng)的主機或PLC發(fā)起攻擊,一旦攻擊成功,那么用戶會面臨較大的經(jīng)濟損失和企業(yè)影響。
1.方案整體概述
(1)方案整體設(shè)計
某水庫生產(chǎn)控制系統(tǒng)安全建設(shè)依據(jù)“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的原則進行建設(shè)。
“安全分區(qū)”:根據(jù)生產(chǎn)過程,將生產(chǎn)相關(guān)配套工業(yè)控制系統(tǒng)按照板塊進行安全分區(qū)。板塊內(nèi)部再根據(jù)不同控制系統(tǒng)進行安全分域。根據(jù)劃分的安全區(qū)、安全域制定區(qū)間、域間防護措施。
“縱深防護”:結(jié)合安全區(qū)、安全域劃分結(jié)果,在制定區(qū)、域邊界防護措施的同時,也要在安全區(qū)、安全域內(nèi)部部署異常行為、惡意代碼的檢測和防護措施。
“統(tǒng)一監(jiān)控”:針對各安全區(qū)、安全域的防護措施、監(jiān)測及審計措施建立統(tǒng)一的、分級的監(jiān)控系統(tǒng),統(tǒng)一監(jiān)控業(yè)務(wù)板塊的工業(yè)控制系統(tǒng)的安全狀況。將各業(yè)務(wù)板塊的工業(yè)控制系統(tǒng)安全風(fēng)險進行集中的展示,以風(fēng)險等級的方式給出不同工業(yè)控制系統(tǒng)的安全風(fēng)險級別,全面了解并掌握系統(tǒng)動態(tài)。
圖1 某水庫網(wǎng)絡(luò)拓撲圖
(2)邊界安全防護安全設(shè)計
在生產(chǎn)管理層到企業(yè)資源層之間部署工業(yè)網(wǎng)閘,通過工業(yè)網(wǎng)閘實現(xiàn)生產(chǎn)管理層和企業(yè)資源層的物理隔離,工業(yè)網(wǎng)閘分別由內(nèi)、外網(wǎng)處理單元與數(shù)據(jù)交換單元(專用隔離芯片)三部分組成。內(nèi)、外網(wǎng)處理單元是一臺專有的網(wǎng)絡(luò)安全計算機設(shè)備,分別連接于內(nèi)外網(wǎng)絡(luò)。內(nèi)、外網(wǎng)處理單元之間通過專用的隔離芯片進行數(shù)據(jù)的擺渡傳輸,其過程類似U盤拷貝。當(dāng)專用隔離芯片與內(nèi)網(wǎng)聯(lián)通時與外網(wǎng)電路是斷開的,當(dāng)隔離部件與外網(wǎng)聯(lián)通時,與內(nèi)網(wǎng)是斷開的,在確保網(wǎng)絡(luò)隔離的前提下實現(xiàn)適度的數(shù)據(jù)交換,因此能夠最大程度的保證某水庫生產(chǎn)網(wǎng)的外網(wǎng)邊界與企業(yè)資源層相互訪問通信安全。
在工程師站和PLC之間串聯(lián)部署工業(yè)防火墻實現(xiàn)對現(xiàn)場工業(yè)控制指令的檢測和管控,通過工業(yè)防火墻對工業(yè)協(xié)議深度解析,保護PLC免遭工業(yè)病毒的惡意攻擊,目前某水庫生產(chǎn)網(wǎng)系統(tǒng)工業(yè)協(xié)議采用的是CIP、S7等工業(yè)協(xié)議,工業(yè)防火墻能夠?qū)ΜF(xiàn)場應(yīng)用層CIP、S7等工業(yè)協(xié)議進行深度解析,發(fā)現(xiàn)上位機對PLC下發(fā)的指令不符合白名單的安全測量時,防火墻及時的對數(shù)據(jù)進行攔截并告警,從而及時有效的避免中間人和一些不法人員的入侵攻擊行為。
(3)網(wǎng)絡(luò)安全審計安全設(shè)計
在某水庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)中通過交換機的端口鏡像功能旁路部署安裝工控安全監(jiān)測與審計系統(tǒng),對工控網(wǎng)絡(luò)中的控制系統(tǒng)進行審計,以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內(nèi),能夠根據(jù)存儲的記錄和操作者的權(quán)限進行查詢、統(tǒng)計、管理、維護等操作,能夠在必要時從記錄中抽取所需要的資料。工控安全監(jiān)測與審計系統(tǒng)的部署為控制系統(tǒng)網(wǎng)絡(luò)提供事前監(jiān)控、事中記錄、事后審計。
工控安全監(jiān)測與審計系統(tǒng)能夠解決以下問題:
基于正常通信模型,對工控指令攻擊、控制參數(shù)的篡改、病毒和蠕蟲等惡意代碼攻擊行為等進行實時監(jiān)測和告警。
實時監(jiān)測設(shè)備流量,當(dāng)發(fā)現(xiàn)其在一段時間內(nèi)沒有收發(fā)流量,則進行實時報警。
實現(xiàn)對工控協(xié)議報文不符合其規(guī)約規(guī)定的格式進行檢測并告警。
對工程師站組態(tài)變更、操控指令變更、PLC下裝、負載變更等操作行為進行記錄和存儲,便于安全事件的事后審計。
對各類安全日志進行記錄和存儲,便于安全事件的調(diào)查取證。
(4)網(wǎng)絡(luò)入侵防范安全設(shè)計
目前某水庫工控網(wǎng)絡(luò)內(nèi)部缺乏對異常的攻擊檢測措施,無法通過技術(shù)手段來實現(xiàn)基于攻擊檢測告警,因此在控制網(wǎng)管理層核心交換機上部署入侵檢測設(shè)備對工控網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊進行檢測。同時入侵檢測也是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
(5)主機安全加固安全設(shè)計
根據(jù)某水庫生產(chǎn)系統(tǒng)現(xiàn)狀,操作員站等主機使用的是微軟的Windows 7等操作系統(tǒng),且現(xiàn)場操作系統(tǒng)未做過任何的系統(tǒng)補丁更新,同時這些現(xiàn)場主機需要經(jīng)常采用U盤進行數(shù)據(jù)拷貝,很容易將外網(wǎng)病毒木馬帶入工作系統(tǒng)終端上,然后通過終端散播到網(wǎng)絡(luò)的各個區(qū)域,最終致使整體生產(chǎn)網(wǎng)絡(luò)癱瘓。
此次在某水庫服務(wù)器和主機上部署工控主機衛(wèi)士軟件,保護這些設(shè)備的主機安全。工控主機衛(wèi)士采用“白名單”管理技術(shù),通過對數(shù)據(jù)采集和分析,其內(nèi)置智能學(xué)習(xí)模塊會自動生成工業(yè)控制軟件正常行為的白名單,與現(xiàn)網(wǎng)中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警,以此避免主機網(wǎng)絡(luò)受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害。
2. 安全集中管理中心建設(shè)
(1)安全集中管理中心建設(shè)總體設(shè)計
在生產(chǎn)管理層核心交換機上搭建一套安全集中管理中心,通過安全集中管理中心對生產(chǎn)網(wǎng)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全軟件進行集中管理和日志集中存儲分析,并通過安全集中管理中心的漏洞掃描設(shè)備定期的對生產(chǎn)控制系統(tǒng)的服務(wù)器和主機進行漏洞掃描,及時發(fā)現(xiàn)工控系統(tǒng)內(nèi)部的系統(tǒng)漏洞并進行修復(fù)。
圖2 安全集中管理中心建設(shè)拓撲圖
(2)日志審計集中存儲設(shè)計
目前某水庫生產(chǎn)網(wǎng)沒有統(tǒng)一的日志存儲服務(wù)器,無法生產(chǎn)網(wǎng)安全設(shè)備、服務(wù)器、交換機、操作員站等日志進行統(tǒng)一存儲,同時《中華人民共和國網(wǎng)絡(luò)安全法》的出臺及信息系統(tǒng)安全等級保護的要求,明確要求對關(guān)鍵信息基礎(chǔ)設(shè)施和二級以上的信息系統(tǒng)必須對網(wǎng)絡(luò)、主機和應(yīng)用進行安全審計。
綜上所述,用戶需要一個全面的、面向網(wǎng)絡(luò)資源的、集中的安全日志審計平臺及其系統(tǒng),這個系統(tǒng)能夠收集來自客戶網(wǎng)絡(luò)資源中各種設(shè)備和應(yīng)用的安全日志,并進行存儲、監(jiān)控、審計、分析、報警、響應(yīng)和報告。
此次在生產(chǎn)網(wǎng)內(nèi)部安全集中管理中心部署一臺日志審計與分析系統(tǒng)實現(xiàn)對安全設(shè)備及網(wǎng)絡(luò)設(shè)備的日志存儲,以便滿足相關(guān)法律法規(guī)的政策要求。
(3)安全運維審計設(shè)計
目前某水庫網(wǎng)絡(luò)當(dāng)中缺乏安全運維管控,用戶無法對生產(chǎn)網(wǎng)的運維進行詳細技術(shù)管控,因此此次在生產(chǎn)網(wǎng)當(dāng)中部署一臺安全運維堡壘機,對生產(chǎn)網(wǎng)的后期運維進行統(tǒng)一管理,通過堡壘機對不同對象的運維人員下發(fā)不同的管理權(quán)限,并對管理權(quán)限進行劃分,其次通過運維堡壘機能夠追溯運維人員在運維過程中做的運維操作,以便在發(fā)生安全事件時,能夠通過運維堡壘機進行事件追溯。
(4)工控漏洞掃描安全設(shè)計
此次在生產(chǎn)當(dāng)中部署一臺漏洞掃描設(shè)備,它可以幫助用戶管理人員隨時掌握當(dāng)前系統(tǒng)中漏洞情況,通過掃描生產(chǎn)網(wǎng)當(dāng)中的網(wǎng)絡(luò)及工控設(shè)備從而評估你的網(wǎng)絡(luò)的安全級別,并生成評估報告,提供相應(yīng)的整改措施。
(5)統(tǒng)一集中管理平臺安全設(shè)計
在生產(chǎn)網(wǎng)網(wǎng)設(shè)置安全管理區(qū)域,在生產(chǎn)網(wǎng)的核心交換機旁路部署統(tǒng)一安全管理平臺,方便管理人員的日常管理與維護
3. 具體應(yīng)用場景和應(yīng)用模式
通過在某水庫的控制中心搭建一套完善的安全集中管理中心實現(xiàn)對取水泵站、下游水閘、輸水泵閘、輸水閘井的網(wǎng)絡(luò)會話日志、設(shè)備運行日志及設(shè)備的告警日志進行集中收集并分析,實時掌握各個子系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢,一旦某個子系統(tǒng)網(wǎng)絡(luò)出現(xiàn)異常情況,配合安全集中管理中心的統(tǒng)一安全管理平臺對安全設(shè)備的策略進行動態(tài)化的調(diào)整,達到對某水庫工控系統(tǒng)進行實時監(jiān)控和精準(zhǔn)防護。
4. 安全及可靠性
在許多情況下,設(shè)備的不可靠會導(dǎo)致系統(tǒng)的不安全。當(dāng)設(shè)備發(fā)生故障時,不僅會影響用戶的正常業(yè)務(wù)運行,而且可能會因設(shè)備出現(xiàn)故障而導(dǎo)致安全防護體系失效,從而使系統(tǒng)受到網(wǎng)絡(luò)攻擊,因此此次項目在方案設(shè)計時從技術(shù)層面和管理層面入手,來整體提高設(shè)備的安全性和可靠性,具體如下:
基于技術(shù)層面:首先從技術(shù)層面入手,此次需要串聯(lián)在系統(tǒng)中的設(shè)備分別是工業(yè)防火墻和工控網(wǎng)閘,其它設(shè)備因旁路部署,即使出現(xiàn)故障也不會影響現(xiàn)有的業(yè)務(wù)正常運行,方案的可靠性和安全性只涉及到串聯(lián)的安全設(shè)備。工業(yè)防火墻是串聯(lián)生產(chǎn)管理層和過程控制層之間,一旦防火墻出現(xiàn)故障會導(dǎo)致水庫整個工控系統(tǒng)業(yè)務(wù)癱瘓,因此本次采用工控專用防火墻來實現(xiàn)管理層和控制層之間的安全防護,工控專用防火墻業(yè)務(wù)接口具備Bypass功能;工業(yè)防火墻通過接口的Bypass功能保護網(wǎng)絡(luò)間的應(yīng)急通訊。保證物理硬件在出現(xiàn)問題時工控網(wǎng)絡(luò)的正常通訊。
在生產(chǎn)管理層和企業(yè)管理層之間部署工業(yè)網(wǎng)閘實現(xiàn)某水庫和原水公司之間的邊界防護,目前某水庫只需要把本地的生產(chǎn)數(shù)據(jù)通過網(wǎng)閘上傳到原水公司即可,現(xiàn)場的水泵控制還是由生產(chǎn)管理層實現(xiàn),因此對現(xiàn)場數(shù)據(jù)傳輸?shù)膶崟r性要求不高,同時某水庫本地有一臺數(shù)據(jù)服務(wù)器來實時的存儲生產(chǎn)數(shù)據(jù),由數(shù)據(jù)服務(wù)器把數(shù)據(jù)同步給上級原水公司,一旦網(wǎng)閘設(shè)備出現(xiàn)故障,導(dǎo)致某水庫和原水公司鏈路中斷,數(shù)據(jù)服務(wù)器會進行本地緩存,當(dāng)后續(xù)鏈路恢復(fù)通信時,數(shù)據(jù)服務(wù)器會把本地緩存的數(shù)據(jù)同時上傳到原水公司,從而提高數(shù)據(jù)傳輸?shù)目煽啃浴?/span>
基于管理制度:“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言,因此現(xiàn)場網(wǎng)絡(luò)是否能夠安全穩(wěn)定的運行還需要結(jié)合安全管理制度,此次在項目完成建設(shè)后,協(xié)助用戶制定完善的安全運維管理制度和安全巡檢管理制度,每天由現(xiàn)場工作人員登錄到各個設(shè)備上查看設(shè)備的運行日志和告警日志,并生成巡檢報告,一旦發(fā)現(xiàn)設(shè)備出現(xiàn)故障,及時的啟動應(yīng)急預(yù)案,恢復(fù)網(wǎng)絡(luò),提高設(shè)備系統(tǒng)的可靠性。
5. 其他亮點
(1)本方案以主動防護為核心,白名單防護技術(shù)為基礎(chǔ),幫助用戶建立縱深防御防護體系,提高用戶網(wǎng)絡(luò)安全防護能力,確保水庫工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運行;
(2)根據(jù)客戶現(xiàn)場管理組織架構(gòu),幫助客戶完善管理制度,提高企業(yè)網(wǎng)絡(luò)運行的標(biāo)準(zhǔn)化和規(guī)范化,從而協(xié)助用戶實現(xiàn)網(wǎng)絡(luò)運維管理“一切按照制度辦事”的目標(biāo);
(3)順利通過三級等級保護測評,為后續(xù)水務(wù)集團構(gòu)建集團級態(tài)勢感知監(jiān)測預(yù)警平臺奠定堅實的基礎(chǔ)。
三、下一步實施計劃
在原水公司完成多個廠區(qū)的工控安全建設(shè)后,后續(xù)由水務(wù)公司牽頭,定制研發(fā)水務(wù)集團級態(tài)勢感知監(jiān)測預(yù)警平臺,首先由每個廠區(qū)統(tǒng)一安全管理平臺把安全設(shè)備的運行狀態(tài),對安全事件、資產(chǎn)脆弱性、安全規(guī)則配置、設(shè)備可用性與安全相關(guān)的數(shù)據(jù)進行統(tǒng)一采集、集中分析,發(fā)現(xiàn)事件或安全風(fēng)險時可實時觸發(fā)告警。后續(xù)由統(tǒng)一安全管理平臺把相關(guān)的數(shù)據(jù)發(fā)送到集團級態(tài)勢感知監(jiān)測平臺實現(xiàn)聯(lián)動,從而實現(xiàn)對整體水務(wù)工控系統(tǒng)安全設(shè)備的集中管控和展示。
圖3 安全集中管理中心建設(shè)拓撲圖
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
本次基于工業(yè)白環(huán)境理念的縱深防御安全防護建設(shè)項目涉及多處原創(chuàng)性、創(chuàng)新性技術(shù)應(yīng)用兩點,總結(jié)歸納為如下:
(1)基于軟件服務(wù)器的進程白名單更新技術(shù)
通過軟件服務(wù)器的進程白名單更新技術(shù),在企業(yè)部署環(huán)境中只需要更新軟件服務(wù)器計算機上的進程白名單列表便能使全網(wǎng)相同操作系統(tǒng)的電腦都能共享這一更新的白名單,從而不需再對每臺計算機進行重復(fù)操作,有效減少安全運維工作量,更有益于積累全網(wǎng)軟件的白名單庫。
(2)一種基于工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法
通過創(chuàng)新的采用技術(shù)檢測手段,以達到針對工業(yè)網(wǎng)絡(luò)中的異常網(wǎng)絡(luò)中斷情況進行告警,及時提醒用戶進行應(yīng)急管理。
(3)一種工控網(wǎng)絡(luò)文件強制訪問控制策略配置的方法
采用針對工控網(wǎng)絡(luò)文件特別設(shè)計的強制訪問控制技術(shù),以實現(xiàn)在特殊環(huán)境下具備針對相關(guān)文件的訪問策略的控制和配置,以達到合規(guī)要求。
(4)一種工控協(xié)議解碼規(guī)則的表述及優(yōu)化解碼方法
用于在工業(yè)場景下針對不同的工控協(xié)議數(shù)據(jù)流進行解碼和識別,該方法設(shè)計優(yōu)化了其解碼的方法,提高效率和準(zhǔn)確率。
2. 實施效果
(1)本方案以主動防護為核心,白名單防護技術(shù)為基礎(chǔ),幫助用戶建立縱深防御防護體系,提高用戶網(wǎng)絡(luò)安全防護能力,確保水庫工控網(wǎng)絡(luò)系統(tǒng)能安全穩(wěn)定運行;
(2)根據(jù)客戶現(xiàn)場管理組織架構(gòu),幫助客戶完善管理制度,提高企業(yè)網(wǎng)絡(luò)運行的標(biāo)準(zhǔn)化和規(guī)范化,從而協(xié)助用戶實現(xiàn)網(wǎng)絡(luò)運維管理“一切按照制度辦事”的目標(biāo);
(3)順利通過三級等級保護測評,為后續(xù)水務(wù)集團構(gòu)建集團級態(tài)勢感知監(jiān)測預(yù)警平臺奠定堅實的基礎(chǔ)。