绿盟智慧水利安全解决方案,护航水利基础设施安全运行

发布者:绿盟科技
发布于:2022-09-21 10:19

一、背景

“十四五”国家信息化规划,明确推进智慧水利建设。需要不断完善江流湖泊监测体系,加速水文、水资源等重要水利数据有序共享,以及水情测报和智能调度能力。


网络安全作为智慧水利发展的安全基石,水利部发布的《水利网信水平提升三年行动方案(2019-2021年)》《水利网络安全管理办法》《2020年水利网信工作要点》《关于大力推进智慧水利建设的指导意见》等文件,对网络安全都有明确要求。


二、智慧水利

智慧水利利用物联网、大数据、云计算、人工智能等新一代信息技术,不断深化包括洪水、干旱、水利工程运行、水利工程建设、水资源开发利用、城乡供水、节水、江河湖泊、水土流失、水利监督等十大业务场景,以构建天空地一体化水利感知网、水利信息网、智慧水利大脑(一云:由国家、流域一级云节点和31个省级二级云节点共同构成;一池:指数据资源池,由水利部、流域及省级数据中心构成;两平台:应用支撑平台和智慧使能平台)为基础,建设水利智能应用。


三、安全风险

根据智慧水利总体方案(征求意见稿)以及调研发现,主要存在以下安全风险:


1)感知终端设备物理防护差。水情、旱情的感知终端物理分散、偏僻,无人值守,通常采用简易箱体保护,易破坏;

2)网络边界模糊,缺失访问控制措施。天空地一体化水利感知网,水利信息网,互联互通,网络边界模糊,缺少访问控制措施;感知网采用GPRS/3G/4G等无线进行通信,容易被不法分子利用;

3)无法实时感知水利工程安全运行状态。水利工程设施工控网络中异常行为、入侵行为、漏洞利用,网络攻击等以及违规操作、关键操作等无法实时感知;

4)水利设施的主机“裸奔,带病运行”。工控主机(操作员站、工程师站、SCADA服务器等)无恶意代码防护机制,杀毒软件装不上、误杀、不更新,移动存储介质乱用,安全配置基线缺失;

5)部分水利设施存在互联网远程运维。利用互联网运维工具,如向日葵、VNC、Teamviever等工具,远程运维,无管控措施;

6)水利关键信息基础设施资产家底不清楚。水利工程设施运行多年,第三方运维,资产(硬件、软件、拓扑、配置等)多数发生变化,不更新,与台账不对应,相关人员对资产情况不清楚;

7)物联感知设备暴露面增大。水利智能感知设备、无人机、遥控船、机器人等天地一体化感知终端设备逐渐暴露在互联网,为攻击者提供便利条件;

8)重要核心数据存在泄露风险。如重大水利工程、水库大坝精准位置坐标数据、水位线、水文水资源分布数据等涉及民生安全、国家安全的重要数据和核心数据,无防护手段,存在泄露风险;

9)云平台安全风险。水利云平台微服务组件缺乏安全设计,安全防护措施弱,容器镜像缺乏检测与管理,虚拟机逃逸,接口调用缺少安全认证等问题突出;

10)安全管理弱。相关人员网络安全意识薄弱,网络安全组织、岗位、人员、职责、制度等普遍缺失或不成体系。


四、绿盟智慧水利安全解决方案

在国家法律法规、政策、标准的框架体系下,依据《工业控制系统信息安全防护指南》和《信息安全技术 网络安全等级保护基本要求》的要求,绿盟科技从技术、管理两个方面构建纵深防御体系,达到有效防护、全面监测、及时响应的防护效果。


安全技术架构图

图片

水利感知网安全防护

在水文站、报讯站、旱情监测站、墒情监测站以及工情监测站点部署边缘计算安全网关设备;在水情中心、旱情中心以及工情中心部署边缘计算安全网关服务器。网关设备通过工业协议(MODBUS、OPC、S7等)对各监测站点进行数据采集、处理,然后将处理后的数据通过加密隧道(SM2/SM3/SM4)传输到网关服务器,完成对无线公网(GPRS/3G/4G)通信链路的安全防护。在水情中心、旱情中心以及工情中心网络出口部署防火墙,进行边界防护与访问控制防护。同时,监测主机部署主机卫士系统,对主机的服务、进程、可执行脚本、端口、外设进行白名单机制保护,抵御未知威胁。


水利工程工控网安全防护

在水利工程工控网与办公网之间部署工业网闸,只有水利工程运行数据从工控网传输到办公网,禁止办公网违规访问生产网,实现两网之间安全隔离。

在工控系统之间部署工业防火墙,对工业协议进行2-7层拆包深度学习、建模,对读、写控制以及值域、阈值等进行控制,实现对工业协议的完整性保护。

在关键流量节点处,部署工控安全审计系统,对违规操作、误操作以及关键操作(如下载、上传、组态变更以及CPU启停)等操作行为实时监测,实时了解生产网络的安全状态。在关键流量节点处,部署工控入侵检测,对工控网络中存在的异常威胁、工控漏洞利用行为、恶意攻击实时检测。

对全线的工业主机(操作员站、工程师站、SCADA服务器)进行白名单防护,抵御未知威胁。

建立安全管理中心,进行安全运维、漏洞管理、日志集中采集、态势感知等集中管理与预警。


水利部及流域、省级云平台防护

在水利部及流域、省级云平台主机部署容器安全管理系统,云WAF、云漏扫、云主机防护等产品,实现对水利部、流域一级云节点和31个省级二级云节点的安全防护,保障水资源、水灾害、水生态/水环境、水工程、水监督、水行政和水公共服务等智能应用安全稳定运行。


水利部及流域、省级数据安全防护

在水利部及流域、省级数据中心部署数据安全产品,如数据资产识别探针、数据库审计,防泄露、数据流转监测、全流量分析探针等产品。综合多种监测手段进行联动分析,对数据流转、资产漏洞、数据异常、数据泄露以及网络攻击进行检测,实时监测数据资产的网络攻击事件,防止重要水文数据外泄。对数据产生、传输、存储、共享、处理、销毁全生命周期进行安全监管,提升事前预防、事中感知、事后审计及追查的综合防控能力,最终实现对部级、流域和省级数据中心的安全防护。


安全管理设计

首先,进行组织治理。明确网络安全负责人和管理组织,企业主要负责人是网络安全第一责任人,明确关键岗位和职责,关键岗位人员签署网络安全责任书等。其次,进行管理制度建设。主要从四个层面进行建设,包括一级文件的网络安全方针、战略;二级文件的管理规定、办法;三级文件的操作流程、规范、作业指导书、模板等;四级文件的各类表单、记录日志、报告等。最后,将制度文件进行评审、修订、发布、执行等管理。


五、客户价值

1)全面提升智慧水利网络安全合规性,满足国家主管部门、行业监管部门以及上级单位的安全防护要求;


2)全面提升智慧水利从感知网、工控网以及信息网的安全防护与监测预警能力,助力水利数字化转型升级,护航水利基础设施安全稳定运行;


3)全面提升智慧水利相关业务人员的安全意识、安全技术水平和安全管理水平。


声明:该文观点仅代表作者本人,转载请注明来自看雪