今日頭條
官方微信
官方抖音
案例頻道摘要:隨著國家對(duì)生態(tài)環(huán)境要求越來越嚴(yán)格,污水廠自動(dòng)化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用,污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù)”。
關(guān)鍵詞:污水廠;控制系統(tǒng);網(wǎng)絡(luò)安全;系統(tǒng)防護(hù)
Abstract: With the increasingly strict requirements for the ecological environment, the continuous improvement of the automation level ofthesewageplant,aswellastheextensiveapplicationofdigital and information technology, the safety of the sewage plant control systemandeconomicinformationsecurityhavebeenputinavery importantposition. The "Networksecuritylaw" clearlyrequires that "theState implementsthenetworksecuritylevelprotection policy, and network operators shall perform the security protection obligations inaccordancewiththerequirementsofthenetwork security level protection system".
Key words:Sewage treatment plant;Control system;Cybersecurity;System protection
1 引言
隨著國家對(duì)生態(tài)環(huán)境要求越來越嚴(yán)格,污水廠自動(dòng)化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用,污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù)。”“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”
2 江心洲污水處理廠簡介
江心洲污水處理廠是南京最大的污水處理廠,工程規(guī)模為67萬m3/d,出水標(biāo)準(zhǔn)執(zhí)行一級(jí)A標(biāo)準(zhǔn)。處理后的水排放到長江中,污水廠的運(yùn)行安全與否直接影響長江的生態(tài)環(huán)境安全。為保證污水廠的安全運(yùn)行,防止網(wǎng)絡(luò)攻擊,污水廠控制系統(tǒng)安裝了一套工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)。
3 污水處理廠控制系統(tǒng)簡述
江心洲污水廠自控系統(tǒng)分為三個(gè)層次,即就地設(shè)備層、車間控制層和調(diào)度監(jiān)控層。PLC及中控室監(jiān)控計(jì)算機(jī)之間通過100M/1000M TCP/IP光纖環(huán)網(wǎng)工業(yè)以太網(wǎng)進(jìn)行高速大容量數(shù)據(jù)交換;調(diào)度監(jiān)控層各節(jié)點(diǎn)通過交換機(jī)構(gòu)成星型以太網(wǎng),采用SERVER/CLIENT結(jié)構(gòu)。
江心洲污水廠自控系統(tǒng)采用“集中監(jiān)控、管理,分散控制”的集散型系統(tǒng)。調(diào)度監(jiān)控層系統(tǒng)由二臺(tái)歷史服務(wù)器(雙機(jī)熱備)、二臺(tái)數(shù)據(jù)采集服務(wù)器(雙機(jī)容錯(cuò)、熱備)、三臺(tái)中控室監(jiān)控計(jì)算機(jī)、一個(gè)工程師站、打印、報(bào)表服務(wù)器和分區(qū)控制分站組成本工程實(shí)時(shí)控制工業(yè)以太網(wǎng)絡(luò),如中控室監(jiān)控計(jì)算機(jī)故障,各現(xiàn)場分站仍能獨(dú)立和穩(wěn)定工作,從根本上提高了系統(tǒng)的可靠性。同時(shí)采用以PLC為主構(gòu)成的集散型系統(tǒng),有較高的性價(jià)比。
監(jiān)控系統(tǒng)采用現(xiàn)場PLC,配備先進(jìn)的上位機(jī)軟件。在污水廠中央控制室設(shè)置三臺(tái)計(jì)算機(jī)作為操作員站。自控系統(tǒng)按照C/S架構(gòu)的開發(fā)與部署模式,系統(tǒng)實(shí)現(xiàn)的主要功能有遠(yuǎn)程監(jiān)視管理系統(tǒng)、生產(chǎn)運(yùn)行管理系統(tǒng)、信息報(bào)表管理系統(tǒng)、設(shè)備資產(chǎn)管理系統(tǒng)、能源監(jiān)測系統(tǒng)、報(bào)警信息管理、數(shù)據(jù)運(yùn)行質(zhì)量分析、專家系統(tǒng)、系統(tǒng)管理、移動(dòng)App查詢。
污水廠控制系統(tǒng)如圖1所示。
圖1 污水廠控制系統(tǒng)示意圖
4 污水廠工業(yè)安全防護(hù)系統(tǒng)的設(shè)計(jì)簡介
為保護(hù)污水廠自控系統(tǒng)的安全,本設(shè)計(jì)方案設(shè)計(jì)了一套完整的計(jì)算機(jī)信息安全防護(hù)系統(tǒng)。
4.1 工業(yè)安全的重要性及必要性
近年來,針對(duì)工業(yè)控制系統(tǒng)的攻擊已經(jīng)頻繁出現(xiàn)并造成了嚴(yán)重的影響,進(jìn)行工業(yè)控制系統(tǒng)的防護(hù)是非常必要的。
4.2 自控系統(tǒng)信息防護(hù)設(shè)計(jì)目標(biāo)
(1)滿足合規(guī)
依據(jù)國家等級(jí)保護(hù)要求及安全防護(hù)指南,結(jié)合物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)計(jì)算環(huán)境、安全管理層面等存在的安全風(fēng)險(xiǎn),為安全整改和建設(shè)規(guī)劃提供有力的依據(jù)。
(2)整體防護(hù)
針對(duì)已發(fā)現(xiàn)安全風(fēng)險(xiǎn)和潛在安全威脅,結(jié)合現(xiàn)有成熟技術(shù)進(jìn)行工控網(wǎng)絡(luò)安全整改與建設(shè),重點(diǎn)從網(wǎng)絡(luò)安全域劃分及訪問控制、網(wǎng)絡(luò)安全監(jiān)測及審計(jì)、主機(jī)安全防護(hù)、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。
(3)持續(xù)運(yùn)營
以工業(yè)安全態(tài)勢感知平臺(tái)作為工業(yè)安全集中管理中心,通過外部情報(bào)、行業(yè)情報(bào)、內(nèi)部情報(bào)及各類日志進(jìn)行綜合建模分析,結(jié)合AI技術(shù)對(duì)網(wǎng)絡(luò)中存在的異常情況、未來可能的攻擊行為等進(jìn)行捕捉研判。以更強(qiáng)風(fēng)險(xiǎn)感知和識(shí)別能力為基礎(chǔ),綜合的管理風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn),實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全能力的可持續(xù)運(yùn)營。
4.3 方案設(shè)計(jì)依據(jù)
針對(duì)水務(wù)工業(yè)控制系統(tǒng)基于等級(jí)保護(hù)二級(jí)的安全防護(hù)方案編制,遵循依據(jù)如下:
(1)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》
(2)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
(3)GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》
(4)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)基本要求》
(5)GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
(6)GB/T25070-2019《信息技術(shù)安全網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》
4.4 方案設(shè)計(jì)思路
鑒于本污水廠工業(yè)控制系統(tǒng)在市政工程中的重要性,結(jié)合公安部網(wǎng)監(jiān)和業(yè)主的要求,并參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,本項(xiàng)目工業(yè)控制系統(tǒng)信息安全保護(hù)等級(jí)定為二級(jí),污水廠工業(yè)控制系統(tǒng)信息安全建設(shè)方案也參照等級(jí)保護(hù)二級(jí)基本要求進(jìn)行差異分析和安全建設(shè)。
圖2 基于合規(guī)的安全防護(hù)拓?fù)湓O(shè)計(jì)示意圖
為實(shí)現(xiàn)污水廠自控系統(tǒng)安全合規(guī)的建設(shè)需求,我們建議參考圖2所示拓?fù)湟胍幌盗邪踩浻布M(jìn)行安全防護(hù),具體包括:
(1)工業(yè)防火墻:采用串接形式部署的硬件設(shè)備,基于工業(yè)現(xiàn)場特點(diǎn)和工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行設(shè)計(jì),對(duì)工業(yè)控制系統(tǒng)進(jìn)行細(xì)粒度的安全域劃分,利用深度工業(yè)識(shí)別技術(shù)和AI技術(shù)防止?jié)撛诘墓粜袨閷?duì)系統(tǒng)造成破壞。
(2)工業(yè)審計(jì)系統(tǒng):采用旁路鏡像部署的硬件設(shè)備,起到對(duì)工業(yè)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)進(jìn)行入侵檢測和事后日志審計(jì)的作用,對(duì)邊界防護(hù)難以識(shí)別的內(nèi)部流向交互風(fēng)險(xiǎn)進(jìn)行識(shí)別、預(yù)警和日志留存。
(3)工業(yè)衛(wèi)士:軟件產(chǎn)品,部署于操作員站和業(yè)務(wù)服務(wù)器,通過嚴(yán)格的設(shè)備管控防止未授權(quán)操作和惡意代碼攻擊事件的發(fā)生。
(4)工業(yè)漏洞掃描:部署于安全管理區(qū)域,對(duì)全網(wǎng)資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行識(shí)別,便于掌握現(xiàn)場真實(shí)的脆弱性情況,指導(dǎo)總體風(fēng)險(xiǎn)緩解機(jī)制的指定和詳細(xì)安全策略設(shè)計(jì)。
(5)安全監(jiān)管平臺(tái):部署于安全管理區(qū)域,是污水廠工控系統(tǒng)的安全管理中心,起到統(tǒng)一的策略配置運(yùn)維、日志審計(jì)、報(bào)表分析等作用;將孤立的安全防護(hù)手段串聯(lián)起來,是實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)安全防護(hù)效果的指揮中心。
4.5 防護(hù)設(shè)備部署描述
(1)在互聯(lián)網(wǎng)邊界部署傳統(tǒng)防火墻,實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問控制;監(jiān)控網(wǎng)絡(luò)邊界部署傳統(tǒng)防火墻,實(shí)現(xiàn)監(jiān)控網(wǎng)絡(luò)到業(yè)務(wù)網(wǎng)絡(luò)間的訪問控制。
(2)業(yè)務(wù)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)之間部署工業(yè)網(wǎng)閘,實(shí)現(xiàn)業(yè)務(wù)網(wǎng)與工控網(wǎng)絡(luò)的物理隔離。
(3)在工業(yè)網(wǎng)絡(luò)內(nèi)部,PLC與后端設(shè)備間部署工業(yè)審計(jì),實(shí)現(xiàn)工控行為的審計(jì)記錄。
(4)在PLC與工業(yè)網(wǎng)絡(luò)核心交換機(jī)間部署工業(yè)防火墻,實(shí)現(xiàn)工業(yè)協(xié)議的訪問控制。
(5)在工業(yè)網(wǎng)絡(luò)工程師站前端部署工業(yè)防火墻,實(shí)現(xiàn)工業(yè)協(xié)議的訪問控制。
(6)在工業(yè)網(wǎng)絡(luò)終端上部署工業(yè)衛(wèi)士,實(shí)現(xiàn)終端的白名單安全防護(hù)。
(7)工業(yè)網(wǎng)絡(luò)核心交換機(jī)上部署工業(yè)監(jiān)管平臺(tái),實(shí)現(xiàn)工業(yè)設(shè)備的集中監(jiān)管。
(8)在工業(yè)網(wǎng)絡(luò)部署工業(yè)安全檢查工具,實(shí)現(xiàn)工業(yè)漏洞等的安全檢測。
4.6 主要防護(hù)設(shè)備清單(如表1所示)
表1 主要防護(hù)設(shè)備清單
5 結(jié)束語
本文只粗略介紹了江心洲廠工業(yè)防護(hù)2.0的大概設(shè)計(jì)情況,工業(yè)防護(hù)的設(shè)計(jì)應(yīng)根據(jù)各自的控制系統(tǒng)平臺(tái)、配置的設(shè)備等不同情況,同時(shí)應(yīng)對(duì)不同業(yè)主需求,進(jìn)行不同的配置。隨著國家對(duì)安全防護(hù)的要求越來越嚴(yán)格,工業(yè)防護(hù)2.0、3.0或以上版本會(huì)得到越來越廣泛的應(yīng)用。
參考文獻(xiàn):
[1] 饒志宏,蘭昆,浦石.工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M].北京:國防工業(yè)出版社,2014,5.
[2] 工業(yè)和信息化部.工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z].2016.
[3] GB/T 22239-2019,信息安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)基本要求[S].
[4] GB/T 25058-2010,信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].
[5] GB/T 25070-2019,信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].
作者簡介:
劉忠祥(1964-),男,山東棲霞人,高級(jí)工程師,本科,現(xiàn)就職于中國市政工程華北設(shè)計(jì)研究總院有限公司,主要從事給水、排水工程自動(dòng)化系統(tǒng)的設(shè)計(jì)與研究。
劉 杰(1971-),男,山東萊州人,教授級(jí)高級(jí)工程師,本科,現(xiàn)任中國市政工程華北設(shè)計(jì)研究總院有限公司第一設(shè)計(jì)研究院副總工程師,主要從事電氣及自動(dòng)化方面的設(shè)計(jì)研究工作。
摘自《自動(dòng)化博覽》2020年2月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)