世环通小程序

智慧水务安全的最大挑战竟然是TA?

   日期:2021-03-22     来源:智慧水务中心    

2020年5月,以色列国家网络安全负责人表示,国家供水系统的大规模网络攻击。此次针对中部供水设施的攻击,是具有国家背景的黑客组织攻击,目标是控制用于供水网络阀门的plc(可编程逻辑控制器),目的是“引发人道灾难”。此类事情屡见不鲜,网络威胁已经向城市供水系统领域渗透,把水务工业控制系统作为攻击目标,为城市供水系统敲响了安全警钟。

          

在我国,网络安全已上升到国家安全战略高度,习近平总书记在中央网络安全和信息化领导小组第一次会议中明确阐述了网络安全对于国家的重要性。2017年6月1日《中华人民共和国网络安全法》正式颁布实施,明确指出针对城市水务公共服务等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络安全是智慧水务健康、长久发展的重要保障。

          

供水系统六大安全风险

          

(一)通信协议风险

          

自动化和信息化的高度融合和物联网的发展使得modbus协议、profibus协议、opc协议等工业协议广泛应用于城市水务工业控制网络,协议的公开性导致极易遭受攻击,而传统防火墙往往无法发现和防范出现的安全问题。

          

(二)工业设备风险

          

国内水务企业工业控制系统大量采用进口工业控制设备,而这些设备普遍存在漏洞,可利用漏洞进行脚本攻击改变操作指令,进而影响生产正常进行。

          

(三)操作系统风险

          

城市水务工业控制系统的工业主机基本上都是windows平台,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常不会对操作系统安装任何补丁,存在很大的安全隐患。

          

(四)安全策略和管理流程风险

          

追求可用性而牺牲安全性,是水务工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也带来了一定的威胁。例如移动存储介质包括笔记本电脑、u盘等设备的随意使用和不严格的访问控制策略。

          

(五)感染病毒风险

          

为了保证工控应用软件的可用性,许多工业主机通常不会安装杀毒软件,因为杀毒软件会造成工控应用软件运行出现异常,而且工业主机紧张的资源配置也不能满足杀毒软件的运行需求,但是工控环境的数据交互会导致病毒进入工业主机,近两年频繁的勒索病毒攻击也正是因此而起。

          

(六)安全监管风险

          

城市水务工业控制网络普通缺乏工业安全审计设备和安全日志统计分析手段,无法实现对工业控制网络的可感知与可控制。

          

智慧水务的应对措施

          

(一)全环节态势感知

          

针对智慧水务工业控制网络中安全防护手段众多、安全信息杂乱、安全态势不可见的现状,建议以水务企业为主体,建设涵盖其下属水源厂、净水厂、泵站、管网等生产设施、覆盖采水、净水、给水、供水、排水等全环节的工控安全态势感知平台,及时发现各类网络安全风险以及非法访问事件,实现工业信息安全的闭环管理,全面提高水务企业工业安全防护的整体水平。

          

(二)白名单主动防护

          

智慧水务工业控制系统主机存在运行资源有限、操作系统老旧、补丁难以及时更新、无法部署杀毒软件等现实情况,建议采用应用程序白名单技术建立主动防护机制,形成以白名单技术为基础、应用程序数据智能采集分析、恶意代码识别阻断、移动设备安全管控的主机安全防护体系,通过大数据采集和分析,智能学习并自动生成工业主机操作系统及工业应用软件正常行为模式的白名单基线,仅允许必要的系统进程及工业应用软件运行,主动抵御已知未知安全风险,实现对工业主机设备的全面安全加固,进行病毒防护、阻止恶意软件攻击、禁止非授权程序运行等。

          

(三)多边界纵深防御

          

为了保证智慧水务工业控制网络的安全,建议对办公网、工业控制网络、互联网进行合理安全区划分,并对工业控制网络进行细致区域划分,根据网络情况及工业控制设备实际情况选择合适的工业安全防护设备进行针对性安全保护,构建多边界纵深防御体系。

 
注:此网站新闻内容及使用图片均来自网络,仅供读者参考,版权归作者所有,如有侵权或冒犯,请联系删除,联系电话:021 3323 1300
 
更多>同类资讯

相关产品推荐
预约
3
收藏
41
扫一扫打开小程序
021-33231363/1371/1336
关闭