freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

水务行业工控系统网络安全防护
  • 关注
水务行业工控系统网络安全防护
2022-05-10 16:19:05
所属地 浙江省

在工业互联网高速发展的时代,水务行业信息化正在引入云计算、物联网等新型计算技术,网络安全也正在向云计算、物联网等领域发展。水务行业的数字化转型升级离不开水务工控网络的安全防护,在此背景下,我们一起了解一下水务行业工控系统网络安全防护。

水务行业概况

水务工控系统

城市水务主要包括原水、制水、给排水和污水处理等四大环节。

原水厂负责将水源地水库的水输送到自来水厂。原水厂多为增压水泵,业务连续性要求较高,一旦中断,将直接影响全市自来水厂供水。自来水厂属于关键信息基础设施范畴,自动化程度较高。

给排水由全市供水管网和河道闸门泵房的给排水管网控制系统组成。

污水处理包括面向生活污水处理的各区污水处理厂和面向特定工业的专业污水处理厂,污水处理控制系统一旦发生事故,将对环境生态造成严重影响。

常见安全问题

通过近年来工业互联网安全的建设,水务行业工业控制系统信息安全保障能力得到明显提升,但仍存在一些问题:

1.网络安全管理体系不完善

涉水企业常年重视生产安全,对工业控制系统信息安全认识薄弱,特别在工业控制系统领域,大多未形成责任落实体系和有效的工作体系。

2.办公网与生产网之间隔离措施薄弱

部分水务行业工控系统通过网络对接的方式直接与办公网进行连接,网间并无针对工控系统的网络访问控制设备和入侵防范设备,使工控系统面临着来自办公网的嗅探、入侵、病毒传播以及恶意代码攻击等威胁。

3.安全技术防护缺失

部分工控系统未按照等级保护要求开展网络安全防护工作,控制系统网络边界缺乏防护,网络内部缺乏审计,主机系统无防护,黑客一旦进入控制网络,则畅行无阻,后果不堪设想。

4.网络安全人才不足

长期以来,水务行业工控系统运营单位没有足够重视网络安全工作,没有配备专业专职的信息安全人员,也未能采购足够的信息安全服务,安全技术水平和管理能力不足,影响工作的落地落实。


主要风险

(1)系统漏洞风险

水务行业工控系统除面临操作系统、数据库、中间件等常见漏洞外,还普遍存在 PLC 安全漏洞。行业内主流 PLC 系统多为外国产品,主要包括西门子、施耐德、通用电气等。PLC 的漏洞主要有 DOS、远程执行、用户权限提升、信息泄漏等,这些漏洞都可造成运行中断、非法操作、信息泄漏等后果。同时 SCADA 系统由于明文通信和防护薄弱等原因,在远程通信等环节也存在诸多安全问题,如 Modbus/TCP 身份认证缺失、OPC 的远程过程调用时动态端口防护困难等。

(2)外部攻击风险

从全球范围来看,工业控制系统日益成为黑客攻击和网络战的重点目标。随着大量攻击事件解密(如维基解密、影子经纪人等),黑客组织发展和公布了大批工控漏洞和攻击工具,工控信息安全攻防技术迅速普及,定向攻击能力得到大幅度提升,由此引发了大量工控信息安全攻击事件。如 2016 年,美国东海岸大面积断网;2017 年,“WannaCry”勒索病毒肆虐全球等等。水务工业控制系统涉及城市用水安全,在特殊时期可能成为敌对势力的攻击目标。

(3)内部操作风险

在水务行业工控系统运维过程中,为了降低运维成本或处置紧急故障,存在让外部厂商技术人员对水务行业工控系统进行远程操作的情况,此类场景下需要通过开启互联网通道接入,如没有远程运维操作的监管和安全审计,则存在极大的安全隐患。同时,移动设备管理也是普遍问题,大量单位在物理防护不严格的环境中,移动存储介质滥用、移动网络设备形成非法网络外接等情况,都给生产网络及设备带来了极大的安全隐患。



安全技术防护

设计思路

水务工业控制系统属于支撑业务生产经营的重要系统,部分系统属于关键基础信息设施,所以应该按照信息系统等级保护标准体系开展网络安全防护工作,通过划分网络安全域,分析区域和通信管道的安全需求分析。落实物理环境安全、网络边界安全、网络通信安全、计算环境安全和集中管理。

安全技术防护

根据等级保护三级要求,结合水务领域的特殊情况,其环境在水务系统中差异较大,大量有人站和无人站,在建设之初多数未考虑机房环境要求,如果根据等保三级要求,配置精密空调等措施,在经费上不能都满足,因此可以采用等保工业控制系统安全扩展要求中的野外系统要求。

建设统一运营中心,网络边界采用下一代防火墙,集成防病毒网关、入侵检测、SSL VPN 等,也可采用等保一体机等网络安全虚拟化设备,甚至直接在私有云上采用超融合架构,将所有安全设备用虚拟网元实现。

设置安全主管部门,物理安防可落实在门卫的登记和核查,也可以采用电子门禁或人脸识别系统。其网络边界纳入机房网络,由机房网络的下一代防火墙统一管理,在数据中心部署集中管控平台和态势感知平台。

随着物联网、大数据等新技术发展应用,水务行业工控系统面临更多的安全风险,研究并实施网络安全技术防护措施、落实网络安全制度是一项长期的、持续的重要工作,需要运营单位和监管部门建立长效机制,共同促进水务工业控制系统安全、稳定运行,更好支撑水务业务健康发展。

参考:《信息安全与通信保密(JAN 2020)》宗志锋

# 工控安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
水务行业概况
  • 水务工控系统
  • 常见安全问题