案例精选|全面感知,精准防护打造市政排水工控安全硬实力

admin 2022年3月30日19:24:37评论98 views字数 4228阅读14分5秒阅读模式

案例精选|全面感知,精准防护打造市政排水工控安全硬实力




前言 

水是人类生活的源泉,随着城市化进程的不断加快,水污染问题越发突出,水资源监管和治理已成为城市发展的一大困扰。水环境、水治理、水安全更是直接关系到百姓生活的民生大计。近年来,随着物联网、工业互联网等新一代信息技术的创新发展,水务系统与信息技术深度融合,智慧水务在城市广泛应用,水务系统正在向生产智能化、数据资源化、管理精确化、决策智慧化的方向发展。而随着IT和OT两网的深度融合,工业控制网络更加复杂,网络安全风险不断增多,如何有效提高工业控制系统网络安全,成为当前智慧水务亟待解决的问题。


威努特作为国内工控安全领军企业,是水务关键信息基础设施的坚定捍卫者。近期,威努特与国内某大型排水集团共同打造了智慧水务领域工控安全建设的标杆范例,对其下属多个再生水厂、污水处理厂以及分公司开展了全面的信息安全防护建设,帮助其构建工控安全纵深防御体系,建立集团级的工业安全态势感知平台,全面提升该排水集团工控网络的整体安全性,保障系统的安全稳定运行。





案例背景 

某排水集团是该城市中心城区排水和再生水设施投融资、建设、运营的特许经营企业,运营着该城市中心城区十几座污水处理和再生水厂,水处理能力417万立方米/日。


该企业下辖11个污水处理厂/再生水厂和4个分公司,管理着90多个泵站工业控制系统。其工业控制系统网络总体分为集团侧管理网络和各生产厂区生产网络,网络纵向分为生产管理层(集团侧)、过程监控层(污水处理/再生水厂、分公司侧)和现场控制层(PLC)。污水处理厂/再生产水厂中控室有监控主机和数据采集服务器,实时监控现场控制层PLC设备和仪器仪表的运行状态,各厂区采用工业环网连接现场PLC和中控室监控主机;分公司中控室部署泵站远控系统服务器和远控调水服务器,现场泵站通过光纤或无线的方式与中控室交换机互联;生产管理层(集团侧)主要有SCADA生产服务器、应用服务器和数据接收网关,数据接收网关实时采集污水处理厂、再生产水厂和分公司的生产数据。


通过现场调研和安全分析,安全建设需求汇总如下:


案例精选|全面感知,精准防护打造市政排水工控安全硬实力

1.网络边界隔离需求

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

整体网络架构设计之初更多考虑的是管理网和生产网通信可用性问题,集团网络与各厂区网络之间无任何安全隔离与访问控制措施,极易导致生产系统和生产数据遭受未授权访问和病毒感染等风险,造成核心生产数据的泄漏或恶意篡改;同时过程监控层(工控主机)与现场控制层(PLC)之间无任何访问控制措施,需针对PLC的非法访问及攻击行为进行指令级的访问控制,防止非法指令下发、恶意指令下发等安全风险。

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

2.漏洞防护需求

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

工控主机大多使用微软Windows XP、Windows Server 2003等老旧系统,由于SCADA系统网络的封闭性,以及要求极高的网络实时性,工控主机无法进行正常的系统升级,导致系统存在大量的安全漏洞,存在漏洞被利用的安全风险。

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

3.病毒防护需求

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

工控主机无任何恶意代码防范措施,U盘等外设在管理网和生产网之间交叉使用,极易导致恶意代码、蠕虫、病毒等在工控主机之间传播,造成生产业务的中断。

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

4.网络威胁监测需求

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

需实时监视工业网络系统的运行状态,及时发现各种入侵攻击、异常流量、非法操作或异常行为,实现非法入侵行为、病毒恶意代码、Web攻击等安全威胁的可视化。

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

5.安全运营需求

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

污水处理厂/再生水厂、分公司分布在各个城区,设备分布较为分散,需针对各厂区设备的安全事件和告警信息进行集中收集和关联分析,并对分散的设备进行集中管控,提高用户网络的安全态势感知、监测预警和事件回溯能力。




建设方案 

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图1 本项目安全防护示意图


根据用户安全现状并结合其工业控制系统运行环境相对稳定与系统更新频率较低的特点,结合GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》,采用基于“白名单”机制的工控安全解决方案。项目采用分期建设方式,一期先为用户快速建立基于“一个中心,三重防护”的纵深防御体系,满足SCADA系统等级保护三级合规要求;二期依托威努特工业安全态势感知平台和安全服务能力,为用户搭建持续监测、态势感知、应急处置和预警通报的安全运营体系,实现集团全网安全策略集中管控、防护措施协同联动、安全事件预警及时的安全防御目标。最终全面提升集团整体的工控安全防护水平,保证生产业务的高效、稳定运行。具体方案如下:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

1.建立区域隔离防护机制

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

过程监控层(污水处理/再生水厂)与生产管理层(集团)网络边界部署工控安全隔离与信息交换系统,通过OPC协议交换模块单向传输生产采集数据,保证集团和污水处理厂/再生水厂之间网络的安全隔离与数据交换。


工控安全隔离与信息交换系统开启OPC只读策略,实现厂区生产采集数据单向传输至集团,现场实施效果图:

                           

案例精选|全面感知,精准防护打造市政排水工控安全硬实力


案例精选|全面感知,精准防护打造市政排水工控安全硬实力

工控安全隔离与信息交换系统-OPC安全防护策略设置


在过程监控层(工控主机)与现场控制层(PLC)的网络边界部署工业防火墙,建立工业协议白名单访问控制基线,利用“白名单”技术重新定义网络边界,实现对S7、CIP、Modbus等工业协议的识别与深度解析,实时拦截非法指令下发、非授权访问,做到指令级和值域级的细粒度访问控制,确保PLC的安全稳定运行。工业防火墙采用访问控制白名单、工业协议白名单、业务工艺白名单三重固化学习模式,最大限度地保证业务零影响。


厂区和分公司工业防火墙开启Siemens S7协议只读指令控制策略,实现中控室到现场控制层PLC指令只读,现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图3 工业防火墙-S7白名单功能码读写属性、值范围控制


厂区工业防火墙开启CIP服务、数据表、PCCC配置策略,实现中控室到现场控制层PLC设备CIP协议传输的过滤和控制,现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图4 工业防火墙-CIP白名单数据表配置、PCCC配置


厂区工业防火墙开启网络访问控制白名单、工业协议白名单、业务工艺白名单三重固化学习模式,最大限度地保证业务零影响。现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力


案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图5 工业防火墙-三重固化学习模式效果图

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

2.建立集中监测审计机制

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

在污水处理厂和再生水厂交换机旁路部署入侵检测系统,通过一体化检测分析技术对来自网络内外的蠕虫、木马、后门、间谍软件、Web攻击等进行实时检测和分析,及时处置安全问题,减少安全事件发生的损失。


入侵检测系统现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图6 入侵检测系统-入侵检测日志

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

3.建立终端安全防护机制

案例精选|全面感知,精准防护打造市政排水工控安全硬实力
在污水处理厂、再生水厂和分公司的监控主机和生产服务器上部署工控主机卫士,以白名单防护机制实现了主机系统从启动、加载到持续运行的全生命周期的安全保障,保障生产业务的可持续性。

区别于传统杀毒软件依赖于病毒库更新,可能会误杀工业软件组件等问题,工控主机卫士开启程序白名单、漏洞防护、安全基线、外设管控等功能,对工业主机的应用程序、运行环境和资源、移动外设、网络环境进行四重锁定,建立主机安全的免疫“白环境”,对工控主机恶意代码进行有效防范。


在污水处理厂、再生水厂分公司工控主机卫士上添加可信任程序白名单,开启拦截并告警模式,对于非法程序的运行及时阻断并告警,现场实施效果图:


案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图7 工控主机卫士-程序白名单策略配置


工控主机卫士开启漏洞防护功能,检测系统存在的漏洞并进行实时告警和拦截,防止漏洞被利用,现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图8 工控主机卫士-漏洞防护


工控主机卫士开启无限网卡、CD-ROM禁用策略,防止厂区内部人员非法联网、非法安装未受管控的程序;对于普通U盘开启只读、安全U盘开启读写策略,杜绝未经管控的U盘在生产网随意使用,现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图9 工控主机卫士-外设管控


工控主机卫士开启安全基线功能,对厂区工控主机当前合规状态进行检测展示,通过安全基线功能进行一键批量加固。现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图10 工控主机卫士-安全基线

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

4.建立安全管控机制,

提高安全运营能力

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

在过程监控层(污水处理/再生水厂)和生产管理层(集团)分别部署统一安全管理平台,为用户提供安全运维统一入口,对网络中的工控安全隔离与信息交换系统、入侵检测系统、工业防火墙和工控主机卫士进行统一管理,集中进行策略配置、状态监控和安全事件分析,提升安全运维效率。


统一安全管理平台现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图11 统一安全管理平台配置界面


在生产管理层(集团)部署工业安全态势感知平台,对集团、污水处理厂、再生水厂、分公司生产网络进行资产统计、设备状态监测、威胁检测预警、安全事件关联分析,采用安全可视化手段直观展示全网的安全态势,包括资产态势、运行态势、脆弱性态势、网络攻击态势,为安全运营提供技术支撑。工业安全态势感知平台现场实施效果图:

案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图12 工业安全态势感知平台-资产管理


案例精选|全面感知,精准防护打造市政排水工控安全硬实力

图13 现场工业安全态势感知平台首页界面

 




案例总结 

1.快速建立基于“白环境”的纵深防御体系。建设完成后,SCADA系统可以有效抵御内部、外部攻击,将安全风险降低到可控范围内,减少安全事件的发生,确保系统高效、安全、稳定运行,降低因系统停机带来的生产损失。


2.采用可信白名单方式,建立工控系统正常工作环境下的安全状态基线和模型,在提升SCADA系统安全防护能力的同时,真正对业务零影响。


3.建立安全运营体系,提高企业安全态势感知、安全事件应急响应能力。理清家底、实时监测集团和各厂区工控网络运行状态、及时发现网络安全威胁、深度挖掘历史事件,为安全运营提供技术支撑,达到“事前预警、事中监测、事后回溯”的效果。


案例精选|全面感知,精准防护打造市政排水工控安全硬实力
威努特简介
案例精选|全面感知,精准防护打造市政排水工控安全硬实力

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关鍵信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!

案例精选|全面感知,精准防护打造市政排水工控安全硬实力


案例精选|全面感知,精准防护打造市政排水工控安全硬实力案例精选|全面感知,精准防护打造市政排水工控安全硬实力
案例精选|全面感知,精准防护打造市政排水工控安全硬实力
案例精选|全面感知,精准防护打造市政排水工控安全硬实力
渠道合作咨询   张先生 18201311186
稿件合作   微信:shushu12121 

原文始发于微信公众号(威努特工控安全):案例精选|全面感知,精准防护--打造市政排水工控安全硬实力

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日19:24:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   案例精选|全面感知,精准防护打造市政排水工控安全硬实力http://cn-sec.com/archives/854587.html

发表评论

匿名网友 填写信息