自来水厂工控安全解决方案V1.0.docx

自来水厂工控安全

解决方案

2023 年 3 月

目录

1. 背景...............................................................................................................................................................4

2. 需求分析......................................................................................................................................................5

2.1. 工控软件本身安全性设计缺陷 ...............................................................................................5

4. 方案设计......................................................................................................................................................8

4.1. 总体设计 ........................................................................................................................................8

4.2. 详细设计 ........................................................................................................................................9

4.2.1. 工业防火墙......................................................................................................................9

4.2.2. 工业安全审计系统......................................................................................................10

4.2.3. 防病毒.............................................................................................................................11

4.2.4. 堡垒机.............................................................................................................................11

4.2.5. 日志审计 ........................................................................................................................11

4.2.6. 安管平台（态势感知）.............................................................................................12

4.2.7. 主机卫士 ........................................................................................................................13

6. 产品选型....................................................................................................................................................25

1. 背景

城市供水系统的安全稳定运行事关城市居民的饮水供给和安全，是城市市政

服务中关键基础设施，随着我国水务行业在自动化、网络化、信息化方面的持续

投入和建设，城市供水保障能力越来越强，供水的运行效率也越来越高，满足了

我国城市向高效、节约、快速发展的需要。包括供水调度系统在内的供水信息化

管理类系统，可以将自来水公司管辖下的取水泵站、水源井、自来水厂、加压泵

站、供水管网等重要供水单元纳入全方位的监控和管理，很多水务企业是通过建

立新系统和对老系统进行融合改造；最终实现总调度中心可远程监测各供水单元

的实时生产数据和设备运行参数；可远程查看重要生产部位的监控视频或监控照

网络安全规划、设计与建设，依据《中华人民共和国网络安全法》、工信部《工

业控制系统信息安全防护指南》、《信息安全技术 网络安全等级保护基本要求》、

《油气生产物联网系统建设规范》等文件，结合煤矿企业各业务实际情况，最大

程度的降低生产安全风险的发生，按等级保护相关要求进行方案设计。

随着工业数字化、网络化、智能化加快发展，煤矿企业的工控安全面临安全

漏洞不断增多、攻击手段复杂多样等新的挑战。在“两化融合”管理体系大力推

进的背景下，工业控制系统安全发展速度却远远落后于建设速度，应用单位必须

着力提高工控系统安全应急处置能力，杜绝网络威胁攻击和远程控制失效的情况。

自来水厂生产场景常见工控系统：

PLC：可编程逻辑控制器（programmable logic controller），采用可编程存

2. 需求分析

系统的建设速度，再加上相关人员安全意识不够、相关的管理制度缺失，使得系

统本身存在较大的脆弱性。

专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用

性，对安全性普遍考虑不足：油气生产物联网中使用的 OPC 协议，利用系统的 DCOM

组件，使用 OLE 技术会在数据传输过程中开放 1024~65535 的动态端口，使用这

些端口缺少足够强度的认证、加密、授权等给数据的安全性和可靠性带来威胁。

尤其是工业控制系统中的无线通信协议，更容易遭受第三者的窃听及欺骗性攻击。

油气生产物联网实现了井场、站库等生产视频的采集与控制、视频展示、视

数据传输子系统以生产网内的通信网络建设为主。从油气田井场、站场（厂）

监控中心至作业区生产管理中心部署生产网，延伸至采油采气厂或油气田公司层

级，从作业区生产管理中心或采油采气厂生产调度中心至油气田公司生产指挥中

心部署办公网。整个油气生产物联网的的生产网与办公网络存在重叠，边界变得

很不清晰，并且生产网络和办公网络存在着实时数据库和关系数据库的关键业务

交互，缺少边界层面的访问控制措施，存在着安全隐患。

因为油气生产物联网中的各类系统，如 SCADA 系统、示功图服务器、实时数

据库等系统存在着系统升级、数据备份的需求，使用 U 盘等可移动设备的情况变

漏洞，强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休

的持久性攻击。近年来以震网为代表的针对工业控制系统的攻击事件都呈现了这

些攻击技术特征。但是针对这种 APT 攻击，现有的安全防护手段均显得有些无力。

这也许需要整合各种安全技术，通过形成完善的安全防御体系(防御手段的组织

化、体系化)才可能有效，然而工业控制系统对安全关注严重不足的现实，使其

在面临 APT 攻击时将会遭到不可估量的安全损失。

3. 设计依据

GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南

GB/T 25058—2019 信息安全技术 网络安全等级保护实施指南