立思辰_水务行业_工控安全解决方案

北京立思辰计算机技术有限公司
目录
目录 (II)
1 行业分析 (1)
2水务工控系统介绍 (2)
3 解决方案架构 (3)
4方案优势 (5)
1行业分析背景
饮用水的安全关系着国计民生，随着中国城市化发展进程加快，对自来水供应及需求也随之增加。

加强水资源管理，保障水资源安全是保护国家关键基础设施安全之一。

随着“工业4.0”时代的来临、“互联网+”的提出、以及“两化融合”脚步的加快，工业自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，然而，在工控系统越来越开放的同时，也同步削弱了控制系统与外界的隔离和安全保护。

因此，企业在享受网络互联带来的种种便利的同时，也面临着各种各样的安全威胁，包括病毒、木马、黑客以及敌对势力。

对于安全事件的频发，我国政府和有关部门给予高度重视，分别在法律法规、政策、工作要求等方面积极行动，一系列出台的政策都已表明我国政府和有关部门高度重视工控系统的安全，已经上升到国家战略的高度。

水务安全风险
安全管理问题
⚫缺少相关顶层设计
⚫缺乏管理流程
⚫人员安全意识弱
⚫保护对象不明确
安全技术问题
⚫工控设备存在安全漏洞。

⚫操作系统存在漏洞。

⚫工控协议存在可以被利用的漏洞，协议的公开性也导致了系统极易遭受攻击。

⚫水务工控系统的边界模糊，一旦病毒爆发或入侵后，非常容易扩散到其他系统；另一方面，缺乏访问控制手段，会存在非法访问，越权操作等行为发生，给生产带来安全隐患。

⚫在日常生产运营和维护中，为了工作的便捷性，经常私自将笔记本、手机（热点）、ipad 等设备接入到生产网络中，还存在非法外联现象。

⚫多数水务在工控系统网络中未部署相应的网络审计产品，不能识别和告警工控网络中的威胁，不能检测入侵的病毒、木马、甚至黑客等攻击行为和非法操作。

⚫缺乏完善的运维审计机制，不能发现越权访问、异常操作等行为。

2水务工控系统介绍
水务控制系统一般分为几个部分：调度中心、分控中心、监控分站、泵站等。

它所具有的功能一般包括：数据采集控制、传输、显示及分析、报警、历史数据的存储/检索/查询、报表显示及打印、遥控、网络通信等。

调度中心
调度系统是一个综合的供水信息化管理平台，该系统是对当前计算机网络技术、通讯技术等的整合，包含了专业的空间分析功能等，可实现对城市供水系统运行状况的动态监测和数据分析，最终实现对城市供水调度过程中各个环节的科学配置，保证城市供水系统的稳定、安全运行。

该系统中的部分调度系统能通过指令实现对监测点的遥控,从而使城市供水更加科学、合理。

分控中心
水务分控中心对水务的生产及各站点进行实时监控，采集各站点的数据信息，并对这些信息进行存储、分析汇总、打印等处理。

通过数据分析，及时给出报警信息或向站点发出控制命令，控制设备运行。

监控分站
监控分站一般根据生产管理的要求、工艺流程、信息量的大小和控制设备的多少来划分。

每一个监控分站采集现场数据并通过工业以太网或现场总线将信息上传至水务分控中心，同时接受水务分控中心发出的控制命令，控制现场的各种工业设备。

水务分控中心一般通过租用公共通信线路（有线或无线）将汇总数据传送到调度中心，以实现整个系统的调度和管理。

泵站
泵站采用无线(GPRS)方式和中控室相连，现场放PLC或RTU。

3解决方案架构
边界防护
在分控中心到调度中心部署工控防火墙，将调度中心、分控中心以及各工控子系统进行逻辑隔离，并设置严格的访问控制策略，通过基于IP、端口、协议等的访问控制策略，杜绝控制系统的非法访问，隔离网络攻击和病毒（包含工业病毒）跨区域的串扰，保护工业环网的安全运行。

非法接入
在调度中心部署1套网络准入控制系统，实现对非法设备的接入管理与非法外联。

监测审计
在各分控中心的工控系统分别部署监测审计引擎，监测审计引擎对工控流量进行监测分析，识别出工控协议，并对工控协议深度解析，同时将违规操作、非法操作和程序下载、IP变更、组态变
更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在调度中心的工控安
全监测审计管理系统中。

终端安全
在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署工控终端防护系统，在调度中心部署工控终端防护系统。

管理系统对工控终端防护系统进行统一管理与监控、策略下发、异常报警等。

安全运维
在调度中心部署运维堡垒机，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。

安全管理
在调度中心部署安全管理平台，实现对工控防火墙、工控安全监测审计管理系统、工控终端防护系统、堡垒机等安全产品以及交换机的统一管理与监控。

4方案优势合规性
满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求和防护指南的相关要求。

技术与管理并重
安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

可视化
实现工控网络资产的可视化管理，动态识别非法接入设备，直观展示工控网络安全威胁。

全面防护
从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段，实现工控网络全面的安全保护。

最小干扰
所有安全组件均采用非侵入式安全监测与防护工作方式，可确保将设备对工控网络的干扰降低到最低。

多工业协议支持
支持常见工控协议：S7、Modbus、OPC、IEC61850、IEC101/102/103/104、DLT645、BacNet、CDT、CIP、DNP3、MMS、ProfiNet、EIP等50多种工业协议的深度解析。

解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值，同时还支持私有协议的定制开发。