“专精特新”企业高质量发展典型应用案例展示(十三)|威努特助力某大型江心水库提升整体综合防护能力
针对某水库因工控系统建设较早、面临工控网缺乏安全防护能力等问题,威努特通过调研和分析,并结合现有系统的安全现状,设计出基于工业控制系统白环境理念的纵深防御安全防护方案,建立起完善的技术防护体系,并在此基础上构建合规的管理制度体系,从而提高某水库的整体综合防护能力。
某水库是我国(2012年)最大的江心水库,设计有效库容为4.35亿立方米。日供水规模719万立方米,占当地全市原水供应总规模的50%以上。
应用需求
水库整体工控系统涉及取水泵闸、下游水闸、输水泵站、输水闸井及控制中心等几个子系统,且由于水库工控系统建设较早,前期工控系统整体网络设计只考虑了数据传输的稳定性和可靠性,工控网缺乏安全防护能力——一旦网络内某个子系统遭受攻击,很容易影响整个工控系统的正常运行。这将会给自身以及城市的安全运营带来严重的影响。
方案优势
为了应对这些挑战,威努特通过调研和分析,并结合现有系统安全现状存在的安全风险以及面临威胁,按照国家、行业相关标准,使之符合网络安全等级保护2.0要求,设计出基于工业控制系统白环境理念的纵深防御安全防护方案,建立起完善的技术防护体系,并在此基础上构建合规的管理制度体系,从而提高整某水库的整体综合防护能力。
通过在某水库的控制中心搭建一套完善的安全集中管理中心实现对取水泵站、下游水闸、输水泵闸、输水闸井的网络会话日志、设备运行日志及设备的告警日志进行集中收集并分析,实时掌握各个子系统的网络安全态势,一旦某个子系统网络出现异常情况,配合安全集中管理中心的统一安全管理平台对安全设备的策略进行动态化的调整,达到对某水库工控系统进行实时监控和精准防护。威努特的方案优势具体表现为:
第一,方案以主动防护为核心,白名单防护技术为基础,帮助用户建立纵深防御防护体系,提高用户网络安全防护能力,确保水库工控网络系统能安全稳定运行;
第二,根据客户现场管理组织架构,帮助客户完善管理制度,提高企业网络运行的标准化和规范化,从而协助用户实现网络运维管理“一切按照制度办事”的目标;
第三,顺利通过三级等级保护测评,为后续水务集团构建集团级态势感知监测预警平台奠定坚实的基础。
应用效果
基于工业白环境理念的纵深防御安全防护建设项目涉及多处原创性、创新性技术应用亮点,总结归纳如下:
第一,基于软件服务器的进程白名单更新技术。通过软件服务器的进程白名单更新技术,在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单,从而不需再对每台计算机进行重复操作,有效减少安全运维工作量,更有益于积累全网软件的白名单库。
第二,一种基于工业网络异常中断的检测方法。通过创新的采用技术检测手段,以达到针对工业网络中的异常网络中断情况进行告警,及时提醒用户进行应急管理。
第三,一种工控网络文件强制访问控制策略配置的方法。采用针对工控网络文件特别设计的强制访问控制技术,以实现在特殊环境下具备针对相关文件的访问策略的控制和配置,以达到合规要求。
第四,一种工控协议解码规则的表述及优化解码方法。用于在工业场景下针对不同的工控协议数据流进行解码和识别,该方法设计优化了其解码的方法,提高效率和准确率。
案例可推广价值
本项目建设所采用的安全防护技术和研制的产品拥有完全自主知识产权,项目行业解决方案成熟度高,在满足重点工业行业信息安全合规要求的同时,也可满足工业控制系统系统网络安全防护需求,可提高重点行业的关键信息基础实施运维管理水平。
通过项目推广应用,充分检验了现场部署的产品各方面功能及性能的可用性、完整性及安全性,为该项目的推广应用提供了宝贵的现场实施工作经验,在电力、能源等不同行业都具有广泛可复制推广性和典型示范价值。
用户寄语
某水库因工控系统建设较早,现有网络系统缺乏网络安全防护能力,存在较大的网络安全风险,不能满足政策法规技术要求,本项目结合生产控制系统的安全现状,以主动防护为核心,白名单防护技术为基础,帮助用户建立纵深防御防护体系,完善管理制度,强化网络安全技术保障能力,有效提高了网络安全综合防护能力,确保水库工控网络系统能安全稳定运行。
——某水库相关负责人