0371-60127539
400-6620-135
水利行业解决方案

2019年8月水利部网信办组织制定了《水利网络安全管理办法(试行)》,《办法》为水利行业网络安全强监管提供准则和依据,是健全水利网络安全保障体系、提升水利网络安全防护能力的重要举措。

《办法》突出问题导向,对于2019年水利部攻防演练发现的41.5%属于信息化项目规划建设阶段没有同步落实网络安全等级保护要求留下的问题,以及58.5%属于运行阶段管理不到位造成的问题,明确了具有针对性、有效性的解决措施。同时,《办法》通过“网络安全规划建设”“网络运行安全”两章,明确具体任务、责任单位,建立了信息系统全生命周期安全管控规范,有效解决上述问题,确保《办法》实用、管用。叶建春副部长强调要加大《办法》的执行力度,要求部网信办近期选择部分部直属单位开展网络安全渗透测试,对渗透测试发现的问题,在通报整改的基础上,结合网络安全现场检查,依据《办法》进行责任追究。

安全隐患

● 区域边界不够清晰

目前对水利工业系统的信息安全防护高度依赖隔离方式,如物理上的网络孤岛、密码门禁等。但对现地测控系统、远程监控系统、实时控制系统和非实时监控系统间的隔离做的不够充分,也不够细致。

● 水利工业系统的定级工作尚未执行

水利调研中,已经对系统的重要性和安全事件时产生的危害进行了评估,但尚未开展定级并落实基于安全等级的保护措施。

● 系统中存在较多漏洞且难以修复

根据摸底情况,发现目前在现场使用的多种控制器存在已知漏洞。而工业计算机,受限于兼容性和性能等原因,极少进行补丁修复,一台PC中存在数百个漏洞的情况非常普遍,任何一个漏洞的利用都可以导致越权访问和任意代码执行等恶劣影响,从而通过一个点的突破,对工业系统进行严重的破坏。

● 系统风险的暴露面大

网络暴露面大,且会继续扩大:在大型系统中,采用了多种类型的传输方式,部分存在借用公共网络的情况,大大的增加了数据及指令传输过程中被分析、窃取及篡改的机会。而在未来,越来越多的数据将会被更广泛的开放及利用,部分水利系统将会更广泛的暴露在互联网环境下。

● 未知威胁的数量大,影响难以发现

工业系统的网络相对独立,发生的攻击事件相对较少且难以被发现。而随着攻击工业系统的商业价值、战略价值被广泛认知,越来越多的恶意攻击者开始分析工业系统,导致大量的恶意漏洞被攻击者掌握。

另一方面,人工智能等技术开始在黑色产业中被使用,越来越多的攻击具有高度的特异性,在防护难度上也会越来越大。

解决方案

某大型水利系统总体结构

● 某水量调度系统,下辖大量的涵闸与泵站。分为5级远程监控系统和现地控制系统。其中,5级远程系统分别为:第一级,总调中心;第二级,省分调中心;第三级,市局管理中心;第四级,县局管理处管理机构;第五级,闸管所等管理部门。

● 系统使用卫星、铺设光纤、微波、GPRS等进行通信。在总调中心、分调中心和分中心分别建设星型三层以太网,接入通信通道;在管理处、县局、闸管所采用两层工业控制交换机接入通信通道,各控制区域采用二层工业控制交换机接入此区域内的PLC和视频编解码器。

image

方案价值

● 合规避险

满足等保要求;规避法律风险。

● 运维简单

设备、软件统一运维;支持Bypass,保障可用性优先。

● 安全有效

纵深安全体系多维联动;同时应对已知问题和未知风险。

● 支持运营

由被动的维护变为主动经营;帮助安全服务能力持续提升。