一、背景
“十四五”國家資訊化規劃,明確推進智慧水利建設。需要不斷完善江流湖泊監測體系,加速水文、水資源等重要水利資料有序共享,以及水情測報和智慧排程能力。
網路安全作為智慧水利發展的安全基石,水利部發布的《水利網信水平提升三年行動方案(2019-2021年)》《水利網路安全管理辦法》《2020年水利網信工作要點》《關於大力推進智慧水利建設的指導意見》等檔案,對網路安全都有明確要求。
二、智慧水利
智慧水利利用物聯網、大資料、雲端計算、人工智慧等新一代資訊科技,不斷深化包括洪水、乾旱、水利工程執行、水利工程建設、水資源開發利用、城鄉供水、節水、江河湖泊、水土流失、水利監督等十大業務場景,以構建天空地一體化水利感知網、水利資訊網、智慧水利大腦(一雲:由國家、流域一級雲節點和31個省級二級雲節點共同構成;一池:指資料資源池,由水利部、流域及省級資料中心構成;兩平臺:應用支撐平臺和智慧使能平臺)為基礎,建設水利智慧應用。
三、安全風險
根據智慧水利總體方案(徵求意見稿)以及調研發現,主要存在以下安全風險:
1)感知終端裝置物理防護差。水情、旱情的感知終端物理分散、偏僻,無人值守,通常採用簡易箱體保護,易破壞;
2)網路邊界模糊,缺失訪問控制措施。天空地一體化水利感知網,水利資訊網,互聯互通,網路邊界模糊,缺少訪問控制措施;感知網採用GPRS/3G/4G等無線進行通訊,容易被不法分子利用;
3)無法實時感知水利工程安全執行狀態。水利工程設施工控網路中異常行為、入侵行為、漏洞利用,網路攻擊等以及違規操作、關鍵操作等無法實時感知;
4)水利設施的主機“裸奔,帶病執行”。工控主機(操作員站、工程師站、SCADA伺服器等)無惡意程式碼防護機制,防毒軟體裝不上、誤殺、不更新,移動儲存介質亂用,安全配置基線缺失;
5)部分水利設施存在網際網路遠端運維。利用網際網路運維工具,如向日葵、VNC、Teamviever等工具,遠端運維,無管控措施;
6)水利關鍵資訊基礎設施資產家底不清楚。水利工程設施執行多年,第三方運維,資產(硬體、軟體、拓撲、配置等)多數發生變化,不更新,與臺賬不對應,相關人員對資產情況不清楚;
7)物聯感知裝置暴露面增大。水利智慧感知裝置、無人機、遙控船、機器人等天地一體化感知終端裝置逐漸暴露在網際網路,為攻擊者提供便利條件;
8)重要核心資料存在洩露風險。如重大水利工程、水庫大壩精準位置座標資料、水位線、水文水資源分佈資料等涉及民生安全、國家安全的重要資料和核心資料,無防護手段,存在洩露風險;
9)雲平臺安全風險。水利雲平臺微服務元件缺乏安全設計,安全防護措施弱,容器映象缺乏檢測與管理,虛擬機器逃逸,介面呼叫缺少安全認證等問題突出;
10)安全管理弱。相關人員網路安全意識薄弱,網路安全組織、崗位、人員、職責、制度等普遍缺失或不成體系。
四、綠盟智慧水利安全解決方案
在國家法律法規、政策、標準的框架體系下,依據《工業控制系統資訊保安防護指南》和《資訊保安技術 網路安全等級保護基本要求》的要求,綠盟科技從技術、管理兩個方面構建縱深防禦體系,達到有效防護、全面監測、及時響應的防護效果。
安全技術架構圖
水利感知網安全防護
在水文站、報訊站、旱情監測站、墒情監測站以及工情監測站點部署邊緣計算安全閘道器裝置;在水情中心、旱情中心以及工情中心部署邊緣計算安全閘道器伺服器。閘道器裝置透過工業協議(MODBUS、OPC、S7等)對各監測站點進行資料採集、處理,然後將處理後的資料透過加密隧道(SM2/SM3/SM4)傳輸到閘道器伺服器,完成對無線公網(GPRS/3G/4G)通訊鏈路的安全防護。在水情中心、旱情中心以及工情中心網路出口部署防火牆,進行邊界防護與訪問控制防護。同時,監測主機部署主機衛士系統,對主機的服務、程式、可執行指令碼、埠、外設進行白名單機制保護,抵禦未知威脅。
水利工程工控網安全防護
在水利工程工控網與辦公網之間部署工業網閘,只有水利工程執行資料從工控網傳輸到辦公網,禁止辦公網違規訪問生產網,實現兩網之間安全隔離。
在工控系統之間部署工業防火牆,對工業協議進行2-7層拆包深度學習、建模,對讀、寫控制以及值域、閾值等進行控制,實現對工業協議的完整性保護。
在關鍵流量節點處,部署工控安全審計系統,對違規操作、誤操作以及關鍵操作(如下載、上傳、組態變更以及CPU啟停)等操作行為實時監測,實時瞭解生產網路的安全狀態。在關鍵流量節點處,部署工控入侵檢測,對工控網路中存在的異常威脅、工控漏洞利用行為、惡意攻擊實時檢測。
對全線的工業主機(操作員站、工程師站、SCADA伺服器)進行白名單防護,抵禦未知威脅。
建立安全管理中心,進行安全運維、漏洞管理、日誌集中採集、態勢感知等集中管理與預警。
水利部及流域、省級雲平臺防護
在水利部及流域、省級雲平臺主機部署容器安全管理系統,雲WAF、雲漏掃、雲主機防護等產品,實現對水利部、流域一級雲節點和31個省級二級雲節點的安全防護,保障水資源、水災害、水生態/水環境、水工程、水監督、水行政和水公共服務等智慧應用安全穩定執行。
水利部及流域、省級資料安全防護
在水利部及流域、省級資料中心部署資料安全產品,如資料資產識別探針、資料庫審計,防洩露、資料流轉監測、全流量分析探針等產品。綜合多種監測手段進行聯動分析,對資料流轉、資產漏洞、資料異常、資料洩露以及網路攻擊進行檢測,實時監測資料資產的網路攻擊事件,防止重要水文資料外洩。對資料產生、傳輸、儲存、共享、處理、銷燬全生命週期進行安全監管,提升事前預防、事中感知、事後審計及追查的綜合防控能力,最終實現對部級、流域和省級資料中心的安全防護。
安全管理設計
首先,進行組織治理。明確網路安全負責人和管理組織,企業主要負責人是網路安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網路安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級檔案的網路安全方針、戰略;二級檔案的管理規定、辦法;三級檔案的操作流程、規範、作業指導書、模板等;四級檔案的各類表單、記錄日誌、報告等。最後,將制度檔案進行評審、修訂、釋出、執行等管理。
五、客戶價值
1)全面提升智慧水利網路安全合規性,滿足國家主管部門、行業監管部門以及上級單位的安全防護要求;
2)全面提升智慧水利從感知網、工控網以及資訊網的安全防護與監測預警能力,助力水利數字化轉型升級,護航水利基礎設施安全穩定執行;
3)全面提升智慧水利相關業務人員的安全意識、安全技術水平和安全管理水平。