水利行業(yè)解決方案
2019年8月水利部網(wǎng)信辦組織制定了《水利網(wǎng)絡(luò)安全管理辦法(試行)》,《辦法》為水利行業(yè)網(wǎng)絡(luò)安全強監(jiān)管提供準(zhǔn)則和依據(jù),是健全水利網(wǎng)絡(luò)安全保障體系、提升水利網(wǎng)絡(luò)安全防護(hù)能力的重要舉措。
《辦法》突出問題導(dǎo)向,對于2019年水利部攻防演練發(fā)現(xiàn)的41.5%屬于信息化項目規(guī)劃建設(shè)階段沒有同步落實網(wǎng)絡(luò)安全等級保護(hù)要求留下的問題,以及58.5%屬于運行階段管理不到位造成的問題,明確了具有針對性、有效性的解決措施。同時,《辦法》通過“網(wǎng)絡(luò)安全規(guī)劃建設(shè)”“網(wǎng)絡(luò)運行安全”兩章,明確具體任務(wù)、責(zé)任單位,建立了信息系統(tǒng)全生命周期安全管控規(guī)范,有效解決上述問題,確保《辦法》實用、管用。葉建春副部長強調(diào)要加大《辦法》的執(zhí)行力度,要求部網(wǎng)信辦近期選擇部分部直屬單位開展網(wǎng)絡(luò)安全滲透測試,對滲透測試發(fā)現(xiàn)的問題,在通報整改的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)安全現(xiàn)場檢查,依據(jù)《辦法》進(jìn)行責(zé)任追究。
安全隱患
● 區(qū)域邊界不夠清晰
目前對水利工業(yè)系統(tǒng)的信息安全防護(hù)高度依賴隔離方式,如物理上的網(wǎng)絡(luò)孤島、密碼門禁等。但對現(xiàn)地測控系統(tǒng)、遠(yuǎn)程監(jiān)控系統(tǒng)、實時控制系統(tǒng)和非實時監(jiān)控系統(tǒng)間的隔離做的不夠充分,也不夠細(xì)致。
● 水利工業(yè)系統(tǒng)的定級工作尚未執(zhí)行
水利調(diào)研中,已經(jīng)對系統(tǒng)的重要性和安全事件時產(chǎn)生的危害進(jìn)行了評估,但尚未開展定級并落實基于安全等級的保護(hù)措施。
● 系統(tǒng)中存在較多漏洞且難以修復(fù)
根據(jù)摸底情況,發(fā)現(xiàn)目前在現(xiàn)場使用的多種控制器存在已知漏洞。而工業(yè)計算機,受限于兼容性和性能等原因,極少進(jìn)行補丁修復(fù),一臺PC中存在數(shù)百個漏洞的情況非常普遍,任何一個漏洞的利用都可以導(dǎo)致越權(quán)訪問和任意代碼執(zhí)行等惡劣影響,從而通過一個點的突破,對工業(yè)系統(tǒng)進(jìn)行嚴(yán)重的破壞。
● 系統(tǒng)風(fēng)險的暴露面大
網(wǎng)絡(luò)暴露面大,且會繼續(xù)擴(kuò)大:在大型系統(tǒng)中,采用了多種類型的傳輸方式,部分存在借用公共網(wǎng)絡(luò)的情況,大大的增加了數(shù)據(jù)及指令傳輸過程中被分析、竊取及篡改的機會。而在未來,越來越多的數(shù)據(jù)將會被更廣泛的開放及利用,部分水利系統(tǒng)將會更廣泛的暴露在互聯(lián)網(wǎng)環(huán)境下。
● 未知威脅的數(shù)量大,影響難以發(fā)現(xiàn)
工業(yè)系統(tǒng)的網(wǎng)絡(luò)相對獨立,發(fā)生的攻擊事件相對較少且難以被發(fā)現(xiàn)。而隨著攻擊工業(yè)系統(tǒng)的商業(yè)價值、戰(zhàn)略價值被廣泛認(rèn)知,越來越多的惡意攻擊者開始分析工業(yè)系統(tǒng),導(dǎo)致大量的惡意漏洞被攻擊者掌握。
另一方面,人工智能等技術(shù)開始在黑色產(chǎn)業(yè)中被使用,越來越多的攻擊具有高度的特異性,在防護(hù)難度上也會越來越大。
解決方案
某大型水利系統(tǒng)總體結(jié)構(gòu)
● 某水量調(diào)度系統(tǒng),下轄大量的涵閘與泵站。分為5級遠(yuǎn)程監(jiān)控系統(tǒng)和現(xiàn)地控制系統(tǒng)。其中,5級遠(yuǎn)程系統(tǒng)分別為:第一級,總調(diào)中心;第二級,省分調(diào)中心;第三級,市局管理中心;第四級,縣局管理處管理機構(gòu);第五級,閘管所等管理部門。
● 系統(tǒng)使用衛(wèi)星、鋪設(shè)光纖、微波、GPRS等進(jìn)行通信。在總調(diào)中心、分調(diào)中心和分中心分別建設(shè)星型三層以太網(wǎng),接入通信通道;在管理處、縣局、閘管所采用兩層工業(yè)控制交換機接入通信通道,各控制區(qū)域采用二層工業(yè)控制交換機接入此區(qū)域內(nèi)的PLC和視頻編解碼器。
方案價值
● 合規(guī)避險
滿足等保要求;規(guī)避法律風(fēng)險。
● 運維簡單
設(shè)備、軟件統(tǒng)一運維;支持Bypass,保障可用性優(yōu)先。
● 安全有效
縱深安全體系多維聯(lián)動;同時應(yīng)對已知問題和未知風(fēng)險。
● 支持運營
由被動的維護(hù)變?yōu)橹鲃咏?jīng)營;幫助安全服務(wù)能力持續(xù)提升。
上一篇:煤炭行業(yè)解決方案
下一篇:智能制造行業(yè)解決方案