0371-60127539
400-6620-135
水利行業(yè)解決方案

2019年8月水利部網信辦組織制定了《水利網絡安全管理辦法(試行)》,《辦法》為水利行業(yè)網絡安全強監(jiān)管提供準則和依據,是健全水利網絡安全保障體系、提升水利網絡安全防護能力的重要舉措。

《辦法》突出問題導向,對于2019年水利部攻防演練發(fā)現的41.5%屬于信息化項目規(guī)劃建設階段沒有同步落實網絡安全等級保護要求留下的問題,以及58.5%屬于運行階段管理不到位造成的問題,明確了具有針對性、有效性的解決措施。同時,《辦法》通過“網絡安全規(guī)劃建設”“網絡運行安全”兩章,明確具體任務、責任單位,建立了信息系統(tǒng)全生命周期安全管控規(guī)范,有效解決上述問題,確?!掇k法》實用、管用。葉建春副部長強調要加大《辦法》的執(zhí)行力度,要求部網信辦近期選擇部分部直屬單位開展網絡安全滲透測試,對滲透測試發(fā)現的問題,在通報整改的基礎上,結合網絡安全現場檢查,依據《辦法》進行責任追究。

安全隱患

● 區(qū)域邊界不夠清晰

目前對水利工業(yè)系統(tǒng)的信息安全防護高度依賴隔離方式,如物理上的網絡孤島、密碼門禁等。但對現地測控系統(tǒng)、遠程監(jiān)控系統(tǒng)、實時控制系統(tǒng)和非實時監(jiān)控系統(tǒng)間的隔離做的不夠充分,也不夠細致。

● 水利工業(yè)系統(tǒng)的定級工作尚未執(zhí)行

水利調研中,已經對系統(tǒng)的重要性和安全事件時產生的危害進行了評估,但尚未開展定級并落實基于安全等級的保護措施。

● 系統(tǒng)中存在較多漏洞且難以修復

根據摸底情況,發(fā)現目前在現場使用的多種控制器存在已知漏洞。而工業(yè)計算機,受限于兼容性和性能等原因,極少進行補丁修復,一臺PC中存在數百個漏洞的情況非常普遍,任何一個漏洞的利用都可以導致越權訪問和任意代碼執(zhí)行等惡劣影響,從而通過一個點的突破,對工業(yè)系統(tǒng)進行嚴重的破壞。

● 系統(tǒng)風險的暴露面大

網絡暴露面大,且會繼續(xù)擴大:在大型系統(tǒng)中,采用了多種類型的傳輸方式,部分存在借用公共網絡的情況,大大的增加了數據及指令傳輸過程中被分析、竊取及篡改的機會。而在未來,越來越多的數據將會被更廣泛的開放及利用,部分水利系統(tǒng)將會更廣泛的暴露在互聯網環(huán)境下。

● 未知威脅的數量大,影響難以發(fā)現

工業(yè)系統(tǒng)的網絡相對獨立,發(fā)生的攻擊事件相對較少且難以被發(fā)現。而隨著攻擊工業(yè)系統(tǒng)的商業(yè)價值、戰(zhàn)略價值被廣泛認知,越來越多的惡意攻擊者開始分析工業(yè)系統(tǒng),導致大量的惡意漏洞被攻擊者掌握。

另一方面,人工智能等技術開始在黑色產業(yè)中被使用,越來越多的攻擊具有高度的特異性,在防護難度上也會越來越大。

解決方案

某大型水利系統(tǒng)總體結構

● 某水量調度系統(tǒng),下轄大量的涵閘與泵站。分為5級遠程監(jiān)控系統(tǒng)和現地控制系統(tǒng)。其中,5級遠程系統(tǒng)分別為:第一級,總調中心;第二級,省分調中心;第三級,市局管理中心;第四級,縣局管理處管理機構;第五級,閘管所等管理部門。

● 系統(tǒng)使用衛(wèi)星、鋪設光纖、微波、GPRS等進行通信。在總調中心、分調中心和分中心分別建設星型三層以太網,接入通信通道;在管理處、縣局、閘管所采用兩層工業(yè)控制交換機接入通信通道,各控制區(qū)域采用二層工業(yè)控制交換機接入此區(qū)域內的PLC和視頻編解碼器。

image

方案價值

● 合規(guī)避險

滿足等保要求;規(guī)避法律風險。

● 運維簡單

設備、軟件統(tǒng)一運維;支持Bypass,保障可用性優(yōu)先。

● 安全有效

縱深安全體系多維聯動;同時應對已知問題和未知風險。

● 支持運營

由被動的維護變?yōu)橹鲃咏洜I;幫助安全服務能力持續(xù)提升。