标杆案例 | 智守西南美水,长扬科技助力城市水务数字化发展
清波碧流从高高的河床上飞身而下,转化为电能点亮城市之光;一条条水脉干渠如同潜龙,蜿蜒贯通城市接入千家万户。山脉逶迤,蜿蜒结作。千百年来,西南地区的灵山秀水见证着这里的沧桑巨变。水,从最初依水而居的繁衍生息之力,逐步成为贯通城市命脉的“血液”之本。
西南地区河流众多流量丰富,且地跨阶梯交接处,落差大,是我国水资源最为丰富的地区。公开资料显示,西南地区的水资源总量占全国水资源总量的4成左右,水资源的合理开发和利用已成为西南地区实现可持续发展的重要工作。近年来,随着数字化和智能化的发展,智慧水网在城市缓慢铺开,城市水务正在走向生产智能化、工艺装备化、设备集成化、监测数据化和管理信息化的智慧化发展道路。随着IT和OT互联互通,为确保生产安全,工业自动化控制网络信息安全显得越发重要。
长扬科技作为城市安全生命线的捍卫者,正承担着促进西南某城市"血液"循环安全运行的重任。
在西南地区,长扬科技与当地大型水务集团共同打造行业标杆案例,共实施了该集团下20个水厂和污水处理厂的生产网的安全部署,对其进行了技术体系与管理体系的整体建设。这是行业首家进行完整的工控安全解决方案设计实施的案例,同时也是首家按照等保2.0三级要求设计并通过测评的案例。依据网络安全等级保护的基本要求,不仅从安全技术角度提出了解决现阶段水处理行业面临的安全问题的办法,同时从安全管理方面给出了需要加强的安全管理建设内容,并且结合最新的工业安全标准与技术,在满足等级保护的同时做到安全运营与网络安全监测。
案例背景
网络安全管理体系亟需完善;
办公网与生产网之间需要加强隔离措施;
安全技术防护缺失问题有待解决;
OT网自身的脆弱性;
网络安全人才储备需进一步提升。
解决方案建设思路
“分级分域、整体保护 、积极预防、动态管理”策略;
以风险为核心,先了解风险,再分步规划实施 ;
进行网络区域划分,纵向分层,横向分区 ;
同时以技术为先,管理跟随;
进行边界分层防护,域内实施监控。
建设方案
在“一个中心、三重防护”理念的基础上,进行全方位主动防御、安全可信、动态感知和全面审计。
技术体系框架
一,机房物理环境建设
完善视频监控、灭火装置、门禁系统、温湿度控制设备等基础物理安全设施。
二,入侵防御系统建设
通过部署,实现了工控网和办公网的安全深度隔离,同时满足了等级保护中关于入侵行为检测与阻断、网络病毒传播阻断等安全要求。
三,工业防火墙建设
在工控网与办公网之间采用工业防火墙进行纵向区域隔离,该防护设备内置工业控制系统漏洞库,能够进行工业控制协议深度解析,并支持黑白名单防护,自动学习工业数据流特征,自动辅助生成安全防护策略,对工控网中的网络通信行为进行细粒度的控制,可有效地阻止网络攻击向关键区域、关键设备蔓延。
四,工控主机卫士建设
通过配置上位机访问控制策略,阻断高威胁端口(如135、137、445等高威胁病毒传播端口),阻止工控网络中病毒威胁扩散;
通过配置上位机进程白名单策略,阻断恶意程序或者病毒程序的运行,实现对上位机的进程精细化管理,确保非法程序无法运行;
通过配置USB管控策略,阻止非授权USB设备使用,实现对USB设备的严格管控,降低病毒传播风险。
五,入侵检测系统建设
通过部署入侵检测系统,可以有效的监视交换机上的所有实时传输数据,提供专业全面入侵检测能力。通过协议状态检查和智能关联分析,提供给用户全面的信息展现和安全预警,为改善用户网络的风险控制环境提供决策依据,实现对工业控制系统安全威胁的识别与预警,为网络安全事件的故障排查、威胁溯源提供有力的技术手段。
六,日志审计系统建设
通过主被动结合的方式,实时地采集网络中安全设备、网络设备、主机、操作系统以及各种应用系统产生的海量日志信息,对收集的日志信息进行集中化存储、备份、查询、审计、告警、响应,并可出具丰富的报表报告,实现全生命周期的日志管理,同时满足网络安全法对于日志溯源与审计六个月的留存时间要求。
七,安全运维堡垒机系统建设
建设效果
通过实施本项目,发现系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足;
在已实施水厂中,完成了6000+漏洞整改加固,最终将高危漏洞的数量降为0;
20个厂的安全管理制度落地,明确了网络安全责任与主体;
通过安全整改之后,网络在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,能抵抗较为严重的自然灾害,以及防范计算机病毒和恶意代码危害。具有检测、发现、报警及记录入侵行为的能力;
具有对安全事件进行响应处置,并追踪安全责任的能力。遭到损害后,具有较快恢复正常运行状态的能力;
对于服务保障性要求高的网络,能快速恢复正常运行状态;
具有对网络资源、用户、安全机制等进行集中控管的能力。
行业价值
水处理行业标杆示范项目
本案是西南水处理行业第一家进行完整的工控安全解决方案设计实施的案例,同时也是第一家按照等保2.0三级设计并通过测评的案例。可复制可推广性强,示范效果显著;
创新示范效益显著
通过项目建设,有利于孵化行业标准,提升行业监管、企业管理的效率及水平。尤其有利于在水处理领域形成工控及网络安全监管示范效应;
管理效益突出
该案从上到下,从下到上的双向机制,建立了该水务集团工控及网络安全管理体系,制定工控安全综合管控平台业务与技术规范,建立管理标准与制度体系。实现了对所有工控安全防护设备及系统的统一管理,降低运维管理成本。尤其为集团级工控信息化提供样板指导。