A3:科技智慧
水务行业在生产各环节涉及多种工业控制系统,本文从管理和技术两个方面分析水务行业工业控制系统所面临的安全问题,并提出对应整改建议。
01 管理侧存在的问题
问题1 未形成完善的网络安全管理体系
答:在网络安全工作中,管理体系建设和技术防护体系建设需两者兼备,一个行之有效的网络安全管理机制能统筹各方资源,协调推进综合安全防护堡垒的建设。在实际工作中,水务行业在网络安全责任制的落实、安全管理机构设置、安全管理制度建设和安全人员配比等皆未完善,需要进一步强化落实。
整改建议:水务企业应梳理国家法律法规和党内法规的各项网络安全要求,以落实网络安全责任制为抓手,对标等级保护2.0和ISO27001信息安全管理体系,参考P2DR模型、美国IISF及德国工业4.0安全框架,建立安全管理机构、制度,配备相应人员,并且应有具体指标考核要求,最终形成一个网络安全管理的PDCA循环。
问题2 缺少专业性的网络安全管理人员
答:水务企业专业性的网络安全管理人员不足,特别是能同时兼顾传统安全和工业控制系统安全的管理人员。两者看问题角度各不同,传统安全管理人员从IT的角度出发,遵循的原则依次是保密性、完整性和可用性,而工业控制系统安全则以可用性为主,要求网络安全管理员在工业控制系统安全建设时需熟知工业生产的业务特性。
整改建议:企业可以加强网络安全普适性内容培训,开展安全技能的实训和认定工作,结合“业务”与“安全”,借助天融信岗位技能培训赋能体系,培养起本单位的专业安全管理人员团队。
问题3 网络安全意识有待提高
答:水务企业的网络安全意识有待提高,安全防护“三同步”原则理解不到位,重发展轻安全的现象普遍存在。此外,对钓鱼邮件、弱密码、U口随身WI-FI威胁引入等攻击的防范意识不足。
整改建议:可开展网络安全意识培训,培训的对象可分为管理层和普通员工,内容可包括合规性政策解读、常见安全攻击防护和攻防演示等。建议每年可至少开展一次。另外,可利用好每一年的“国家网络安全宣传周”,开展小视频宣传、易拉宝、知识竞答等多种形式活动。
02 技术侧存在的问题
问题1 网络架构安全设计不规范
答:水务工业控制系统在网络架构上存在四个方面的问题,一是网络可用就行,没有区分汇聚层、接入层,只要发生蠕虫、泛洪等攻击即可瘫痪网络;二是工业控制主机和办公终端共用一台交换机,容易引入来自互联网层面的威胁;三是没有划分安全边界,工控网和办公网任意互访。四是网络内部没有任何监测手段,无法感知内部安全现状和及时发现违规行为。
整改建议:需要将水务工业控制系统网络进行安全域划分,明确区分非控制区与控制区。以安全域为最小管理单元,在边界采用安全防护设备来实现隔离,并通过安全策略的配置以及协议的深度解析来实现系统间数据的安全传输及非授权访问行为的阻断。最后辅以工控入侵及安全监测手段,对网络、系统、安全设施运行日志等进行实时监测,及时发现各种违规行为以及病毒、黑客等攻击行为。
问题2 工控主机缺少防护
答:水务工业控制系统部署着若干的服务器、操作员站等主机终端,运行着控制系统相关服务数据与应用程序,其重要性不言而喻。然而主机终端存在的系统漏洞、应用软件漏洞、弱口令、未经授权访问及移动存储介质滥用等安全隐患,直接影响着主机终端的正常运行及控制系统的安全稳定。
整改建议:水务工业控制系统内主机运行的软件、进程、服务等比较固定,且较少连接互联网,传统的终端防病毒软件无法应对此类特殊应用场景,并且存在工业应用软件中的进程、服务等被防病毒软件误杀的可能性。因此采用基于“白名单”机制进行工控主机的安全防护,相比传统的防病毒软件更适用于水务工业控制系统的环境,可从根本上解决主机安全问题。
问题3 未管控应用软件访问
答:水务工业控制系统中的应用软件存在如账号密码共享、弱密码和默认密码、配置管理不规范、无安全审计措施等诸多安全隐患。这些隐患随着系统的投入运营就一直存在,一旦黑客有机会入侵到工业网,就能轻而易举的获取到应用软件的控制权,其破坏所引起的后果将是极其严重的。
整改建议:水务工业控制系统的应用环境区别于传统IT环境,其应用多为工业控制所需特定应用,解决问题的核心是重点保护业务系统应用环境,通过工业行为审计设备学习现场环境,结合关键业务类型形成业务规则库,形成基于行为的安全防护机制。同时针对业务系统的应用账号、设备等基于最小权限原则进行管控,根据不同业务系统进行细粒度划分,严格控制业务系统的访问。
问题4 未考虑数据安全问题
答:水务工业控制系统中的实时数据库、历史数据库存在诸多安全隐患,如数据库非授权访问、数据泄露、数据串改等。一旦数据被非法访问或遭受攻击,造成数据丢失、数据篡改将直接影响上层应用及整个系统的正常运行。此外,9月1日《数据安全法》正式实施,等级保护测评报告模版(2021版)启用,将数据作为独立的测评对象,因此必须要考虑数据安全的建设。
整改建议:以数据业务属性为基础进行分类,同时将传统基于五元组的访问控制粒度细化,结合数据地址分布与数据分类结果推导合理的访问行为,形成监测预警为辅的安全配方,从数据采集、传输、存储、处理、交换共享与公开披露、归档与销毁等多角度进行安全防护。
问题5 未建设运营安全监管中心
答:水务工业控制系统未建设运营安全监管中心,导致无法集中收集、存储、分析各类安全数据信息,以及实时监测网络内发生的安全攻击;无法追踪溯源网络入侵行为、病毒、业务访问异常等问题,不能及时发现安全防护的脆弱面,从而导致木桶效应的发生。
整改建议:水务企业运营安全监管中心可作为生产控制系统网络安全状况的健康监测手段,是实现安全监测、分析、响应和管理的数据基础,同时为各水厂的安全技术防护体系提供策略联动以及策略优化等安全能力。