水处理厂生产监控系统安全解决方案

1.1.自来水厂工艺

众所周知，自然降水和湖泊河流水是不能用来直接饮用的或用作生产，因为各种自然因素和人为因素，这些水里会含有各种各样的杂质，直接饮用会对人类的健康造成很大的伤害，所以各国想到了对水进行处理消毒。

首先，从给水处理角度考虑，水体内杂质可分为悬浮物、胶体、溶解物三大类。城市水厂净水处理的目的就是去除原水体中这些会给人类健康和工业生产带来危害的悬浮物质、胶体物质、细菌及其他有害成分，使净化后的水能满足生活饮用及工业生产的需要，所以一般各自来水公司水厂采用常规的水处理工艺，它包括机械混合、混凝反应处理，絮凝沉淀处理，过滤处理，滤后消毒处理几个过程。

              

             

图1-1 自来水流程图

水处理过程是既是一个复杂的化学反应过程，又是一个庞大生物工程，每一道工艺程序都有严格的质量控制程序，这些单单靠人工很难及时处理，尤其面对现代越来越烦重的处理量。处理过程的环节涉及很多，每一次化学反应、每个搅拌动作，每个阀门的开启，每一次计量、化验都需要无比的精确测量和精准控制，

只有将控制保持在允许范围内，计量在毫厘间，才能保证适合饮用的水流入千家万户的厨房和企业。

随着科技水平的飞速发展，自来水净化技术不断提高，但是我们还是应该注意目前自来水水质存在很多的不安全的因素。尤其是自来水消毒剂副产物的危害，任何科学技术都是一把双刃剑，均具有利弊二重性。用于自来水消毒的氯等消毒剂也是如此，水中残留的各种有机物和氯消毒剂结合后产生卤代化合物，有许多已经被确认是癌症的诱发物，其中主要是挥发性三卤甲烷和非挥发性的卤乙酸，后者致癌的危险是前者的50~100倍。因此，许多国家对氯的使用以及对氯的副产物的危害性有严格的控制。日常烧开水时，随着烧水时间的增加，水中的消毒副产物的含量会增加。

1.2.行业特点

1.中国城市化的进程加快，对自来水供应及相关行业的需求也随之增加。加强水资源管理和利用，保障水资源的安全也是政策使然。

,关键信息基础设施是重点保护的对象。城市供水为民众提供的是必需服务，因此其控制系统信息通讯一旦遭到攻击，将涉及地区稳定，人民生命安全，社会舆论，、国计民生，破坏性自然不言而喻。

2.中国是一个典型的水资源贫乏国家，发展先进的节水技术刻不容缓-水资源的综合利用率必须提高，而进行城市自来水的循环使用是一个比较好的解决方案，为了提高自来水循环使用次数，需要提高自来水厂的自动化和信息化水平，进而要求自动化与信息化融合的过程中，做好安全防护工作。

3.自来水行业内普遍存在成本偏高的问题-工资费用大，管网漏失率高，人员超编，电耗超定额等，解决成本偏高的问题需要自动化控制产品的广泛应用，利用信息化与自动化的融合，降低运营成本和管理成本等。

1.3.安全关注点

鉴于水处理行业的特点，工业自动化、高度集成是其推动行业深化、探索新的利润营利点的根本动力。在这个过程中工业自动化控制网络信息安全就越发的重要，生产的安全在很大程度上取决于控制系统的安全、稳定运行，首要关注以下几方面问题：

1、消毒剂安全：自来水厂内的源水经过滤池过滤后会在清水池内投加次氯酸钠等消毒剂是根据源水管道的流量计进行投加，投加次氯酸钠等消毒剂的设备一般采用计量泵等变频设备，一旦采集流量计信号的模块被篡改数据或者控制计量泵的模块被修改，将对自来水厂供应的用户造成人员中毒或者死亡的后果；

2、设备漏洞：国内自来水厂，大量采用西门子等产品，但由于该系列产品存在漏洞，可利用漏洞，进行脚本攻击改变加氯间控制系统参数，可能面临恶意的网络攻击；

3、设备非停：自来水厂送水泵房由送水泵和泵后阀门等重要设备构成，送水泵和泵后阀门中间会有压力表反馈管道压力，送水泵会根据压力表的数值进行PID调节，使得管道压力维持恒定压力以免管道崩裂，但是由于PLC及Scada类产品存在漏洞的原因，如西门子PLC存在绕过权限修改内部寄存器值的漏洞，可以直接关闭泵后阀门，并修改压力表的数值，导致送水泵持续工作后管道崩裂的现场事故，更加可怕的是所带来的次生灾害，如土地沉降导致住宅威胁。

1.4.其他安全风险

根据2016对自来水行业的调研，尤其是生产企业工业控制系统网络安全的调研统计，几乎90%的企业对工控网络安全没有完整的认识和防控意识。目前自来水行业主要存在以下工控安全问题。

1、通信协议漏洞

自动化和信息化的高度融合和物联网的发展使得ModBus协议、ProfiBus协议、OPC协议等工业协议越来越广泛地应用在工业控制网络中，协议的公开性导致极易遭受攻击，而传统IT防火墙无法发现和防范出现的安全问题。

2、工业设备漏洞

国内自来水厂大量采用西门子和和利时产品，但由于该系列产品存在漏洞，可利用漏洞进行脚本攻击改变操作指令，进而影响生产正常进行。

3、操作系统漏洞

自来水厂的工程师站/操作站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统运行后不会对Windows平台安装任何补丁，存在很大的安全隐患。

4、安全策略和管理流程漏洞

追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

5、杀毒软件漏洞

为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。

6、应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。

1.5.解决方案

重点设备防护是保护重要资产的最好办法！

作为国内专业的工控安全厂商，威努特公司致力于为客户提供工控安全整体解决方案与产品服务，结合自来水厂的现状及特点，推出了覆盖自来水厂全流程的“白环境”安全解决方案，帮助客户建立自主可控、安全可靠的工控安全整体防护体系。

威努特防护策略中基于工业协议深度解析所独有的阀值控制功能，能够很好地实现对关键参数重点防护，配合独有的可视化管理平台，从而彻底解决客户忧虑！

1）方案架构

自来水厂工控安全整体防护方案涵盖机械混合、混凝反应处理、絮凝沉淀处理、过滤处理、滤后消毒处理等主要流程，安全防护产品包括威努特工业防火墙、工控主机卫士、监测审计平台、安全管理平台，方案架构图如下所示：

方案通过将网络划分为不同的安全区，在安全区之间按照一定规则部署工业安全防护设备，构建纵深防护体系，保障生产网络安全稳定运行。

• 网络安全：威努特工业防火墙通过对工业专有协议的深度解析，学习工控操作指令和参数建立网络和通讯“白环境”，阻止来自不同区域之间的越权访问，病毒、蠕虫恶意软件扩散和入侵攻击，保护控制系统安全运行。

• 主机安全：威努特工控主机卫士通过扫描上位机程序和进程，构建白名单安全基线，实现系统安全加固，有效防范已知未知病毒的入侵和攻击。其可以解决操作终端的病毒防护问题，防止操作系统漏洞所带来的攻击隐患问题，特别是针对工业控制系统专用的应用软件，白名单机制保障其更加安全、稳定运行。通过其特有的USB端口管理功能，实现U盘的授权管理和安全接入及数据的安全摆渡。

• 安全审计：威努特工控监测审计平台基于工业协议深度解析生产网络流量，智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为，并进行统计和分析。安全管理：威努特统一安全管理平台能够发现网络中所有安全产品，进行统一管理、统一策略调整下发、统一日志收集分析、统一实时的监控，极大简化安全运维流程。

2）方案特点

• 严格遵循《工业控制系统信息安全防护指南》指导要求；

• 智能主动防护，抗击安全风险；

• 白名单机制，符合生产控制网络实际情况；

• 纵深防御，整体安全保障；

• 重点防护，重点保护；

• 多种安全产品有机结合，覆盖生产制造全流程；

• 集中统一管理，简化运维。

3）客户价值

• 全面提高自来水厂生产网络的整体安全性，确保设备、系统、网络的可靠性、稳定性和安全性，为安全生产保驾护航。

• 全面改进自来水厂业务人员的安全水平和安全意识，提高安全生产管理水平、工作效率和管理效率。

• 全面提升自来水厂网络安全防护管理的合规性，符合国家主管部门、行业监管部门管理要求及工控安全防护要求。

1.6. 小结

工业控制系统信息安全问题已迫在眉睫，本文针对企业流程工业的特点，同时结合工业控制系统网络结构和安全需求，提出工业控制系统信息安全的纵深防御策略，将工业系统网络划分为不同的安全区域，在区域之间执行管道通信，从而通过管控区域间管道中的通信内容，实现保证工厂控制网络安全稳定运行的三个目标：接入可控、区域隔离和报警追踪，进而全方位地保障工业控制系统信息安全。

威努特致力于为工业企业提供“确定的安全”，深入研究自来水厂生产网络存在的安全风险，确定安全问题出现的根源，针对症结提供基于白名单机制的安全产品，构建符合自来水厂生产特点的工控安全“白环境”。