欢迎您访问工业控制系统信息安全产业联盟平台网站!
官方微信
用户名:
密码:
登录 注册
智慧水务场景化工控安全建设项目

点击数:924 发布时间:2022-02-01 18:17

某市级水务集团现拥有现代化水厂8座,实际最高日供水120万立方米,持续保障市区的用水需求。随着水务投资规模的增加,目前处于向智慧水务方向拓展的阶段。该水务集团公司开展了智慧水务建设项目,其管辖的八家自来水厂实现统一的运营管理、生产调度、状态监测、安全管理等功能。水厂网络与集团网络实现更高效的互联互通,随之,安全问题更加突出。为保障智慧水务安全稳定开展,水务集团启动“工控系统信息安全防护”项目,针对下辖的所有水厂进行工业控制系统安全建设,保障关键信息基础设施的安全运行,完成工控系统网络安全备案、整改建设以及等级保护测评工作。同时在信息化、智慧化建设过程中,将网络安全建设与其业务场景结合,达成合规以及获得实际防护能力与安全管理能力的目标。北京启明星辰信息安全技术有限公司(以下简称:启明星辰)面向智慧水务场景下的安全需求,辅助用户将业务运行与安全防护有机融合。

1 项目概况


1.1 项目背景

2021年2月,黑客侵入佛罗里达的供水系统,使用运行在水厂PC TeamViewer上的远程控制软件控制机器,将氢氧化钠含量从100ppm远程增加到11,100ppm,试图影响城市的供水。2020年初,对以色列供水系统的网络攻击引起了各国对供水设施安全的关注,早在2015年,供水系统受到的网络攻击,仅次于关键制造业和能源工业。这表明网络威胁已经渗透到城市供水系统中,以水工业控制系统为目标,为城市供水系统敲响了安全警钟。

1.2 项目简介

某市级水务集团现拥有现代化水厂8座,实际最高日供水120万立方米,持续保障市区的用水需求。随着水务投资规模的增加,目前处于向智慧水务方向拓展的阶段。该水务集团公司开展了智慧水务建设项目,其管辖的八家自来水厂实现统一的运营管理、生产调度、状态监测、安全管理等功能。水厂网络与集团网络实现更高效的互联互通,随之,安全问题更加突出。为保障智慧水务安全稳定开展,水务集团启动“工控系统信息安全防护”项目,针对下辖的所有水厂进行工业控制系统安全建设,保障关键信息基础设施的安全运行,完成工控系统网络安全备案、整改建设以及等级保护测评工作。同时在信息化、智慧化建设过程中,将网络安全建设与其业务场景结合,达成合规以及获得实际防护能力与安全管理能力的目标。北京启明星辰信息安全技术有限公司(以下简称:启明星辰)面向智慧水务场景下的安全需求,辅助用户将业务运行与安全防护有机融合。

1.3 项目目标
(1)水务工控系统安全合规性建设。既要满足法律法规(如《水利网络安全管理办法(试行)》《中华人民共和国网络安全法》《网络安全等级保护》)以及监管单位的安全要求,又要提升生产系统对网络攻击的防御能力。
(2)信息安全管理制度建设。包含风险预警、安全培训、安全运维、应急响应等方面,与合规建设形成紧耦合的安全防护机制。
(3)水务工控系统安全风险防护。对跨网跨域隔离防护、安全审计、主机及终端防护等具体问题进行整改建设,强化水务系统安全防御能力,为智慧水务平台提供可靠、有效的数据支撑。
2 项目实施

2.1 项目总体架构和主要内容

本项目中的智慧水务业务场景包含智慧水务平台、自来水厂生产系统两大部分。安全建设也依据其业务场景进行设计实施,项目总体框架如图1所示。

图1 智慧水务总体框架示意图


智慧水务平台是依托云架构的物联网水务平台,平台包含大数据管理平台、供水管网地理信息系统(GIS)、供水调度自动化控制系统(SCADA)、供水管网水力模型系统、供水管网DMA漏损管理、供水管网水质管控分析系统、营业收费管理系统。可对8个自来水厂实现云端管控、任务处理、数据存用、任务下发、业务监测等功能。

集团下辖8个自来水厂的工艺流程基本相同,从智慧水务工业控制系统的环境特点、技术特点、协议特点角度分析,大型自来水厂多数采用的处理工艺一般是常规处理加深度处理,工艺复杂,设备先进。常规处理包括混合、反应、沉淀、过滤及消毒几个过程。深度水处理工艺在常规水处理工艺的基础上添加了臭氧处理和碳过滤或投加高锰酸钾和粉末活性炭等工艺流程。自来水厂深度处理工艺流程如图2所示。

图2 自来水厂深度处理工艺流程图

从现场调研的工艺流程分析来看,整个大型自来水厂工艺流程包含的现场控制层设备分为机械设备和控制设备,机械设备一般有几十种,例如鼓风机、提升泵、刮泥机、加压泵、臭氧制备机、回流泵、加药泵、搅拌机等。这些设备都是工艺处理环节中的关键设备。控制设备比如现场控制层的PLC、仪器仪表、RTU等,监控层有上位机组态软件、工业数据库、网络摄像头等。
生产系统由企业管理层、生产执行层、过程监控层、现场监控层组成,分别承担以下任务:
(1)企业管理层负责监控各个水厂工艺流程的实时监控、生产调度、数据分析等功能,涉及GIS、SCADA、供水管网水质管控分析系统等系统,设备类型以传统服务器以及传统信息系统为主,企业管理层同时承担为水务集团总部传送业务数据的功能,实现上下级平台联动。
(2)生产执行层主要负责对各工艺流程的具体生产活动下发执行指令,其中包括操作员站、数采工作站、上位机等设备,以工作站设备为主。
(3)过程监控层负责对自来水生产流程以及厂区环境数据进行监控和数据采集。主要包括SCADA系统、DCS系统、视频监控服务器等。
(4)现场监控层负责执行具体生产指令以及收集数据。具体包括PLC、温度传感器、压力传感器、液位传感器、工业摄像头等终端设备。
水厂的生产数据包含流量、液位、压力、浊度等,均汇聚到水务集团办公网的集中控制中心的智慧水务平台进行分析处理。
本方案针对边缘安全防护场景、企业安全防护场景和企业安全综合管理平台三个安全场景不同的安全需求和风险,部署安全措施:
智慧水务平台侧通过应用威胁情报分析、异常流
量监测、资产安全威胁预警、网络攻击预测等技术实现智能化、智慧化的安全管理,保障智慧水务系统安全稳定运行。
自来水厂工控系统通过实施分层分域安全策略,部署工业防火墙、工业主机防护系统、工业入侵防御系统等,从终端管控、主机防护、平台管理、跨网跨域防护等角度保障设备安全、控制安全和边缘侧的网络安全。
2.2 安全防护体系
水务集团下辖的8个水厂生产数据采集方式如下:
通过数据采集服务器采集现场生产数据,数采服务器采用双网卡模式,一端连接至生产网负责生产数据的采集和其余监控系统的数据提供,另一端连接至集团办公网,负责办公网的数据提供。在集团办公网内,有一台数据采集服务器作为前置机,负责与生产网数据采集服务器的数据对接,连接至集团办公内网。
目前厂区内工控网络呈环状。各工艺段的PLC及智能采集器等通过以太网、TCP/IP形式连接工艺段接入交换机,组成厂区内环网。中控部分工程师站、操作员站广泛采用标准的Windows等商用操作系统、设备、中间件及各种通用技术。
大型自来水厂整个工艺过程包含的现场控制层设备分为机械设备和控制设备,工控安全产品部署拓扑图如图3所示。
启明星辰提供了生产控制系统安全防护场景、智慧化整体安全态势感控场景和企业综合运维管理场景三个场景化防护视角,护航用户业务高质量发展。
(1)基于生产控制系统安全稳定运行场景,实现域间隔离,统一监测的功能。
按照工艺流程以工控子系统为防护对象,分成取水口控制站、送水泵房控制站、絮凝池控制站等安全域,以“域间隔离,统一监测”为防护策略:
· 域间隔离,有效阻断:在厂区安全域之间采用适用于工业环境的专用防火墙,以逻辑串接的方式进行部署,对安全域边界进行监视,识别边界上的入侵行为并进行有效阻断。
· 统一监测,纵深防御:在工控环网与生产执行层的接口处部署入侵防御系统,结合水务行业定制化安全策略,提供工控信息安全特色场景化的防护。
· 集中管理,轻松运维:通过旁路部署日志审计系统,将网络中存在的网络设备、操作系统、数据库系统、安全设备等日志信息统一存储、分析、告警,解决水务集团现有工控系统中日志存储分散,数据存储时间、维度没有进行统一管理等问题。

图3 水务集团工控安全产品部署拓扑

(2)基于集团网络与水厂网络安全感控场景,实现策略协同和安全运维功能。

自来水厂生产数据安全可靠上传,避免形成安全风险暴露点,影响水厂工控系统和智慧水务平台的安全稳定运行。

· 在设备层和边缘层上部署主机防护系统,制定白名单安全策略,从源头上遏制了恶意代码的运行,消除病毒或恶意代码通过终端外设进入工控终端及工控生产网络的可能性。从操作系统内核、协议栈等方面进行安全增强,并力争实现对于设备固件的自主可控。
· 在集团办公网与下属水厂边界部署工业加固型网闸,对两网间的数据交换进行安全防护,同时对OPC、Modbus/TCP等工业协议进行深度解析和指令级的控制,保证只允许合法的指令和访问通过。
(3)基于智慧水务的安全管理平台,实现业务信息系统安全的全局态势管控功能。
智慧水务安全管理平台以业务信息系统安全为保障目标,从监控、审计、风险、运维四个维度对全网的整体安全进行集中化的管理与运维,为用户建立一个可视、可查、可度量与可持续的安全管理新平台,通过应用威胁情报分析、异常流量监测、资产安全威胁预警、网络攻击预测等技术实现智能化、智慧化的安全管理,保障智慧水务系统安全稳定运行。具体安全管理平台防护场景如图4所示。

图4 安全管理平台防护场景

通过对该水务场景化方案的应用和落地,形成该水务集团在智慧水务体系建设中的安全保障闭环。通过工控安全产品的无缝部署实现对外部攻击及内部非法操作的预警防御和应急响应,有效实现防外及安内,帮助水务集团下属水厂维护工控系统安全,循迹恶意企图人士,降低网络安全事件发生的概率,避免造成重大安全生产事故,保障智慧水务建设可持续发展,从而提高水务集团的生产效率,给客户带来更加稳定的生产运行环境。
3 案例亮点
本项目主要采用智慧水务工控安全管理平台,该平台提供了强大的一体化安全管控功能界面,为不同层级的客户提供了多视角、多层次的管理视图。如图5所示。

图5 智慧水务工控安全管理平台管理视图

(1)对于管理层的高层领导,通过领导视图可以掌握全网的整体安全态势,评估全网和重要业务信息系统安全机制的有效性情况,掌握下一步安全防护改进的重点,为安全管理提供必要的决策支撑。
(2)对于管理层的各业务部门领导,可以通过系统的领导视图掌握所属业务信息系统的安全态势,查阅所属业务系统的运行报告和安全报告,并协调部门间运维流程和安全事件的处理。
(3)对于执行层的安全经理,可将领导层的工作目标落实分解,形成系统可执行的策略、指标、规则、计划和任务;可以通过系统管理视图查看网络和业务系统的安全资产运行状况、安全风险走势、重要的安全事件处理情况、安全分析报表报告;可以随时掌握计划和任务的进展情况,实现对一线运维人员的考核。安全经理最终可以通过系统生成提交给领导层的各类安全报表报告。
(4)对于执行层的各类运维分析人员,借助系统的运维视图可以持续对网络资产及信息系统进行运行监测、安全审计、任务处理与应急响应。




成员展示