水利行業(yè)解決方案

2019年8月水利部網(wǎng)信辦組織制定了《水利網(wǎng)絡(luò)安全管理辦法(試行)》，《辦法》為水利行業(yè)網(wǎng)絡(luò)安全強(qiáng)監(jiān)管提供準(zhǔn)則和依據(jù)，是健全水利網(wǎng)絡(luò)安全保障體系、提升水利網(wǎng)絡(luò)安全防護(hù)能力的重要舉措。

《辦法》突出問(wèn)題導(dǎo)向，對(duì)于2019年水利部攻防演練發(fā)現(xiàn)的41.5%屬于信息化項(xiàng)目規(guī)劃建設(shè)階段沒(méi)有同步落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求留下的問(wèn)題，以及58.5%屬于運(yùn)行階段管理不到位造成的問(wèn)題，明確了具有針對(duì)性、有效性的解決措施。同時(shí)，《辦法》通過(guò)“網(wǎng)絡(luò)安全規(guī)劃建設(shè)”“網(wǎng)絡(luò)運(yùn)行安全”兩章，明確具體任務(wù)、責(zé)任單位，建立了信息系統(tǒng)全生命周期安全管控規(guī)范，有效解決上述問(wèn)題，確?！掇k法》實(shí)用、管用。葉建春副部長(zhǎng)強(qiáng)調(diào)要加大《辦法》的執(zhí)行力度，要求部網(wǎng)信辦近期選擇部分部直屬單位開(kāi)展網(wǎng)絡(luò)安全滲透測(cè)試，對(duì)滲透測(cè)試發(fā)現(xiàn)的問(wèn)題，在通報(bào)整改的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查，依據(jù)《辦法》進(jìn)行責(zé)任追究。

安全隱患

● 區(qū)域邊界不夠清晰

目前對(duì)水利工業(yè)系統(tǒng)的信息安全防護(hù)高度依賴(lài)隔離方式，如物理上的網(wǎng)絡(luò)孤島、密碼門(mén)禁等。但對(duì)現(xiàn)地測(cè)控系統(tǒng)、遠(yuǎn)程監(jiān)控系統(tǒng)、實(shí)時(shí)控制系統(tǒng)和非實(shí)時(shí)監(jiān)控系統(tǒng)間的隔離做的不夠充分，也不夠細(xì)致。

● 水利工業(yè)系統(tǒng)的定級(jí)工作尚未執(zhí)行

水利調(diào)研中，已經(jīng)對(duì)系統(tǒng)的重要性和安全事件時(shí)產(chǎn)生的危害進(jìn)行了評(píng)估，但尚未開(kāi)展定級(jí)并落實(shí)基于安全等級(jí)的保護(hù)措施。

● 系統(tǒng)中存在較多漏洞且難以修復(fù)

根據(jù)摸底情況，發(fā)現(xiàn)目前在現(xiàn)場(chǎng)使用的多種控制器存在已知漏洞。而工業(yè)計(jì)算機(jī)，受限于兼容性和性能等原因，極少進(jìn)行補(bǔ)丁修復(fù)，一臺(tái)PC中存在數(shù)百個(gè)漏洞的情況非常普遍，任何一個(gè)漏洞的利用都可以導(dǎo)致越權(quán)訪問(wèn)和任意代碼執(zhí)行等惡劣影響，從而通過(guò)一個(gè)點(diǎn)的突破，對(duì)工業(yè)系統(tǒng)進(jìn)行嚴(yán)重的破壞。

● 系統(tǒng)風(fēng)險(xiǎn)的暴露面大

網(wǎng)絡(luò)暴露面大，且會(huì)繼續(xù)擴(kuò)大：在大型系統(tǒng)中，采用了多種類(lèi)型的傳輸方式，部分存在借用公共網(wǎng)絡(luò)的情況，大大的增加了數(shù)據(jù)及指令傳輸過(guò)程中被分析、竊取及篡改的機(jī)會(huì)。而在未來(lái)，越來(lái)越多的數(shù)據(jù)將會(huì)被更廣泛的開(kāi)放及利用，部分水利系統(tǒng)將會(huì)更廣泛的暴露在互聯(lián)網(wǎng)環(huán)境下。

● 未知威脅的數(shù)量大，影響難以發(fā)現(xiàn)

工業(yè)系統(tǒng)的網(wǎng)絡(luò)相對(duì)獨(dú)立，發(fā)生的攻擊事件相對(duì)較少且難以被發(fā)現(xiàn)。而隨著攻擊工業(yè)系統(tǒng)的商業(yè)價(jià)值、戰(zhàn)略?xún)r(jià)值被廣泛認(rèn)知，越來(lái)越多的惡意攻擊者開(kāi)始分析工業(yè)系統(tǒng)，導(dǎo)致大量的惡意漏洞被攻擊者掌握。

另一方面，人工智能等技術(shù)開(kāi)始在黑色產(chǎn)業(yè)中被使用，越來(lái)越多的攻擊具有高度的特異性，在防護(hù)難度上也會(huì)越來(lái)越大。

解決方案

某大型水利系統(tǒng)總體結(jié)構(gòu)

● 某水量調(diào)度系統(tǒng)，下轄大量的涵閘與泵站。分為5級(jí)遠(yuǎn)程監(jiān)控系統(tǒng)和現(xiàn)地控制系統(tǒng)。其中，5級(jí)遠(yuǎn)程系統(tǒng)分別為：第一級(jí)，總調(diào)中心；第二級(jí)，省分調(diào)中心；第三級(jí)，市局管理中心；第四級(jí)，縣局管理處管理機(jī)構(gòu)；第五級(jí)，閘管所等管理部門(mén)。

● 系統(tǒng)使用衛(wèi)星、鋪設(shè)光纖、微波、GPRS等進(jìn)行通信。在總調(diào)中心、分調(diào)中心和分中心分別建設(shè)星型三層以太網(wǎng)，接入通信通道；在管理處、縣局、閘管所采用兩層工業(yè)控制交換機(jī)接入通信通道，各控制區(qū)域采用二層工業(yè)控制交換機(jī)接入此區(qū)域內(nèi)的PLC和視頻編解碼器。

方案價(jià)值

● 合規(guī)避險(xiǎn)

滿足等保要求；規(guī)避法律風(fēng)險(xiǎn)。

● 運(yùn)維簡(jiǎn)單

設(shè)備、軟件統(tǒng)一運(yùn)維；支持Bypass，保障可用性?xún)?yōu)先。

● 安全有效

縱深安全體系多維聯(lián)動(dòng)；同時(shí)應(yīng)對(duì)已知問(wèn)題和未知風(fēng)險(xiǎn)。

● 支持運(yùn)營(yíng)

由被動(dòng)的維護(hù)變?yōu)橹鲃?dòng)經(jīng)營(yíng)；幫助安全服務(wù)能力持續(xù)提升。