摘要
随着大数据技术的快速应用,传统物理隔离的水务行业工控系统逐步向互联、智能方向发展。面对越来越复杂的网络安全环境和日益增加的网络安全威胁,如何在大数据时代保护好水务工业控制系统安全,已经成为政府机构、企事业单位所关注的重点。梳理了水务行业工业控制系统存在的常见信息安全问题、分析了面临的信息安全威胁和存在的风险,提出了合理、有效的技术防护措施和管理方法,为开展大数据背景下的水务行业工控系统网络安全防护工作提供了有益借鉴。
0 引言
自2010年以来,我国就不断开展云计算应用实践。2013 年,工业和信息化部发布了《基于云计算的电子政务公共平台顶层设计指南》,引导我国电子政务向基于云计算的新一代电子政务公共平台的方向发展。经过这些年的积极探索和建设,各地电子政务云初步形成,全国范围的电子政务云也正在积极推进中。
2003 年水利部正式发布《全国水利信息化规划》(“金水工程”规划);2010 年水利部信息化工作领导小组办公室组织开展了《水利网络与信息安全体系基本技术要求》编制工作。根据这些文件,水利部每年均发文督促各省市落实信息安全工作。2019 年更是印发《水利网络安全管理办法(试行)》,明确网络安全责任,强化监督检查和责任追究,有效保障水利网络安全。
在万物互联大势所趋的今天,水务信息化正在酝酿引入云计算、物联网等新型计算技术,网络安全也正在向云计算、物联网、工控等领域专业化发展。在这样的背景下,研究云计算环境下的水务网络安全架构,就成为行业主管部门落实国家网络安全和和水利部顶层设计的重要工作。
1 现状概况
1.1工控系统
城市水务主要包括原水、制水、给排水和污水处理等四大环节。原水厂负责将水源地水库的水输送到自来水厂。原水厂多为增压水泵,业务连续性要求较高,一旦中断,将直接影响全市自来水厂供水。规模以上自来水厂,属于关键信息基础设施范畴,自动化程度较高。给排水由全市供水管网和河道闸门泵房的给排水管网控制系统组成。污水处理包括面向生活污水处理的各区污水处理厂和面向特定工业的专业污水处理厂,污水处理控制系统一旦发生事故,将对环境生态造成严重影响。
在大数据技术快速应用的背景下,水务业务部门生产数据、监测数据等也逐步向行业主管部门归集,直接或间接服务于智慧城市建设,因此传统互相隔离的水务行业工控系统也实现向互联、智能方向发展。
1.2常见问题
通过近年来网络安全的建设,水务行业工业控制系统信息安全保障能力得到明显提升,同时仍存在一些问题:
(1)网络安全管理体系不完善。涉水企业常年重视生产安全,对工业控制系统信息安全意识不强,认识薄弱,特别在工业控制系统领域,未形成责任落实体系和有效的工作体系。
(2)办公网与生产网之间隔离措施薄弱。部分水务行业工控系统通过网络对接的方式直接与办公网进行连接,网间并无针对工控系统的网络访问控制设备和入侵防范设备,使工控系统面临着来自办公网的嗅探、入侵、病毒传播以及恶意代码攻击等威胁。
(3)安全技术防护缺失。部分工控系统未按照等级保护要求开展网络安全防护工作,控制系统网络边界缺乏防护,网络内部缺乏审计,主机系统无防护,黑客一旦进入控制网络,基本畅行无阻。
(4)网络安全人才不足。长期以来,水务行业工控系统运营单位没有足够重视网络安全工作,没有配备专业专职的信息安全人员,也未能采购足够的信息安全服务,安全技术水平和管理能力不足,影响工作的落地落实。
总体来讲,水务关键信息基础设施网络安全管理工作成效逐年提升,但是离既定的目标和要求还有很大的差距,仍需要结合工控系统运行实际情况加强防护技术建设和管理能力提升。
1.3主要风险
(1)系统漏洞风险
水务行业工控系统除面临操作系统、数据库、中间件等常见漏洞外,还普遍存在PLC安全漏洞。行业内主流PLC系统多为外国产品,主要包括西门子、施耐德、通用电气等。PLC的漏洞主要有DOS、远程执行、用户权限提升、信息泄漏等,这些漏洞都可造成运行中断、非法操作、信息泄漏等后果。同时 SCADA 系统由于采用明文通信和防护薄弱等原因,在远程通信等环节也存在诸多安全问题,如Modbus/TCP身份认证缺失、OPC的远程过程调用时动态端口防护困难等。
(2)外部攻击风险
从全球范围来看,工业控制系统日益成为黑客攻击和网络战的重点目标。随着大量攻击事件解密(如维基解密、影子经纪人等),黑客组织发展和公布了大批工控漏洞和攻击工具,工控信息安全攻防技术迅速普及,定向攻击能力得到大幅度提升,由此引发了大量工控信息安全攻击事件。如 2016 年,美国东海岸大面积断网;2017年,“WannaCry”勒索病毒肆虐全球等等。水务工业控制系统涉及城市用水安全,在特殊时期可能成为敌对势力的攻击目标。
(3)内部操作风险
在水务行业工控系统运维过程中,为了降低运维成本或处置紧急故障,存在让外部厂商技术人员对水务行业工控系统进行远程操作的情况,此类场景下需要通过开启互联网通道接入,如没有远程运维操作的监管和安全审计, 则存在极大的安全隐患。同时,移动设备管理也是普遍问题,大量单位在物理防护不严格的环境中,移动存储介质滥用、移动网络设备形成非法网络外接等情况,都给生产网络及设备带来了极大的安全隐患。
2 安全技术防护
2.1设计原理
水务工业控制系统属于支撑业务生产经营的重要系统,部分系统属于关键基础信息设施,所以应该按照信息系统等级保护标准体系开展网络安全防护工作,通过划分网络安全域,分析区域和通信管道的安全需求分析。落实物理环境安全、网络边界安全、网络通信安全、计算环境安全和集中管理。
2.2安全技术防护
根据等级保护三级要求,结合水务领域的特殊情况,安全技术防护措施如表 1 所示:
表 1 等保三级要求与技术实现对应表
现地站(特定水闸泵站、水源地、自来水厂等):其环境在水务系统中差异较大,大量有人站和无人站,在建设之初多数未考虑机房环境要求,如果根据等保三级要求,配置精密空调等措施,在经费上不能都满足,因此可以采用等保工业控制系统安全扩展要求中的野外系统要求。
运营中心:网络边界采用下一代防火墙,集成防病毒网关、入侵检测、SSL VPN 等,也可采用等保一体机等网络安全虚拟化设备,甚至直接在私有云上采用超融合架构,将所有安全设备用虚拟网元实现。
主管部门:物理安防可落实在门卫的登记和核查,也可以采用电子门禁或人脸识别系统。其网络边界纳入机房网络,由机房网络的下一代防火墙统一管理,在数据中心部署集中管控平台和态势感知平台。
上述安全产品部署的网络拓扑如图 1 所示:
图 1 安全产品部署
3 安全管理体系
安全管理体系架构如图 2 所示:
图 2 管理体系架构
(1)安全管理机构
建立一套包括主责领导、执行管理和基层监管的管理机构,来约束和保证安全管理措施的执行。该机构的主要工作内容包括人员任命和职责定义,对单位内重要的信息安全工作进行授权和审批,内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作,定期对系统的安全措施落实情况进行检查,以发现问题进行改进和监督。
(2)安全管理制度
建立一套行之有效的信息安全管理制度体系,规范内外部人员的信息化工作的安全行为,防止内外部人员的不安全行为引入新的安全风险。信息安全管理制度包括的方针、策略、规范各种安全管理活动的制度以及管理人员或操作人员日常操作的标准规程。
(3)人员安全管理
人是信息安全中主观的因素,也是信息安全中最难监督的环节。各单位要加强对内部人员和对外部人员的安全管理,做好人员录用、人员离岗、人员考核、安全意识培训和外部人员访问管理等方面的控制管理工作,降低人为错误、盗窃、诈骗和误用设备导致信息安全事件的风险。
(4)系统建设管理
依据“同步建设、持续改进”原则,不断完善信息系统建设管理要求,在信息系统规划、设计、实施等各阶段,推进相应信息安全保障措施的建设和落实,完善信息系统等级保护定级、备案和测评工作,加强信息系统建设过程的安全管理,提高信息系统安全保障能力。
(5)系统运行管理
依据“分层、分域、分级、分时”的防护要求,按照重要安全域与其他安全域分离、专网与公众网络逻辑隔离的安全策略,建立统一的交互边界并实现集中安全防护,实行严格的网络接入控制 , 完善信息系统上线运行备案审批制度,加强信息安全监测与预警。
4 结语
随着物联网、大数据等新技术发展应用,水务行业工控系统面临更多的安全风险,研究并实施网络安全技术防护措施、落实网络安全制度是一项长期的、持续的重要工作,需要运营单位和监管部门建立长效机制,共同促进水务工业控制系统安全、稳定运行,更好支撑水务业务健康发展。
作者简介
宗志锋(1984.6—),男,江苏南通,硕士,工程师,研究方向:网络安全管理、信息管理
选自《信息安全与通信保密》2020年第一期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。