珞安科技水务行业工控安全解决方案
首页
水务行业典型工控系统构成水务行业工业控制系统数量较多、功能及安全等级有差别
水务行业安全风险的五大误区水务行业的工控安全建设现状
全景化工控安全规划架构框架要点
遵循网络安全“三同步”原则,落实安全管理体系、安全技术体系、安全运营体系,有效支撑智慧工厂工业控制系统风险识别、安全分析、安全防护、监测预警、追踪溯源、事件处置、安全恢复能力的建设,为“合法合规、业防融合、全员参与、适度安全”等安全战略目标,持续提供动力。
框架可循环执行并进行持续改进。
净水厂工控网络安全等级保护解决方案
净水厂工控安全--安全区域边界/安全通信网络安全通信网络:部署工控安全审计系统,对生产网内的流量进行实时的监测审计,在发现异常流量行为时即使告警并记录。
物联安全边界接入:在存在外网物联接入智能设备的情况时,采用边缘代理+物联接入控制网关进行边界接入设计,提高计算效率的同时,保障接入通信安全和身份认证安全。
净水厂工控安全--安全计算环境/安全管理中心安全计算环境:在主机层面部署主机安全加固系统,从主机层面直接保障主机的运行安全,避免非法接入、非法操作、网络入侵、病毒感染等风险的发生。
安全管理中心:部署工控集中安全管理系统对全网的设备资产进行自主发现,统一管理,降低管理成本,提高管理效益,避免设备黑洞的情况发生,同时还能为态势感知提供足够的数据分析支持;部署工业安全管理和态势分析,统筹分析众多数据形成自主风险感知风险预知的能力,同时可为下一步的网络安全工作提供足够的分析数据支撑。
安全管理中心:
部署工控漏洞扫描系统做到对系统内的脆弱性进行自主了解和及时发现;
部署运维安全审计系统对生产网全网的用户行为进行管控和审计,避免越权行为和非法操作以及错误操作等风险;
部署日志审计与分析系统搜集和存储全网设备的各项日志信息,做到事件可记录可回溯的能力。
污水厂工控网络安全等级保护解决方案
污水厂工控安全--安全区域边界/安全通信网络安全区域边界:在上级接入网络或者横向接入网络的边界处部署工业隔离与信息交换系统,保障不同级别的外接网络信息交互的安全。
安全区域边界:污水处理系统存在很多外接的市政摄像头监控,那么他们的接入属于外网的接入,采用工业隔离与交换系统来进行边界的安全接入隔离。若涉及一些智能摄像头或者智能机器人设备的话,可增设边缘代理装置。
安全区域边界:生产网内部的大区边界部署工业防火墙来完成内部安全域的边界隔离防护,防止攻击跳跃、非法访问、非法外联、病毒蔓延等情况的发生。
安全通信网络:部署工控安全审计系统,对生产网内的流量进行实时的监测审计,在发现异常流量行为时即使告警并记录。
污水厂工控安全--安全计算环境/安全管理中心安全计算环境:在主机层面部署主机安全加固系统,从主机层面直接保障主机的运行安全,避免非法接入、非法操作、网络入侵、病毒感染等风险的发生。
安全管理中心:设计安全管理中心部署工控漏洞扫描系统做到对系统内的脆弱性进行自主了解和及时发现;部署运维安全审计系统对生产网全网的用户行为进行管控和审计,避免越权行为和非法操作以及错误操作等风险;
部署日志审计与分析系统搜集和存储全网设备的各项日志信息,做到事件可记录可回溯的能力;
部署工控集中安全管理系统对全网的设备资产进行自主发现,统一管理,降低管理成本,提高管理效益,避免设备黑洞的情况发生,同时还能为态势感知提供足够的数据分析支持;
部署工业安全管理与态势分析系统,统筹分析众多数据形成自主风险感知风险预知的能力,同时可为下一步的网络安全工作提供足够的分析数据支撑。
安全管理体系架构依据网络安全法、网络安全等级保护要求、工控安全防护指南等法律法规,梳理完善公司相应的领导机构,设置与业务需求相适应的管理机构,明确管理和工作人员,落实责任,梳理完善网络安全需要与业务工作相匹配、相平衡的安全管理制度,建设成严谨规范责任明确、科学合理的安全管理体系。
安全服务珞安科技从系统安全规划到持续安全运营,为客户提供全生命周期的安全保障服务。
系统渗透测试 风险问题识别 整改措施建议。
华南某水务公司工控安全案例华南某水务集团是集原水、自来水、污水处理、水环境综合治理、满洁能源、科技服务等多种业务于一体的水务全产业链大型服务运营商,投资运营水务项目110个服务全国超1亿人口,水处理规模达5899万吨/日,业务规、营收利润均位居国内同行前列。
该水务集团下属水厂于2019年投入运营,设计供水规模20万吨日,服务人口约45万人,水厂生产工艺先进创新,各项设备、设施完善,具备双水源、双电源供水保障,安全供水保障银力强、自动化水平高,水厂出厂水油度、综合单位电托常年优于国家和行业标准,有效保障群众生活生产用水,近年来,水厂持续提升精组化、标准化运营管理水平,以保障供水安全、创新驱动绿色发展为目标,全面订造“智慧水务”“低瑛水厂”。2023年建成智能投加药系统和智能管网漏损管理系统。与此同时,该水厂工控网络安全防护工作也紧跟其后,为智慧水务、工业自控系统保驾护航。
解决方案
区域边界隔离
企业网、工业环网与过程监控层之间部署工业防火墙,实现逻辑隔离,做到端口级、值域级的细粒度访问控制,做到三重加固,实现防护规则自学习及优化,从而把守好各区域“大门”。
主机安全防护
在操作员站、工程师站、服务器等设备部署工业主机安全卫士,从主机层面直接保障主机的运行安全,避免非法接入、非法操作、网络入侵、病毒感染等风险的发生;同时对移动存储介质进行有效管控,防止病毒通过“摆渡”形式入侵工业主机。
威胁和行为审计
工控网中部署工控安全审计系统和工控入侵检测系统,通过内置的工控协议深度解析引擎,实时监测工控网络中违规行为、异常流量和未知设备接入,让用户实时全面掌握工控网络安全运行状况;通过完整记录并留存工控网络流量,为事后取证和溯源分析提供依据。
日志和运维审计
部署日志审计与分析系统、运维安全审计系统,实现工控网络重要服务器、交换机、安全设备日志统一收集、分析和存储,实现用户访问IT 系统的认证入口集中化和统一化,以高强度认证方式保障整个IT系统登录和认证行为可管可控。
集中管理安全运营
部署工控集中安全管理系统,打通各类事件处置流程、监测预警、应急响应的运营流程,全方位全天候保障网络信息系统安全可靠,全面监测和阻断已知网络攻击和未知入侵渗透风险,防范来自内、外部多类型攻击。
华东某水务公司生产网络安全整改项目某水务公司日供水能力90万文方米,DN100以上供水营网总长600 多公里,供水区城覆盖全市城乡987.5平方公里,供水人口超过100万,供水规模,人均供水量及各项能耗指标在行业中处于领先地位,处于全国县级市供水行业前列。
该公司下属水厂的自动化生产,主要是使用工业控制系统检现场水质状况控制工艺设备运行 (如加药设备、水察机组、机组电气柜等),实现对现场实时数据采集与上传和工艺电控设备的调节控制功能,并按照工艺要求依次完成混凝反应、沉淀处理、过滤处理、滤后消毒、加压供水等环节,最终将纯净卫生的自来水可靠地送入干家万户。
该水厂网络系统的划分是根据生产业务流程设计的,并未过多考虑网络安全因素,导致企业管理网中的风险易渗透到工业生产网络中影响正常生产。
解决方案
安全边界隔离
在办公网和生产网之间以及生产网内部的大区边界部署工业防火墙,完成信息网和生产网以及生产网内部各安全域的边界隔离防护,通过访问控制,通信检测等手段,实现针对攻击跳跃、非法访问、非法外联、病毒蔓延等安全事件的有效阻断。
安全审计检测
在网络汇聚关键节点部署工控安全审计系统,对生产网内的流量进行实时的监测审计,在发现异常流量行为及时告警并记录;同时,充分利用审计系统内的威胁特征库,发现违规行为,及时告警,并进行数据的完整记录。
主机安全防护
在操作员站、工程师站、服务器等设备部署工业主机安全卫士,从主机层面直接保障主机的运行安全,避免非法接入、非法操作、网络入侵、病毒感染等风险的发生;同时对移动存储介质进行有效管控,防止病毒通过“摆渡”形式入侵工业主机。
安全集中管理
设计安全管理中心,部署工控集中安全管理系统对全网的安全设备资产进行自主发现,统一管理日志信息和策略信息,实现设备、策略、日志等安全数据的统一集中管理,降低管理成本,提高管理效率。
产品推荐
