案例背景

某市排水公司以污水處理和環(huán)境保護(hù)為職能，擔(dān)負(fù)著某市中心城區(qū)新建污水處理設(shè)施的融資、建設(shè)和運(yùn)營(yíng)等職責(zé)。近年來(lái)，公司緊盯數(shù)字化改革，在提升排水系統(tǒng)智能化同時(shí)也不可避免地給排水系統(tǒng)帶來(lái)諸多網(wǎng)絡(luò)安全隱患。在帶來(lái)便利之時(shí)也引入了安全風(fēng)險(xiǎn)。本項(xiàng)目案例依據(jù)等保2.0中“一個(gè)中心，三重防護(hù)”要求，為城市排水系統(tǒng)量身打造網(wǎng)絡(luò)安全解決方案，全面提升城市排水系統(tǒng)工控網(wǎng)絡(luò)的整體安全性，保障系統(tǒng)的安全穩(wěn)定運(yùn)行。

案例需求

（1）缺少有效的安全隔離手段。污水處理廠通過(guò)VPN與集團(tuán)連接進(jìn)行工業(yè)數(shù)據(jù)或視頻信息的傳輸，污水處理廠的安全威脅可能擴(kuò)散至集團(tuán)以及其它污水處理廠。

（2）上位機(jī)、服務(wù)器設(shè)備存在安全隱患。工程師站、操作站、服務(wù)器等設(shè)備存在弱口令、配置缺陷、惡意代碼、工業(yè)病毒、木馬程序等各種安全隱患。

（3）無(wú)法對(duì)異常行為進(jìn)行安全審計(jì)。污水處理廠對(duì)于非法操作、惡意操作、誤操作等異常行為進(jìn)行安全威脅監(jiān)測(cè)、分析和審計(jì)，快速識(shí)別安全威脅。

解決方案

博智水務(wù)行業(yè)工控網(wǎng)絡(luò)安全解決方案基于等保2.0“一個(gè)中心，三重防護(hù)”的總體思路，通過(guò)分析排水集團(tuán)集團(tuán)側(cè)及各廠區(qū)的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)等方面存在的脆弱性以及面臨的潛在安全威脅，部署工控防火墻、工控安全隔離網(wǎng)閘、工控安全審計(jì)系統(tǒng)等安全產(chǎn)品，構(gòu)建排水集團(tuán)網(wǎng)絡(luò)安全縱深防御體系，實(shí)現(xiàn)排水集團(tuán)工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)管控有數(shù)、網(wǎng)絡(luò)攻擊主動(dòng)防御及安全態(tài)勢(shì)的直觀可見。

1. “安全區(qū)域邊界”

在污水處理廠與集團(tuán)網(wǎng)絡(luò)出口處部署工控安全隔離網(wǎng)閘，實(shí)現(xiàn)集團(tuán)和污水處理廠之間網(wǎng)絡(luò)的安全隔離，保證數(shù)據(jù)的安全交換；在污水處理廠邊界處部署工控入侵檢測(cè)系統(tǒng)，對(duì)病毒、木馬、蠕蟲、DoS/DDoS、掃描類等各種攻擊行為以及違反安全策略的異常行為進(jìn)行檢測(cè)，及時(shí)進(jìn)行告警或直接阻斷。

2.“安全通信網(wǎng)絡(luò)” 

采用旁路部署模式，通過(guò)在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到工控安全審計(jì)系統(tǒng)，基于工控協(xié)議深度解析技術(shù)，實(shí)時(shí)檢測(cè)工控網(wǎng)絡(luò)中存在的各種網(wǎng)絡(luò)攻擊行為和異常操作行為，并及時(shí)進(jìn)行告警。

3.“安全計(jì)算環(huán)境”

在污水處理廠的工程師站、操作站、服務(wù)器等設(shè)備部署工控主機(jī)衛(wèi)士，基于程序白名單、外設(shè)管控以及基線核查等功能，實(shí)現(xiàn)對(duì)病毒木馬及其它惡意程序攻擊行為的阻斷、外設(shè)端口的管控、弱口令和配置缺陷的檢測(cè)，提升主機(jī)安全防護(hù)能力。

4.“安全管理中心”

通過(guò)在集團(tuán)部署工業(yè)安全管理平臺(tái)，對(duì)集團(tuán)及各污水處理廠安全設(shè)備進(jìn)行集中管控；基于安全設(shè)備上報(bào)的日志數(shù)據(jù)和告警數(shù)據(jù)進(jìn)行安全事件的關(guān)聯(lián)分析、深度挖掘分析。

5.“安全風(fēng)險(xiǎn)評(píng)估”

通過(guò)部署工控漏洞掃描系統(tǒng)，對(duì)水務(wù)SCADA系統(tǒng)進(jìn)行漏洞掃描，全面、精準(zhǔn)識(shí)別系統(tǒng)存在的各種已知安全風(fēng)險(xiǎn)，包括已知漏洞風(fēng)險(xiǎn)、端口風(fēng)險(xiǎn)等；針對(duì)可能存在未知漏洞風(fēng)險(xiǎn)的設(shè)備，通過(guò)部署工控漏洞挖掘平臺(tái)進(jìn)行未知漏洞挖掘，識(shí)別潛在安全隱患。

效益評(píng)估

1、滿足合規(guī)政策要求

滿足等保2.0、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等國(guó)家政策標(biāo)準(zhǔn)要求；

2、為企業(yè)數(shù)字化轉(zhuǎn)型提供安全保障

全面提升水務(wù)行業(yè)排水集團(tuán)工控網(wǎng)絡(luò)信息安全水平，為市政排水集團(tuán)數(shù)字化轉(zhuǎn)型提供安全保障；

3、搭建企業(yè)安全運(yùn)營(yíng)中心

基于部署的工業(yè)安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)安全設(shè)備管理及安全數(shù)據(jù)分析，實(shí)現(xiàn)集團(tuán)全網(wǎng)安全策略集中管控、防護(hù)措施協(xié)同聯(lián)動(dòng)、安全事件預(yù)警及時(shí)的安全防御目標(biāo)；