您现在的位置:主页 > 新闻公告 >

水务行业工控系统网络安全防护

  翻译专业人才为国际交流添砖加瓦,在工业互联网高速发展的时代,水务行业信息化正在引入云计算、物联网等新型计算技术,网络安全也正在向云计算、物联网等领域发展。水务行业的数字化转型升级离不开水务工控网络的安全防护,在此背景下,我们一起了解一下水务行业工控系统网络安全防护。

  原水厂负责将水源地水库的水输送到自来水厂。原水厂多为增压水泵,业务连续性要求较高,一旦中断,将直接影响全市自来水厂供水。自来水厂属于关键信息基础设施范畴,自动化程度较高。

  污水处理包括面向生活污水处理的各区污水处理厂和面向特定工业的专业污水处理厂,污水处理控制系统一旦发生事故,将对环境生态造成严重影响。

  通过近年来工业互联网安全的建设,水务行业工业控制系统信息安全保障能力得到明显提升,但仍存在一些问题:

  涉水企业常年重视生产安全,对工业控制系统信息安全认识薄弱,特别在工业控制系统领域,大多未形成责任落实体系和有效的工作体系。

  部分水务行业工控系统通过网络对接的方式直接与办公网进行连接,网间并无针对工控系统的网络访问控制设备和入侵防范设备,使工控系统面临着来自办公网的嗅探、入侵、病毒传播以及恶意代码攻击等威胁。

  部分工控系统未按照等级保护要求开展网络安全防护工作,控制系统网络边界缺乏防护,网络内部缺乏审计,主机系统无防护,黑客一旦进入控制网络,则畅行无阻,后果不堪设想。

  长期以来,水务行业工控系统运营单位没有足够重视网络安全工作,没有配备专业专职的信息安全人员,也未能采购足够的信息安全服务,安全技术水平和管理能力不足,影响工作的落地落实。

  水务行业工控系统除面临操作系统、数据库、中间件等常见漏洞外,还普遍存在 PLC 安全漏洞。行业内主流 PLC 系统多为外国产品,主要包括西门子、施耐德、通用电气等。PLC 的漏洞主要有 DOS、远程执行、用户权限提升、信息泄漏等,这些漏洞都可造成运行中断、非法操作、信息泄漏等后果。同时 SCADA 系统由于明文通信和防护薄弱等原因,在远程通信等环节也存在诸多安全问题,如 Modbus/TCP 身份认证缺失、OPC 的远程过程调用时动态端口防护困难等。

  从全球范围来看,工业控制系统日益成为黑客攻击和网络战的重点目标。随着大量攻击事件解密(如维基解密、影子经纪人等),黑客组织发展和公布了大批工控漏洞和攻击工具,工控信息安全攻防技术迅速普及,定向攻击能力得到大幅度提升,由此引发了大量工控信息安全攻击事件。如 2016 年,美国东海岸大面积断网;2017 年,“WannaCry”勒索病毒肆虐全球等等。水务工业控制系统涉及城市用水安全,在特殊时期可能成为敌对势力的攻击目标。

  在水务行业工控系统运维过程中,为了降低运维成本或处置紧急故障,存在让外部厂商技术人员对水务行业工控系统进行远程操作的情况,此类场景下需要通过开启互联网通道接入,如没有远程运维操作的监管和安全审计,则存在极大的安全隐患。同时,移动设备管理也是普遍问题,大量单位在物理防护不严格的环境中,移动存储介质滥用、移动网络设备形成非法网络外接等情况,都给生产网络及设备带来了极大的安全隐患。

  水务工业控制系统属于支撑业务生产经营的重要系统,部分系统属于关键基础信息设施,所以应该按照信息系统等级保护标准体系开展网络安全防护工作,通过划分网络安全域,分析区域和通信管道的安全需求分析。落实物理环境安全、网络边界安全、网络通信安全、计算环境安全和集中管理。

  根据等级保护三级要求,结合水务领域的特殊情况,其环境在水务系统中差异较大,大量有人站和无人站,在建设之初多数未考虑机房环境要求,如果根据等保三级要求,配置精密空调等措施,在经费上不能都满足,因此可以采用等保工业控制系统安全扩展要求中的野外系统要求。

  建设统一运营中心,网络边界采用下一代防火墙,集成防病毒网关、入侵检测、SSL VPN 等,也可采用等保一体机等网络安全虚拟化设备,甚至直接在私有云上采用超融合架构,将所有安全设备用虚拟网元实现。

  设置安全主管部门,物理安防可落实在门卫的登记和核查,也可以采用电子门禁或人脸识别系统。其网络边界纳入机房网络,由机房网络的下一代防火墙统一管理,在数据中心部署集中管控平台和态势感知平台。

  随着物联网、大数据等新技术发展应用,水务行业工控系统面临更多的安全风险,研究并实施网络安全技术防护措施、落实网络安全制度是一项长期的、持续的重要工作,需要运营单位和监管部门建立长效机制,共同促进水务工业控制系统安全、稳定运行,更好支撑水务业务健康发展。

  参考:《信息安全与通信保密(JAN 2020)》宗志锋返回搜狐,查看更多