护航智慧水利,威努特构建数字孪生流域“四预”工控安全体系

科技   2024-10-31 08:01   北京  



行业背景




智慧水利由数字孪生流域、业务应用、网络安全体系、保障体系等组成。其中,数字孪生流域是智慧水利建设的核心与关键,包括数字孪生平台和信息化基础设施;流域防洪、水资源管理与调配以及N项业务应用调用数字孪生流域提供的算据、算法、算力等资源,总体框架如下图所示。



为推动数字孪生流域建设,水利部印发《水利部办公厅关于印发数字孪生流域建设先行先试台账的通知》确定94项先行先试任务,并先后出台了《数字孪生流域建设技术大纲(试行)》《数字孪生水利工程建设技术导则(试行)》《水利业务“四预”基本技术要求(试行)》《数字孪生流域共建共享管理办法 (试行)》等系列文件,明确数字孪生流域的整体框架,同时也确定了网络安全建设的基本要求。


  • 《“十四五”智慧水利建设规划》:以网络安全为底线;加强水利工控网络安全体系;落实国家网络安全等级保护制度;建立水利关键信息基础设施安全保护及保障制度。

  • 《“十四五”水安全保障规划》:推动数字孪生流域建设;强化水利网络安全保障;强化水利网络安全态势感知和水利关键信息基础设施安全防护。

  • 《数字孪生流域建设技术大纲(试行)》:应严格按照GB/T25058-2019开展数字孪生流域建设的等级保护对象定级与备案。

  • 《数字孪生水利工程建设技术导则(试行)》:应依据SL803等标准规范;工控系统服务器和客户端均应使用安全加固的操作系统,宜采用进程白名单、数字证书认证、传输加密和访问控制等措施。

  • 《数字孪生流域共建共享管理办法(试行)》:提升网络风险态势感知预判和数据安全防护能力,确保数字孪生流域共建共享安全。

  • 《水利部办公厅关于加强重大水利工程数字孪生项目设计的通知》:提出“工程信息系统应合理划分网络安全保护对象、确定对象的安全保护等级,严格落实工业控制系统网络安全防护要求”,并明确要求“技术审查单位要......严格按照相关技术标准和规范性文件,做好数字孪生项目技术审查工作”。




威努特工控安全解决方案




根据《数字孪生流域建设技术大纲(试行)》及《数字孪生水利工程建设技术导则(试行)》等文件要求,结合水利部“四预”的智慧水利业务要求,构建数字孪生流域“四预”工控安全体系。


预报

创新业务工艺白名单,循序渐进建立可信控制行为基线、访问行为基线,实现控制行为、访问行为的定性分析,快速、准确完成安全风险预报;


预警

基于内置安全风险模型,内置智能关联分析引擎,对事件规律深入挖掘,发现隐匿威胁,通过可视化手段进行全方位风险预警,并形成可追溯工单闭环处置;


预演

“平”“战”结合,“平”时常态化安全营运,提升风险管控效率;“战”时攻防模拟,动态检验风险处置响应能力,通过预演发现问题、迭代方案、制定措施;


预案

“技”“管”结合,通过管理手段辅助技术手段落地,动态迭代预演预案,制定措施、落实责任、明确流程、确保落地。





威努特优势点




01

 全流域建设经验

威努特参与多个流域及建设项目,包括黄河流域、淮河流域、新疆塔里木河流域等,具备流域级别工控安全顶层规划、建设落地、常态运营经验,能够为流域级用户提供“一站式”工控安全服务。



02

 全适配现场环境

流域内闸控、泵站普遍采用ModBus RTU串口方式通讯,威努特工业防火墙支持业内领先的串口白名单功能,满足现场控制网络区域隔离的防护需求。



03

 全无线也安全

部分闸泵站系统不具备专线部署条件,需要通过4G/5G方式接入管理中心,威努特 4G工业防火墙设备支持4G/5G接入、内置IPSec VPN模块、内置工业协议指令集防护,满足现地组网及安全防护需求。





客户疑难解答




Q1:我们的水利系统需要按照等保几级进行定级建设?

根据《水利网络安全保护技术规范》SLT 803-2020要求,流域级项目应按照等保三级的要求进行安全建设;


根据《水利网络安全保护技术规范》SLT803-2020要求,大型(含重要中型)水利工程管理单位应按照等保三级的要求进行安全建设。



Q2:我们的业务系统计划水利行业云,是否不需要进行安全建设了?

根据《数字孪生水利工程建设技术导则(试行)》,数字孪生水利工程网络应按功能分为业务网、工控网等不同网络。工控网宜分为实时控制区和过程监控区(非实时控制区),业务网宜分为信息管理区和互联网服务区。文件明确要求:“工程自动化控制系统可采用现地控制和远程控制,宜根据实际进行远程自动化控制升级改造”,并“应加强工程自动化控制系统网络安全保护”,当水利工控网与政务云/水利行业云连接时“应将实时控制区与过程监控区分别连接,应采用防火墙等网络安全措施进行隔离。”


因此,水利业务系统部署在政务云/水利行业云上时,也应加强水利工控网的合规建设。



Q3:我们的业务系统,现地闸控、泵站等都是在私有网络内,还需要安全建设吗?

1)风险管控——水利工控网普遍为专用网络,网络自身具备较高安全性,但是水利工控网还存在不少安全风险敞口:

不受控的工作站:水利工控网现地网络存在一定数量的工作站,现地工作站随意使用U盘、违规访问互联网、不受控远程运维等行为,不受控、未审计,直接影响水利工控网安全性;

封闭的工业协议:现地控制多使用Modbus、IEC104等工业协议,这类工业协议自身存在无认证、无授权、未加密等缺陷,且现场运维人员、使用人员对这类工业协议大多缺少配置维护经验,任意设备接入水利工控网,均可直接控制现地PLC等设备,引发安全事故。


2) 安全合规——《数字孪生水利工程建设技术导则(试行)》要求水利工控网“工控系统服务器和客户端均应使用安全加固的操作系统,宜采用进程白名单、数字证书认证、传输加密和访问控制等措施”;《水利网络安全保护技术规范》SLT 803-2020要求,现地控制网络应部署恶意代码防护软件或白名单软件,过程监控网络应进行工业协议深度解析并建立访问基线,过程监控网与现地控制网络的边界应部署具备工业协议深度解析能力的白名单类网关产品。



渠道合作咨询   田先生 15611262709
稿件合作   微信:shushu12121

威努特安全网络
提供安全、网络、云、计算一站式解决方案,服务于千行百业安全数字化转型。
 最新文章