总述
水利行业典型工控场景包括闸门控制、水资源调度和农饮水工程,这些工控场景由于工艺逻辑、网络架构、组网方式、水资源体量、管控要求等巨大差异,在网络安全方面,面临的挑战和需求也有较大不同,应制定符合其业务特性的网络安全解决方案,为水利工程数字化转型保驾护航,助力我国智慧水利的建设。
本篇为水利行业工控系统网络安全解决方案——农饮水篇。
背景
农村供水安全事关亿万农村群众的生产生活,是巩固拓展脱贫攻坚成果同乡村振兴有效衔接的重要举措,也是全面建成小康社会目标的重要保障。近年来,随着农村饮用水保障工程的大力发展,越来越多的自动化技术、信息化技术融入农村供水工程,模糊了工控系统网络边界,但大多数农饮水工程仅在集中监控中心采用了基础的边界防护措施,未能有效实现对全局的安全管理和对关键设施的安全防护,而且,农饮水工程现已形成了市级乃至省级的管控运维体系,在建设与运营上也带来了极大的挑战。2022年,英国某水务公司遭网络攻击,黑客入侵并获取了监控SCADA的全部操作权限,给供水安全敲响了警钟。目前,从众多项目实际运行情况来看,农饮水工控系统网络安全主要面临以下问题及挑战:
1. 资产管理不彻底、不全面:管理好工控资产才能管理好工控网络安全。农饮水站点多且分散,工控资产的管理普遍停留在表单。现有安全方案仅能实现对集中控制中心的网络资产实行在线状态监测,无法实现对大量离散的农饮水站的核心工控资产运行状态的精细化管理,也无法及时发现资产的异常状态,更无法将资产的运行状态与安全数据相结合,实现资产与安全的协同管理。
2. 大量离散的站点缺乏有效防护:农饮水站点多且分散,少则几十个,多达上千个,且不同站点供水体量差异极大,如何针对不同类型、不同体量的农饮水站提供分层、差异化防护方案,是目前面临的棘手问题。
3. 安全运维管理难度大:农饮水工控系统运营单位缺乏充足的安全技术人员和管理人员,难以响应大量且分散的控制站点的安全管理需求;同时现有的安全产品往往从专业角度设计产品功能,较少针对行业业务特性进行定制,安全告警不能结合不同场景下工控系统的实际控制工艺,加大了安全产品运维、告警信息分析的难度,安全运维管理难度大。
4. 应急恢复能力弱:现有农饮水工控系统往往采用移动介质(如移动硬盘)对业务数据进行备份,但缺乏对系统级的安全备份,常规的备份一体机对工控系统兼容性不足,往往导致系统恢复后组态运行不稳定情况;同时现有的备份恢复措施无法覆盖控制器的备份恢复,难以在安全事件发生时快速恢复业务稳定运行。
解决方案
针对农饮水工控系统面临的安全风险与痛点,国利网安提出“资产全面管控、站点分级防护、安全高效管理、生产快速恢复”的农饮水工控系统网络安全防护方案。
1. 资产全面管控:管理好工控资产才能管理好工控网络安全。构建具有资产识别、空间测绘、状态监测、漏洞识别、基线核查等功能的工控资产管控体系,通过主动、被动方式获取网络中的资产指纹信息,监测并分析资产健康状态,并形成工控资产图鉴,有效覆盖村镇水厂、加压泵房和农饮水站以及集控中心全部工控网络的资产安全管控。
2. 站点分级防护:基于“分类分级、适度防护”的理念,根据农饮水供水形式、供水体量,划分为村镇水厂、农饮水站等,针对不同的站点提供分层的防护方案,在保障农饮水工控网络安全的前提下,节约投资建设成本。
3. 安全高效管理:在“资产全面管控”和“站点分级防护”的基础上,对安全产品功能进行行业场景化定制,充分结合农饮水工控系统的业务特点及工控资产详情,将安全产品的运行信息转化为运维人员可视可读的工艺操作信息,降低安全管理难度;同时通过内置安全事件应急处置知识库,对常见的事件提供处置建议,提升管理水平。
4. 生产快速恢复:构建覆盖核心控制器和SCADA监控主机的快速备份与恢复体系,当主机、控制器的程序、系统遭到破坏无法稳定运行时,可快速恢复主机和控制器的系统和数据,恢复农饮水工控系统的稳定运行。
| 体现价值 |
- 分级防护,成本可控
根据农饮水工控系统类型、供水体量、运行环境,选择合适的产品组合构建站点安全防护管理方案,在保障安全的前提下,降低整体建设成本。
- 精准防护,安全可控
对中断PLC进行直接安全防护,能够精确有效识别并阻止对控制器的误操作、恶意操作等行为,另外,通过隐匿工业控制器在通信过程中的关键标识,从源头上避免控制器被攻击的可能性,最大程度保障农饮水站的安全运行。
- 状态监测,资产可控
通过对工控核心资产的健康监测,快速发现潜在的异常及风险,有效完成设备的健康监测与管理,降低供水中断风险。
- 备份恢复,降低损失
有效的对核心系统和数据进行备份与管理,在异常情况发生时,可以快速监控系统和控制系统,避免因缺乏有效的数据安全防护手段导致的业务恢复慢的问题。
- 提升管理,降低压力
面对大量农饮水终端设备的接入管理,通过对资产和安全的集中监测管理,有效提升安全管理能力和管理水平,降低人员成本和管理成本,降低农饮水系统运营压力。
申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!
国利网安
浙江国利网安科技有限公司坚守“让控制更安全,让用户更放心”的使命,凭借30年的工控技术积累和12年的工控安全研究,已形成了“工控安全试验场”“工控安全盾”等独具特色与优势的攻防核心技术、安全产品与服务体系和水务水利、石油炼化、油气管网、城市燃气、电力能源、轨道交通、智能制造等系列行业解决方案,致力于成为世界一流的关键基础设施安全整体解决方案提供商。
