古人云“水皆縹碧�����,千丈見底。游魚細石,直視無礙”��。在古代�����,人們對水資源純凈清澈的渴望非常強烈���。在萬物互聯(lián)的今天,水務行業(yè)作為重要的城市公共服務之一�,也是智慧城市建設的重要環(huán)節(jié)。面對國家不斷出臺的新政策鼓勵��,水務行業(yè)目前同樣面臨著數(shù)字化轉型的快速發(fā)展期�����。面向智慧水務場景下的安全需求�,如何保障網(wǎng)絡信息安全以及數(shù)據(jù)安全�����,輔助用戶將業(yè)務運行與安全防護有機融合����,成為智慧水務高質量發(fā)展的先要條件���。
水務行業(yè)作為關鍵信息基礎設施中的公共事業(yè),在智慧化的建設過程中�,更要避免出現(xiàn)因系統(tǒng)漏洞攻擊,惡意代碼攻擊���,人員誤操作等問題導致業(yè)務關?���;驍?shù)據(jù)丟失等現(xiàn)象�����。保障智慧水務安全穩(wěn)定開展���,某市水務集團啟動“工控系統(tǒng)信息安全防護”項目�����,針對下轄所有水廠進行工業(yè)控制系統(tǒng)安全建設��,保障關鍵信息基礎設施的安全運行�����,完成工控系統(tǒng)網(wǎng)絡安全備案����、整改建設以及等級保護測評工作。
啟明星辰經(jīng)過對該市級水務集團的業(yè)務場景梳理��、分析�����,以水務集團智慧水務平臺��、自來水廠生產系統(tǒng)兩大智慧水務業(yè)務場景為出發(fā)點��,提供了生產控制系統(tǒng)安全防護場景��、智慧化整體安全態(tài)勢感控場景和企業(yè)綜合運維管理場景三個場景化防護視角�����,護航用戶業(yè)務高質量發(fā)展�。
一是基于生產控制系統(tǒng)安全穩(wěn)定運行場景����,實現(xiàn)域間隔離���,統(tǒng)一監(jiān)測的功能。
按照工藝流程以工控子系統(tǒng)為防護對象�����,分成取水口控制站�、送水泵房控制站、絮凝池控制站等安全域�����,以“域間隔離���,統(tǒng)一監(jiān)測”為防護策略�,如下所示:
水務集團工控安全產品部署拓撲
a.?域間隔離��,有效阻斷:在廠區(qū)安全域之間采用適用于工業(yè)環(huán)境的專用防火墻以邏輯串接的方式進行部署���,對安全域邊界進行監(jiān)視�����,識別邊界上的入侵行為并進行有效阻斷���。
b.?統(tǒng)一監(jiān)測�,縱深防御:在工控環(huán)網(wǎng)與生產執(zhí)行層的接口處部署入侵防御系統(tǒng)��,結合水務行業(yè)定制化安全策略����,提供工控信息安全特色場景化的防護。
c.?集中管理�����,輕松運維:通過旁路部署日志審計系統(tǒng)�,將網(wǎng)絡中存在的網(wǎng)絡設備、操作系統(tǒng)����、數(shù)據(jù)庫系統(tǒng)、安全設備等產生的日志信息統(tǒng)一存儲�����、分析�����、告警�����,解決水務集團現(xiàn)有工控系統(tǒng)中日志存儲分散���,數(shù)據(jù)存儲時間���、維度沒有進行統(tǒng)一管理等問題。
二是基于集團網(wǎng)絡與水廠網(wǎng)絡安全感控場景�����,實現(xiàn)策略協(xié)同和安全運維功能����。
自來水廠生產數(shù)據(jù)安全可靠上傳,避免形成安全風險暴露點��,影響水廠工控系統(tǒng)和智慧水務平臺的安全穩(wěn)定運行����。
基于集團網(wǎng)絡與水廠網(wǎng)絡安全互聯(lián)場景
a.?在設備層和邊緣層上部署主機防護系統(tǒng)��,制定白名單安全策略��,從源頭上遏制了惡意代碼的運行��,消除病毒或惡意代碼通過終端外設進入工控終端及工控生產網(wǎng)絡的可能性���。從操作系統(tǒng)內核、協(xié)議棧等方面進行安全增強��,并力爭實現(xiàn)對于設備固件的自主可控�。
b.?在集團辦公網(wǎng)與下屬水廠邊界部署工業(yè)加固型網(wǎng)閘,對兩網(wǎng)間的數(shù)據(jù)交換進行安全防護����,同時對OPC、Modbus/TCP等工業(yè)協(xié)議進行深度解析和指令級的控制�,保證只允許合法的指令和訪問通過。
三是基于智慧水務的安全管理平臺�,實現(xiàn)業(yè)務信息系統(tǒng)安全的全局態(tài)勢管控功能。
智慧水務安全管理平臺以業(yè)務信息系統(tǒng)安全為保障目標�,從監(jiān)控、審計��、風險�����、運維四個維度對全網(wǎng)的整體安全進行集中化的管理與運維,為用戶建立一個可視��、可查��、可度量與可持續(xù)的安全管理新平臺���,通過應用威脅情報分析、異常流量監(jiān)測�����、資產安全威脅預警�、網(wǎng)絡攻擊預測等技術實現(xiàn)智能化、智慧化的安全管理��,保障智慧水務系統(tǒng)安全穩(wěn)定運行��。
安全管理平防護場景
通過對該水務場景化方案的應用和落地����,形成該水務集團在智慧水務體系建設中的安全保障閉環(huán)。經(jīng)過工控安全產品的無縫部署實現(xiàn)對外部攻擊及內部非法操作的預警防御和應急響應��,有效地實現(xiàn)防外及安內,幫助水務集團下屬水廠維護工控系統(tǒng)安全����、循跡惡意企圖人士,降低網(wǎng)絡安全事件發(fā)生的概率����,從而避免造成重大安全生產事故,保障智慧水務建設可持續(xù)發(fā)展�,從而提高水務集團的生產效率,給客戶帶來更加穩(wěn)定的生產運行環(huán)境����。
智慧水務的建設剛剛起步,網(wǎng)絡安全問題造成的危害還未充分暴露���,尚未引起足夠重視�。另外����,隨著新技術不斷應用到智慧水務建設中,各種新的安全風險應運而生��,智慧水務的網(wǎng)絡安全保障建設任重道遠,需要從頂層規(guī)劃���、制度�����、標準�、管理和技術防護等方面全面思考����,才能保障智慧水務又好又快發(fā)展��。
未來���,啟明星辰集團繼續(xù)貫徹落地場景化安全思維��,充分整合產品����、平臺和服務資源�,為用戶提供基于業(yè)務特色與流程的安全體系,構建智慧水務的縱深防御體系��,助力“數(shù)字中國”戰(zhàn)略下智慧水務應用場景的蓬勃發(fā)展。
