行业背景

 

城市供水系统的安全关系着城市居民饮水供给和安全，是城市市政服务中关键基础设施之一。随着"工业 4.0"时代的来临、以及"两化融合"脚步的加快，我国水务行业逐渐向着分布式、智能化的方向迅速发展，加强水资源管理，保障水资源安全成为保护国家关键基础设施安全的内容之一。

 

然而，在水务行业工控系统越来越开放的同时，也为网络安全威胁向其加速渗透提供了条件，包括病毒、木马、黑客以及敌 对势力等，因此水务行业工控系统面临的信息安全形势日益紧迫，亟需加速完善工业信息系统安全保障体系。

 

面对越来越严峻的信息安全形势，我国高度重视水务行业工业控制系统信息安全工作，在法律法规、政策、工作要求等方面积极行动。但由于起步较晚，我国水务行业工控系统信息安全保障能力方面存在较大不足，面对复杂的工控安全形势，我国加强水务行业工业控制系统信息安全的保障工作迫在眉捷。

 

需求分析

 

区域边界安全需求

泵站内部工业控制系统与其他业务系统，各泵站与分公司之间等不同的安全域之间，需要有相应的防护措施。根据工艺流程及业务情况划分安全域，根据业务实际情况设置细粒度的访问控制策略和入侵防范手段，尤其是针对安全域之间专用的工控协议，需要对协议的负载应用进行深度解析，在此基础之上进行访问控制，阻止非法访问及攻击行为。

 

通信网络安全需求

各泵站工控系统汇聚处等水务工控系统的关键网络节点处，缺少审计手段，不能对网络中的用户行为和安全事件进行审计，无法及时发现网络中的异常行为，例如对工控系统的工程师站组态变更、操控指令变更、PLC下装、所有写操作、负载变更等关键事件异常检测。

 

计算环境安全需求

工业控制系统由于使用环境封闭，大多只重视系统的功能实现，对安全的关注相对缺乏，比如在研发时，工控主机只偏重于功能的实时性和可靠性，对安全攻击缺乏前期设计和有效抵御方法。另外，工业控制系统由于担心系统兼容性问题，通常不升级补丁，系统长期运行后会积累大量的安全漏洞，再加上运维过程中缺乏科学管理和技术防护手段使得工控系统在面对网络安全攻击时极其脆弱，给安全生产带来极大隐患。

 

安全管理中心需求

水务工业控制系统在安全策略、账户管理、日志管理等方面没有对应的技术手段和管理制度规定，无法做到对日志、监测和报警数据等进行分析、统计、及时发现可疑行为，同时，对网络内的安全设备，同样也需一套安全管理设备对控制网络中的安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。

 

 

解决方案

 

安全区域边界解决方案

在自来水厂与各取水泵站、加压泵站和水源井的边界部署工业防火墙做逻辑隔离，进行安全域之间的访问控制和工业指令的命令集过滤，同时在不同安全域的边界旁路部署工控入侵检测系统对防火墙进行补足，实现对入侵攻击防护或拒绝服务攻击防护等。

 

 

安全通信网络解决方案

在自来水厂、取水泵站、加压泵站和水源井的工控系统汇聚处部署审计系统进行安全监测，实时监测工控网站中的违规行为、异常流量和不明设备接入；实现网络攻击检测和异常行为审计。

 

 

安全计算环境解决方案

在自来水厂、水源井和各泵站工控系统重要主机部署主机安全防护系统；实现对移动存储介质使用管理、非法外联控制、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。

 

 

安全管理中心解决方案

在自来水厂或水务集团集控中心相关区域通过安全监管对网络状态实时监控、智能分析，满足工控网的现实生产环境对工控安全产品的功能要求，及时发现水务工控系统存在的脆弱点，感知工控环境的未知风险。

 

 

 

相关安全产品

 

主机安全加固系统

 

工业防火墙

 

工控安全审计系统

 

工控入侵检测系统

 

日志审计与分析系统

 

工控集中安全管理系统

 

运维安全审计系统