市政自来水工控系统网络安全等保合规技术方案
TIME:2024-07-11 click: 87 次
1.1. 项目背景
近年来,“本田公司遭受新型勒索软件攻击 ”、“巴西航空工业公司遭受勒 索攻击并导致数据泄露 ”、“印度新冠疫苗制造厂遭受黑客攻击 ”、“以色列供 水系统遭受黑客攻击 ”等新闻频频出现在大众视野,充分反映了工业控制系统网 络面临严峻的安全形势。2021 年,CICSVD 新收录工业信息安全漏洞数多达 1504 个,国家工业信息安全发展研究中心完成全国工业控制系统威胁诱捕网络部署工 程,全年共捕获来自境外 105 个国家和地区对我国实施的扫描探测、信息读取等 恶意行为超 600 万次。当前,我国工业控制系统网络安全形势异常严峻,工控系 统安全防护建设已刻不容缓。
工控安全关系着企业生产、国计民生,更关系着整个国家的安全和利益,工 控安全问题已上升为国家战略。2017 年 6 月 1 日起《中华人民共和国网络安全 法》正式施行, 其中明确提出“ 关键信息基础设施的运行安全 ”。 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为了配合《中华人民 共和国网络安全法》的实施,同时适应云计算、移动互联网、物联网、工业控制 和大数据等新技术、新应用情况下,网络安全等级保护工作的开展,针对共性安 全保护需求提出安全通用要求,针对云计算、移动互联网、物联网、工业控制和 大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,并于 2019 年 12 月 01 正式施行。2020 年 07 月,公安部制定出台了《贯彻落实网络安全等 级保护制度和关键信息基础设施安全保护制度的指导意见》,指导意见中将工业 控制系统、智能制造系统、物联网等重点保护对象均纳入关键信息基础设施,同 时中央网信办网络安全协调局发布的《国家网络安全检查操作指南》中将市政行 业水、暖、热供应管理业务系统定义为关键信息基础设施,需要在网络安全等级 保护制度的基础上,实行重点保护,保障市政行业工控系统的稳定、高效、安全 运行。
1.2. 基本情况
自从“智慧城市”、“智慧水务”的理念提出以来,物联网、云计算、大数据、 移动互联网为代表的新一代信息技术在市政自来水行业大量应用,推动了智慧供水的建设,智慧水务系统建立了 “一个网络,一个平台,一个中心,一个窗口” 的“四个一”企业运营管理体系结构,和适合于本地区的实用和可靠的智慧水务 信息系统。使城镇水务的生产、销售、服务、管理各个环节得到有效整合。
“一个网络 ”:由工控网、物联网、专业业务运营局域网(LAN)构成的企业 网(Intranet);
“一个平台 ”:智慧供水信息一体化综合管理平台(企业内网门户、数据中 心、决策支持、智慧水务);
“一个中心 ”:建立以供水调度为中心的生产指挥系统,实现由原水到用户 的供水全过程优化控制;
“一个窗口 ”:公众综合信息服务平台,企业外网(Internet)门户网站, 营造面向用户、沟通世界的信息氛围,构建快速、宽松的用户服务环境。
智慧水务对各类孤立运行的刚性应用系统进行整合和集成,实时动态感知、 分析水系统运行的各项关键数据,从而对供水的全过程做出智能的响应,始终处 于良好状态。城镇供水涉及水源和原水输送、水厂制水、泵站加压、管网输配和 生产调度,任何环节不协调,都会影响水泵调速节能的效果。
图 1-1 智慧供水信息一体化综合管理平台
1.3. 项目建设目标、依据
市政自来水工控系统网络安全保护建设工作是贯彻落实国家网络安全等级 保护制度和国家监管机构相关文件、遵循等保 2.0 的基本要求与设计要求,在建 设规划方面,需要遵从网络安全与信息化工作同步规划、同步建设、同步使用的 “三同步 ”原则,坚持“谁主管、谁负责, 谁运营、谁负责 ”的要求,切实落实 安全主体责任制。
市政自来水工控系统的网络安全防护主要针对城市自来水取水、过滤、加氯、 送水等工艺流程中用于监视和控制,基于计算机及网络技术的业务系统及安全监 测设备,以及作为基础支撑的通信及数据网络进行防护。通过强化各工业控制子 系统的网络、主机、环境及数据的安全防护,辅以管理制度、组织人员、系统建 设、系统运维等管理支撑,提升市政自来水工控系统及重要生产数据的安全性, 增强整体安全防护能力,保障市政自来水企业安全生产稳定运行。
1.3.1. 建设目标
依据网络安全法、等保 2.0 等国家及行业相关标准、规范和最佳实践,对市 政自来水工控系统进行网络安全建设,总体达到能够抵御黑客、病毒、恶意代码 对生产系统的破坏和攻击,阻止内部人员的非法访问,抵御外部攻击,在遭受攻 击和破坏后能及时恢复系统的能力,提高关键业务数据的可用性、机密性、完整 性,满足等保合规建设要求。
1.3.2. 建设依据
本方案引用参考下列文件,凡是标注日期的引用文件版本适用于本文件。凡 是不标注日期的引用文件,其最新版本(包括所有的修订单)适用于本文件。
表 1-1 参考标准
法规、政策、指南类文件 |
序号 |
文件名称 |
1 |
中华人民共和国主席令〔2017〕第 53 号《中华人民共和国网络安全法》 |
2 |
《关于加强工业控制系统网络安全管理的通知》(工信部(2011)451 号) |
3 |
《信息化和工业化融合发展规划(2016-2020 年)》 |
4 |
《工业控制系统信息安全防护指南》(工信软函〔2016〕338 号) |
5 |
《工业控制系统信息安全事件应急管理工作指南》(工信部信软(2017)122 号) |
6 |
《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号) |
标准规范类 |
序号 |
规范名称 |
1 |
GB/T 30976.1-2014《工业控制系统网络安全第 1 部分:评估规范》 |
2 |
GB/T 30976.2-2014《工业控制系统网络安全第 2 部分:验收规范》 |
3 |
GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》 |
4 |
GB/T 33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安 全程序》 |
5 |
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》 |
6 |
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》 |
7 |
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》 |
8 |
ISO/IEC 27001《信息系统安全管理体系标准》 |