启明星辰:智慧水务场景安全,可一点都不能“水”!

水乃生命之源

智慧水务的安全建设大有“可为”

作为网络安全行业领军者

启明星辰集团积极“有为”

图片1.jpg

古人云“水皆缥碧,千丈见底。游鱼细石,直视无碍”。在古代,人们对水资源纯净清澈的渴望非常强烈。在万物互联的今天,水务行业作为重要的城市公共服务之一,也是智慧城市建设的重要环节。面对国家不断出台的新政策鼓励,水务行业目前同样面临着数字化转型的快速发展期。面向智慧水务场景下的安全需求,如何保障网络信息安全以及数据安全,辅助用户将业务运行与安全防护有机融合,成为智慧水务高质量发展的先要条件。

水务行业作为关键信息基础设施中的公共事业,在智慧化的建设过程中,更要避免出现因系统漏洞攻击,恶意代码攻击,人员误操作等问题导致业务关停或数据丢失等现象。保障智慧水务安全稳定开展,某市水务集团启动“工控系统信息安全防护”项目,针对下辖所有水厂进行工业控制系统安全建设,保障关键信息基础设施的安全运行,完成工控系统网络安全备案、整改建设以及等级保护测评工作。

启明星辰经过对该市级水务集团的业务场景梳理、分析,以水务集团智慧水务平台、自来水厂生产系统两大智慧水务业务场景为出发点,提供了生产控制系统安全防护场景、智慧化整体安全态势感控场景和企业综合运维管理场景三个场景化防护视角,护航用户业务高质量发展。

一是基于生产控制系统安全稳定运行场景,实现域间隔离,统一监测的功能。

按照工艺流程以工控子系统为防护对象,分成取水口控制站、送水泵房控制站、絮凝池控制站等安全域,以“域间隔离,统一监测”为防护策略,如下所示:

图片2.jpg

水务集团工控安全产品部署拓扑

a. 域间隔离,有效阻断:在厂区安全域之间采用适用于工业环境的专用防火墙以逻辑串接的方式进行部署,对安全域边界进行监视,识别边界上的入侵行为并进行有效阻断。

b. 统一监测,纵深防御:在工控环网与生产执行层的接口处部署入侵防御系统,结合水务行业定制化安全策略,提供工控信息安全特色场景化的防护。

c. 集中管理,轻松运维:通过旁路部署日志审计系统,将网络中存在的网络设备、操作系统、数据库系统、安全设备等产生的日志信息统一存储、分析、告警,解决水务集团现有工控系统中日志存储分散,数据存储时间、维度没有进行统一管理等问题。

二是基于集团网络与水厂网络安全感控场景,实现策略协同和安全运维功能。

自来水厂生产数据安全可靠上传,避免形成安全风险暴露点,影响水厂工控系统和智慧水务平台的安全稳定运行。

图片3.jpg

基于集团网络与水厂网络安全互联场景

a. 在设备层和边缘层上部署主机防护系统,制定白名单安全策略,从源头上遏制了恶意代码的运行,消除病毒或恶意代码通过终端外设进入工控终端及工控生产网络的可能性。从操作系统内核、协议栈等方面进行安全增强,并力争实现对于设备固件的自主可控。

b. 在集团办公网与下属水厂边界部署工业加固型网闸,对两网间的数据交换进行安全防护,同时对OPC、Modbus/TCP等工业协议进行深度解析和指令级的控制,保证只允许合法的指令和访问通过。

三是基于智慧水务的安全管理平台,实现业务信息系统安全的全局态势管控功能。

智慧水务安全管理平台以业务信息系统安全为保障目标,从监控、审计、风险、运维四个维度对全网的整体安全进行集中化的管理与运维,为用户建立一个可视、可查、可度量与可持续的安全管理新平台,通过应用威胁情报分析、异常流量监测、资产安全威胁预警、网络攻击预测等技术实现智能化、智慧化的安全管理,保障智慧水务系统安全稳定运行。

图片4.jpg

安全管理平防护场景

通过对该水务场景化方案的应用和落地,形成该水务集团在智慧水务体系建设中的安全保障闭环。经过工控安全产品的无缝部署实现对外部攻击及内部非法操作的预警防御和应急响应,有效地实现防外及安内,帮助水务集团下属水厂维护工控系统安全、循迹恶意企图人士,降低网络安全事件发生的概率,从而避免造成重大安全生产事故,保障智慧水务建设可持续发展,从而提高水务集团的生产效率,给客户带来更加稳定的生产运行环境。

智慧水务的建设刚刚起步,网络安全问题造成的危害还未充分暴露,尚未引起足够重视。另外,随着新技术不断应用到智慧水务建设中,各种新的安全风险应运而生,智慧水务的网络安全保障建设任重道远,需要从顶层规划、制度、标准、管理和技术防护等方面全面思考,才能保障智慧水务又好又快发展。

未来,启明星辰集团继续贯彻落地场景化安全思维,充分整合产品、平台和服务资源,为用户提供基于业务特色与流程的安全体系,构建智慧水务的纵深防御体系,助力“数字中国”战略下智慧水务应用场景的蓬勃发展。