一、背景
我國人均水資源不到世界平均水平的1/4,全國600多個城市中有400多個屬于缺水城市,且大部分城市供水管網設施和經營管理系統普遍落后,供水管網產銷差率約27%左右,遠遠高于發達國家。在國務院出臺的《國家新型城鎮化規劃(2014-2020年)》規劃中要求:“要發展智能水務與智能管網,構建覆蓋供水全過程、保障供水質量安全的智能供水系統,實現城市地下空間、地下管網的信息化管理和運行監控智能化”。
隨著智慧水務建設進程不斷加快,從水源地、凈水廠、管網、泵站、水表到用戶設備等對象不斷泛在物聯,導致智慧水務暴露面增大,面臨勒索軟件、挖礦病毒、黑客等威脅,給我國公共基礎設施穩定運行帶來了安全挑戰。
二、智慧水務
智慧水務主要包括城市供水、排水以及污水處理等場景,本方案主要介紹供水場景。
城市供水,首先通過取水泵站把水源地(水庫或水源井)原水輸送到凈水廠的沉淀池,加藥間自動加藥進行沉淀,沉淀后在過濾池進行去除固體懸浮物,并進行加氯消毒后,進入清水池;然后通過送水泵站將凈化后的清水輸配到城區的二次供水泵站,二次供水泵站以恒壓供水方式輸到各居民區、商業區以及工業園區;最后調度中心統一對水源地、泵站、凈水廠以及管網進行監控與調度;通過營收系統、抄表系統、智能水表等對居民以及用水單位進行計量和結算。城市供水流程示意圖如下圖1所示:
圖表 1 城市供水流程示意圖
根據供水流程,對應的主要業務系統有:水源地監測系統、凈水廠控制系統、泵站監控系統、調度中心SCADA監控系統、GIS管網系統、營銷系統、遠程抄表系統(含智能水表)、DMA漏損系統、智能水表、客服、ERP以及辦公OA等。
在《工業互聯網智慧水務發展白皮書》中,將智慧水務網絡架構劃分為現場監控層、調度管理層、經營決策層。
現場監控層:主要實現水務數據采集和控制,包括水源地監測、管網監測、泵站以及凈水廠控制等工控監控子系統,通常采用現場總線、工業環網等網絡形式;
調度管理層:主要實現運營優化和調度監控服務,包括調度SCADA系統、GIS管網系統等,通常采用專線、VPN、GPRS、3G/4G及NB-IoT等網絡形式;
經營決策層:主要為決策層服務,提供運行效率、能耗、運行成本等決策,包括營銷系統、遠程抄表(含智能水表)、DMA、客服、ERP、OA等應用系統,通常采用高速以太網形式。
三、安全現狀
智慧水務供水場景主要存在如下安全風險:
泛在物聯,導致智慧水務暴露面增大,面臨勒索病毒、挖礦病毒以及黑客等威脅;
大量分散的監測終端,缺少物理防護,為不法分子攻擊提供便利;
泵站/凈水廠控制系統存在大量漏洞和后門,存在被威脅利用的風險;
各業務系統互聯互通,缺少邊界防護與訪問控制措施;
偽終端非法接入,無管控措施;
缺少網絡流量審計,網絡運行狀態無法感知;
無處不在的遠程訪問和遠程運維等無安全審計機制;
凈水廠、調度中心的工控機處于“裸奔”和“帶病”運行狀態;
缺少數據安全防護手段,存在居民和用水單位敏感信息外泄風險;
人員安全意識薄弱,相關組織機構、崗位、職責、人員、制度普遍缺失。
四、解決方案
在國家法律法規、政策、標準的框架體系下,依據《工業控制系統信息安全防護指南》和《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)的要求,綠盟科技智慧水務安全解決方案從安全技術體系和安全管理體系構建縱深防御體系,達到有效防護、全面監測、及時響應的效果。整體安全技術架構設計如圖2所示:
圖表2 安全技術架構
該方案只針對以下場景:城市智慧供水場景及供水營銷相關業務系統通過虛機部署的管理方式(非云平臺的方式)。
1、生產監控層安全防護設計
在生產監控層主要是對凈水廠工控系統進行防護。在工控網與辦公網和視頻網之間部署工業防火墻(ISG),基于工業協議深度解析和自學習白名單功能,實現對凈水廠工控網絡與辦公網絡、視頻網絡之間的邊界防護;在生產監控層與調度管理層之間部署防火墻,實現對生產監控層與調度管理層之間的邊界防護與訪問控制。
在凈水廠工控網絡關鍵節點處旁路部署工控安全審計系統(SAS-ICS),進行全流量審計,實現違規操作、誤操作以及關鍵操作(如下載、上傳、組態變更以及CPU啟停)等操作行為監測,實時了解生產網絡的安全狀態,為事后追溯、定位提供證據。
在凈水廠的工控機上部署主機衛士系統(HGS),實現對工控機的安全防護,抵御未知威脅。
在各水源井監測站、二次泵站、管網監測站部署邊緣計算安全網關,通過工業協議對PLC或RTU中的運行數據采集,并利用國密算法對數據加密,然后通過無線(GPRS/3G/4G)與部署在調度中心的邊緣計算安全網關服務器進行數據交互、解密,解密后數據與SCADA服務器進行交互,實現對水源井監測站、二次泵站、管網監測站的防護。
2、調度管理層安全防護設計
新建DMZ區和安全管理區,將調度管理層需要對外Web發布和數據轉發的服務器放置在DMZ區,作為統一對外Web發布和數據轉發窗口,實現對Web發布、數據轉發與生產業務分離;安全管理區作為安全管理中心,進行集中監測、分析、管理。
在調度中心SCADA系統中,旁路部署工控入侵檢測系統(IDS-ICS),對調度中心網絡中存在的異常威脅、漏洞利用行為、惡意攻擊進行實時檢測;在調度中心的操作員站、工程師站以及SCADA服務器、GIS服務器等工控主機部署主機衛士系統(HGS),實現對工控主機防護,抵御未知威脅。
在調度中心互聯網出口、DMZ和安全管理區網絡出口以及調度管理層與經營決策層各部署防火墻,實現對無線模塊(GPRS/3G/4G)網絡接入控制、DMZ區和安全管理區與調度SCADA系統之間以及調度管理層與經營決策層之間的邊界防護。
在安全管理區部署部署堡壘機,實現對運維過程進行錄屏、鍵盤記錄,并進行審計,保障遠程運維安全;在安全管理區部署工控漏掃設備(ICSScan),定期進行健康檢查,包括漏洞、安全配置等,及時了解智慧水務的薄弱環節,進行針對性預防與加固;在安全管理區部署態勢感知平臺,對安全設備、網絡設備以及關鍵業務系統進行操作日志、運行日志以及告警日志集中采集、泛化、關聯分析,并從整體視角進行實時感知、事件分析、研判等,提升智慧水務整體安全預警防護水平。
3、經營決策層安全防護設計
在經營決策層,主要實現對居民和用水單位敏感信息的防護。在互聯網以及銀行、水務等第三方網絡出口部署網絡DLP設備,對敏感數據進行實時監測與防護;在數據庫網絡出口旁路部署數據庫審計設備,對數據庫操作行為進行審計;在核心交換機旁路部署入侵檢測設備(IDS),實時檢測威脅、漏洞利用行為、惡意攻擊等;在虛擬化應用服務器和DMZ區網絡出口部署WAF設備,實現對Web應用防護;在虛擬主機以及營業廳、客戶等終端上部署一體化終端安全管理系統(UES),實現對虛擬主機和物理終端設備的安全防護;在互聯網出口、銀行、水務以及營業廳等網絡邊界部署防火墻設備,實現各網絡邊界的防護與訪問控制。
4、安全管理設計
首先,進行組織治理。明確網絡安全負責人和管理組織,企業主要負責人是網絡安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網絡安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級文件的網絡安全方針、戰略;二級文件的管理規定、辦法;三級文件的操作流程、規范、作業指導書、模板等;四級文件的各類表單、記錄日志、報告等。最后,對制度文件進行評審、修訂、發布、執行等管理。
5、客戶收益
全面提升智慧水務網絡安全合規性,滿足國家主管部門、行業監管部門以及上級單位的安全防護要求;
全面提升智慧水務從源頭到水龍頭的安全防護與監測預警能力,助力水務數字化轉型升級,護航公共基礎設施安全穩定運行;
全面提升智慧水務相關業務人員的安全意識、安全技術水平和安全管理水平。