国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

摘要：隨著國家對生態(tài)環(huán)境要求越來越嚴(yán)格，污水廠自動化水平的不斷提高，以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用，污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置?！毒W(wǎng)絡(luò)安全法》中明確要求“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)”。

關(guān)鍵詞：污水廠；控制系統(tǒng)；網(wǎng)絡(luò)安全；系統(tǒng)防護(hù)

Abstract: With the increasingly strict requirements for the ecological environment,the continuous improvement of the automation level of the sewage plant, as well as the extensive application of digital and information technology, the safety of the sewage plant control system and economic information security have been put in a very important position. The "Network security law" clearly requires that "the State implements the network security level protection policy, and network operators shall perform the security protection obligations in accordance with the requirements of the network security level protection system".

Key words: Sewage treatment plant; Control system; Cybersecurity; System protection

1　引言

隨著國家對生態(tài)環(huán)境要求越來越嚴(yán)格，污水廠自動化水平的不斷提高，以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用，污水廠控制系統(tǒng)的安全及經(jīng)濟(jì)信息安全被提到非常重要的位置?！毒W(wǎng)絡(luò)安全法》中明確要求“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)?！薄皣覍餐ㄐ藕托畔⒎?wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點(diǎn)保護(hù)?！?/p>

2　江心洲污水處理廠簡介

江心洲污水處理廠是南京最大的污水處理廠，工程規(guī)模為67萬m 3/d，出水標(biāo)準(zhǔn)執(zhí)行一級A標(biāo)準(zhǔn)。處理后的水排放到長江中，污水廠的運(yùn)行安全與否直接影響長江的生態(tài)環(huán)境安全。為保證污水廠的安全運(yùn)行，防止網(wǎng)絡(luò)攻擊，污水廠控制系統(tǒng)安裝了一套工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)。

3　污水處理廠控制系統(tǒng)簡述

江心洲污水廠自控系統(tǒng)分為三個層次，即就地設(shè)備層、車間控制層和調(diào)度監(jiān)控層。PLC及中控室監(jiān)控計算機(jī)之間通過100M/1000M TCP/IP光纖環(huán)網(wǎng)工業(yè)以太網(wǎng)進(jìn)行高速大容量數(shù)據(jù)交換；調(diào)度監(jiān)控層各節(jié)點(diǎn)通過交換機(jī)構(gòu)成星型以太網(wǎng)，采用SERVER/CLIENT結(jié)構(gòu)。

江心洲污水廠自控系統(tǒng)采用“集中監(jiān)控、管理，分散控制”的集散型系統(tǒng)。調(diào)度監(jiān)控層系統(tǒng)由二臺歷史服務(wù)器（雙機(jī)熱備）、二臺數(shù)據(jù)采集服務(wù)器（雙機(jī)容錯、熱備）、三臺中控室監(jiān)控計算機(jī)、一個工程師站、打印、報表服務(wù)器和分區(qū)控制分站組成本工程實時控制工業(yè)以太網(wǎng)絡(luò)，如中控室監(jiān)控計算機(jī)故障，各現(xiàn)場分站仍能獨(dú)立和穩(wěn)定工作，從根本上提高了系統(tǒng)的可靠性。同時采用以PLC為主構(gòu)成的集散型系統(tǒng)，有較高的性價比。

監(jiān)控系統(tǒng)采用現(xiàn)場PLC，配備先進(jìn)的上位機(jī)軟件。在污水廠中央控制室設(shè)置三臺計算機(jī)作為操作員站。自控系統(tǒng)按照C/S架構(gòu)的開發(fā)與部署模式，系統(tǒng)實現(xiàn)的主要功能有遠(yuǎn)程監(jiān)視管理系統(tǒng)、生產(chǎn)運(yùn)行管理系統(tǒng)、信息報表管理系統(tǒng)、設(shè)備資產(chǎn)管理系統(tǒng)、能源監(jiān)測系統(tǒng)、報警信息管理、數(shù)據(jù)運(yùn)行質(zhì)量分析、專家系統(tǒng)、系統(tǒng)管理、移動APP查詢。

污水廠控制系統(tǒng)如圖1所示。

圖1 污水廠控制系統(tǒng)示意圖

4　污水廠工業(yè)安全防護(hù)系統(tǒng)的設(shè)計簡介

為保護(hù)污水廠自控系統(tǒng)的安全，本設(shè)計方案設(shè)計了一套完整的計算機(jī)信息安全防護(hù)系統(tǒng)。

4.1　工業(yè)安全的重要性及必要性

近年來，針對工業(yè)控制系統(tǒng)的攻擊已經(jīng)頻繁出現(xiàn)并造成了嚴(yán)重的影響，進(jìn)行工業(yè)控制系統(tǒng)的防護(hù)是非常必要的。

4.2　自控系統(tǒng)信息防護(hù)設(shè)計目標(biāo)

（1）滿足合規(guī)

依據(jù)國家等級保護(hù)要求及安全防護(hù)指南，結(jié)合物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)計算環(huán)境、安全管理層面等存在的安全風(fēng)險，為安全整改和建設(shè)規(guī)劃提供有力的依據(jù)。

（2）整體防護(hù)

針對已發(fā)現(xiàn)安全風(fēng)險和潛在安全威脅，結(jié)合現(xiàn)有成熟技術(shù)進(jìn)行工控網(wǎng)絡(luò)安全整改與建設(shè)，重點(diǎn)從網(wǎng)絡(luò)安全域劃分及訪問控制、網(wǎng)絡(luò)安全監(jiān)測及審計、主機(jī)安全防護(hù)、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。

（3）持續(xù)運(yùn)營

以工業(yè)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心，通過外部情報、行業(yè)情報、內(nèi)部情報及各類日志進(jìn)行綜合建模分析，結(jié)合AI技術(shù)對網(wǎng)絡(luò)中存在的異常情況、未來可能的攻擊行為等進(jìn)行捕捉研判。以更強(qiáng)風(fēng)險感知和識別能力為基礎(chǔ)，綜合的管理風(fēng)險、應(yīng)對風(fēng)險，實現(xiàn)工業(yè)控制系統(tǒng)安全能力的可持續(xù)運(yùn)營。

4.3　方案設(shè)計依據(jù)

針對水務(wù)工業(yè)控制系統(tǒng)基于等級保護(hù)二級的安全防護(hù)方案編制，遵循依據(jù)如下：

（1）《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

（2）GB 17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

（3）GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

（4）GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)系統(tǒng)安全等級保護(hù)基本要求

（5）GB/T 25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南

（6）GB/T 25070-2019信息技術(shù)安全網(wǎng)絡(luò)安全等級保護(hù)設(shè)計技術(shù)要求

4.4　方案設(shè)計思路

鑒于本污水廠工業(yè)控制系統(tǒng)在市政工程中的重要性，結(jié)合公安部網(wǎng)監(jiān)和業(yè)主的要求，并參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》，本項目工業(yè)控制系統(tǒng)信息安全保護(hù)等級定為二級，污水廠工業(yè)控制系統(tǒng)信息安全建設(shè)方案也參照等級保護(hù)二級基本要求進(jìn)行差異分析和安全建設(shè)。

為實現(xiàn)污水廠自控系統(tǒng)安全合規(guī)的建設(shè)需求，我們建議參考圖2所示拓?fù)湟胍幌盗邪踩浻布M(jìn)行安全防護(hù)，具體包括：

圖2 基于合規(guī)的安全防護(hù)拓?fù)湓O(shè)計示意

（1）工業(yè)防火墻：采用串接形式部署的硬件設(shè)備，基于工業(yè)現(xiàn)場特點(diǎn)和工業(yè)控制系統(tǒng)安全風(fēng)險進(jìn)行設(shè)計，對工業(yè)控制系統(tǒng)進(jìn)行細(xì)粒度的安全域劃分，利用深度工業(yè)識別技術(shù)和AI技術(shù)防止?jié)撛诘墓粜袨閷ο到y(tǒng)造成破壞。

（2）工業(yè)審計系統(tǒng)：采用旁路鏡像部署的硬件設(shè)備，起到對工業(yè)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)進(jìn)行入侵檢測和事后日志審計的作用，對邊界防護(hù)難以識別的內(nèi)部流向交互風(fēng)險進(jìn)行識別、預(yù)警和日志留存。

（3）工業(yè)衛(wèi)士：軟件產(chǎn)品，部署于操作員站和業(yè)務(wù)服務(wù)器，通過嚴(yán)格的設(shè)備管控防止未授權(quán)操作和惡意代碼攻擊事件的發(fā)生。

（4）工業(yè)漏洞掃描：部署于安全管理區(qū)域，對全網(wǎng)資產(chǎn)和風(fēng)險進(jìn)行識別，便于掌握現(xiàn)場真實的脆弱性情況，指導(dǎo)總體風(fēng)險緩解機(jī)制的指定和詳細(xì)安全策略設(shè)計。

（5）安全監(jiān)管平臺：部署于安全管理區(qū)域，是污水廠工控系統(tǒng)的安全管理中心，起到統(tǒng)一的策略配置運(yùn)維、日志審計、報表分析等作用；將孤立的安全防護(hù)手段串聯(lián)起來，是實現(xiàn)協(xié)同聯(lián)動安全防護(hù)效果的指揮中心。

4.5　防護(hù)設(shè)備部署描述

（1）在互聯(lián)網(wǎng)邊界部署傳統(tǒng)防火墻，實現(xiàn)網(wǎng)絡(luò)邊界訪問控制；監(jiān)控網(wǎng)絡(luò)邊界部署傳統(tǒng)防火墻，實現(xiàn)監(jiān)控網(wǎng)絡(luò)到業(yè)務(wù)網(wǎng)絡(luò)間的訪問控制；

（2）業(yè)務(wù)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)之間部署工業(yè)網(wǎng)閘，實現(xiàn)業(yè)務(wù)網(wǎng)與工控網(wǎng)絡(luò)的物理隔離；

（3）在工業(yè)網(wǎng)絡(luò)內(nèi)部，PLC與后端設(shè)備間部署工業(yè)審計，實現(xiàn)工控行為的審計記錄；

（4）在PLC與工業(yè)網(wǎng)絡(luò)核心交換機(jī)間部署工業(yè)防火墻，實現(xiàn)工業(yè)協(xié)議的訪問控制；

（5）在工業(yè)網(wǎng)絡(luò)工程師站前端部署工業(yè)防火墻，實現(xiàn)工業(yè)協(xié)議的訪問控制；

（6）在工業(yè)網(wǎng)絡(luò)終端上部署工業(yè)衛(wèi)士，實現(xiàn)終端的白名單安全防護(hù)；

（7）工業(yè)網(wǎng)絡(luò)核心交換機(jī)上部署工業(yè)監(jiān)管平臺，實現(xiàn)工業(yè)設(shè)備的集中監(jiān)管；

（8）在工業(yè)網(wǎng)絡(luò)部署工業(yè)安全檢查工具，實現(xiàn)工業(yè)漏洞等的安全檢測。

4.6　主要防護(hù)設(shè)備清單（如表 1所示）

表1主要防護(hù)設(shè)備清單

5　結(jié)束語

本文只粗略介紹了江心洲廠工業(yè)防護(hù)2.0的大概設(shè)計情況，工業(yè)防護(hù)的設(shè)計應(yīng)根據(jù)各自的控制系統(tǒng)平臺、配置的設(shè)備等不同情況，同時應(yīng)對不同業(yè)主需求，進(jìn)行不同的配置。隨著國家對安全防護(hù)的要求越來越嚴(yán)格，工業(yè)防護(hù)2.0、3.0或以上版本會得到越來越廣泛的應(yīng)用。

作者簡介

劉忠祥（1964-），男，山東棲霞人，高級工程師，本科，現(xiàn)就職于中國市政工程華北設(shè)計研究總院有限公司，主要從事給水、排水工程自動化系統(tǒng)的設(shè)計與研究。

劉　杰（1971-），男，山東萊州人，教授級高級工程師，本科，現(xiàn)任中國市政工程華北設(shè)計研究總院有限公司第一設(shè)計研究院副總工程師，主要從事電氣及自動化方面的設(shè)計研究工作。

參考文獻(xiàn)：

[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M]. 北京：國防工業(yè)出版社, 2014, 5.

[2] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016.

[3] GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)安全等級保護(hù)基本要求[S].

[4] GB/T 25058-2010, 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南[S].

[5] GB/T 25070-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求[S].

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ诹嫞?/span>