智慧水务典型安全解决方案查看源代码讨论查看历史

来自 搜狐网 的图片

智慧水务典型安全解决方案某市级水务集团现拥有现代化水厂8座，实际最高日供水120万立方米，持续保障市区的用水需求。

一、案例简介

随着水务投资规模的增加，目前处于向智慧水务方向拓展的阶段。该水务集团公司开展了智慧水务建设项目，将其管辖的8家自来水厂实现统一的运营管理、生产调度、状态监测、安全管理等功能。水厂网络与集团网络实现更高效的互联互通，随之，安全问题更加突出。为保障智慧水务安全稳定开展，水务集团启动“工业互联网信息安全防护”项目，针对下辖的所有水厂进行工业控制系统安全建设，保障关键信息基础设施的安全运行，完成工控系统网络安全^[1]备案、整改建设以及等级保护测评工作。

同时在信息化、智慧化建设的过程中，将网络安全建设与其业务场景结合，达成满足合规以及获得实际防护能力与安全管理能力的目标。北京启明星辰信息安全技术有限公司面向智慧水务场景下的安全需求，辅助用户将业务运行与安全防护有机融合。

二、案例背景介绍

2020年4月，以色列供水系统的网络攻击事件引起各国对供水设施遭受攻击和入侵的重视，美国国土安全部的统计显示：早在2015年，针对供水系统的网络攻击事件，就已经排入前三名，仅次于关键制造和能源行业。由此可见网络威胁已经向城市供水系统领域渗透，把水务工业控制系统作为攻击目标，为城市供水系统敲响了安全警钟。

该水务集团下的工业控制系统不仅用于监控水源、监控水处理过程、控制管道中的压力和流量以及供应成品的水，而且执行数据记录、报警和诊断功能，保障大型、复杂的水务过程系统的持续运营。现有的工业自动化控制系统在设计、研发中没有充分考虑安全问题，在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑，导致供水、排水系统存在着诸多安全问题，一旦被无意或恶意利用就会造成各种信息安全事件。供水、排水调度工业自动化控制系统的安全直接关系到“生命线”安全。

该水务集团股份有限公司建设面临的工业信息安全风险主要有以下3个方面：

（1）安全防护水平相对落后

下辖各个公司的供水调度、排水工业控制系统普遍存在安全漏洞，缺乏有效的安全配置策略，外网边界易被突破；企业内网边界访问控制管理薄弱，安全防护设备严重缺乏；工控设备开启高风险远程访问服务现象普遍，存在高危风险隐患；工控系统主机安全防护措施较弱，控制权限易被远程获取，会引起病毒感染与扩散、生产中断等风险。

（2）网络攻击风险持续加剧

供水调度、排水工业控制系统采用大量的IT技术，互联性逐步加强，工业控制信息安全日益进入黑客的研究范围，国内外大型的信息安全交流会议已经把工业控制信息安全作为一个重要的讨论议题。随着黑客的攻击技术不断进步，攻击的手段日趋多样，入侵到某个系统，成功破坏其完整性成为可能；工业控制系统普遍缺乏网络准入和控制机制，上位机与下位机通讯缺乏身份鉴别和认证机制，只要能够从协议层面跟下位机建立连接，既可以对下位机进行修改，普遍缺乏限制系统最高权限的限制，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露。

（3）安全管理机制尚待健全

工作人员对工业控制系统信息安全的重视不够，工控安全责任意识、风险意识不足，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高，需要形成常态的安全运营机制，定期进行事件分析、安全运维、安全培训等。

三、案例应用详情

本解决方案中的智慧水务业务场景包含智慧水务平台、自来水厂生产系统两大部分。安全建设也依据其业务场景进行设计实施，解决方案总体框架如下图所示：

智慧水务平台是依托云架构的物联网^[2]水务平台，平台包含大数据管理平台、供水管网地理信息系统(GIS)、供水调度自动化控制系统(SCADA）、供水管网水力模型系统、供水管网DMA漏损管理、供水管网水质管控分析系统、营业收费管理系统。可对8个自来水厂实现云端管控、任务处理、数据存用、任务下发、业务监测等功能。

集团下辖8个自来水厂的工艺流程基本相同，从智慧水务工业控制系统的环境特点、技术特点、协议特点角度分析，大型自来水厂多数采用的处理工艺一般是常规处理加深度处理，工艺复杂，设备先进。常规处理包括：混合、反应、沉淀、过滤及消毒几个过程。深度水处理工艺在常规水处理工艺的基础上添加了臭氧处理和碳过滤或投加高锰酸钾和粉末活性炭等工艺流程。下图为臭氧处理加碳过滤的深度处理工艺流程。

参考文献