1、用户介绍
国内某市供水公司隶属于市国资委,接受市水务局行业指导。公司主要保障当地主城区原水供应和部分新建工业园区、海岛的原水和自来水供应,保障各类引水供水工程安全运行。
2、安全风险
● 各个场站控制网络中缺少边界防护、访问控制的设备,特别是针对重要的生产控制设备的安全防护;
● 各场站在通过运营商网络接入调度中心时没有进行严格的访问控制;
● 各场站,以及区域调度中心网络中没有针对非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁的检测与审计手段;
● 缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能,缺少终端主机防护;
● 调度层网络中缺少对工程师站运维过程的授权管理与审计手段。
3、解决方案
● 在各场站站点的控制器与上位监控层之间部署工业防火墙设备,通过访问控制策略限制对现场控制层的访问权限;
● 在各场站上位监控主机部署USB安全隔离装置和主机防护系统,保证通过USB外设接口与上位主机的通讯过程安全,并对临时接入工控系统的移动介质进行病毒查杀,实现终端进程的可信管理;
● 调度中心及各场站主机终端部署工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性;
● 各场站监控系统通过运营商网络接入地方调度中心时,应通过部署工业防火墙设备,保证接入调度中心网络时的有效权限访问;
● 在调度中心部署入侵检测系统和工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;
● 在调度中心部署账号集中管理与审计系统,实现对调度层网络中工程师运维过程的账号权限分配与管理,以及对运维过程的记录与分析;
● 在调度中心部署日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;
● 在调度中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。
4、客户价值
● 管理价值
通过对生产控制系统的安全防护建设,建立一个专业化、集成化的工控安全保障体系,满足国家相关监管单位以及集团总部的信息化安全管理要求。
● 经济价值
通过也生产系统安全防护项目的建设,降低了大型SCADA系统在安全运维管理过程中的人力、财力投入,提升企业的经济效益。
● 社会价值
通过安全防护项目的建设,切实落实国家网信办、工信部、公安部针对工控安全发布的一系列政策法规的重要工作,同时满足国家等级保护等政策层面的要求,具有重大行业创新示范效益和社会效益。