智慧城市安全二三事儿｜“三化六防”，打造智慧水务安全堡垒

智慧水务是什么？

智慧水务是利用现代化技术将传统水务的水源管理、供水、排水、水质监测、污水处理及回收利用等所有涉水业务流程数字化管理，以达到优化资源配置、增强水资源利用效率、满足不同用户的用水需求、保障城市用水安全的目的。“智慧水务”是智慧城市建设的重要组成部分，旨在提升水务管理和服务的水平，为城市发展提供更好的支撑，有效提升城市智慧建设和宜居能力。

城市供水安全直接关系着人们的生命安全，是构建经济繁荣、政治稳定的现代化城市的重要基础。伴随着智慧水务的建设，城市供水系统网络安全问题日益突出。

智慧水务建设中的网络安全需求是什么？

随着水务信息化发展的快速推进和不断深化,电子政务、数字水务、水务公共信息平台、水务IT服务管理平台等信息化成果有力推动了水务的现代化建设。供水工业自动化控制系统正快速地从封闭、孤立的系统走向互联，日益广泛地采用以太网、TCP/IP网络作为网络基础设施，将工业控制协议迁移到应用层；采用包括WLAN、GPRS等在内的各种无线网络；广泛采用标准的Windows等商用操作系统、设备、中间件与各种通用技术。而这也就意味着城市水务赖以运行的工业控制网络会直接与管理网、互联网连通，主要面临以下多层次的安全挑战：

（1）工业控制协议及工业控制设备风险

目前工控系统中所使用的工业协议更多的是考虑协议传输的实时性等符合工业需求，但是在安全性方面考虑不足，存在着泄露信息或指令被篡改等风险。智慧水务现场控制设备（PLC）工控网络设备以及工控组态软件等存在着大量漏洞，时刻威胁着工控设备正常运行。

（2）网络层安全风险

网络层实现了水务仪表、各类传感器、自动控制系统、信息系统、产品以及人之间的网络互联。网络层存在访问关系不清晰，孤儿设备和未知IP，出现问题后无法准确定位等问题。基础设备资产硬件、软件等没有完整登记信息，没有详细反应实际情况的网络系统拓扑图等，存在混乱的访问关系的现象，严重时甚至会发生网络阻塞。使用无线网络及设备，也存在网络安全威胁，包括未授权用户的非法接入、非法AP欺骗生产设备接入、数据在传输过程中被监听窃取、基于无线的入侵行为等问题。

（3）终端层安全风险

智慧水务系统中操作终端大多数是Windows系统，并且大部分没有安装防病毒软件，存在弱口令、投产后无补丁更新、无软件白名单管理等问题，由于操作终端直接可以监控生产线PLC等控制设备，一旦发生安全问题，会直接对生产系统造成影响。

（4）外部高级持续性威胁

智慧水务作为国家关键基础设施，APT攻击可能是面临的最难应对、产生后果最严重的威胁。近年来，震网、duqu、火焰、havex等病毒，也证明了黑客开始对工控系统感兴趣。

智慧水务安全防护体系如何设计？

城市水务是国家关键基础设施的重要组成部分，关系着广大人民群众的生命安全，必然会面临国内外黑客组织的重点关注和攻击。近年来，全球发生的多起针对水务行业工业控制系统的攻击事件给人们敲响了警钟。如何应对水务行业的工业控制系统网络安全风险，是智慧水务建设过程中必须考虑和解决的现实问题。

智慧水务安全防护应综合采用纵深防御、人工智能、大数据分析、智能感知等新技术，并提高安全管理意识，建立安全管理制度，加大安全培训力度，提高基层工作人员的安全意识，定期进行网络安全演练，对智慧水务网络安全防护体系进行实战化考验。建立“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

首先对整个工控系统进行全面风险评估掌握目前工控系统风险现状；通过管理网和生产网隔离确保生产网不会引入来自管理网风险，保证生产网边界安全；在各中心内部工控系统进行一定手段的监测、防护，保证各中心内部安全；最后对整个工控系统进行统一态势感知安全呈现，将各个防护点组成一个全面的防护体系，保障其整个工业控制系统安全稳定运行。

图：智慧水务行业典型网络拓扑示意图

智慧水务工控网络系统主要分为企业资源层、生产管理层、过程监视层、现场控制层以及现场设备层等，工控安全纵深防御体系设计方案如下：

（1）全面风险评估

所有工控安全建设都应该是基于对自身工控安全现状的精确掌握，首先采用基线核查、漏洞扫描以及渗透测试等手段对整个智慧水务工控系统进行全面风险评估。主要内容包括：工控设备安全性评估、工控软件安全性评估、各类操作站安全性评估以及工控网络安全性评估。通过这几方面内容的评估，发现工控系统中底层控制设备PLC、操作站、工程师站以及组态软件所存在的漏洞，根据漏洞情况对其被利用的可能性和严重性进行深入分析；对各操作站、工程师站等终端设备以及工业交换机等网络设备的安全配置情况进行核查，寻找在配置方面可能存在的风险；在工控网络层面，通过对网络结构、网络协议、网络流量、网络规范性等多个方面进行深入分析，寻找网络层面可能存在的风险。

（2）管理网和生产网隔离

在各分中心工业控制系统生产网和管理网边界都应该部署工业防火墙进行管理网和生产网的逻辑隔离，对两网间数据交换进行安全防护，截断TCP链接，对工业协议（OPC Classic、Modbus TCP、DNP3）数据进行数据交换，确保生产网不会引入办公网所面临风险。基于应用层上数据包深度检查，为工业通讯提供独特的、工业级的专业隔离防护解决方案。

（3）各中心内监测与防护

在办公网和生产网隔离中已经对企业资源层和各个中心生产网络进行了逻辑隔离，确保管理网风险不会引入各分中心生产网。那么对于各中心内部的安全风险，应如何处理来确保各中心内部的安全性？

在操作员站、工程师站、HMI等各类操作站部署操作站安全系统对主机的进程、软件、流量、U盘的使用等进行监控，防范主机非法访问网络；部署工控安全监测审计系统，监测工控网络的相关业务异常和入侵行为，通过工控网络中的流量关系图形化展示梳理发现网络中的故障，出现异常及时报警；部署工业漏洞扫描系统，发现各类操作系统、组态软件、以及工业交换机、PLC等存在的漏洞，为车间内各类设备、软件提供完善的漏洞分析检测；在PLC前端部署工业防火墙，对PLC进行防护；部署现场运维审计与管理系统防范现场运维带来的风险。

（4）态势感知统一安全呈现

对于管理人员，面对整个企业各个控制中心内繁多的各类工控网络设备、服务器、操作站以及安全设备，如何高效管理，掌握各个点的风险现状，对整个工控系统安全现状能够统一掌握，及时处理各类设备故障与威胁同样是工控安全建设至关重要的一环。

针对这一情况，通过在生产执行层部署工业控制信息安全管理系统，对各控制中心工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应，风险及态势的度量与评估，对整个系统面向业务进行主动化、智能化安全管理，保障供水调度系统工业控制系统整体持续安全运营。

随着智慧城市的进一步发展，国家工业互联网的进一步推进，以及国家“等级保护2.0”的发布，全面提高智慧水务工控网络系统的整体安全性是形势所迫、大势所趋。应从边界安全、终端安全、应用安全、行为审计、安全管理、安全培训等多方面加强工控网络的网络安全防护。

更详尽的方案可咨询

当地销售或拨打服务热线400-6059-110

或点击文末“阅读原文”，留下相关信息

<<  滑动查看下一张图片  >>

往期回顾

more+