摘要:隨著國家對生態(tài)環(huán)境要求越來越嚴格,污水廠自動化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應用,污水廠控制系統(tǒng)的安全及經(jīng)濟信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求“國家實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行安全保護義務(wù)”。
關(guān)鍵詞:污水廠;控制系統(tǒng);網(wǎng)絡(luò)安全;系統(tǒng)防護
Abstract: With the increasingly strict requirements for the ecological environment,the continuous improvement of the automation level of the sewage plant, as well as the extensive application of digital and information technology, the safety of the sewage plant control system and economic information security have been put in a very important position. The "Network security law" clearly requires that "the State implements the network security level protection policy, and network operators shall perform the security protection obligations in accordance with the requirements of the network security level protection system".
Key words: Sewage treatment plant; Control system; Cybersecurity; System protection
1 引言
隨著國家對生態(tài)環(huán)境要求越來越嚴格,污水廠自動化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應用,污水廠控制系統(tǒng)的安全及經(jīng)濟信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求“國家實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行安全保護義務(wù)。”“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。”
2 江心洲污水處理廠簡介
江心洲污水處理廠是南京最大的污水處理廠,工程規(guī)模為67萬m 3/d,出水標準執(zhí)行一級A標準。處理后的水排放到長江中,污水廠的運行安全與否直接影響長江的生態(tài)環(huán)境安全。為保證污水廠的安全運行,防止網(wǎng)絡(luò)攻擊,污水廠控制系統(tǒng)安裝了一套工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)。
3 污水處理廠控制系統(tǒng)簡述
江心洲污水廠自控系統(tǒng)分為三個層次,即就地設(shè)備層、車間控制層和調(diào)度監(jiān)控層。PLC及中控室監(jiān)控計算機之間通過100M/1000M TCP/IP光纖環(huán)網(wǎng)工業(yè)以太網(wǎng)進行高速大容量數(shù)據(jù)交換;調(diào)度監(jiān)控層各節(jié)點通過交換機構(gòu)成星型以太網(wǎng),采用SERVER/CLIENT結(jié)構(gòu)。
江心洲污水廠自控系統(tǒng)采用“集中監(jiān)控、管理,分散控制”的集散型系統(tǒng)。調(diào)度監(jiān)控層系統(tǒng)由二臺歷史服務(wù)器(雙機熱備)、二臺數(shù)據(jù)采集服務(wù)器(雙機容錯、熱備)、三臺中控室監(jiān)控計算機、一個工程師站、打印、報表服務(wù)器和分區(qū)控制分站組成本工程實時控制工業(yè)以太網(wǎng)絡(luò),如中控室監(jiān)控計算機故障,各現(xiàn)場分站仍能獨立和穩(wěn)定工作,從根本上提高了系統(tǒng)的可靠性。同時采用以PLC為主構(gòu)成的集散型系統(tǒng),有較高的性價比。
監(jiān)控系統(tǒng)采用現(xiàn)場PLC,配備先進的上位機軟件。在污水廠中央控制室設(shè)置三臺計算機作為操作員站。自控系統(tǒng)按照C/S架構(gòu)的開發(fā)與部署模式,系統(tǒng)實現(xiàn)的主要功能有遠程監(jiān)視管理系統(tǒng)、生產(chǎn)運行管理系統(tǒng)、信息報表管理系統(tǒng)、設(shè)備資產(chǎn)管理系統(tǒng)、能源監(jiān)測系統(tǒng)、報警信息管理、數(shù)據(jù)運行質(zhì)量分析、專家系統(tǒng)、系統(tǒng)管理、移動APP查詢。
污水廠控制系統(tǒng)如圖1所示。
圖1 污水廠控制系統(tǒng)示意圖
4 污水廠工業(yè)安全防護系統(tǒng)的設(shè)計簡介
為保護污水廠自控系統(tǒng)的安全,本設(shè)計方案設(shè)計了一套完整的計算機信息安全防護系統(tǒng)。
4.1 工業(yè)安全的重要性及必要性
近年來,針對工業(yè)控制系統(tǒng)的攻擊已經(jīng)頻繁出現(xiàn)并造成了嚴重的影響,進行工業(yè)控制系統(tǒng)的防護是非常必要的。
4.2 自控系統(tǒng)信息防護設(shè)計目標
(1)滿足合規(guī)
依據(jù)國家等級保護要求及安全防護指南,結(jié)合物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機計算環(huán)境、安全管理層面等存在的安全風險,為安全整改和建設(shè)規(guī)劃提供有力的依據(jù)。
(2)整體防護
針對已發(fā)現(xiàn)安全風險和潛在安全威脅,結(jié)合現(xiàn)有成熟技術(shù)進行工控網(wǎng)絡(luò)安全整改與建設(shè),重點從網(wǎng)絡(luò)安全域劃分及訪問控制、網(wǎng)絡(luò)安全監(jiān)測及審計、主機安全防護、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。
(3)持續(xù)運營
以工業(yè)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心,通過外部情報、行業(yè)情報、內(nèi)部情報及各類日志進行綜合建模分析,結(jié)合AI技術(shù)對網(wǎng)絡(luò)中存在的異常情況、未來可能的攻擊行為等進行捕捉研判。以更強風險感知和識別能力為基礎(chǔ),綜合的管理風險、應對風險,實現(xiàn)工業(yè)控制系統(tǒng)安全能力的可持續(xù)運營。
4.3 方案設(shè)計依據(jù)
針對水務(wù)工業(yè)控制系統(tǒng)基于等級保護二級的安全防護方案編制,遵循依據(jù)如下:
(1)《工業(yè)控制系統(tǒng)信息安全防護指南》
(2)GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則
(3)GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南
(4)GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)系統(tǒng)安全等級保護基本要求
(5)GB/T 25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南
(6)GB/T 25070-2019信息技術(shù)安全網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求
4.4 方案設(shè)計思路
鑒于本污水廠工業(yè)控制系統(tǒng)在市政工程中的重要性,結(jié)合公安部網(wǎng)監(jiān)和業(yè)主的要求,并參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》,本項目工業(yè)控制系統(tǒng)信息安全保護等級定為二級,污水廠工業(yè)控制系統(tǒng)信息安全建設(shè)方案也參照等級保護二級基本要求進行差異分析和安全建設(shè)。
為實現(xiàn)污水廠自控系統(tǒng)安全合規(guī)的建設(shè)需求,我們建議參考圖2所示拓撲引入一系列安全軟硬件進行安全防護,具體包括:
圖2 基于合規(guī)的安全防護拓撲設(shè)計示意
(1)工業(yè)防火墻:采用串接形式部署的硬件設(shè)備,基于工業(yè)現(xiàn)場特點和工業(yè)控制系統(tǒng)安全風險進行設(shè)計,對工業(yè)控制系統(tǒng)進行細粒度的安全域劃分,利用深度工業(yè)識別技術(shù)和AI技術(shù)防止?jié)撛诘墓粜袨閷ο到y(tǒng)造成破壞。
(2)工業(yè)審計系統(tǒng):采用旁路鏡像部署的硬件設(shè)備,起到對工業(yè)網(wǎng)絡(luò)關(guān)鍵節(jié)點進行入侵檢測和事后日志審計的作用,對邊界防護難以識別的內(nèi)部流向交互風險進行識別、預警和日志留存。
(3)工業(yè)衛(wèi)士:軟件產(chǎn)品,部署于操作員站和業(yè)務(wù)服務(wù)器,通過嚴格的設(shè)備管控防止未授權(quán)操作和惡意代碼攻擊事件的發(fā)生。
(4)工業(yè)漏洞掃描:部署于安全管理區(qū)域,對全網(wǎng)資產(chǎn)和風險進行識別,便于掌握現(xiàn)場真實的脆弱性情況,指導總體風險緩解機制的指定和詳細安全策略設(shè)計。
(5)安全監(jiān)管平臺:部署于安全管理區(qū)域,是污水廠工控系統(tǒng)的安全管理中心,起到統(tǒng)一的策略配置運維、日志審計、報表分析等作用;將孤立的安全防護手段串聯(lián)起來,是實現(xiàn)協(xié)同聯(lián)動安全防護效果的指揮中心。
4.5 防護設(shè)備部署描述
(1)在互聯(lián)網(wǎng)邊界部署傳統(tǒng)防火墻,實現(xiàn)網(wǎng)絡(luò)邊界訪問控制;監(jiān)控網(wǎng)絡(luò)邊界部署傳統(tǒng)防火墻,實現(xiàn)監(jiān)控網(wǎng)絡(luò)到業(yè)務(wù)網(wǎng)絡(luò)間的訪問控制;
(2)業(yè)務(wù)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)之間部署工業(yè)網(wǎng)閘,實現(xiàn)業(yè)務(wù)網(wǎng)與工控網(wǎng)絡(luò)的物理隔離;
(3)在工業(yè)網(wǎng)絡(luò)內(nèi)部,PLC與后端設(shè)備間部署工業(yè)審計,實現(xiàn)工控行為的審計記錄;
(4)在PLC與工業(yè)網(wǎng)絡(luò)核心交換機間部署工業(yè)防火墻,實現(xiàn)工業(yè)協(xié)議的訪問控制;
(5)在工業(yè)網(wǎng)絡(luò)工程師站前端部署工業(yè)防火墻,實現(xiàn)工業(yè)協(xié)議的訪問控制;
(6)在工業(yè)網(wǎng)絡(luò)終端上部署工業(yè)衛(wèi)士,實現(xiàn)終端的白名單安全防護;
(7)工業(yè)網(wǎng)絡(luò)核心交換機上部署工業(yè)監(jiān)管平臺,實現(xiàn)工業(yè)設(shè)備的集中監(jiān)管;
(8)在工業(yè)網(wǎng)絡(luò)部署工業(yè)安全檢查工具,實現(xiàn)工業(yè)漏洞等的安全檢測。
4.6 主要防護設(shè)備清單(如表 1所示)
表1主要防護設(shè)備清單
5 結(jié)束語
本文只粗略介紹了江心洲廠工業(yè)防護2.0的大概設(shè)計情況,工業(yè)防護的設(shè)計應根據(jù)各自的控制系統(tǒng)平臺、配置的設(shè)備等不同情況,同時應對不同業(yè)主需求,進行不同的配置。隨著國家對安全防護的要求越來越嚴格,工業(yè)防護2.0、3.0或以上版本會得到越來越廣泛的應用。
作者簡介
劉忠祥(1964-),男,山東棲霞人,高級工程師,本科,現(xiàn)就職于中國市政工程華北設(shè)計研究總院有限公司,主要從事給水、排水工程自動化系統(tǒng)的設(shè)計與研究。
劉 杰(1971-),男,山東萊州人,教授級高級工程師,本科,現(xiàn)任中國市政工程華北設(shè)計研究總院有限公司第一設(shè)計研究院副總工程師,主要從事電氣及自動化方面的設(shè)計研究工作。
參考文獻:
[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M]. 北京:國防工業(yè)出版社, 2014, 5.
[2] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護指南[Z]. 2016.
[3] GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)安全等級保護基本要求[S].
[4] GB/T 25058-2010, 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南[S].
[5] GB/T 25070-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求[S].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》