国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

摘要：隨著國(guó)家對(duì)生態(tài)環(huán)境要求越來(lái)越嚴(yán)格，污水廠自動(dòng)化水平的不斷提高，以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用，污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置?！毒W(wǎng)絡(luò)安全法》中明確要求“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)”。

關(guān)鍵詞：污水廠；控制系統(tǒng)；網(wǎng)絡(luò)安全；系統(tǒng)防護(hù)

Abstract: With the increasingly strict requirements for the ecological environment, the continuous improvement of the automation level ofthesewageplant,aswellastheextensiveapplicationofdigital and information technology, the safety of the sewage plant control systemandeconomicinformationsecurityhavebeenputinavery importantposition. The "Networksecuritylaw" clearlyrequires that "theState implementsthenetworksecuritylevelprotection policy, and network operators shall perform the security protection obligations inaccordancewiththerequirementsofthenetwork security level protection system".

Key words:Sewage treatment plant;Control system;Cybersecurity;System protection

1 引言

隨著國(guó)家對(duì)生態(tài)環(huán)境要求越來(lái)越嚴(yán)格，污水廠自動(dòng)化水平的不斷提高，以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用，污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)?！薄皣?guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！?/p>

2 江心洲污水處理廠簡(jiǎn)介

江心洲污水處理廠是南京最大的污水處理廠，工程規(guī)模為67萬(wàn)m3/d，出水標(biāo)準(zhǔn)執(zhí)行一級(jí)A標(biāo)準(zhǔn)。處理后的水排放到長(zhǎng)江中，污水廠的運(yùn)行安全與否直接影響長(zhǎng)江的生態(tài)環(huán)境安全。為保證污水廠的安全運(yùn)行，防止網(wǎng)絡(luò)攻擊，污水廠控制系統(tǒng)安裝了一套工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)。

3 污水處理廠控制系統(tǒng)簡(jiǎn)述

江心洲污水廠自控系統(tǒng)分為三個(gè)層次，即就地設(shè)備層、車間控制層和調(diào)度監(jiān)控層。PLC及中控室監(jiān)控計(jì)算機(jī)之間通過(guò)100M/1000M TCP/IP光纖環(huán)網(wǎng)工業(yè)以太網(wǎng)進(jìn)行高速大容量數(shù)據(jù)交換；調(diào)度監(jiān)控層各節(jié)點(diǎn)通過(guò)交換機(jī)構(gòu)成星型以太網(wǎng)，采用SERVER/CLIENT結(jié)構(gòu)。

江心洲污水廠自控系統(tǒng)采用“集中監(jiān)控、管理，分散控制”的集散型系統(tǒng)。調(diào)度監(jiān)控層系統(tǒng)由二臺(tái)歷史服務(wù)器（雙機(jī)熱備）、二臺(tái)數(shù)據(jù)采集服務(wù)器（雙機(jī)容錯(cuò)、熱備）、三臺(tái)中控室監(jiān)控計(jì)算機(jī)、一個(gè)工程師站、打印、報(bào)表服務(wù)器和分區(qū)控制分站組成本工程實(shí)時(shí)控制工業(yè)以太網(wǎng)絡(luò)，如中控室監(jiān)控計(jì)算機(jī)故障，各現(xiàn)場(chǎng)分站仍能獨(dú)立和穩(wěn)定工作，從根本上提高了系統(tǒng)的可靠性。同時(shí)采用以PLC為主構(gòu)成的集散型系統(tǒng)，有較高的性價(jià)比。

監(jiān)控系統(tǒng)采用現(xiàn)場(chǎng)PLC，配備先進(jìn)的上位機(jī)軟件。在污水廠中央控制室設(shè)置三臺(tái)計(jì)算機(jī)作為操作員站。自控系統(tǒng)按照C/S架構(gòu)的開發(fā)與部署模式，系統(tǒng)實(shí)現(xiàn)的主要功能有遠(yuǎn)程監(jiān)視管理系統(tǒng)、生產(chǎn)運(yùn)行管理系統(tǒng)、信息報(bào)表管理系統(tǒng)、設(shè)備資產(chǎn)管理系統(tǒng)、能源監(jiān)測(cè)系統(tǒng)、報(bào)警信息管理、數(shù)據(jù)運(yùn)行質(zhì)量分析、專家系統(tǒng)、系統(tǒng)管理、移動(dòng)App查詢。

污水廠控制系統(tǒng)如圖1所示。

圖1 污水廠控制系統(tǒng)示意圖

4 污水廠工業(yè)安全防護(hù)系統(tǒng)的設(shè)計(jì)簡(jiǎn)介

為保護(hù)污水廠自控系統(tǒng)的安全，本設(shè)計(jì)方案設(shè)計(jì)了一套完整的計(jì)算機(jī)信息安全防護(hù)系統(tǒng)。

4.1 工業(yè)安全的重要性及必要性

近年來(lái)，針對(duì)工業(yè)控制系統(tǒng)的攻擊已經(jīng)頻繁出現(xiàn)并造成了嚴(yán)重的影響，進(jìn)行工業(yè)控制系統(tǒng)的防護(hù)是非常必要的。

4.2 自控系統(tǒng)信息防護(hù)設(shè)計(jì)目標(biāo)

（1）滿足合規(guī)

依據(jù)國(guó)家等級(jí)保護(hù)要求及安全防護(hù)指南，結(jié)合物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)計(jì)算環(huán)境、安全管理層面等存在的安全風(fēng)險(xiǎn)，為安全整改和建設(shè)規(guī)劃提供有力的依據(jù)。

（2）整體防護(hù)

針對(duì)已發(fā)現(xiàn)安全風(fēng)險(xiǎn)和潛在安全威脅，結(jié)合現(xiàn)有成熟技術(shù)進(jìn)行工控網(wǎng)絡(luò)安全整改與建設(shè)，重點(diǎn)從網(wǎng)絡(luò)安全域劃分及訪問(wèn)控制、網(wǎng)絡(luò)安全監(jiān)測(cè)及審計(jì)、主機(jī)安全防護(hù)、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。

（3）持續(xù)運(yùn)營(yíng)

以工業(yè)安全態(tài)勢(shì)感知平臺(tái)作為工業(yè)安全集中管理中心，通過(guò)外部情報(bào)、行業(yè)情報(bào)、內(nèi)部情報(bào)及各類日志進(jìn)行綜合建模分析，結(jié)合AI技術(shù)對(duì)網(wǎng)絡(luò)中存在的異常情況、未來(lái)可能的攻擊行為等進(jìn)行捕捉研判。以更強(qiáng)風(fēng)險(xiǎn)感知和識(shí)別能力為基礎(chǔ)，綜合的管理風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)，實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全能力的可持續(xù)運(yùn)營(yíng)。

4.3 方案設(shè)計(jì)依據(jù)

針對(duì)水務(wù)工業(yè)控制系統(tǒng)基于等級(jí)保護(hù)二級(jí)的安全防護(hù)方案編制，遵循依據(jù)如下：

（1）《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

（2）GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

（3）GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

（4）GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)基本要求》

（5）GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

（6）GB/T25070-2019《信息技術(shù)安全網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》

4.4 方案設(shè)計(jì)思路

鑒于本污水廠工業(yè)控制系統(tǒng)在市政工程中的重要性，結(jié)合公安部網(wǎng)監(jiān)和業(yè)主的要求，并參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，本項(xiàng)目工業(yè)控制系統(tǒng)信息安全保護(hù)等級(jí)定為二級(jí)，污水廠工業(yè)控制系統(tǒng)信息安全建設(shè)方案也參照等級(jí)保護(hù)二級(jí)基本要求進(jìn)行差異分析和安全建設(shè)。

圖2 基于合規(guī)的安全防護(hù)拓?fù)湓O(shè)計(jì)示意圖

為實(shí)現(xiàn)污水廠自控系統(tǒng)安全合規(guī)的建設(shè)需求，我們建議參考圖2所示拓?fù)湟胍幌盗邪踩浻布M(jìn)行安全防護(hù)，具體包括：

（1）工業(yè)防火墻：采用串接形式部署的硬件設(shè)備，基于工業(yè)現(xiàn)場(chǎng)特點(diǎn)和工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行設(shè)計(jì)，對(duì)工業(yè)控制系統(tǒng)進(jìn)行細(xì)粒度的安全域劃分，利用深度工業(yè)識(shí)別技術(shù)和AI技術(shù)防止?jié)撛诘墓粜袨閷?duì)系統(tǒng)造成破壞。

（2）工業(yè)審計(jì)系統(tǒng)：采用旁路鏡像部署的硬件設(shè)備，起到對(duì)工業(yè)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)進(jìn)行入侵檢測(cè)和事后日志審計(jì)的作用，對(duì)邊界防護(hù)難以識(shí)別的內(nèi)部流向交互風(fēng)險(xiǎn)進(jìn)行識(shí)別、預(yù)警和日志留存。

（3）工業(yè)衛(wèi)士：軟件產(chǎn)品，部署于操作員站和業(yè)務(wù)服務(wù)器，通過(guò)嚴(yán)格的設(shè)備管控防止未授權(quán)操作和惡意代碼攻擊事件的發(fā)生。

（4）工業(yè)漏洞掃描：部署于安全管理區(qū)域，對(duì)全網(wǎng)資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行識(shí)別，便于掌握現(xiàn)場(chǎng)真實(shí)的脆弱性情況，指導(dǎo)總體風(fēng)險(xiǎn)緩解機(jī)制的指定和詳細(xì)安全策略設(shè)計(jì)。

（5）安全監(jiān)管平臺(tái)：部署于安全管理區(qū)域，是污水廠工控系統(tǒng)的安全管理中心，起到統(tǒng)一的策略配置運(yùn)維、日志審計(jì)、報(bào)表分析等作用；將孤立的安全防護(hù)手段串聯(lián)起來(lái)，是實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)安全防護(hù)效果的指揮中心。

4.5 防護(hù)設(shè)備部署描述

（1）在互聯(lián)網(wǎng)邊界部署傳統(tǒng)防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界訪問(wèn)控制；監(jiān)控網(wǎng)絡(luò)邊界部署傳統(tǒng)防火墻，實(shí)現(xiàn)監(jiān)控網(wǎng)絡(luò)到業(yè)務(wù)網(wǎng)絡(luò)間的訪問(wèn)控制。

（2）業(yè)務(wù)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)之間部署工業(yè)網(wǎng)閘，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)與工控網(wǎng)絡(luò)的物理隔離。

（3）在工業(yè)網(wǎng)絡(luò)內(nèi)部，PLC與后端設(shè)備間部署工業(yè)審計(jì)，實(shí)現(xiàn)工控行為的審計(jì)記錄。

（4）在PLC與工業(yè)網(wǎng)絡(luò)核心交換機(jī)間部署工業(yè)防火墻，實(shí)現(xiàn)工業(yè)協(xié)議的訪問(wèn)控制。

（5）在工業(yè)網(wǎng)絡(luò)工程師站前端部署工業(yè)防火墻，實(shí)現(xiàn)工業(yè)協(xié)議的訪問(wèn)控制。

（6）在工業(yè)網(wǎng)絡(luò)終端上部署工業(yè)衛(wèi)士，實(shí)現(xiàn)終端的白名單安全防護(hù)。

（7）工業(yè)網(wǎng)絡(luò)核心交換機(jī)上部署工業(yè)監(jiān)管平臺(tái)，實(shí)現(xiàn)工業(yè)設(shè)備的集中監(jiān)管。

（8）在工業(yè)網(wǎng)絡(luò)部署工業(yè)安全檢查工具，實(shí)現(xiàn)工業(yè)漏洞等的安全檢測(cè)。

4.6 主要防護(hù)設(shè)備清單（如表1所示）

表1 主要防護(hù)設(shè)備清單

5 結(jié)束語(yǔ)

本文只粗略介紹了江心洲廠工業(yè)防護(hù)2.0的大概設(shè)計(jì)情況，工業(yè)防護(hù)的設(shè)計(jì)應(yīng)根據(jù)各自的控制系統(tǒng)平臺(tái)、配置的設(shè)備等不同情況，同時(shí)應(yīng)對(duì)不同業(yè)主需求，進(jìn)行不同的配置。隨著國(guó)家對(duì)安全防護(hù)的要求越來(lái)越嚴(yán)格，工業(yè)防護(hù)2.0、3.0或以上版本會(huì)得到越來(lái)越廣泛的應(yīng)用。

參考文獻(xiàn)：

[1] 饒志宏,蘭昆,浦石.工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M].北京：國(guó)防工業(yè)出版社,2014,5.

[2] 工業(yè)和信息化部.工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z].2016.

[3] GB/T 22239-2019,信息安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[4] GB/T 25058-2010,信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].

[5] GB/T 25070-2019,信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].

作者簡(jiǎn)介：

劉忠祥（1964-），男，山東棲霞人，高級(jí)工程師，本科，現(xiàn)就職于中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司，主要從事給水、排水工程自動(dòng)化系統(tǒng)的設(shè)計(jì)與研究。

劉　杰（1971-），男，山東萊州人，教授級(jí)高級(jí)工程師，本科，現(xiàn)任中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司第一設(shè)計(jì)研究院副總工程師，主要從事電氣及自動(dòng)化方面的設(shè)計(jì)研究工作。

摘自《自動(dòng)化博覽》2020年2月刊