MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2025-02-27
守护关基丨水泵站工控安全解决方案
》》背景概述《《
《关键信息基础设施安全保护条例》自2021年9 月1 日起开始施行,其中明确规定水利工程是国家“关键信息基础设施“的重要组成部分。水利信息系统一旦遭到破坏、丧失功能或者数据泄露,将严重危害国家安全、人民群众生命安全和公共利益。

01/ 生产系统
按用途,水利泵站分为排水泵站、供水泵站、加压泵站、多功能泵站等。通过有线网络或无线网络连接,各类仪表、阀门、PLC、应用服务器等组成水利泵站的生产网络。生产网络分为站级生产控制网络与监控中心两级网络,并与外部办公网互联。
02/ 防护范围
针对当前水利泵站的网络安全现状,为保障其生产的安全稳定可持续,要对其进行生产网络的安全风险评估及安全等级保护建设,涉及的范围主要包括各泵站生产控制网络和监控中心。泵站生产控制网络包括PLC 等控制设备、HMI 等工业终端设备、监控终端等上位机、关键业务系统等。

》》政策依据《《

法律法规
《中华人民共和国网络安全法》主席令 第五十三号

国务院
《关键信息基础设施安全保护条例》国务院令第745 号

工信部
《工业控制系统信息安全防护指南》(工信部信软〔2016〕338 号)

公安部
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

水利部
《水利网络安全保护技术规范》(SL/T 803-2020)

》》需求分析《《
01/ 标准合规性需求
作为国家重要的基础设施,企业要加快完成安全技术体系与管理体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》等相关安全要求。

02/ 业务安全性需求
从工控网络与架构、工控系统现场控制与过程监控层及工控协议安全三个层面进行需求分析:

工控网络与架构:自动化系统与信息化系统种类较多,且大多企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,造成各网络子域间及跨网交换非授权访问风险和病毒横向传播风险。
工控系统现场控制与过程监控层:上位机、服务器存在大量漏洞,管理员对打补丁比较排斥,身份鉴别过于单一等情况;各主机未部署对已知与未知病毒的防护措施;同时存在误操作、非法攻击、勒索病毒感染等风险,生产企业迫切需要对工控主机进行加固及病毒免疫等。
工控协议安全:当前在工控网络中,各类安全威胁不断涌入控制系统,而企业内部缺少对工业流量监测审计的手段,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,让网络入侵轻易成功,最终导致安全生产事故的发生。

03/ 新技术安全需求
大数据、人工智能、云计算、物联网等新技术逐渐应用到生产业务中。各生产工艺流程高度集成的自动控制系统,使得一些非法攻击与入侵更容易进入生产控制网络,信息安全风险极高。

》》解决方案《《
在满足等级保护合规要求的前提下,结合水泵站生产网络的特点,围绕着生产系统生命周期的高可用性,安盟信息基于“一中心、两分离、三边界”安全防护设计思想,融合工控安全设备与生产系统功能要求,解决应用场景“个性化”安全需求,提升抵御安全风险及安全事件应对能力,确保生产系统可持续运行。
水泵站工控安全解决方案所涉及的安盟网络安全产品:工业防火墙工业安全隔离装置入侵检测系统工业应用审计安全管理平台堡垒机准入控制系统日志审计系统数据库审计系统工控漏洞扫描


水泵站工控安全解决方案拓扑结构示意图

一中心
是指建设水泵站生产网的网络安全管理中心,对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

两分离
为降低生产网因设备管理带来的风险,建议企业规划与业务网相对独立的安全管理网络,实现业务数据流和安全管理防护数据流的分离,互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。

三边界
是指生产网边界、其他外联边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求,提供不同的安全防护技术和设备。

》》方案价值《《
业务保障
深度结合水泵站工控系统,解决系统存在的安全问题,降低安全运营风险,提高安全运维效率,为水泵站自动化、智能化建设提供安全保障。
安全合规
符合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019),符合《水利网络安全保护技术规范》(SL/T 803-2020)。
综合防护
通过强化区域内网络、主机、物理环境及数据的安全防护,增强整体安全防护能力,确保水泵站安全稳定运营,形成以边界防护为要点、多层防线构成的纵深防护体系。
关闭
上一篇: 无

相关新闻