为贯彻《工业控制系统信息安全防护指南》、落实“十四五”规划纲要“统筹发展和安全”等政策要求,充分发挥先进典型的引领示范作用,加快提升工业互联网安全防护能力,强化工业互联网安全综合保障能力,进一步推动我国工业安全产业高质量发展,工业控制系统信息安全产业联盟举办了2023年工业安全系统典型应用案例征集遴选活动,经专家评审,最终入选名单于近日正式公布。
台州水务集团与国利网安《城市水务集团供水全生命周期工控网络安全提升方案》(以下简称:项目)凭借对工业控制器立体防护、二次供水轻量级边界防护、工控资产健康监测等创新和亮点,成功入选工业安全系统典型应用案例名单。
伴随着城市水务数字化、智能化建设浪潮,城市水务集团供水全生命周期工控网络安全面临着愈加复杂的网络安全风险与挑战。通过此次项目建设,有效保障供水全生命周期生产安全,提高集团工控网络安全管控能力,提升整体生产网络应急响应能力,确保城市居民的用水安全,并借此建立了集团工控网络安全标准,为典型的集团型水务企业提供了工控系统网络安全建设和运维管理的示范案例,为持续推进城市水务行业工控网络安全建设提供了示范样板。
一、项目背景
随着两化融合走向深入,工业数字化、网络化、智能化快速发展,各地针对供水全生命周期(包括原水、制水、二次供水等)的网络攻击事件频频发生。城市水务集团由于地区降水量偏少,各大水库普遍缺水,2023年7月的供水量最高已达到97.86万吨,加之集团及下属基层单位存在的工控系统无法自主可控、工控安全防护技术能力薄弱、安全建设不统一等问题,给集团确保城市整体安全供水带来了更多的风险与挑战,其工控系统网络安全建设迫在眉睫。
二、项目简介
基于功能一致性原则,在充分参考城市水务集团工控网络安全建设路径、思路和做法的基础上,本项目根据城市水务集团下属单位不同安全需求进行安全设计和建设,如水厂处理重点是加强关键控制设备(例如加药、增压等工艺流程的PLC控制器)防护能力;针对二次供水点位分散、数量多的情况,设计推出轻量级工业防火墙,加强二次供水底层边界防护能力,进一步提升供水全生命周期安全防护能力。
三、项目指标
在供水全生命周期整体工控网络安全方面,主要存在着安全建设不全面不完善、安全防护不精准、工控核心控制器缺乏防护、安全应急响应不及时、二供终端建设缺乏安全考虑等问题,本项目专注于核心控制层面的防护,侧重工业控制网络中在网资产的实时监测,尤其是控制器资产信息,及时发现潜在威胁和异常资产接入情况,确保对现场资产状态信息了如指掌,做到不遗漏供水全生命周期中任何一个环节的工控网络安全。
根据水务集团工控网络安全建设需求,构建了具备“预警”、“监测”、“响应”、“防护”和“保障”功能的纵深防御体系,在满足等级保护第二级能力要求基础上,进一步提升了供水全生命周期工控网络安全防护能力。
四、项目方案
本方案根据该地区多个水厂的现场调研和交流情况分析,掌握了水务集团及各个制水厂、泵站等工控系统的基本情况,包括整体网络架构、厂级防护能力、工控资产状态等,结合水全生命周期的业务特点,针对设备安全、控制安全、应用安全及资产安全等进行纵深防御体系建设。
五、项目成效
(1)实现供水全生命周期资产识别与监测
通过工控资产健康监测系统,基于内置完备的工控知识库,通过主动探测获取网络中的资产指纹信息,对资产关键特征进行有效提取,全方位掌握在网工控资产信息,通过实时拓扑绘制,自动完成在网资产网络结构梳理,并能够快速识别网络内的异常资产接入情况并提供告警,协助运维人员快速确定故障节点,大大提升了运维管理能力与效率。
(2)实现供水全生命周期关键控制器防护
通过采取设备身份鉴别与白名单访问控制实现对工业控制器的保护,使得所有对工业控制器的访问均为已授权的访问,确保工业控制器执行的控制命令均来自合法用户。同时,实现对工业控制器的运行状态、数据状态等实时、深度监测,根据异常情况进行告警与防护,并可在控制器工艺组态文件被篡改的情况下快速恢复安全版本。
(3)实现供水全生命周期生产边界隔离
通过白名单访问控制,实现泵房控制网络的区域边界隔离,对非法访问行为及时阻断,有效解决外部入侵威胁,持续保障供水全生命周期终端节点的生产控制安全;通过先进的网络物理隔离技术和数据摆渡技术,解决水厂生产网与信息网数据交互与不同安全区域之间的边界隔离防护问题。
国利网安作为专注工业控制安全细分领域的国家高新技术企业,以控制安全为基础,深入分析用户需求,通过行业细化及深耕,形成具备“全面监测、精确预警、快速应急处置”特点的差异化工控安全产品和技术体系。未来,国利网安将致力于打造成为世界一流的关键基础设施安全整体解决方案提供商,坚定走“专、精、特、新”的发展之路,不断地挑战自我,追求卓越,更好地服务客户、服务社会、服务国家。
