(1)水務工控系統安全合規性建設。既要滿足法律法規(如《水利網絡安全管理辦法(試行)》《中華人民共和國網絡安全法》《網絡安全等級保護》)以及監管單位的安全要求,又要提升生產系統對網絡攻擊的防御能力。
(3)水務工控系統安全風險防護。對跨網跨域隔離防護、安全審計、主機及終端防護等具體問題進行整改建設,強化水務系統安全防御能力,為智慧水務平臺提供可靠、有效的數據支撐。
2.1 項目總體架構和主要內容
本項目中的智慧水務業務場景包含智慧水務平臺、自來水廠生產系統兩大部分。安全建設也依據其業務場景進行設計實施,項目總體框架如圖1所示。
圖1 智慧水務總體框架示意圖
智慧水務平臺是依托云架構的物聯網水務平臺,平臺包含大數據管理平臺、供水管網地理信息系統(GIS)、供水調度自動化控制系統(SCADA)、供水管網水力模型系統、供水管網DMA漏損管理、供水管網水質管控分析系統、營業收費管理系統。可對8個自來水廠實現云端管控、任務處理、數據存用、任務下發、業務監測等功能。
集團下轄8個自來水廠的工藝流程基本相同,從智慧水務工業控制系統的環境特點、技術特點、協議特點角度分析,大型自來水廠多數采用的處理工藝一般是常規處理加深度處理,工藝復雜,設備先進。常規處理包括混合、反應、沉淀、過濾及消毒幾個過程。深度水處理工藝在常規水處理工藝的基礎上添加了臭氧處理和碳過濾或投加高錳酸鉀和粉末活性炭等工藝流程。自來水廠深度處理工藝流程如圖2所示。
圖2 自來水廠深度處理工藝流程圖
從現場調研的工藝流程分析來看,整個大型自來水廠工藝流程包含的現場控制層設備分為機械設備和控制設備,機械設備一般有幾十種,例如鼓風機、提升泵、刮泥機、加壓泵、臭氧制備機、回流泵、加藥泵、攪拌機等。這些設備都是工藝處理環節中的關鍵設備。控制設備比如現場控制層的PLC、儀器儀表、RTU等,監控層有上位機組態軟件、工業數據庫、網絡攝像頭等。
生產系統由企業管理層、生產執行層、過程監控層、現場監控層組成,分別承擔以下任務:
(1)企業管理層負責監控各個水廠工藝流程的實時監控、生產調度、數據分析等功能,涉及GIS、SCADA、供水管網水質管控分析系統等系統,設備類型以傳統服務器以及傳統信息系統為主,企業管理層同時承擔為水務集團總部傳送業務數據的功能,實現上下級平臺聯動。
(2)生產執行層主要負責對各工藝流程的具體生產活動下發執行指令,其中包括操作員站、數采工作站、上位機等設備,以工作站設備為主。
(3)過程監控層負責對自來水生產流程以及廠區環境數據進行監控和數據采集。主要包括SCADA系統、DCS系統、視頻監控服務器等。
(4)現場監控層負責執行具體生產指令以及收集數據。具體包括PLC、溫度傳感器、壓力傳感器、液位傳感器、工業攝像頭等終端設備。
水廠的生產數據包含流量、液位、壓力、濁度等,均匯聚到水務集團辦公網的集中控制中心的智慧水務平臺進行分析處理。
本方案針對邊緣安全防護場景、企業安全防護場景和企業安全綜合管理平臺三個安全場景不同的安全需求和風險,部署安全措施:
智慧水務平臺側通過應用威脅情報分析、異常流
量監測、資產安全威脅預警、網絡攻擊預測等技術實現智能化、智慧化的安全管理,保障智慧水務系統安全穩定運行。
自來水廠工控系統通過實施分層分域安全策略,部署工業防火墻、工業主機防護系統、工業入侵防御系統等,從終端管控、主機防護、平臺管理、跨網跨域防護等角度保障設備安全、控制安全和邊緣側的網絡安全。
2.2 安全防護體系
水務集團下轄的8個水廠生產數據采集方式如下:
通過數據采集服務器采集現場生產數據,數采服務器采用雙網卡模式,一端連接至生產網負責生產數據的采集和其余監控系統的數據提供,另一端連接至集團辦公網,負責辦公網的數據提供。在集團辦公網內,有一臺數據采集服務器作為前置機,負責與生產網數據采集服務器的數據對接,連接至集團辦公內網。
目前廠區內工控網絡呈環狀。各工藝段的PLC及智能采集器等通過以太網、TCP/IP形式連接工藝段接入交換機,組成廠區內環網。中控部分工程師站、操作員站廣泛采用標準的Windows等商用操作系統、設備、中間件及各種通用技術。
大型自來水廠整個工藝過程包含的現場控制層設備分為機械設備和控制設備,工控安全產品部署拓撲圖如圖3所示。
啟明星辰提供了生產控制系統安全防護場景、智慧化整體安全態勢感控場景和企業綜合運維管理場景三個場景化防護視角,護航用戶業務高質量發展。
(1)基于生產控制系統安全穩定運行場景,實現域間隔離,統一監測的功能。
按照工藝流程以工控子系統為防護對象,分成取水口控制站、送水泵房控制站、絮凝池控制站等安全域,以“域間隔離,統一監測”為防護策略:
· 域間隔離,有效阻斷:在廠區安全域之間采用適用于工業環境的專用防火墻,以邏輯串接的方式進行部署,對安全域邊界進行監視,識別邊界上的入侵行為并進行有效阻斷。
· 統一監測,縱深防御:在工控環網與生產執行層的接口處部署入侵防御系統,結合水務行業定制化安全策略,提供工控信息安全特色場景化的防護。
· 集中管理,輕松運維:通過旁路部署日志審計系統,將網絡中存在的網絡設備、操作系統、數據庫系統、安全設備等日志信息統一存儲、分析、告警,解決水務集團現有工控系統中日志存儲分散,數據存儲時間、維度沒有進行統一管理等問題。
圖3 水務集團工控安全產品部署拓撲
(2)基于集團網絡與水廠網絡安全感控場景,實現策略協同和安全運維功能。
自來水廠生產數據安全可靠上傳,避免形成安全風險暴露點,影響水廠工控系統和智慧水務平臺的安全穩定運行。
· 在設備層和邊緣層上部署主機防護系統,制定白名單安全策略,從源頭上遏制了惡意代碼的運行,消除病毒或惡意代碼通過終端外設進入工控終端及工控生產網絡的可能性。從操作系統內核、協議棧等方面進行安全增強,并力爭實現對于設備固件的自主可控。
· 在集團辦公網與下屬水廠邊界部署工業加固型網閘,對兩網間的數據交換進行安全防護,同時對OPC、Modbus/TCP等工業協議進行深度解析和指令級的控制,保證只允許合法的指令和訪問通過。
(3)基于智慧水務的安全管理平臺,實現業務信息系統安全的全局態勢管控功能。
智慧水務安全管理平臺以業務信息系統安全為保障目標,從監控、審計、風險、運維四個維度對全網的整體安全進行集中化的管理與運維,為用戶建立一個可視、可查、可度量與可持續的安全管理新平臺,通過應用威脅情報分析、異常流量監測、資產安全威脅預警、網絡攻擊預測等技術實現智能化、智慧化的安全管理,保障智慧水務系統安全穩定運行。具體安全管理平臺防護場景如圖4所示。
圖4 安全管理平臺防護場景
通過對該水務場景化方案的應用和落地,形成該水務集團在智慧水務體系建設中的安全保障閉環。通過工控安全產品的無縫部署實現對外部攻擊及內部非法操作的預警防御和應急響應,有效實現防外及安內,幫助水務集團下屬水廠維護工控系統安全,循跡惡意企圖人士,降低網絡安全事件發生的概率,避免造成重大安全生產事故,保障智慧水務建設可持續發展,從而提高水務集團的生產效率,給客戶帶來更加穩定的生產運行環境。
3 案例亮點
本項目主要采用智慧水務工控安全管理平臺,該平臺提供了強大的一體化安全管控功能界面,為不同層級的客戶提供了多視角、多層次的管理視圖。如圖5所示。
圖5 智慧水務工控安全管理平臺管理視圖
(1)對于管理層的高層領導,通過領導視圖可以掌握全網的整體安全態勢,評估全網和重要業務信息系統安全機制的有效性情況,掌握下一步安全防護改進的重點,為安全管理提供必要的決策支撐。
(2)對于管理層的各業務部門領導,可以通過系統的領導視圖掌握所屬業務信息系統的安全態勢,查閱所屬業務系統的運行報告和安全報告,并協調部門間運維流程和安全事件的處理。
(3)對于執行層的安全經理,可將領導層的工作目標落實分解,形成系統可執行的策略、指標、規則、計劃和任務;可以通過系統管理視圖查看網絡和業務系統的安全資產運行狀況、安全風險走勢、重要的安全事件處理情況、安全分析報表報告;可以隨時掌握計劃和任務的進展情況,實現對一線運維人員的考核。安全經理最終可以通過系統生成提交給領導層的各類安全報表報告。
(4)對于執行層的各類運維分析人員,借助系統的運維視圖可以持續對網絡資產及信息系統進行運行監測、安全審計、任務處理與應急響應。
