MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2024-05-24
污水处理企业工控安全解决方案
背景概述
水资源是经济和社会发展的重要基础,与人类的生存关系较为紧密。但各地水资源均受到不同程度污染,加之我国淡水资源分布不均,无法更好地应对经济发展和人口增长需求。为解决此类问题,必须采取有效措施解决水污染问题。污水处理包括面向生活污水处理的各区污水处理企业和面向特定工业的专业污水处理企业,污水处理工业控制系统一旦发生事故,将对环境生态造成严重影响。
目前污水处理企业正逐步向智能化、智慧化发展。而污水处理企业工控设施的智能化建设极有可能引入信息安全风险,且污水处理企业工控安全建设往往滞后于智能化、智慧化建设,无法应对日益增长的网络威胁,可能导致其遭受网络攻击而使生产停滞。因此需加快污水处理企业工控安全建设,保障污水处理企业工控安全稳定运行。

需求分析
标准合规性需求
污水处理企业要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等污水处理企业工控安全相关政策、标准及监管要求。
业务安全性需求
从污水处理企业现场控制层、过程监控层、生产管理层、企业资源层等多个层面进行需求分析:

现场控制层及过程监控层
污水处理企业的工控系统种类较多,如除臭系统、精确曝气系统、除尘池系统、二沉池系统、热水解系统、消化系统、加药系统等。这些系统在建设初期主要考虑易用性和快速部署,因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
各工控系统的上位机、服务器等主机,可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况;同时主机无针对已知、未知病毒的防护措施,容易发生误操作、非法攻击、勒索病毒感染等安全事件,污水处理企业迫切需要提升工控主机安全防御能力。
各工控系统内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,极易产生网络入侵事件,最终导致安全生产事故的发生。

生产管理层及企业资源层
生产管理层中运行着安全监控、生产综合调度平台等重要业务系统。企业资源层运行ERP、OA等系统,同时连接云平台、互联网。因此需加强边界安全、终端防护、入侵检测、日志审计、漏洞扫描、运维审计、态势分析等防护能力。
解决方案
针对污水处理企业的网络架构特点及相关标准规范要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。

污水处理企业工控安全解决方案

污水处理企业工控安全防护拓扑示意图

现场控制层安全
翻车机系统、装船机系统、堆取料机系统、皮带机系统现场控制层安全由不同的生产装置去实现,并进行现场物理环境安全防护。通过工控安全整体方案设计,提供各生产装置的防护目标。

过程监控层安全
安全区域边界、安全通讯网络
(一)分别在各生产装置到过程监控层边界部署工业安全防火墙,精准按域进行防护。
(二)采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警;通过部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行检测和报警。

安全计算环境
在各生产装置的操作员站、工程师站、服务器等部署工控主机卫士软件,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。

生产管理层安全
建设港口码头企业安全管理中心,实现终端保护、运维安全管控、日志审计、安全管理平台、态势感知等系统。在集团也需要建设态势感知系统与生产管理层安全管理中心联动。建设污水处理企业安全管理中心,实现漏洞弱点发现、实现终端保护、运维安全管控。部署工业网闸实现生产管理层与企业资源层的高安全隔离与可控数据交换;部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行检测和告警。各工控主机安装工控主机卫士以白名单方式阻止非法进程运行及非法USB等外设接入,防止工控主机被破坏。部署日志审计对各类设备、服务器、终端主机等的日志进行统一收集与存储,满足网络安全法相关要求。
对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

企业资源层安全
部署下一代防火墙实现与云平台、互联网的边界防护;部署入侵检测系统实时监测网络异常流量,对异常的、入侵行为的数据进行检测和告警。各主机安装防病毒软件,防御勒索病毒和木马等恶意软件攻击。部署日志审计、安全管理平台、堡垒机、终端防护系统等,统一安全管理。部署安全态势感知,对污水处理企业的网络态势进行分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

方案价值
满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等污水处理企业工控安全相关政策、标准及监管要求。

构建污水处理企业体系化安全
通过强化污水处理企业区域内网络、主机及数据的安全防护,大大增强了污水处理企业的整体安全防护能力,确保强化污水处理企业生产可持续运营,构建边界安全、物联设备安全的纵深防护体系。

提升污水处理企业生产安全性
方案深度融合污水处理企业工控设施,降低污水处理企业的安全运营风险,提高安全运维效率,为污水处理企业智能化、智慧化建设提供可靠的安全保障。

促进污水处理企业智能化发展
通过建设污水处理企业工控安全防护体系,可解决污水处理企业智能化建设过程中带来的信息安全风险,保障污水处理企业工控设施、智能化系统安全及设备可靠运转的目标。

关闭
上一篇: 无

相关新闻