水利行業(yè)解決方案

2019年8月水利部網(wǎng)信辦組織制定了《水利網(wǎng)絡安全管理辦法(試行)》，《辦法》為水利行業(yè)網(wǎng)絡安全強監(jiān)管提供準則和依據(jù)，是健全水利網(wǎng)絡安全保障體系、提升水利網(wǎng)絡安全防護能力的重要舉措。

《辦法》突出問題導向，對于2019年水利部攻防演練發(fā)現(xiàn)的41.5%屬于信息化項目規(guī)劃建設階段沒有同步落實網(wǎng)絡安全等級保護要求留下的問題，以及58.5%屬于運行階段管理不到位造成的問題，明確了具有針對性、有效性的解決措施。同時，《辦法》通過“網(wǎng)絡安全規(guī)劃建設”“網(wǎng)絡運行安全”兩章，明確具體任務、責任單位，建立了信息系統(tǒng)全生命周期安全管控規(guī)范，有效解決上述問題，確?！掇k法》實用、管用。葉建春副部長強調(diào)要加大《辦法》的執(zhí)行力度，要求部網(wǎng)信辦近期選擇部分部直屬單位開展網(wǎng)絡安全滲透測試，對滲透測試發(fā)現(xiàn)的問題，在通報整改的基礎上，結(jié)合網(wǎng)絡安全現(xiàn)場檢查，依據(jù)《辦法》進行責任追究。

安全隱患

● 區(qū)域邊界不夠清晰

目前對水利工業(yè)系統(tǒng)的信息安全防護高度依賴隔離方式，如物理上的網(wǎng)絡孤島、密碼門禁等。但對現(xiàn)地測控系統(tǒng)、遠程監(jiān)控系統(tǒng)、實時控制系統(tǒng)和非實時監(jiān)控系統(tǒng)間的隔離做的不夠充分，也不夠細致。

● 水利工業(yè)系統(tǒng)的定級工作尚未執(zhí)行

水利調(diào)研中，已經(jīng)對系統(tǒng)的重要性和安全事件時產(chǎn)生的危害進行了評估，但尚未開展定級并落實基于安全等級的保護措施。

● 系統(tǒng)中存在較多漏洞且難以修復

根據(jù)摸底情況，發(fā)現(xiàn)目前在現(xiàn)場使用的多種控制器存在已知漏洞。而工業(yè)計算機，受限于兼容性和性能等原因，極少進行補丁修復，一臺PC中存在數(shù)百個漏洞的情況非常普遍，任何一個漏洞的利用都可以導致越權訪問和任意代碼執(zhí)行等惡劣影響，從而通過一個點的突破，對工業(yè)系統(tǒng)進行嚴重的破壞。

● 系統(tǒng)風險的暴露面大

網(wǎng)絡暴露面大，且會繼續(xù)擴大：在大型系統(tǒng)中，采用了多種類型的傳輸方式，部分存在借用公共網(wǎng)絡的情況，大大的增加了數(shù)據(jù)及指令傳輸過程中被分析、竊取及篡改的機會。而在未來，越來越多的數(shù)據(jù)將會被更廣泛的開放及利用，部分水利系統(tǒng)將會更廣泛的暴露在互聯(lián)網(wǎng)環(huán)境下。

● 未知威脅的數(shù)量大，影響難以發(fā)現(xiàn)

工業(yè)系統(tǒng)的網(wǎng)絡相對獨立，發(fā)生的攻擊事件相對較少且難以被發(fā)現(xiàn)。而隨著攻擊工業(yè)系統(tǒng)的商業(yè)價值、戰(zhàn)略價值被廣泛認知，越來越多的惡意攻擊者開始分析工業(yè)系統(tǒng)，導致大量的惡意漏洞被攻擊者掌握。

另一方面，人工智能等技術開始在黑色產(chǎn)業(yè)中被使用，越來越多的攻擊具有高度的特異性，在防護難度上也會越來越大。

解決方案

某大型水利系統(tǒng)總體結(jié)構(gòu)

● 某水量調(diào)度系統(tǒng)，下轄大量的涵閘與泵站。分為5級遠程監(jiān)控系統(tǒng)和現(xiàn)地控制系統(tǒng)。其中，5級遠程系統(tǒng)分別為：第一級，總調(diào)中心；第二級，省分調(diào)中心；第三級，市局管理中心；第四級，縣局管理處管理機構(gòu)；第五級，閘管所等管理部門。

● 系統(tǒng)使用衛(wèi)星、鋪設光纖、微波、GPRS等進行通信。在總調(diào)中心、分調(diào)中心和分中心分別建設星型三層以太網(wǎng)，接入通信通道；在管理處、縣局、閘管所采用兩層工業(yè)控制交換機接入通信通道，各控制區(qū)域采用二層工業(yè)控制交換機接入此區(qū)域內(nèi)的PLC和視頻編解碼器。

方案價值

● 合規(guī)避險

滿足等保要求；規(guī)避法律風險。

● 運維簡單

設備、軟件統(tǒng)一運維；支持Bypass，保障可用性優(yōu)先。

● 安全有效

縱深安全體系多維聯(lián)動；同時應對已知問題和未知風險。

● 支持運營

由被動的維護變?yōu)橹鲃咏?jīng)營；幫助安全服務能力持續(xù)提升。