发表时间: 2020-01-16 09:54:51
作者: 英赛克科技(北京)有限公司
浏览:
1. 行业现状
随着人类社会的不断发展,城市规模的不断扩大,城市的用水需求日益增加,用水紧张和水质污染情况日益严重,造成环境问题日益突出。2011年,北京、上海等9个省市对辖区内的857眼监测井进行了水质评价,水质为I类、II类的监测井占比2%,而IV类、V类的监测井多达76.8%,水污染情况的不断加剧,使得污水处理和再生行业受到空前的关注。
在现代化的污水处理系统中,由于各生产装置都已间接或直接的接入到生产网络中,网络的安全性就变得尤为重要。而且污水处理是国家的重要基础设施,一旦被敌对势力侵入或掌控,就会对国家和人民生活产生严重影响。
2. 安全隐患
结合目前各污水处理企业的系统特点及发展趋势,污水处理企业工业控制系统存在以下安全风险:
● 污水处理企业没有对其内部生产控制系统及网络进行分区、分层。
● 各流程控制区域(如:预处理、生化处理、深度处理、消毒处理、供水处理、污泥处理等)与光纤环网之间,以及生产监控网与环网之间无隔离防护措施。
● 污水处理企业没有对其内部重要控制设备进行安全防护,导致重要控制器处于无防护、无审计状态。
● 污水处理企业办公网和生产监控网之间无物理隔离措施。
● 污水处理企业采用的协议转换设备只具备协议转换功能,缺乏必要的数据安全检测措施。
● 污水处理企业内部控制系统及网络缺乏安全监测与审计措施。
● 污水处理企业内部缺乏统一的安全管理平台。
3. 遵循标准
●《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
●《GB/T 22239-2008信息安全等级保护基本要求》
●《关于加强工业控制系统信息安全管理的通知》(工信部〔2011〕451号)
4. 解决方案
4.1. 防护体系
● 物理隔离
v 在生产控制网与企业信息网之间部署英赛克INS-T9工业网闸进行物理隔离。通过“2+1”物理结构、私有安全协议以及基于Linux操作系统开发的OPC采集转发功能、工控协议应用层指令级“4S”深度防护专利技术,以非网络连接的方式实现数据的安全交换,同时对工业协议进行异常检测、数据完整性检测、组态异常监测等,阻断病毒、木马、非法访问的传播途径。
● 边界与区域隔离
在生产监控网与光纤环网之间、过程控制网与光纤环网之间部署英赛克INS-T3工业防火墙。利用“4s”安全防护专利技术以及“白名单”机制,对工控指令、数据进行深度检测和过滤,及时发现可疑指令和恶意数据,保障控制指令及生产数据安全。同时阻止区域间的越权访问,病毒、蠕虫扩散和入侵,将危险源控制在有限范围内。
● 重要设备隔离
在PLC等工控设备或系统前端部署英赛克INS-T3工业防火墙,对重要设备工控协议、数据的完整性、功能码、地址范围和工艺参数范围进行深度解析,同时阻止操作员或工程师有意无意的非法操作。
同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据,保障重要设备可靠运行。
● 可信数据采集与协议转换
通过英赛克INS-T5可信数据采集网关,结合基于Linux操作系统的OPC安全通信专利技术和“4S”深度防护专利技术,实现污水处理企业网络内OPC、Modbus、IEC等协议的实时可信转发。
4.2. 监测体系
分别在生产监控网核心交换机和过程控制区域交换机处部署INS-A4工控安全审计监测平台,进行全局监测和区域监测,实现从区域到全局的分层、分级监控体系,及时发现各种违规行为和病毒、黑客的攻击行为。
4.3. 响应体系
通过英赛克INS-S2工控安全监控管理平台实现对工控安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理,并通过安全威胁、事件归一化处理和关联分析,实现对全局工控安全的事件追溯、态势感知和动态响应。