东北某城市供水系统安全防护项目

1、用户介绍

东北某市供水公司是1994年4月由当地政府投资设立的国有独资公司,隶属于市国资委,接受市水务局行业指导。公司主要职能:一是保障当地主城区原水供应和部分新建工业园区、海岛的原水和自来水供应;二是保障各类引水供水工程安全运行;三是组织实施新建引水供水工程项目。 现运行地下(海底)原水输水管道、暗渠500多公里,年供水能力8亿立方米;自来水管网(直径750mm以上)200公里,日供水能力15.6万立方米。


2、安全风险

各个场站控制网络中缺少边界防护、访问控制的设备,特别是针对重要的生产控制设备的安全防护;


各场站在通过运营商网络接入调度中心时没有进行严格的访问控制;


各场站,以及区域调度中心网络中没有针对非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁的检测与审计手段;


缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能,缺少终端主机防护;


调度层网络中缺少对工程师站运维过程的授权管理与审计手段。


3、解决方案

 在各场站站点的控制器与上位监控层之间部署工业防火墙设备,通过访问控制策略限制对现场控制层的访问权限;


 在各场站上位监控主机部署USB安全隔离装置和主机防护系统,保证通过USB外设接口与上位主机的通讯过程安全,并对临时接入工控系统的移动介质进行病毒查杀,实现终端进程的可信管理;


 调度中心及各场站主机终端部署工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性;


 各场站监控系统通过运营商网络接入地方调度中心时,应通过部署工业防火墙设备,保证接入调度中心网络时的有效权限访问;


 在调度中心部署入侵检测系统和工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;


 在调度中心部署账号集中管理与审计系统,实现对调度层网络中工程师运维过程的账号权限分配与管理,以及对运维过程的记录与分析;


 在调度中心部署日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;


 在调度中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。

4、客户价值

管理价值

通过对生产控制系统的安全防护建设,建立一个专业化、集成化的工控安全保障体系,满足国家相关监管单位以及集团总部的信息化安全管理要求。


经济价值

通过也生产系统安全防护项目的建设,降低了大型SCADA系统在安全运维管理过程中的人力、财力投入,提升企业的经济效益。


社会价值

通过安全防护项目的建设,切实落实国家网信办、工信部、公安部针对工控安全发布的一系列政策法规的重要工作,同时满足国家等级保护等政策层面的要求,具有重大行业创新示范效益和社会效益。