市政水務行業信息安全解決方案

背景概述

隨著我國“兩化”融合的步伐正在不斷加快，網絡息空間的邊界向關鍵基礎設施領域不斷延展。水務企業的自動化、信息化水平已經成為衡量一個水務企業現代化水平和競爭力的重要標志。水務行業提出了以感知監測為基礎、過程精細監管、.立數字檔案、通過動態評價、實現智能調度的智慧水務。通過數據采集終端、通信網絡服務器等設備在線監測城市給水排水系統的運行狀態，采用可視化的方式高效整合水務管理部門與供排水設施，將水務控制和狀態信息進行及時分析與處理，形成相應的處理結果輔助管理部門決策，以更加柔性和精細的方式管理水務系統的整個生產、管理和服務流程，以達到“智慧”的效果，以上理念及技術的提出，導致城市水務SCADA系統越來越多的工業控制系統及設備暴露于互聯網，漏洞層出不窮，工業信息安全事件頻發，加強城市水務SCADA系統信息安全的保障工作迫在眉捷.

解決方案

建設目標: 以“分區分域、整體保護、積極預防、動態管理”為總體策略，以工業網絡安全“白環境”為核心，建立自主可控、安全可靠的工控安全整體防護體系;

建設原則: 縱深防御原則、適度防護原則、技管并重原則、動態調整原則和自主可控原則;

參考標準: GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》和工信部信軟(2016〕338號《工業控制系統信息安全防護指南》等標準。

安全區域邊界:在過程監控層與現場控制層之間部署工業防火墻，利用工業防火墻的ModbuSTCP、S7和DNP3等工業協議深度解析及訪問控制策略，有效防止工控網絡內的惡意程序和可執行代碼等利用PLC漏洞，修改PLC運行參數，導致的設備損壞和工控安全事件;

安全通信網絡:在生產管理層部署網絡威脅,感知系統，實時分析網絡全流量，結合威脅情報數據及網絡行為分析技術，深度檢測所有可疑活動;

安全計算環境:在操作員站、工程師站和服務器等部署工控主機衛士，實現對工控主機惡意代碼防護、外設端口的管理和操作系統的安全防護，全面提升工控豐機安全防護能力;

安全管理中心:在生產管理層部署統一安全管理平臺，對安全計算環境，安全通信網絡，安全區域邊界進行統一管理，構建“一個中心，三重防護”體系，滿足行業政策法規及技術要求。

深度理解工控系統廣泛使用的Modbus、DNP3、Profinet、OPC等數十種應用通信協議，智能學習各類操作行為和參數，更好的識別攻擊行為高度適配工控系統，方案實施無需改造現有工業網絡和頻繁升級工控系統，無需頻繁升級安全特征庫，安全設備符合工控環境標準，可靠實用。深度結合實際業務應用，解決生產系統存在的高風險項，降低安全運營風險;通過自主知識產品的安全防護產品配合“白環境”的工控安全解決方案，符合國家相關政策和標準要求