隨著國家對生態(tài)環(huán)境要求越來越嚴格，污水廠自動化水平的不斷提高，以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用，污水廠控制系統(tǒng)的安全及經(jīng)濟信息安全被提到非常重要的位置。《網(wǎng)絡(luò)安全法》中明確要求 “國家實行網(wǎng)絡(luò)安全等級保護制度，網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)。”“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。”

江心洲污水處理廠是南京最大的污水處理廠，工程規(guī)模為67萬m3/d，出水標準執(zhí)行一級A標準。處理后的水排放到長江中，污水廠的運行安全與否直接影響長江的生態(tài)環(huán)境安全。為保證污水廠的安全運行，防止網(wǎng)絡(luò)攻擊，污水廠控制系統(tǒng)安裝了一套工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)。

江心洲污水廠自控系統(tǒng)分為三個層次，即就地設(shè)備層、車間控制層和調(diào)度監(jiān)控層。PLC及中控室監(jiān)控計算機之間通過100M/1000M TCP/IP光纖環(huán)網(wǎng)工業(yè)以太網(wǎng)進行高速大容量數(shù)據(jù)交換；調(diào)度監(jiān)控層各節(jié)點通過交換機構(gòu)成星型以太網(wǎng)，采用SERVER/CLIENT結(jié)構(gòu)。?

江心洲污水廠自控系統(tǒng)采用“集中監(jiān)控、管理，分散控制”的集散型系統(tǒng)。調(diào)度監(jiān)控層系統(tǒng)由二臺歷史服務(wù)器（雙機熱備）、二臺數(shù)據(jù)采集服務(wù)器（雙機容錯、熱備）、三臺中控室監(jiān)控計算機、一個工程師站、打印、報表服務(wù)器和分區(qū)控制分站組成本工程實時控制工業(yè)以太網(wǎng)絡(luò)，如中控室監(jiān)控計算機故障，各現(xiàn)場分站仍能獨立和穩(wěn)定工作，從根本上提高了系統(tǒng)的可靠性。同時采用以PLC為主構(gòu)成的集散型系統(tǒng)，有較高的性價比。?

監(jiān)控系統(tǒng)采用現(xiàn)場PLC，配備先進的上位機軟件。在污水廠中央控制室設(shè)置三臺計算機作為操作員站。自控系統(tǒng)按照C/S架構(gòu)的開發(fā)與部署模式，系統(tǒng)實現(xiàn)的主要功能有遠程監(jiān)視管理系統(tǒng)、生產(chǎn)運行管理系統(tǒng)、信息報表管理系統(tǒng)、設(shè)備資產(chǎn)管理系統(tǒng)、能源監(jiān)測系統(tǒng)、報警信息管理、數(shù)據(jù)運行質(zhì)量分析、專家系統(tǒng)、系統(tǒng)管理、移動APP查詢。?

污水廠控制系統(tǒng)如圖1所示。

圖1? 污水廠控制系統(tǒng)示意圖

為保護污水廠自控系統(tǒng)的安全，本設(shè)計方案設(shè)計了一套完整的計算機信息安全防護系統(tǒng)。?

4.1　工業(yè)安全的重要性及必要性?

近年來，針對工業(yè)控制系統(tǒng)的攻擊已經(jīng)頻繁出現(xiàn)并造成了嚴重的影響，進行工業(yè)控制系統(tǒng)的防護是非常必要的。?

4.2　自控系統(tǒng)信息防護設(shè)計目標?

（1）滿足合規(guī)

依據(jù)國家等級保護要求及安全防護指南，結(jié)合物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機計算環(huán)境、安全管理層面等存在的安全風險，為安全整改和建設(shè)規(guī)劃提供有力的依據(jù)。?

（2）整體防護?

針對已發(fā)現(xiàn)安全風險和潛在安全威脅，結(jié)合現(xiàn)有成熟技術(shù)進行工控網(wǎng)絡(luò)安全整改與建設(shè)，重點從網(wǎng)絡(luò)安全域劃分及訪問控制、網(wǎng)絡(luò)安全監(jiān)測及審計、主機安全防護、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。

（3）持續(xù)運營?

以工業(yè)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心，通過外部情報、行業(yè)情報、內(nèi)部情報及各類日志進行綜合建模分析，結(jié)合AI技術(shù)對網(wǎng)絡(luò)中存在的異常情況、未來可能的攻擊行為等進行捕捉研判。以更強風險感知和識別能力為基礎(chǔ)，綜合的管理風險、應(yīng)對風險，實現(xiàn)工業(yè)控制系統(tǒng)安全能力的可持續(xù)運營。?

4.3　方案設(shè)計依據(jù)針對水務(wù)工業(yè)控制系統(tǒng)基于等級保護二級的安全防護方案編制，遵循依據(jù)如下：?

（1）《工業(yè)控制系統(tǒng)信息安全防護指南》?

（2）GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則?

（3）GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南?

（4）GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)系統(tǒng)安全等級保護基本要求?

（5）GB/T 25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南?

（6）GB/T 25070-2019 信息技術(shù)安全 網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求?

4.4　方案設(shè)計思路?

鑒于本污水廠工業(yè)控制系統(tǒng)在市政工程中的重要性，結(jié)合公安部網(wǎng)監(jiān)和業(yè)主的要求，并參照《信息安全技術(shù)? 網(wǎng)絡(luò)安全等級保護定級指南》，本項目工業(yè)控制系統(tǒng)信息安全保護等級定為二級，污水廠工業(yè)控制系統(tǒng)信息安全建設(shè)方案也參照等級保護二級基本要求進行差異分析和安全建設(shè)。為實現(xiàn)污水廠自控系統(tǒng)安全合規(guī)的建設(shè)需求，我們建議參考圖2所示拓撲引入一系列安全軟硬件進行安全防護，具體包括：?

圖2 基于合規(guī)的安全防護拓撲設(shè)計示意

（1）工業(yè)防火墻：采用串接形式部署的硬件設(shè)備，基于工業(yè)現(xiàn)場特點和工業(yè)控制系統(tǒng)安全風險進行設(shè)計，對工業(yè)控制系統(tǒng)進行細粒度的安全域劃分，利用深度工業(yè)識別技術(shù)和AI技術(shù)防止?jié)撛诘墓粜袨閷ο到y(tǒng)造成破壞。?

（2）工業(yè)審計系統(tǒng)：采用旁路鏡像部署的硬件設(shè)備，起到對工業(yè)網(wǎng)絡(luò)關(guān)鍵節(jié)點進行入侵檢測和事后日志審計的作用，對邊界防護難以識別的內(nèi)部流向交互風險進行識別、預(yù)警和日志留存。?

（3）工業(yè)衛(wèi)士：軟件產(chǎn)品，部署于操作員站和業(yè)務(wù)服務(wù)器，通過嚴格的設(shè)備管控防止未授權(quán)操作和惡意代碼攻擊事件的發(fā)生。?

（4）工業(yè)漏洞掃描：部署于安全管理區(qū)域，對全網(wǎng)資產(chǎn)和風險進行識別，便于掌握現(xiàn)場真實的脆弱性情況，指導(dǎo)總體風險緩解機制的指定和詳細安全策略設(shè)計。

?（5）安全監(jiān)管平臺：部署于安全管理區(qū)域，是污水廠工控系統(tǒng)的安全管理中心，起到統(tǒng)一的策略配置運維、日志審計、報表分析等作用；將孤立的安全防護手段串聯(lián)起來，是實現(xiàn)協(xié)同聯(lián)動安全防護效果的指揮中心。

4.5　防護設(shè)備部署描述?

（1）在互聯(lián)網(wǎng)邊界部署傳統(tǒng)防火墻，實現(xiàn)網(wǎng)絡(luò)邊界訪問控制；監(jiān)控網(wǎng)絡(luò)邊界部署傳統(tǒng)防火墻，實現(xiàn)監(jiān)控網(wǎng)絡(luò)到業(yè)務(wù)網(wǎng)絡(luò)間的訪問控制；?

（2）業(yè)務(wù)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)之間部署工業(yè)網(wǎng)閘，實現(xiàn)業(yè)務(wù)網(wǎng)與工控網(wǎng)絡(luò)的物理隔離；?

（3）在工業(yè)網(wǎng)絡(luò)內(nèi)部，PLC與后端設(shè)備間部署工業(yè)審計，實現(xiàn)工控行為的審計記錄；?

（4）在PLC與工業(yè)網(wǎng)絡(luò)核心交換機間部署工業(yè)防火墻，實現(xiàn)工業(yè)協(xié)議的訪問控制；?

（5）在工業(yè)網(wǎng)絡(luò)工程師站前端部署工業(yè)防火墻，實現(xiàn)工業(yè)協(xié)議的訪問控制；?

（6）在工業(yè)網(wǎng)絡(luò)終端上部署工業(yè)衛(wèi)士，實現(xiàn)終端的白名單安全防護；?

（7）工業(yè)網(wǎng)絡(luò)核心交換機上部署工業(yè)監(jiān)管平臺，實現(xiàn)工業(yè)設(shè)備的集中監(jiān)管；?

（8）在工業(yè)網(wǎng)絡(luò)部署工業(yè)安全檢查工具，實現(xiàn)工業(yè)漏洞等的安全檢測。?

4.6　主要防護設(shè)備清單（如表1所示）?

表1 主要防護設(shè)備清單

本文只粗略介紹了江心洲廠工業(yè)防護2.0的大概設(shè)計情況，工業(yè)防護的設(shè)計應(yīng)根據(jù)各自的控制系統(tǒng)平臺、配置的設(shè)備等不同情況，同時應(yīng)對不同業(yè)主需求，進行不同的配置。隨著國家對安全防護的要求越來越嚴格，工業(yè)防護2.0、3.0或以上版本會得到越來越廣泛的應(yīng)用。

（來源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟）