久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

摘要：隨著國家對生態(tài)環(huán)境要求越來越嚴格，污水廠自動化水平的不斷提高，以及數字化、信息化技術的廣泛應用，污水廠控制系統的安全及經濟信息安全被提到非常重要的位置?！毒W絡安全法》中明確要求“國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務”。

關鍵詞：污水廠；控制系統；網絡安全；系統防護

Abstract: With the increasingly strict requirements for the ecological environment,the continuous improvement of the automation level of the sewage plant, as well as the extensive application of digital and information technology, the safety of the sewage plant control system and economic information security have been put in a very important position. The "Network security law" clearly requires that "the State implements the network security level protection policy, and network operators shall perform the security protection obligations in accordance with the requirements of the network security level protection system".

Key words: Sewage treatment plant; Control system; Cybersecurity; System protection

1　引言

隨著國家對生態(tài)環(huán)境要求越來越嚴格，污水廠自動化水平的不斷提高，以及數字化、信息化技術的廣泛應用，污水廠控制系統的安全及經濟信息安全被提到非常重要的位置?！毒W絡安全法》中明確要求“國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務。”“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護?！?/p>

2　江心洲污水處理廠簡介

江心洲污水處理廠是南京最大的污水處理廠，工程規(guī)模為67萬m 3/d，出水標準執(zhí)行一級A標準。處理后的水排放到長江中，污水廠的運行安全與否直接影響長江的生態(tài)環(huán)境安全。為保證污水廠的安全運行，防止網絡攻擊，污水廠控制系統安裝了一套工業(yè)控制網絡安全系統。

3　污水處理廠控制系統簡述

江心洲污水廠自控系統分為三個層次，即就地設備層、車間控制層和調度監(jiān)控層。PLC及中控室監(jiān)控計算機之間通過100M/1000M TCP/IP光纖環(huán)網工業(yè)以太網進行高速大容量數據交換；調度監(jiān)控層各節(jié)點通過交換機構成星型以太網，采用SERVER/CLIENT結構。

江心洲污水廠自控系統采用“集中監(jiān)控、管理，分散控制”的集散型系統。調度監(jiān)控層系統由二臺歷史服務器（雙機熱備）、二臺數據采集服務器（雙機容錯、熱備）、三臺中控室監(jiān)控計算機、一個工程師站、打印、報表服務器和分區(qū)控制分站組成本工程實時控制工業(yè)以太網絡，如中控室監(jiān)控計算機故障，各現場分站仍能獨立和穩(wěn)定工作，從根本上提高了系統的可靠性。同時采用以PLC為主構成的集散型系統，有較高的性價比。

監(jiān)控系統采用現場PLC，配備先進的上位機軟件。在污水廠中央控制室設置三臺計算機作為操作員站。自控系統按照C/S架構的開發(fā)與部署模式，系統實現的主要功能有遠程監(jiān)視管理系統、生產運行管理系統、信息報表管理系統、設備資產管理系統、能源監(jiān)測系統、報警信息管理、數據運行質量分析、專家系統、系統管理、移動APP查詢。

污水廠控制系統如圖1所示。

圖1 污水廠控制系統示意圖

4　污水廠工業(yè)安全防護系統的設計簡介

為保護污水廠自控系統的安全，本設計方案設計了一套完整的計算機信息安全防護系統。

4.1　工業(yè)安全的重要性及必要性

近年來，針對工業(yè)控制系統的攻擊已經頻繁出現并造成了嚴重的影響，進行工業(yè)控制系統的防護是非常必要的。

4.2　自控系統信息防護設計目標

（1）滿足合規(guī)

依據國家等級保護要求及安全防護指南，結合物理環(huán)境、區(qū)域網絡邊界、網絡環(huán)境、主機計算環(huán)境、安全管理層面等存在的安全風險，為安全整改和建設規(guī)劃提供有力的依據。

（2）整體防護

針對已發(fā)現安全風險和潛在安全威脅，結合現有成熟技術進行工控網絡安全整改與建設，重點從網絡安全域劃分及訪問控制、網絡安全監(jiān)測及審計、主機安全防護、集中安全管理等方面提升工控網絡的安全防范能力。

（3）持續(xù)運營

以工業(yè)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心，通過外部情報、行業(yè)情報、內部情報及各類日志進行綜合建模分析，結合AI技術對網絡中存在的異常情況、未來可能的攻擊行為等進行捕捉研判。以更強風險感知和識別能力為基礎，綜合的管理風險、應對風險，實現工業(yè)控制系統安全能力的可持續(xù)運營。

4.3　方案設計依據

針對水務工業(yè)控制系統基于等級保護二級的安全防護方案編制，遵循依據如下：

（1）《工業(yè)控制系統信息安全防護指南》

（2）GB 17859-1999計算機信息系統安全保護等級劃分準則

（3）GB/T 22240-2008信息安全技術信息系統安全等級保護定級指南

（4）GB/T 22239-2019信息安全技術網絡系統安全等級保護基本要求

（5）GB/T 25058-2010信息安全技術信息系統安全等級保護實施指南

（6）GB/T 25070-2019信息技術安全網絡安全等級保護設計技術要求

4.4　方案設計思路

鑒于本污水廠工業(yè)控制系統在市政工程中的重要性，結合公安部網監(jiān)和業(yè)主的要求，并參照《信息安全技術網絡安全等級保護定級指南》，本項目工業(yè)控制系統信息安全保護等級定為二級，污水廠工業(yè)控制系統信息安全建設方案也參照等級保護二級基本要求進行差異分析和安全建設。

為實現污水廠自控系統安全合規(guī)的建設需求，我們建議參考圖2所示拓撲引入一系列安全軟硬件進行安全防護，具體包括：

圖2 基于合規(guī)的安全防護拓撲設計示意

（1）工業(yè)防火墻：采用串接形式部署的硬件設備，基于工業(yè)現場特點和工業(yè)控制系統安全風險進行設計，對工業(yè)控制系統進行細粒度的安全域劃分，利用深度工業(yè)識別技術和AI技術防止?jié)撛诘墓粜袨閷ο到y造成破壞。

（2）工業(yè)審計系統：采用旁路鏡像部署的硬件設備，起到對工業(yè)網絡關鍵節(jié)點進行入侵檢測和事后日志審計的作用，對邊界防護難以識別的內部流向交互風險進行識別、預警和日志留存。

（3）工業(yè)衛(wèi)士：軟件產品，部署于操作員站和業(yè)務服務器，通過嚴格的設備管控防止未授權操作和惡意代碼攻擊事件的發(fā)生。

（4）工業(yè)漏洞掃描：部署于安全管理區(qū)域，對全網資產和風險進行識別，便于掌握現場真實的脆弱性情況，指導總體風險緩解機制的指定和詳細安全策略設計。

（5）安全監(jiān)管平臺：部署于安全管理區(qū)域，是污水廠工控系統的安全管理中心，起到統一的策略配置運維、日志審計、報表分析等作用；將孤立的安全防護手段串聯起來，是實現協同聯動安全防護效果的指揮中心。

4.5　防護設備部署描述

（1）在互聯網邊界部署傳統防火墻，實現網絡邊界訪問控制；監(jiān)控網絡邊界部署傳統防火墻，實現監(jiān)控網絡到業(yè)務網絡間的訪問控制；

（2）業(yè)務網絡與工業(yè)網絡之間部署工業(yè)網閘，實現業(yè)務網與工控網絡的物理隔離；

（3）在工業(yè)網絡內部，PLC與后端設備間部署工業(yè)審計，實現工控行為的審計記錄；

（4）在PLC與工業(yè)網絡核心交換機間部署工業(yè)防火墻，實現工業(yè)協議的訪問控制；

（5）在工業(yè)網絡工程師站前端部署工業(yè)防火墻，實現工業(yè)協議的訪問控制；

（6）在工業(yè)網絡終端上部署工業(yè)衛(wèi)士，實現終端的白名單安全防護；

（7）工業(yè)網絡核心交換機上部署工業(yè)監(jiān)管平臺，實現工業(yè)設備的集中監(jiān)管；

（8）在工業(yè)網絡部署工業(yè)安全檢查工具，實現工業(yè)漏洞等的安全檢測。

4.6　主要防護設備清單（如表 1所示）

表1主要防護設備清單

5　結束語

本文只粗略介紹了江心洲廠工業(yè)防護2.0的大概設計情況，工業(yè)防護的設計應根據各自的控制系統平臺、配置的設備等不同情況，同時應對不同業(yè)主需求，進行不同的配置。隨著國家對安全防護的要求越來越嚴格，工業(yè)防護2.0、3.0或以上版本會得到越來越廣泛的應用。

作者簡介

劉忠祥（1964-），男，山東棲霞人，高級工程師，本科，現就職于中國市政工程華北設計研究總院有限公司，主要從事給水、排水工程自動化系統的設計與研究。

劉　杰（1971-），男，山東萊州人，教授級高級工程師，本科，現任中國市政工程華北設計研究總院有限公司第一設計研究院副總工程師，主要從事電氣及自動化方面的設計研究工作。

參考文獻：

[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統信息安全技術[M]. 北京：國防工業(yè)出版社, 2014, 5.

[2] 工業(yè)和信息化部. 工業(yè)控制系統信息安全防護指南[Z]. 2016.

[3] GB/T 22239-2019, 信息安全技術 網絡系統安全等級保護基本要求[S].

[4] GB/T 25058-2010, 信息安全技術 信息系統安全等級保護實施指南[S].

[5] GB/T 25070-2019, 信息安全技術 網絡安全等級保護安全設計技術要求[S].

摘自《工業(yè)控制系統信息安全專刊（第六輯）》