今日頭條
官方微信
官方抖音
案例頻道摘要:隨著國家對生態環境要求越來越嚴格,污水廠自動化水平的不斷提高,以及數字化、信息化技術的廣泛應用,污水廠控制系統的安全及經濟信息安全被提到非常重要的位置。《網絡安全法》中明確要求“國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務”。
關鍵詞:污水廠;控制系統;網絡安全;系統防護
Abstract: With the increasingly strict requirements for the ecological environment, the continuous improvement of the automation level ofthesewageplant,aswellastheextensiveapplicationofdigital and information technology, the safety of the sewage plant control systemandeconomicinformationsecurityhavebeenputinavery importantposition. The "Networksecuritylaw" clearlyrequires that "theState implementsthenetworksecuritylevelprotection policy, and network operators shall perform the security protection obligations inaccordancewiththerequirementsofthenetwork security level protection system".
Key words:Sewage treatment plant;Control system;Cybersecurity;System protection
1 引言
隨著國家對生態環境要求越來越嚴格,污水廠自動化水平的不斷提高,以及數字化、信息化技術的廣泛應用,污水廠控制系統的安全及經濟信息安全被提到非常重要的位置。《網絡安全法》中明確要求“國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務。”“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”
2 江心洲污水處理廠簡介
江心洲污水處理廠是南京最大的污水處理廠,工程規模為67萬m3/d,出水標準執行一級A標準。處理后的水排放到長江中,污水廠的運行安全與否直接影響長江的生態環境安全。為保證污水廠的安全運行,防止網絡攻擊,污水廠控制系統安裝了一套工業控制網絡安全系統。
3 污水處理廠控制系統簡述
江心洲污水廠自控系統分為三個層次,即就地設備層、車間控制層和調度監控層。PLC及中控室監控計算機之間通過100M/1000M TCP/IP光纖環網工業以太網進行高速大容量數據交換;調度監控層各節點通過交換機構成星型以太網,采用SERVER/CLIENT結構。
江心洲污水廠自控系統采用“集中監控、管理,分散控制”的集散型系統。調度監控層系統由二臺歷史服務器(雙機熱備)、二臺數據采集服務器(雙機容錯、熱備)、三臺中控室監控計算機、一個工程師站、打印、報表服務器和分區控制分站組成本工程實時控制工業以太網絡,如中控室監控計算機故障,各現場分站仍能獨立和穩定工作,從根本上提高了系統的可靠性。同時采用以PLC為主構成的集散型系統,有較高的性價比。
監控系統采用現場PLC,配備先進的上位機軟件。在污水廠中央控制室設置三臺計算機作為操作員站。自控系統按照C/S架構的開發與部署模式,系統實現的主要功能有遠程監視管理系統、生產運行管理系統、信息報表管理系統、設備資產管理系統、能源監測系統、報警信息管理、數據運行質量分析、專家系統、系統管理、移動App查詢。
污水廠控制系統如圖1所示。
圖1 污水廠控制系統示意圖
4 污水廠工業安全防護系統的設計簡介
為保護污水廠自控系統的安全,本設計方案設計了一套完整的計算機信息安全防護系統。
4.1 工業安全的重要性及必要性
近年來,針對工業控制系統的攻擊已經頻繁出現并造成了嚴重的影響,進行工業控制系統的防護是非常必要的。
4.2 自控系統信息防護設計目標
(1)滿足合規
依據國家等級保護要求及安全防護指南,結合物理環境、區域網絡邊界、網絡環境、主機計算環境、安全管理層面等存在的安全風險,為安全整改和建設規劃提供有力的依據。
(2)整體防護
針對已發現安全風險和潛在安全威脅,結合現有成熟技術進行工控網絡安全整改與建設,重點從網絡安全域劃分及訪問控制、網絡安全監測及審計、主機安全防護、集中安全管理等方面提升工控網絡的安全防范能力。
(3)持續運營
以工業安全態勢感知平臺作為工業安全集中管理中心,通過外部情報、行業情報、內部情報及各類日志進行綜合建模分析,結合AI技術對網絡中存在的異常情況、未來可能的攻擊行為等進行捕捉研判。以更強風險感知和識別能力為基礎,綜合的管理風險、應對風險,實現工業控制系統安全能力的可持續運營。
4.3 方案設計依據
針對水務工業控制系統基于等級保護二級的安全防護方案編制,遵循依據如下:
(1)《工業控制系統信息安全防護指南》
(2)GB17859-1999《計算機信息系統安全保護等級劃分準則》
(3)GB/T22240-2008《信息安全技術信息系統安全等級保護定級指南》
(4)GB/T22239-2019《信息安全技術網絡系統安全等級保護基本要求》
(5)GB/T25058-2010《信息安全技術信息系統安全等級保護實施指南》
(6)GB/T25070-2019《信息技術安全網絡安全等級保護設計技術要求》
4.4 方案設計思路
鑒于本污水廠工業控制系統在市政工程中的重要性,結合公安部網監和業主的要求,并參照《信息安全技術網絡安全等級保護定級指南》,本項目工業控制系統信息安全保護等級定為二級,污水廠工業控制系統信息安全建設方案也參照等級保護二級基本要求進行差異分析和安全建設。
圖2 基于合規的安全防護拓撲設計示意圖
為實現污水廠自控系統安全合規的建設需求,我們建議參考圖2所示拓撲引入一系列安全軟硬件進行安全防護,具體包括:
(1)工業防火墻:采用串接形式部署的硬件設備,基于工業現場特點和工業控制系統安全風險進行設計,對工業控制系統進行細粒度的安全域劃分,利用深度工業識別技術和AI技術防止潛在的攻擊行為對系統造成破壞。
(2)工業審計系統:采用旁路鏡像部署的硬件設備,起到對工業網絡關鍵節點進行入侵檢測和事后日志審計的作用,對邊界防護難以識別的內部流向交互風險進行識別、預警和日志留存。
(3)工業衛士:軟件產品,部署于操作員站和業務服務器,通過嚴格的設備管控防止未授權操作和惡意代碼攻擊事件的發生。
(4)工業漏洞掃描:部署于安全管理區域,對全網資產和風險進行識別,便于掌握現場真實的脆弱性情況,指導總體風險緩解機制的指定和詳細安全策略設計。
(5)安全監管平臺:部署于安全管理區域,是污水廠工控系統的安全管理中心,起到統一的策略配置運維、日志審計、報表分析等作用;將孤立的安全防護手段串聯起來,是實現協同聯動安全防護效果的指揮中心。
4.5 防護設備部署描述
(1)在互聯網邊界部署傳統防火墻,實現網絡邊界訪問控制;監控網絡邊界部署傳統防火墻,實現監控網絡到業務網絡間的訪問控制。
(2)業務網絡與工業網絡之間部署工業網閘,實現業務網與工控網絡的物理隔離。
(3)在工業網絡內部,PLC與后端設備間部署工業審計,實現工控行為的審計記錄。
(4)在PLC與工業網絡核心交換機間部署工業防火墻,實現工業協議的訪問控制。
(5)在工業網絡工程師站前端部署工業防火墻,實現工業協議的訪問控制。
(6)在工業網絡終端上部署工業衛士,實現終端的白名單安全防護。
(7)工業網絡核心交換機上部署工業監管平臺,實現工業設備的集中監管。
(8)在工業網絡部署工業安全檢查工具,實現工業漏洞等的安全檢測。
4.6 主要防護設備清單(如表1所示)
表1 主要防護設備清單
5 結束語
本文只粗略介紹了江心洲廠工業防護2.0的大概設計情況,工業防護的設計應根據各自的控制系統平臺、配置的設備等不同情況,同時應對不同業主需求,進行不同的配置。隨著國家對安全防護的要求越來越嚴格,工業防護2.0、3.0或以上版本會得到越來越廣泛的應用。
參考文獻:
[1] 饒志宏,蘭昆,浦石.工業SCADA系統信息安全技術[M].北京:國防工業出版社,2014,5.
[2] 工業和信息化部.工業控制系統信息安全防護指南[Z].2016.
[3] GB/T 22239-2019,信息安全技術 網絡系統安全等級保護基本要求[S].
[4] GB/T 25058-2010,信息安全技術 信息系統安全等級保護實施指南[S].
[5] GB/T 25070-2019,信息安全技術 網絡安全等級保護安全設計技術要求[S].
作者簡介:
劉忠祥(1964-),男,山東棲霞人,高級工程師,本科,現就職于中國市政工程華北設計研究總院有限公司,主要從事給水、排水工程自動化系統的設計與研究。
劉 杰(1971-),男,山東萊州人,教授級高級工程師,本科,現任中國市政工程華北設計研究總院有限公司第一設計研究院副總工程師,主要從事電氣及自動化方面的設計研究工作。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號