水务行业是指由原水、净水、管网、供水、节水、排水、污水处理及水资源回收利用等构成的产业链;是在中国乃至世界上所有国家和地区最重要的城市基本服务行业之一,日常的生产、生活都离不开城市供水。
水务行业在其生产各环节涉及以下工业控制系统:
1) 原水供应环节:水库监控系统、泵站自动化监控系统;
2) 自来水制水环节:水厂自动化生产控制系统;
3) 自来水供水环节:供水调度系统;
4) 防汛排水环节:城市防汛排涝监控系统;
5) 供水管网环节:泵站监控系统;
6) 污水处理环节:污水及再生水自动化控制系统;
7) 污泥处置环节:餐饮垃圾预处理与污泥预处理系统(餐饮垃圾预处理主要内容为分选、打浆与提油,污泥预处理主要为热水解);
8) 海绵城市建设:海绵城市在线监测系统。
近年来,国内外网络安全形式日趋严峻,针对水务行业工业控制系统的网络安全攻击时有发生,2020年4月,以色列供水部门的工业控制系统遭受大规模网络攻击,以色列国家网络管理局负责人表示“网络空间的寒冬正在到来”。此外,随着我国《网络安全法》、《数据安全法》、“等级保护2.0”和《关键信息基础设施安全保护条例》等法律法规的发布,水务行业网络安全合规建设势在必行。2016年7月,中央网信办颁布的《关键信息基础设施确定指南》(试行)中指出水利枢纽运行及管控、长距离输水管控、城市水源地管控,市政的水供应管理、污水处理等为关键业务,达到一定规模所运行的系统即为关键信息基础设施。
天融信结合在水务行业的项目经验,从管理和技术两个方面分析水务行业工业控制系统所面临的安全问题,并提出对应整改建议。
01 管理侧存在的问题
问题 1答:未形成完善的网络安全管理体系
在网络安全工作中,管理体系建设和技术防护体系建设需两者兼备,一个行之有效的网络安全管理机制能统筹各方资源,协调推进综合安全防护堡垒的建设。在实际工作中,水务行业在网络安全责任制的落实、安全管理机构设置、安全管理制度建设和安全人员配比等皆未完善,需要进一步强化落实。
整改建议:水务企业应梳理国家法律法规和党内法规的各项网络安全要求,以落实网络安全责任制为抓手,对标等级保护2.0和iso27001信息安全管理体系,参考p2dr模型、美国iisf及德国工业4.0安全框架,建立安全管理机构、制度,配备相应人员,并且应有具体指标考核要求,最终形成一个网络安全管理的pdca循环。
问题 2答:缺少专业性的网络安全管理人员
水务企业专业性的网络安全管理人员不足,特别是能同时兼顾传统安全和工业控制系统安全的管理人员。两者看问题角度各不同,传统安全管理人员从it的角度出发,遵循的原则依次是保密性、完整性和可用性,而工业控制系统安全则以可用性为主,要求网络安全管理员在工业控制系统安全建设时需熟知工业生产的业务特性。
整改建议:企业可以加强网络安全普适性内容培训,开展安全技能的实训和认定工作,结合“业务”与“安全”,借助天融信岗位技能培训赋能体系,培养起本单位的专业安全管理人员团队。
问题 3答:网络安全意识有待提高
水务企业的网络安全意识有待提高,安全防护“三同步”原则理解不到位,重发展轻安全的现象普遍存在。此外,对钓鱼邮件、弱密码、u口随身wi-fi威胁引入等攻击的防范意识不足。
整改建议:可开展网络安全意识培训,培训的对象可分为管理层和普通员工,内容可包括合规性政策解读、常见安全攻击防护和攻防演示等。建议每年可至少开展一次。另外,可利用好每一年的“国家网络安全宣传周”,开展小视频宣传、易拉宝、知识竞答等多种形式活动。
02 技术侧存在的问题
问题 1答:网络架构安全设计不规范
水务工业控制系统在网络架构上存在四个方面的问题,一是网络可用就行,没有区分汇聚层、接入层,只要发生蠕虫、泛洪等攻击即可瘫痪网络;二是工业控制主机和办公终端共用一台交换机,容易引入来自互联网层面的威胁;三是没有划分安全边界,工控网和办公网任意互访。四是网络内部没有任何监测手段,无法感知内部安全现状和及时发现违规行为。
整改建议:需要将水务工业控制系统网络进行安全域划分,明确区分非控制区与控制区。以安全域为最小管理单元,在边界采用安全防护设备来实现隔离,并通过安全策略的配置以及协议的深度解析来实现系统间数据的安全传输及非授权访问行为的阻断。最后辅以工控入侵及安全监测手段,对网络、系统、安全设施运行日志等进行实时监测,及时发现各种违规行为以及病毒、黑客等攻击行为。自来水厂工业控制系统网络安全防护建设参考图
自来水厂工业控制系统网络安全防护建设参考图
问题 2答:工控主机缺少防护
水务工业控制系统部署着若干的服务器、操作员站等主机终端,运行着控制系统相关服务数据与应用程序,其重要性不言而喻。然而主机终端存在的系统漏洞、应用软件漏洞、弱口令、未经授权访问及移动存储介质滥用等安全隐患,直接影响着主机终端的正常运行及控制系统的安全稳定。
整改建议:水务工业控制系统内主机运行的软件、进程、服务等比较固定,且较少连接互联网,传统的终端防病毒软件无法应对此类特殊应用场景,并且存在工业应用软件中的进程、服务等被防病毒软件误杀的可能性。因此采用基于“白名单”机制进行工控主机的安全防护,相比传统的防病毒软件更适用于水务工业控制系统的环境,可从根本上解决主机安全问题。
问题 3答:未管控应用软件访问
水务工业控制系统中的应用软件存在如账号密码共享、弱密码和默认密码、配置管理不规范、无安全审计措施等诸多安全隐患。这些隐患随着系统的投入运营就一直存在,一旦黑客有机会入侵到工业网,就能轻而易举的获取到应用软件的控制权,其破坏所引起的后果将是极其严重的。
整改建议:水务工业控制系统的应用环境区别于传统it环境,其应用多为工业控制所需特定应用,解决问题的核心是重点保护业务系统应用环境,通过工业行为审计设备学习现场环境,结合关键业务类型形成业务规则库,形成基于行为的安全防护机制。同时针对业务系统的应用账号、设备等基于最小权限原则进行管控,根据不同业务系统进行细粒度划分,严格控制业务系统的访问。
问题 4答:未考虑数据安全问题
水务工业控制系统中的实时数据库、历史数据库存在诸多安全隐患,如数据库非授权访问、数据泄露、数据串改等。一旦数据被非法访问或遭受攻击,造成数据丢失、数据篡改将直接影响上层应用及整个系统的正常运行。此外,9月1日《数据安全法》正式实施,等级保护测评报告模版(2021版)启用,将数据作为独立的测评对象,因此必须要考虑数据安全的建设。
整改建议:以数据业务属性为基础进行分类,同时将传统基于五元组的访问控制粒度细化,结合数据地址分布与数据分类结果推导合理的访问行为,形成监测预警为辅的安全配方,从数据采集、传输、存储、处理、交换共享与公开披露、归档与销毁等多角度进行安全防护。
问题 5答:未建设运营安全监管中心
水务工业控制系统未建设运营安全监管中心,导致无法集中收集、存储、分析各类安全数据信息,以及实时监测网络内发生的安全攻击;无法追踪溯源网络入侵行为、病毒、业务访问异常等问题,不能及时发现安全防护的脆弱面,从而导致木桶效应的发生。
整改建议:水务企业运营安全监管中心可作为生产控制系统网络安全状况的健康监测手段,是实现安全监测、分析、响应和管理的数据基础,同时为各水厂的安全技术防护体系提供策略联动以及策略优化等安全能力。
天融信基于多年水务行业安全建设实践经验,着眼工业控制系统安全本质,以水务行业业务特性为中心,明确识别水务行业工业控制设施,结合纵深防御的原则构建了面向水务行业的工业互联网网络安全综合防护体系。同时,天融信通过工业互联网安全防护、安全检测、主机安全、应用安全、数据安全等安全技术的协同共生,针对水务行业存在的安全问题提出整改建议,为构筑水务行业纵深防御安全防护体系提供建设思路。
- 关键词标签:
- 天融信 工业控制系统 网络安全