1、项目背景
水利工程作为国家重要基础设施,其重要性不言而喻。随着工业信息化在水利工程的快速发展,水利枢纽原有相对封闭的工控系统传统逐渐与IT网络相结合,使得水利枢纽工业生产过程与开放的互联网络联系愈发紧密,近几年来随着工控网络安全事件不断频发,行业主管部门也高度重视网络安全建设工作。2019年7月水利部印发的《水利网信水平提升三年行动方案(2019-2021年》中明确了要开展重要水利工程控制系统的网络安全等级保护改造工作,同时水利部后续相继出台了《水利网络与信息安全体系基本技术要求》、《水利网络安全管理办法(试行)》等相关文件指导用户网络安全建设工作的落地建设。
此次用户市管泵闸自动化系统主要负责全市市管水利泵闸的运行、养护、维修等设施管理工作,面对日益严格的网络安全要求,为保障市管泵闸自动化系统城市关键信息基础设施网络安全稳定运行,并符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《水利网络与信息安全体系建设基本技术要求》相关政策标准,对该系统进行网络安全建设,提高系统的安全防护能力,保障业务稳定运行。
2、建设需求
该市管泵闸自动化系统安全建设项目以符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求 》技术要求为基础,结合网络拓扑和业务流程模型,构建市管泵闸自动化系统网络安全综合防护体系,具体需求如下:
(1)构建市管泵闸自动化系统纵深防御
安全防护体系
建立围绕市管泵闸自动化系统下辖各个枢纽中心和泵闸安全防护体系,对下辖每个泵闸区域进行边界防范、主机加固和入侵防范,提升每个泵闸系统的安全防护能力,维护水利关键信息基础设施网络安全,实现整体系统网络资产和业务指令可视化,全面提升市管泵闸自动化系统网络安全防护能力。
(2)建设智慧水利集中网络安全管理中心
目前该市管泵闸自动化系统调度中心已经搭建一套自动化安全运营中心,能够实时监控各个泵闸的自动化设备运行情况,实时掌握各个泵闸的水位信息等相关数据,但现有的调度中心缺乏集中网络安全运维平台,无法实现对整个系统安全设备的集中运维,为实现自动化和网络安全设备一体化运维,需在调度中心建设一套安全运维管理平台,实现自动化、网络安全一体化运维。
(3)符合国家和行业的顶层标准设计
该市管泵闸自动化系统网络安全建设方案应依据现有网络现状及结合水利业务特点进行安全设计,建设方案应符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》和行业的相关政策法规,并在安全建设完成后通过等保三级测评。
3、解决方案设计
该市管泵闸自动化控制系统安全加固方案建设围绕“一个中心三重防护”建设原则,建立基于“白环境” 的 “纵深安全防护体系”,调度中心能够访问全市各个泵闸系统实现集中业务数据监控,但现有调度中心与各个泵闸系统缺乏边界防护,无法实现基于中心到泵闸站的工业控制指令管控,为强化全市各个泵闸系统网络边界,实现调度中心到泵闸之间的边界隔离,在每个泵闸站内与市调度中心之间部署工业防火墙进行边界隔离,工业防火墙策略采用ACL+应用指令白名单的方式对现场使用的工业协议进行访问控制,确保只允许调度中心合规的工业指令下发,实现调度中心对分支泵闸自动化系统数据安全采集和控制;
调度中心需把全市各个泵闸的控制系统业务数据汇总分析后上传到上级主管单位,以便主管单位在每年汛期做好水利防汛工作,但现有工控网与主管单位之间网络未建立网络连接,因此需要把调度中心与办公网进行网络打通,由办公网采用VPN的方式把数据传输到上级单位,为保障市管泵闸自动化控制系统边界安全,实现数据安全传输,在调度中心与办公网之间部署安全隔离与信息交换系统,实现单向的数据传输,避免办公网终端私自访问市管泵闸自动化控制系统,从而提高整个市管泵闸自动化控制系统的边界安全防护能力。
市管泵闸自动化控制系统分为调度中心集中控制和现场泵闸控制室分布式控制,为实现集中控制和分布式控制的业务可视化,并对所有对PLC下发的指令进行监测和记录,及时发现来自网络内的异常流量和入侵攻击,此次在每个现场泵闸系统和调度中心分别部署工控安全监测与审计系统实时对全网工业流量进行业务指令审计和记录,及时发现网络内非法指令,同时在调度中心部署入侵检测设备对核心交换机的流量进行深度检测和分析,及时发现来自内外网的入侵攻击行为。
目前市管泵闸自动化控制系统所有的工控数据集中存储在调度中心的服务器上,为提高服务器和现场主机的入侵防范能力,同时实现对外设U盘的集中管控,在市管泵闸自动化控制系统服务器上和现场主机上部署工控主机卫士软件实现主机安全防护,工控主机卫士采用“白名单”防护机制,能够锁定工业主机上应用程序,阻止任何白名单外的程序运行,避免恶意代码、非法程序的运行;其次加强主机系统安全基线,确保工业主机上的设置符合等保安全基线策略要求;最后加强外设管控,只允许经过认证的安全可信的USB设备才可以在工业主机上运行,防止通过U盘等外接输入设备引入恶意程序导致感染病毒和泄露敏感数据。
现有调度中心已经实现工控系统业务集中化运维监控,但调度中心缺乏对安全设备和安全软件集中化管理和运维,此次在调度中心构建安全运维管理中心,首先由安全管理中心内的安全运维管理系统实现对第三方运维人员的身份鉴别和行为审计,实时记录第三方运维人员的操作行为,加强对第三方自动化运维人员的行为审计;其次由安维管理中心内的日志审计与分析系统对内部操作系统日志、交换机日志、安全设备日志进行集中存储与分析,满足日志保存6个月的技术要求;考虑到市管泵闸自动化控制系统下属泵闸分布在全市不同地方,为方便用户后续集中管理,提高运维效率,节省运维事件,此次在调度中心部署两台统一安全管理平台,实现对所有安全设备的集中监测和管控,管理平台采用HA双机部署,提高安全管理中心的可靠性。
为能够发现市管泵闸自动化控制系统内部设备的安全漏洞和自身脆弱性,同时对未来新入网的设备进行安全检查,在安全管理中心部署工控漏洞扫描设备,定期对现有系统与新入网设备实施漏洞扫描,及时发现设备存在的安全漏洞风险,并在经过离线环境的无影响验证前提下,对系统进行漏洞补丁修复,降低因漏洞影响带来的安全风险。
4、客户价值
1.帮助用户完善市管泵闸自动化控制系统防护体系,方案采用网络安全“白环境”技术理念,形成基于“一个中心、三重防护”的纵深安全防护体系,通过对现场工控网络流量分析、工控主机状态的检测、网络边界的高级等进行实时监测,收集并分析工控网络安全态势,完善单位自身网络安全管理运营体系,提高网络预警检测和系统安全防护能力,杜绝重大灾难性事件发生。
2. 帮助用户完善建立市管泵闸自动化控制系统集中安全运维体系,填补现有网络体系中安全运营空白,建设调度中心业务集中管理和网络安全集中管理一体化平台,为后续智慧水利平台建设打下基础。
3.满足《关键信息基础设施安全保护条例》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和行业的相关政策要求,并顺利通过三级等保测评。