水利行业典型工控场景包括闸门控制、水资源调度和农饮水工程,这些工控场景由于工艺逻辑、网络架构、组网方式、水资源体量、管控要求等巨大差异,在网络安全方面面临的挑战和需求也有较大不同,应制定符合其业务特性的网络安全解决方案,为水利工程数字化转型保驾护航,助力我国智慧水利的建设。
本篇为水利行业工控系统(水资源调度)网络安全解决方案第二篇。
水资源调度是水利典型控制场景之一,包括闸站、泵组、管道及监测仪表等,站点多且分散,工控系统呈封闭状态。随着智慧水利的兴起,水资源调度工控系统逐步从封闭走向开放,面临越来越多的网络威胁。针对水资源调度等重大水利工程的网络攻击往往来自特定组织甚至国家级的攻击团队,其网络攻击能力强、攻击工具复杂多样,掌握众多的0day漏洞甚至软件硬件的后门,采用社会工程学等手段潜入目标网络,并在关键节点非法操纵控制器,破坏加压泵组、输水管道等设备设施,影响水资源的调度。2020年4月,以色列污水处理厂等水利设施监控系统(SCADA)遭到多次网络攻击,严重影响区域水资源安全。我国是一个缺水型国家,区域结构性缺水更加严重,部分缺水型城市的生产生活用水严重依赖水资源调度,因此保障水资源调度工控系统的网络安全至关重要。
目前重大水资源调度工控系统均采取一定的安全防护措施,安全建设依照等保2.0系列标准,从多个项目实际运行情况来看,工控系统网络安全面临以下问题及挑战:
解决方案
针对水资源调度工控系统面临的安全风险与痛点,国利网安提出“全面管控、纵深防御、高效管理、快速恢复”的水资源调度工控系统网络安全防护方案。
图1 水资源调度工控系统网络安全防护图
资产全面管控:管理好工控资产才能管理好工控网络安全,构建具有资产识别、空间测绘、状态监测、漏洞识别、基线核查等功能的工控资产管控体系,通过主动、被动方式获取网络中的资产指纹信息,监测并分析资产健康状态,并形成工控资产图鉴,实现资产的全面管控。
工控资产的精细化管理
安全纵深防御:构建覆盖全局的检测-防护-响应-恢复纵深防御体系,尤其针对水资源调度业务核心控制器的控制指令和控制逻辑,采取针对性防护措施,快速识别非法及不合理指令,监测并可视化呈现控制器控制逻辑的状态,避免因网络攻击破坏工控系统关键设备设施。
安全高效管理:在“资产全面管控”和“安全纵深防御”的基础上,对安全产品功能进行行业场景化定制,充分结合水资源调度工控系统的业务特点及工控资产详情,将安全产品的运行信息转化为运维人员可视可读的工艺操作信息,降低安全管理难度;同时通过内置安全事件应急处置知识库,对常见的事件提供处置建议,提升管理水平。
生产快速恢复:构建覆盖核心控制器和SCADA监控主机的快速备份与恢复体系,当主机、控制器的程序、系统遭到破坏无法稳定运行,快速恢复主机和控制器的系统和数据,恢复水资源调度控制业务的安全运行。
解决方案价值
1、护航水资源战略布局:筑牢水资源调度工控网络安全基座,保障水资源调度系统的安全运行,为我国水资源整体战略布局保驾护航。
2、助力智慧水利建设:夯实水资源调度工控网络安全基石,培养网络安全人才,全面提升工控网络安全防护能力,助力智慧水利建设。
3、减轻安全事件影响:打造监测-防护-响应-恢复于一体的安全体系,有效降低因网络攻击事件带来的经济财产损失和国计民生影响。
4、依法合规:落实《网络安全法》等相关法律法规要求,构建符合等保要求的安全防护能力,助力企业合法合规经营。