最佳实践 | 守护清水之源,构建智慧水务坚不可摧防御体系
城市排水系统作为城市基础设施的重要组成部分,在维护城市生态平衡、保障排水系统高效运行和水资源可持续供应方面发挥着关键作用。其有效运行不仅可以显著缓解城市内涝问题,更能够为促进区域绿色发展和提升居民生活品质提供坚实保障。
某排水集团负责管理和运营某市中心城区庞大的排水与再生水系统,其核心业务涵盖超过一万公里的管线网络,包括数百座泵站、数十座再生水厂、数座流域调度中心以及一系列污泥处理设施。为确保污水得到全面回收与利用,该集团每日处理污水400多万立方米,日均污泥无害化处理能力高达6000余吨。
01 集团智慧水务安全体系面临五大核心挑战
该集团积极推动智慧水务建设,在信息化和网络安全方面,坚持以信息化建设为关键抓手,持续加强基础设施建设和网络安全管理。通过严格遵循国家信息安全等级保护2.0标准要求,对关键信息系统进行了等级评估和规划设计,以确保业务系统的安全稳定运行。
在风险评估过程中,梳理出该集团智慧水务体系中,集团调控中心、各流域调控中心、各水厂存在以下网络安全风险和需求:
工业生产网已具备了一定的工控安全防护能力,但还需按照“网络安全法”、“等保2.0”、“关键信息基础设施安全保护条例”等政策文件要求,迭代和补充安全防护能力,提高安全防护水平,以满足合规新要求。
管控模式调整及网络架构优化后,原有安全部署存在“缺口”,需补充加强网络边界安全防护、网络攻击行为监测及设备统一安全管理等能力,以提升集团、流域网络安全集中管理能力。
无法对网络中发生的各类安全事件进行识别、报警和分析,缺少安全态势监测、资产管理、风险评估、集中可视等安全能力,难以应对新形势下的网络攻击。
不具备对运维行为的安全审计能力,缺少安全运维审计技术措施,不能针对远程运维进行实时审计、集中授权、身份认证等,针对社工、误操作等造成网络风险无法规避。
工控安全设备的日常使用和配置策略优化,缺少工控安全技术服务与支持,需增加工控安全产品维护、定期安全巡检、应急处置等服务内容;同时,针对现场情况,需加强人员技术培训。从而提升技术人员对安全设备的管理使用水平,以更好发挥安全产品抵御网络威胁的功能能力。
基于上述网络安全风险和安全挑战,该集团的智慧水务体系建设需要综合考虑系统稳定性、数据准确性、实时性、安全性以及智能化算法的应用与优化等问题。解决这些难点需要综合运用多种技术手段和创新方法,同时还需加强人员培训、建立安全管理制度、定期进行安全检查和评估,以切实保障智慧水务体系网络安全,推进其不断完善与发展。
长扬科技立足工业互联网安全,在水务行业积累了丰富的行业经验,具备出色的技术、产品及服务能力。凭借对该集团数十座水厂、数座流域、数百座泵站专业的调研评估工作和精准切合业务需求的体系化安全防护方案,公司成功赢得了客户的信任和认可,最终被选为智慧水厂网络安全防护体系建设的合作伙伴。
02 长扬科技助力构建“三位一体”网络安全纵深防御体系
为了全面符合国家及主管单位对于关键信息基础设施网络安全的严格要求,并有效应对当前错综复杂的网络安全威胁,长扬科技以工控网络安全合规建设为防护基础,以工业网络安全态势感知与运营为管控抓手,为客户构建了企业集团级工业网络安全综合保障体系。
企业集团级工业网络安全综合保障体系拓扑图
首先,公司在集团调度中心部署工业互联网安全监测分析系统、工业安全流量审计与日志分析系统以及安全运维管理平台。这些产品的相互融合,不仅弥补了各分支机构在人员能力上的不足,更显著提升了集团整体的网络安全预警、资产态势感知以及威胁态势感知能力。通过工业互联网安全监测分析系统,集团公司能够实时、准确地掌握资产与威胁状况,从而全面梳理资产现状,从源头上消除网络安全风险。
在各流域调控中心、各水厂,公司为该集团部署工业防火墙,强化各安全域间的边界访问控制能力,严防非授权、非法访问,避免重要数据的非法泄露、拷贝、篡改等风险;在水厂核心交换区部署工业安全流量审计与日志分析系统,实时监测、深入分析水厂的流量和日志数据,通过产品独特的技术算法,迅速发现并应对恶意行为、恶意代码等安全威胁。通过水厂安全设备与集团调度中心平台的无缝对接,能够实时将相关信息同步至集团平台,从而显著提升集团对下属域调控中心、水厂网络安全的深入洞察能力。这一系列的措施共同构筑起了一道坚实的网络安全防线,为该集团的业务系统稳定运行提供了坚实的网络安全技术保障。
为了进一步强化集团的网络安全防线,长扬科技精心构建了网络安全驾驶舱,这一核心枢纽旨在实现上下协同、网络安全集中指挥,并快速响应网络安全事件。通过网络安全驾驶舱,不仅能够主动出击,防御潜在威胁,还能精准感知网络安全态势,切实增强集团的网络安全管理能力。
网络安全驾驶舱平台架构
在集团侧,长扬科技还建立了威胁中心、资产中心、分析中心、运营中心等核心模块,通过一系列详细部署,显著提升了该集团的网络安全主动防御和感知能力,成功将网络安全设备的工作模式由“各自为战”转变为“协同作战”,最终实现“挂图作战”。
此外,在水厂侧将基础防护的报警信息作为重要数据源,为集团工业互联网安全监测分析系统提供有力支持。通过部署边缘分析设备,采集网络流量和日志,并运用大数据和人工智能技术进行深入分析,从而动态、主动发现隐匿在网络中的风险。
03 项目价值
网络安全防护体系建设完成后,共发现危机告警9491条。经过细致的分类梳理和收敛聚合,告警信息被精简至129条,这些告警涉及的主机数量达到71台。进一步分析显示,这些主机分别受到了“WannaMine”蠕虫病毒和“人生日历”蠕虫病毒的感染。长扬科技网络安全系统成功捕捉到了潜在威胁,为水厂的网络安全提供了坚实的保障。
危机告警大屏
智慧水务网络安全体系建设的业务价值不仅体现在保障供水服务的稳定性和连续性中,还体现在提升数据安全、应急响应能力以及整体竞争力等多个方面:
筑牢合规防线:通过网络安全立体防护体系建设,该集团达到《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《关键信息基础设施安全保护条例》等国家及行业标准规范要求。
强化集中管控:提升了集团网络安全集中管控和安全运营的能力,能够对数十座水厂、数百座泵站网络安全设备进行集中管理、策略下发;通过工业互联网监测与分析系统,该集团成功实现安全统筹运营管理与挂图作战的目标。
升级防御体系:提升了集团、流域、水厂生产网的整体网络安全防护能力,将被动防御变为主动治理;通过建立纵深防御体系,有效防范了网络攻击带来的停产、生产机密泄露等安全生产问题,满足数据保护需求。
锻造安全铁军:提升了集团、流域、水厂安全运维人员的网络安全意识及网络安全应急响应能力,通过多次服务逐步培养了该集团技术精湛的安全运营团队,有效保护了业务系统安全稳定、可持续运行。
结语
智慧水厂网络安全防护体系的成功建设以及后期的持续优化,成功实现合规达标、防护升级、运维提效及能力沉淀四大价值突破,既满足等保2.0与关基条例要求,又构建起集设备集中管控、威胁动态感知、应急快速响应于一体的安全运营体系,为该集团的数字化转型筑牢网络安全底座,为城市水环境治理注入可持续的网络安全动能。
