2024市政行業(yè)工控網(wǎng)絡(luò)安全解決方案

市政行業(yè)工控網(wǎng)絡(luò)安全解決方案0203燃?xì)夤た鼐W(wǎng)絡(luò)安全解決方案燃?xì)夤た鼐W(wǎng)絡(luò)安全現(xiàn)狀CONTENTS0203燃?xì)夤た鼐W(wǎng)絡(luò)安全解決方案燃?xì)夤た鼐W(wǎng)絡(luò)安全現(xiàn)狀01工控網(wǎng)絡(luò)安全形勢(shì)概述01工控網(wǎng)絡(luò)安全形勢(shì)概述目錄04水處理工控網(wǎng)絡(luò)安全現(xiàn)狀05水處理工控網(wǎng)絡(luò)安全解決方案04水處理工控網(wǎng)絡(luò)安全現(xiàn)狀05水處理工控網(wǎng)絡(luò)安全解決方案01工控網(wǎng)絡(luò)安全形勢(shì)概述01封閉網(wǎng)絡(luò)，不再是安全的綠洲封閉網(wǎng)絡(luò)，不再是安全的綠洲澳大利亞昆士蘭Maroochy污水處理廠由于內(nèi)部工程師的多次網(wǎng)絡(luò)入侵(攻擊澳大利亞昆士蘭Maroochy污水處理廠由于內(nèi)部工程師的多次網(wǎng)絡(luò)入侵(攻擊SCADA系統(tǒng))，該廠發(fā)生了46次不明原因的控制設(shè)備功能異常事

一部被感染的筆記本電腦(維修用的)，讓黑客入侵了美國賓夕法尼亞州哈里斯堡污水處理廠的計(jì)算機(jī)系統(tǒng)。被感染的筆記本是通過互聯(lián)網(wǎng)安裝了病毒和間諜軟件這一入侵攻擊，致使該地區(qū)農(nóng)作物的灌溉大受影響。

2005年2007年2014年2001年2006年2011年2017年黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。2017年受勒索病毒“Wannacry”影響，目前2005年2007年2014年2001年2006年2011年2017年黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。4由于控制系統(tǒng)漏洞，導(dǎo)致位于路易斯安那州索克水庫上的水量監(jiān)控?cái)?shù)據(jù)與遠(yuǎn)程監(jiān)控站獲得的數(shù)據(jù)不符，致使意外排放出10億加侖的水。4

攻擊者入侵加拿大的一個(gè)水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于控制薩克拉門托河河水調(diào)度的控制計(jì)算機(jī)系統(tǒng)。

河南省某污水處理廠SCADA系統(tǒng)遭到網(wǎng)絡(luò)黑客的攻擊，加氯間的計(jì)量泵全部運(yùn)行，導(dǎo)致消毒池內(nèi)水質(zhì)變化，出水余氯的數(shù)值居高不下，運(yùn)營人員無法通過SCADA系統(tǒng)停止計(jì)量泵運(yùn)行。封閉網(wǎng)絡(luò)，不再是安全的綠洲封閉網(wǎng)絡(luò)，不再是安全的綠洲PAGE5PAGE5蘇聯(lián)間諜在加拿大竊取了被植入CIA木馬的SCADA軟件，應(yīng)用于天然氣輸氣管道，導(dǎo)致泛西伯利亞天然氣管線發(fā)生超級(jí)爆炸

黑客在俄羅斯某大型天然氣公司內(nèi)部人員的配合下，繞過該公司的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，侵入該公司天然氣輸氣管道SCADA系統(tǒng)，一度控制 了總控制室

黑客在俄羅斯天然氣工業(yè)股份公司（Gazprom）內(nèi)部人員的幫助下，突破了該公司的網(wǎng)絡(luò)安全防護(hù)修改了控制指令

意大利石油與天然氣服務(wù)公司Saipem位于沙特阿拉伯、阿拉伯聯(lián)合酋長國與科威特等中東國家的服務(wù)器遭受了勒索病毒攻擊1982年

1999年

2000年

2018年工業(yè)控制網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)持續(xù)增長的趨勢(shì)，2019年被ICS-CERT收錄的攻擊事件達(dá)到329件 2012-2019年全球工控安全事件報(bào)告數(shù)量 2014-2019年新增工控漏洞數(shù)量 2019年工控安全事件所屬行業(yè)細(xì)分國家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)國家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)PAGE6PAGE6工業(yè)控制系統(tǒng)信息安全防護(hù)指南關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求工業(yè)控制系統(tǒng)信息安全防護(hù)指南關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求網(wǎng)絡(luò)安全法網(wǎng)絡(luò)安全法PAGE7PAGE7《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過表1關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)判定表《《國家網(wǎng)絡(luò)安全檢查操作指南》中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局2016年6月等級(jí)保護(hù)2.0—基本要求等級(jí)保護(hù)2.0—基本要求PAGE8PAGE8工業(yè)控制系統(tǒng)信息安全防護(hù)指南工業(yè)控制系統(tǒng)信息安全防護(hù)指南PAGE9PAGE9工業(yè)控制系統(tǒng)信息安全防護(hù)指南一、安全軟件選擇與管理二、配置和補(bǔ)丁管理工業(yè)控制系統(tǒng)信息安全防護(hù)指南三、邊界安全防護(hù)四、物理和環(huán)境安全防護(hù)五、身份認(rèn)證六、遠(yuǎn)程訪問安全七、安全監(jiān)測和應(yīng)急預(yù)案演練八、資產(chǎn)安全九、數(shù)據(jù)安全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求PAGE10PAGE10關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求02燃?xì)夤た鼐W(wǎng)絡(luò)安全現(xiàn)狀02燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介12121111101911102463578天然氣長距離輸氣系統(tǒng)91—井場裝置；2—集氣裝置；3—礦場壓氣站；4—天然氣處理場；5—起點(diǎn)站（或起點(diǎn)壓氣站）；6—管線上閥門；7—中間壓氣站；8—終點(diǎn)壓氣站；9—儲(chǔ)氣設(shè)備；10—燃?xì)夥峙湔荆?1—城鎮(zhèn)或工業(yè)基地燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介 管路中的天然水合物 排出的天然水合物三甘醇脫水三甘醇脫水裝置主要由吸收系統(tǒng)和再生系統(tǒng)兩部分構(gòu)成，工藝過程的核心設(shè)備是吸收塔，天然氣脫水過程在吸收塔內(nèi)完成，再生塔是完成三甘醇富液的再生操作。一般在要求貧液中三甘醇的質(zhì)量濃度大于99%時(shí)，提升甘醇再生質(zhì)量脫水效果。13原料天然氣從吸收塔的底部進(jìn)入，與從頂部進(jìn)入的三甘醇貧液在塔內(nèi)逆流接觸，脫水后的天然氣從吸收塔頂部離開，三甘醇富液從塔底排出，經(jīng)過再生塔頂部冷凝器的排管升溫后進(jìn)入閃蒸罐，盡可能閃蒸出其中溶解的烴類氣體，離開閃蒸罐的液相經(jīng)過過濾器過濾后流入貧/富液換熱器、緩沖罐，進(jìn)一步升溫后進(jìn)入再生塔。在再生塔內(nèi)通過加熱使三甘醇富液中的水分在低壓、高溫下脫除，再生后的三甘醇貧液，貧/富液換熱器冷卻后，經(jīng)甘醇泵泵入吸收塔頂部循環(huán)使用。13燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介PAGE14PAGE14天然氣水合物（Naturalgashydrate），是由天然氣與水分子在一定壓力和較低溫度條件下形成的一種固態(tài)結(jié)晶物質(zhì)。因天然氣中80％~90％的成分是甲烷，故也有人稱天然氣水合物為甲烷水合物（Methanehydrate）。純天然氣水合物多呈白色或淺灰色晶體，外貌類似冰雪，可以像酒精塊一樣被點(diǎn)燃，所以又俗稱為“可燃冰”。如果管道中天然氣的飽和含水量含量較高的話，在天然氣傳輸管道內(nèi)就會(huì)形成水合物。工人施工排出水合物等雜質(zhì)

清理管道的收發(fā)球裝置

清理管道的收發(fā)球裝置燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介PAGEPAGE15陰極保護(hù)裝置

腐蝕是一個(gè)電化學(xué)的過程，陰極保護(hù)是通過外加電阻止腐蝕的電化學(xué)過程。陰極保護(hù)系統(tǒng)在恰當(dāng)?shù)沫h(huán)境下，會(huì)陰極保護(hù)系統(tǒng)是一種外加的電氣系統(tǒng)，通過提供很小的電流來中和腐蝕電池產(chǎn)生的電流。陰極保護(hù)系統(tǒng)移除部分的腐蝕電池從而使腐蝕停止。陰極保護(hù)系統(tǒng)能夠處理一般的腐蝕情況。陰極保護(hù)不神秘也不復(fù)雜：它只是電化學(xué)原理的直接應(yīng)用。阻斷已經(jīng)發(fā)生的腐蝕。陰極保護(hù)裝置柜壓縮機(jī)燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介PAGE16PAGE16加壓 分輸 旁路 越站 放空 排污 清管燃?xì)夤I(yè)控制系統(tǒng)工藝簡介燃?xì)夤I(yè)控制系統(tǒng)工藝簡介PAGE17PAGE17 放空塔 清管裝置 安全放散裝置安全切斷閥 安全切斷閥 加臭裝置行業(yè)先進(jìn)技術(shù)應(yīng)用，加快安全落地步伐行業(yè)先進(jìn)技術(shù)應(yīng)用，加快安全落地步伐PAGEPAGE18智慧燃?xì)庵腔廴細(xì)庵悄軞饩W(wǎng)智能管網(wǎng)“互聯(lián)網(wǎng)+”智慧能源燃?xì)夤た叵到y(tǒng)典型管理架構(gòu)燃?xì)夤た叵到y(tǒng)典型管理架構(gòu)集團(tuán)公司級(jí)（一級(jí)，只監(jiān)不控）大區(qū)公司級(jí)（二級(jí)，只監(jiān)不控）項(xiàng)目公司級(jí)（三級(jí)，既監(jiān)又控）就地場站級(jí)（四級(jí)，既監(jiān)又控）

據(jù)業(yè)務(wù)交互繁雜，不易定義安全邊界；場站形式多樣化，包括門站、各級(jí)調(diào)壓站，CNG站、LNG站、工商業(yè)用戶、管網(wǎng)監(jiān)測點(diǎn)、閥室等各類站點(diǎn)。不同業(yè)務(wù)站點(diǎn)安全需求不一致；通信形式多樣化，包括了無線GPRS/CDMA專線等；19依靠統(tǒng)一管理，安全建設(shè)亦如此。19燃?xì)夤た叵到y(tǒng)網(wǎng)絡(luò)特點(diǎn)分析燃?xì)夤た叵到y(tǒng)網(wǎng)絡(luò)特點(diǎn)分析、網(wǎng)絡(luò)設(shè)備等；場站按照是否配置上位監(jiān)控系統(tǒng)分為有人值守站和人值守站度中心指令、對(duì)設(shè)備進(jìn)行控制等；按照設(shè)計(jì)，城市燃?xì)釹CADA系統(tǒng)相對(duì)封閉，但心有接口與外部網(wǎng)絡(luò)連接，場站有多個(gè)接口連接調(diào)度中心；就地具有控制權(quán)限，部分調(diào)度中心有控制權(quán)限；采集數(shù)據(jù)的傳輸多采用工控協(xié)議如MODBUSDNP3.0；個(gè)別業(yè)務(wù)交叉數(shù)據(jù)交換采用OPC協(xié)議；、多采用國外產(chǎn)品，如西門子、MOXA、Honeywell、Schneider等等。 20燃?xì)釹CADA系統(tǒng)核心業(yè)務(wù)安全需求燃?xì)釹CADA系統(tǒng)核心業(yè)務(wù)安全需求外部邊界安全確保SCADA系統(tǒng)與其他系統(tǒng)邊界的最小化訪問控制策略，同時(shí)具備入侵防護(hù)、惡意代碼防范、應(yīng)用層過濾等綜合防護(hù)能力內(nèi)部邊界安全嚴(yán)格限制各有人、無人場站接入SCADA系統(tǒng)調(diào)度中心的業(yè)務(wù)端口，并對(duì)調(diào)度中心服務(wù)器、工程師站與場站監(jiān)控節(jié)點(diǎn)業(yè)務(wù)交互行為的進(jìn)行安全監(jiān)控實(shí)時(shí)威脅監(jiān)測需要對(duì)SCADA系統(tǒng)調(diào)度中心、重要場站21內(nèi)網(wǎng)安全威脅進(jìn)行實(shí)時(shí)監(jiān)測，發(fā)現(xiàn)未知威脅攻擊、非法外聯(lián)、異常流量和異常操作等行為21

主機(jī)安全防護(hù) SCADA系統(tǒng)關(guān)鍵主機(jī)需要具備病毒、木馬等防范能力，包括勒索病毒等變種較快惡意代碼；有效管控關(guān)鍵主機(jī)移動(dòng)存儲(chǔ)介質(zhì)；對(duì)主機(jī)自身操作系統(tǒng)的安全加固。安全管理安全問題從來就不是單純的技術(shù)問題，必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障SCADA系統(tǒng)的整體安全性。同時(shí)在管理上需要綜合考慮合規(guī)性措施，如日志留存、遠(yuǎn)程運(yùn)維等。22某燃?xì)夤境硐到y(tǒng)接入互聯(lián)網(wǎng)/弱口令222015年，國內(nèi)某燃?xì)夤具h(yuǎn)程抄表系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，同時(shí)系統(tǒng)管理員賬號(hào)存在弱口令，進(jìn)入系統(tǒng)后可獲取用戶側(cè)關(guān)鍵信息，并可對(duì)用戶信息進(jìn)行任意修改。03燃?xì)夤た鼐W(wǎng)絡(luò)安全解決方案03PAGE24PAGE24基于“白環(huán)境”的縱深安全防護(hù)技術(shù)體系市政行業(yè)工業(yè)控制系統(tǒng)①網(wǎng)絡(luò)分區(qū)分域市政行業(yè)工業(yè)控制系統(tǒng)②強(qiáng)化安全區(qū)域邊界訪問控制能力③提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力④提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力⑤提高系統(tǒng)內(nèi)主機(jī)病毒防范能力⑥提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制⑦一鍵式安全加固，提高主機(jī)安全基線⑧關(guān)閉不必要的服務(wù)端口，提高入侵防范能力⑨利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改⑩提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月?加強(qiáng)運(yùn)維人員行為管理?建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力?技術(shù)手段輔助業(yè)主完成定期自檢切入點(diǎn)—全面風(fēng)險(xiǎn)評(píng)估，尋找問題癥結(jié)點(diǎn)切入點(diǎn)—全面風(fēng)險(xiǎn)評(píng)估，尋找問題癥結(jié)點(diǎn)PAGE25PAGE25風(fēng)險(xiǎn)評(píng)估分析是對(duì)工控網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)行安全管理的先決條件，其目的在于識(shí)別和評(píng)估不同用戶所面臨的危害和風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的典型內(nèi)容：工控系統(tǒng)資產(chǎn)梳理，分析價(jià)值；識(shí)別已有的安全防護(hù)措施；資產(chǎn)脆弱性及面臨的威脅分析；安全風(fēng)險(xiǎn)綜合分析。1.實(shí)施SCADA系統(tǒng)網(wǎng)絡(luò)分區(qū)分域1.實(shí)施SCADA系統(tǒng)網(wǎng)絡(luò)分區(qū)分域內(nèi)部安全域2內(nèi)部安全域2內(nèi)部安全域N內(nèi)部安全域1外部區(qū)域辦公網(wǎng)-外部區(qū)域調(diào)度中心-系統(tǒng)內(nèi)部一級(jí)安全域先邊界安全加固、后深入內(nèi)部防護(hù)26場站-系統(tǒng)內(nèi)部二級(jí)安全域262.強(qiáng)化安全區(qū)域邊界訪問控制能力2.強(qiáng)化安全區(qū)域邊界訪問控制能力ACL+應(yīng)用級(jí)白名單工控協(xié)議合規(guī)性驗(yàn)證協(xié)議功能碼、點(diǎn)值控制控制邏輯合理性驗(yàn)證安全隔離與信息交換系統(tǒng)27工業(yè)防火墻273.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力邊界基于應(yīng)用級(jí)白名單的行為監(jiān)測關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)基于流量的未知威脅監(jiān)測調(diào)度中心核心網(wǎng)絡(luò)對(duì)APT攻擊的實(shí)時(shí)檢測28網(wǎng)絡(luò)威脅感知系統(tǒng) 工控安全監(jiān)測審計(jì)系統(tǒng)284.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力交換機(jī)關(guān)閉不必要端口交換機(jī)IP/MAC綁定交換機(jī)關(guān)閉不必要端口交換機(jī)IP/MAC綁定工控主機(jī)衛(wèi)士開啟非法外聯(lián)策略29工控主機(jī)衛(wèi)士295.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力5.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力切斷惡意代碼/病毒通過U盤擺渡到系統(tǒng)內(nèi)部的途徑啟動(dòng)文件級(jí)白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行統(tǒng)殺毒軟件難以及時(shí)更新特征庫緩沖區(qū)溢出、0day漏洞利用等攻擊方式，傳統(tǒng)殺毒軟件存在短板殺毒軟件或?qū)I(yè)務(wù)軟件誤識(shí)為病毒而刪除30工控主機(jī)衛(wèi)士306.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制6.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制關(guān)鍵服務(wù)器采用雙因子認(rèn)證靜態(tài)密碼+UKEY31工控主機(jī)衛(wèi)士317.一鍵式安全加固，提高主機(jī)安全基線7.一鍵式安全加固，提高主機(jī)安全基線內(nèi)置42條安全基線規(guī)則一鍵式配置，降低手動(dòng)加固成本工控主機(jī)衛(wèi)士 328.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力8.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力內(nèi)置防火墻功能，關(guān)閉不必要端口一鍵式配置，降低手動(dòng)加固成本工控主機(jī)衛(wèi)士 339.利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改9.利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改基于標(biāo)記的強(qiáng)制訪問控制自主訪問控制34工控主機(jī)衛(wèi)士3410.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月10.提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月安全管理中心

范式化多種類設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志快速準(zhǔn)確的識(shí)別安全告警，發(fā)現(xiàn)違規(guī)行為35日志審計(jì)與分析系統(tǒng)3511.加強(qiáng)運(yùn)維人員行為管理11.加強(qiáng)運(yùn)維人員行為管理運(yùn)維人員身份鑒別安全管理中心

運(yùn)維人員操作授權(quán)計(jì) 36安全運(yùn)維管理系統(tǒng)3612.建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力12.建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力安全管理中心

安全產(chǎn)品集中管理加密傳輸通道高度可視化雙機(jī)熱備，高度可靠37安全管理平臺(tái)3713.技術(shù)手段輔助業(yè)主完成定期自檢13.技術(shù)手段輔助業(yè)主完成定期自檢安全管理中心

漏洞掃描報(bào)告輸出指導(dǎo)意見38工控漏洞掃描平臺(tái)38燃?xì)夤た叵到y(tǒng)總體防護(hù)方案（三級(jí)）燃?xì)夤た叵到y(tǒng)總體防護(hù)方案（三級(jí)）安全管理中心安全管理中心統(tǒng)一安全管理平臺(tái)工業(yè)防火墻網(wǎng)絡(luò)威脅感知系統(tǒng)工控主機(jī)衛(wèi)士安全運(yùn)維管理系統(tǒng)39日志審計(jì)與分析系統(tǒng)3904水處理工控網(wǎng)絡(luò)安全現(xiàn)狀04水處理工業(yè)控制系統(tǒng)工藝簡介水處理工業(yè)控制系統(tǒng)工藝簡介PAGE41PAGE41物理法通過物理作用，分離、回收水中呈懸浮狀態(tài)的污染物質(zhì)，在處理過程中不改變污染物的化學(xué)性質(zhì)。常用的物理處理工藝：粗格柵、細(xì)格柵、沉砂池、沉淀池、過濾等。

生物法是指通過水中微生物的代謝作無害的物質(zhì)，從而使污水得到凈化。。一般認(rèn)為污水的BOD5/COD0.3時(shí)，才適用于生化法。

化學(xué)法通過化學(xué)反應(yīng)和傳質(zhì)作用，來分離、回收污水中呈溶解、膠體狀態(tài)的污染物質(zhì)，或?qū)⑵滢D(zhuǎn)換為無害物質(zhì)?；瘜W(xué)法通常包括：中和，混凝沉淀，氧化還原，離子交換等。 一級(jí)處理（采用物理方法，主要通過格柵攔截、沉淀等手段去除廢水中大塊懸浮物和砂粒等物質(zhì)。）調(diào)節(jié)池、格柵、沉沙池、初次沉淀池二級(jí)處理（采用生化方法，主要通過微生物的生命運(yùn)動(dòng)等手段來去除廢水中的懸浮性，溶解性有機(jī)物以及氮、磷等。）例如好氧活性污泥法、生物膜法、自然凈化設(shè)施三級(jí)處理（深度處理，是進(jìn)一步去除二級(jí)處理未能去除的污染物，如磷、氮及生物難以降解的有機(jī)污染物、無機(jī)污染物、病原體等。）混凝、過濾、臭氧、膜處理行業(yè)先進(jìn)技術(shù)應(yīng)用，加快安全落地步伐行業(yè)先進(jìn)技術(shù)應(yīng)用，加快安全落地步伐PAGE44PAGE44Cloud

AnalysisSocialMobileManagement水處理工控系統(tǒng)典型布局水處理工控系統(tǒng)典型布局PAGE45PAGE45流量、水質(zhì)、設(shè)備啟停監(jiān)控。障統(tǒng)計(jì)、報(bào)警統(tǒng)計(jì)。統(tǒng)、三維管線GIS系統(tǒng)等。通信形式多樣化，包括了GPRS通訊、、RS458、衛(wèi)星通信，有線的光纖，專網(wǎng)等；水處理工控系統(tǒng)網(wǎng)絡(luò)特點(diǎn)分析水處理工控系統(tǒng)網(wǎng)絡(luò)特點(diǎn)分析4646水處理工控系統(tǒng)主要由水區(qū)環(huán)網(wǎng)、水處理工控系統(tǒng)主要由水區(qū)環(huán)網(wǎng)、泥區(qū)環(huán)網(wǎng)、工控環(huán)網(wǎng)等系統(tǒng)組成。系統(tǒng)存在以下特點(diǎn)：Schneider、HollySys、AB等品牌控制產(chǎn)品；、華為、研華等工業(yè)級(jí)產(chǎn)品；各工控系統(tǒng)主機(jī)操作系統(tǒng)主要采用Windows系統(tǒng)、應(yīng)用軟件主要采用WinCC、ForceControl、等公司產(chǎn)品；企業(yè)資源層與水處理廠SCADA系統(tǒng)生產(chǎn)管理層通過、OPC協(xié)議和Modbus協(xié)議等；工控系統(tǒng)安全有待加固；水處理工控系統(tǒng)核心業(yè)務(wù)安全需求水處理工控系統(tǒng)核心業(yè)務(wù)安全需求PAGE47PAGE47外部邊界安全出于遠(yuǎn)程維護(hù)和中心化管理的要求，其網(wǎng)絡(luò)內(nèi)部的互聯(lián)性更高，一旦遭受蠕蟲等惡意軟件的入侵，能夠短時(shí)間影響到整個(gè)工業(yè)網(wǎng)絡(luò)，急需邊界防護(hù)。 內(nèi)部邊界安全 Modbus協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛的應(yīng)用在工控系統(tǒng)中，隨之而來的通信協(xié)議漏洞問題也日益突出，急需在水區(qū)環(huán)網(wǎng)、泥區(qū)環(huán)網(wǎng)以及生產(chǎn)網(wǎng)絡(luò)內(nèi)部深度解析工業(yè)協(xié)議，防止惡意操作和攻擊。 實(shí)時(shí)威脅監(jiān)測 工業(yè)網(wǎng)絡(luò)的價(jià)值通常較高，導(dǎo)致工業(yè)網(wǎng)絡(luò)量的精準(zhǔn)打擊。急需對(duì)水處理SCADA系，發(fā)現(xiàn)未知威脅攻擊、非法外聯(lián)、異常流量和異常操作等行為

主機(jī)安全防護(hù)工業(yè)網(wǎng)絡(luò)設(shè)計(jì)的原則之一是與互聯(lián)網(wǎng)隔離，導(dǎo)致處于隔離網(wǎng)絡(luò)內(nèi)的終端無法接收到系統(tǒng)補(bǔ)丁，無法實(shí)時(shí)更新病毒庫；而新病毒庫、補(bǔ)丁與現(xiàn)有工業(yè)軟件存在沖突的風(fēng)險(xiǎn)；急需惡意代碼防范、主機(jī)加固、移動(dòng)介質(zhì)管理；安全管理安全問題從來就不是單純的技術(shù)問題，必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障SCADA系統(tǒng)的整體安全性。同時(shí)在管理上需要綜合考慮合規(guī)性措施，如日志留存、遠(yuǎn)程運(yùn)維等。某水處理工控系統(tǒng)工控軟件存在風(fēng)險(xiǎn)某水處理工控系統(tǒng)工控軟件存在風(fēng)險(xiǎn)PAGEPAGE4805水處理工控網(wǎng)絡(luò)安全解決方案055050水處理工控系統(tǒng)總體防護(hù)方案（三級(jí)）統(tǒng)一安全管理平臺(tái)交換防火墻工業(yè)防火墻網(wǎng)絡(luò)威脅感知系統(tǒng)工控主機(jī)衛(wèi)士安全運(yùn)維管理系統(tǒng)日志審計(jì)與分析系統(tǒng)06典型案例介紹06安全建設(shè)典型案例—某燃?xì)饧瘓F(tuán)安全建設(shè)典型案例—某燃?xì)饧瘓F(tuán)PAGE52PAGE52客戶背景該燃?xì)饧瘓F(tuán)致力于燃?xì)夤?yīng)、輸、儲(chǔ)、配、銷售及管網(wǎng)的設(shè)計(jì)等業(yè)務(wù)。公司天然氣供應(yīng)范圍覆蓋20多個(gè)區(qū)縣，服務(wù)客戶百萬級(jí)用戶。核心需求問題；站缺乏惡意代碼防范措施；體安全加固；解決方案在調(diào)度中心和各場站之間部署工業(yè)防火墻，進(jìn)行網(wǎng)絡(luò)層級(jí)間的安全隔離和防護(hù)；在重要儲(chǔ)配站部署工業(yè)防火墻，利用工業(yè)防火墻的深度工控協(xié)議解析技術(shù)，阻斷惡意攻擊和各種高危操作行為；在調(diào)度中心、各場站、門站的工程師站、操作員站及服務(wù)器上部署工控主機(jī)衛(wèi)士，對(duì)各個(gè)區(qū)域的主機(jī)進(jìn)行安全防護(hù)；在調(diào)度中心部署統(tǒng)一安全管理平臺(tái)，對(duì)工控網(wǎng)絡(luò)中的安全產(chǎn)品進(jìn)行統(tǒng)一管理、配置、維護(hù)和日志搜集，便于綜合分析、及時(shí)定位問題。用戶收益益”的防護(hù)效果；通過整體安全方案協(xié)助用戶順利通過等保三級(jí)測評(píng)。安全服務(wù)典型案例—某燃?xì)饧瘓F(tuán)安全服務(wù)典型案例—某燃?xì)饧瘓F(tuán)PAGE55PAGE55客戶背景工控網(wǎng)絡(luò)整體安全運(yùn)維服務(wù)某燃?xì)饧瘓F(tuán)以從事城市燃?xì)夤?yīng)、燃?xì)夤芫W(wǎng)設(shè)施的投資、經(jīng)營為主，是某市城市燃?xì)飧邏汗芫W(wǎng)建設(shè)及燃?xì)赓忎N唯一主體，擁有包括商業(yè)、工業(yè)工控網(wǎng)絡(luò)整體安全運(yùn)維服務(wù)、公福及居民等用戶達(dá)183.96萬戶，燃?xì)廨斉涔芫W(wǎng)超過