筑牢水利設施安全,某水利機構網絡安全建設示范先行
背景介紹
某水利機構負責所轄流域的水資源管理、流域綜合治理和監督等職能,曾先后榮獲國家水利部促進水利科學技術進步重大貢獻獎以及全國水利系統綜合經營先進單位等榮譽稱號。
為深入貫徹網絡強國戰略思想,嚴格落實《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》的相關制度要求,依據《水利網信水平提升三年行動方案(2019-2021年)》所提出的“等保達標:關鍵信息基礎設施100%達標,三級以上系統90%達標”網絡安全行動目標和任務,某水利機構立足自身重要信息系統,參照GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》和《水利網絡與信息安全體系建設基本技術要求》進行網絡安全等保三級達標建設,確保重要信息系統的網絡安全威脅發現和處置能力得到明顯提升。
需求目標
本次網絡安全等級保護建設將堅持“水利工程補短板,水利行業強監管”的水利改革發展總基調,堅持問題導向、需求牽引原則,按照“安全、實用”總要求,以網絡安全為重點,加快補齊水利網信短板,提升支撐強監管能力,以水利信息化驅動水利改革發展。
1 強化水利工業控制安全防護
建立圍繞某水利機構下轄各干渠和樞紐分中心工業控制系統安全的防護機制,確保工業控制系統和相關網絡環境的穩定性和連續性,防止類似“以色列水利設施遭入侵”、“澳大利亞供水設施被植入后門”等工業安全事件的發生,切實維護水利關鍵信息基礎設施安全和國家安全。
2 構建水利體系綜合防控 系統
以“實戰化、體系化、常態化”的理念,結合“動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控”的舉措,構建 該水利機構網絡安全綜合防控系統。
3 實現水利網信水平提升
按照建設“安全、實用”網絡信息系統的總要求,針對差距大、風險高的網絡安全防護薄弱環節,加快補齊信息化明顯短板,實現本單位關鍵信息基礎設施100%等保達標,三級以上系統90%等保達標。
4 網絡安全建設符合等保三級要求
立足 某水利機構自身重要信息系統現狀,梳理現有網絡安全防護措施,補齊與標準網絡安全等保三級的差距,建立健全“一個中心三重防護”的立體安全防護機制,滿足網絡安全等保三級的要求。
解決方案
1 項目設計參考依據
- 《中華人民共和國網絡安全法》
- 《關鍵信息基礎設施安全保護條例》
- GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》
- GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》
- 《水利網絡安全管理辦法(試行)》
- 《水利網信建設和應用監督檢查辦法(試行)》
- 《水利網絡與信息安全體系建設基本技術要求》
- 《水利關鍵信息基礎設施網絡安全建設指導意見》
- 《水利網信水平提升三年行動方案(2019-2021年)》
2 解決方案內容概述
圖1 解決方案拓撲示意圖
某水利機構網絡安全等保三級建設方案圍繞“一個中心三重防護”基本思路,因地制宜構建縱深安全防御體系,滿足網絡安全等級保護基本要求以及水利關鍵信息基礎設施網絡安全建設指導意見等相關標準,打造符合水利網信水平提升三年行動要求的網絡安全綜合防控系統。方案細節如下:
邊界安全防護:局中心機房核心交換機下聯到各樞紐、干渠分中心邊界處部署工業防火墻,各樞紐、干渠分中心上聯邊界部署工業防火墻,局中心機房核心交換機部署入侵防御系統,針對已知病毒、異常入侵行為等提供實時檢測和阻斷防御機制,針對異常工業控制指令進行深度解析并建立工業協議白名單,確保未知和惡意的控制指令及時被監測和告警阻斷,提供邊界安全防護功能;如針對控制區內OPC服務器實現OPC協議單向只讀,滿足數據安全傳輸需求:
圖2 工業防火墻OPC協議白名單功能示意圖
通信網絡安全:劃分控制區與管理區,工業控制系統和辦公管理系統分區分域,局中心機房和各干渠、樞紐、水調中心等分中心局域網交換機旁路部署入侵檢測系統,提供對已知病毒、木馬和入侵行為的檢測功能,建立針對網絡威脅的及時發現機制,提供通信網絡安全防護功能;
業務邏輯安全:局中心機房核心交換機旁路部署工控安全監測與審計系統,鏡像獲取機房內部流量并進行工控協議的深度解析,識別惡意工控指令和異常工業數據流量,及時監測工控業務邏輯層面的安全隱患;針對常見的工業控制協議,可提供多種工業協議白名單模板,極大提升工作效率和防護的安全性:
圖3 工控安全監測與審計系統工業白名單模板
計算環境安全:局中心機房及水調中心控制區的各服務器和操作站端部署工控主機衛士,提供主機訪問控制、文件程序白名單安全防護、移動介質管控、漏洞防護等計算環境安全防護功能;工控主機衛士采用“文件級”應用白名單機制,可以有效阻止病毒、木馬及“0-Day”漏洞的感染和被利用,對工控系統監控軟件和組態軟件的正常使用無影響,可有效阻止工控惡意程序或代碼在工控主機的執行、擴散,從根本上解決傳統殺毒軟件帶來的誤殺、漏殺、占用系統資源、需要聯網升級病毒庫等問題:
圖4 工控主機衛士白名單功能
一個管理中心:局中心機房劃分獨立區域作為安全管理中心,部署統一安全管理平臺,提供對各安全設備軟硬件的統一管理和策略下發;部署工控漏洞掃描平臺,提供多維度全網脆弱性掃描的能力;部署日志審計與分析系統,留存網絡安全日志12個月以上并提供事件溯源分析功能;部署安全運維管理系統,統一維護管理員和運維人員賬號并提供操作審計等功能;部署數據庫審計系統,提供針對數據庫敏感操作的審計和預警功能:
圖5 統一安全管理平臺設備管理功能
圖6 工控漏洞掃描平臺漏洞模板
圖7 日志審計與分析系統事件告警
圖8 安全運維管理系統儀表盤界面
圖9 數據庫審計系統危險操作預警
用戶價值
1.幫助用戶打造水利行業重要信息系統網絡安全保障示范工程,健全單位自身網絡安全管理運營體系,提高預警檢測和防護能力,實現網絡安全核心技術裝備安全可控,杜絕重大災難性事件發生。
2.促進水利網信水平提升,符合《水利網信水平提升三年行動方案(2019-2021年)》對網絡安全提出的等保達標目標要求,為加快補齊水利網信短板和提升支撐強監管能力做出積極貢獻,并促進以水利信息化驅動水利改革發展的進程,在水利行業起到標桿示范作用。
3.幫助用戶實現工業控制系統網絡安全從邊界防護到縱深防御、從被動防護到主動防御、從單一設備防護到協同聯動的能力提升,規范某水利機構中心對自身及下屬干渠、樞紐等分中心控制系統的網絡安全管理,實現構筑精準防護和聯防聯控的水利體系網絡安全綜合防控系統。
4.滿足《中華人民共和國網絡安全法》對單位網絡運營者履行相關義務的要求,滿足《關鍵信息基礎設施安全保護條例》提出的重點保護要求和GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》規定的網絡安全等保三級要求。
