近年來，水利行業(yè)正按照國家關于網(wǎng)絡強國、數(shù)字中國的總體部署和“十六字”治水方針，堅持網(wǎng)絡安全與數(shù)字化轉型是一體雙翼，讓網(wǎng)絡安全始終滲透在整個體系之中，建立與智慧水利發(fā)展相協(xié)調的全面、系統(tǒng)、主動、智能的智慧水利網(wǎng)絡安全體系是大勢所趨和必然要求。

01.背景介紹

某大型泵站為保障城市防洪安全，提升城市防洪減災能力，新建泵站，泵站按照當?shù)胤篮闃藴蕿?00年一遇。

該泵站為遵循國家網(wǎng)絡安全相關政策標準要求，遵循水利網(wǎng)絡安全總體策略和設計，落實網(wǎng)絡安全法、安全等級保護和關鍵信息基礎設施保護相關要求，建立和完善以包含縱深防御為基礎、監(jiān)測預警為核心、應急響應為抓手的網(wǎng)絡安全防護體系。

泵站自動化系統(tǒng)由計算機自動控制系統(tǒng)、視頻監(jiān)控系統(tǒng)、信息管理系統(tǒng)及視頻會議系統(tǒng)四個子系統(tǒng)組成，自控系統(tǒng)包含主機組、輔機、配電設備、介質監(jiān)測與控制，是保證泵站正常運行的關鍵。工控系統(tǒng)設計初衷是保證其功能穩(wěn)定、可靠，但是安全層面上任何網(wǎng)絡節(jié)點均存在被非法訪問者入侵的風險，一旦遭受入侵，甚至可造成自控系統(tǒng)的中斷。

02.項目需求

通過縱深防御建立合規(guī)網(wǎng)絡防護基礎，提升網(wǎng)絡安全風險威脅的迅速發(fā)現(xiàn)和處置能力。

1、強化工業(yè)主機安全防護

從事件預防的角度開展對工業(yè)主機的安全加固工作，發(fā)現(xiàn)存在的安全風險和防護短板，通過安全加固提升內外防護能力。

2、提升控制網(wǎng)絡邊界安全

在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有效隔離防護，避免存在被惡意攻擊及入侵的可能。尤其是針對PLC控制系統(tǒng)軟硬件漏洞的難以防范的攻擊行為。

3、加強控制網(wǎng)絡安全監(jiān)測與審計

加強對工控網(wǎng)絡進行入侵檢測和網(wǎng)絡檢測，便于能夠及時發(fā)現(xiàn)工業(yè)網(wǎng)絡中的異常行為及入侵行為。工業(yè)控制系統(tǒng)的通信協(xié)議為了保障通信實時性和可靠性而放棄認證、授權和加密安全特性和功能，安全風險大。

4、提升運維安全

工控系統(tǒng)調試運維作業(yè)離不開安全運維平臺，需要有效避免在調試運維過程將病毒、木馬帶入工控系統(tǒng)。

5、進行統(tǒng)一的安全管理

工控系統(tǒng)網(wǎng)離不開統(tǒng)一安全管理平臺。可有效避免項目后期持續(xù)運維中增加運維成本以及工控系統(tǒng)日志需要聚合、統(tǒng)一存儲，以便溯源。

6、加強漏洞管理能力

工控系統(tǒng)網(wǎng)需要專用的系統(tǒng)漏洞掃描技術，一旦不法分子利用漏洞攻擊工控系統(tǒng)，會破壞生產(chǎn)連續(xù)性。

03.解決方案

該泵站工控系統(tǒng)網(wǎng)絡安全建設，以適度安全為核心，以重點保護、風險管理、標準化、統(tǒng)一安全管理為原則，以AI技術賦能、OT/IT融合安全技術產(chǎn)品為依托。

構建專用控制網(wǎng)絡：工業(yè)控制網(wǎng)絡在物理層面上實現(xiàn)控制網(wǎng)與辦公信息網(wǎng)的安全隔離。

構建縱深防御體系：該泵站工控系統(tǒng)分別從主機安全、網(wǎng)絡邊界安全、安全監(jiān)測與審計3個維度以及統(tǒng)一管理中心進行安全防護，依托安全產(chǎn)品AI機器學習建模，不斷自我優(yōu)化的能力，實現(xiàn)工控系統(tǒng)業(yè)務應用的可用性、完整性和保密性保護的主動防御安全體系，不依賴特征庫的縱深安全防御體系。

構建集中管控中心：對部署的安全防護技術手段在系統(tǒng)范圍內進行集中管控，將孤立的安全能力整合成協(xié)同工作的安全防護體系。

圖1 網(wǎng)絡拓撲圖

1、主機安全防護

在通信操作站、操作員站、工程師站和數(shù)據(jù)服務器主機安裝終端防護白名單軟件工業(yè)衛(wèi)士，使主機免受病毒等各種非法攻擊，可以有效管控主機的USB等外部端口。針對Windows主機，它提供完全適用于工控行業(yè)的安全防護，保障關鍵業(yè)務的運行，建立穩(wěn)定的運行環(huán)境，同時有效遏制至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運行。

▲工業(yè)衛(wèi)士白名單管理

▲U盤管控

2、控制網(wǎng)絡邊界安全防護

自控中心交換機與老泵站控制系統(tǒng)之間部署工業(yè)防火墻，對不同的安全區(qū)之間以及安全區(qū)內不同安全域邊界進行安全防護，阻止網(wǎng)絡攻擊在不同區(qū)域間滲透，保障關鍵資產(chǎn)和業(yè)務的安全。基于AI自學習后生成并優(yōu)化的白名單策略防護，阻止了不可信的數(shù)據(jù)和操作行為，最大程度地防范未知威脅。

自控中心交換機與信息中心交換機之間部署工業(yè)網(wǎng)閘，實現(xiàn)內外網(wǎng)絡的安全隔離，數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內外網(wǎng)絡間進行“擺渡”，從而切斷了內外網(wǎng)絡之間的所有直接連接。

▲工業(yè)防火墻白名單功能

3、安全監(jiān)測與審計

自控中心交換機旁路部署工業(yè)審計系統(tǒng)，實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡攻擊、誤操作、違規(guī)操作、非法IP或非法設備接入以及病毒的傳播并實時報警，詳實記錄一切網(wǎng)絡通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，并且提供回溯功能。

信息中心交換機旁路部署入侵檢測系統(tǒng)，對網(wǎng)絡流量進行實時采集并進行深度分析，對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警。

▲工業(yè)審計S7協(xié)議白名單

4、統(tǒng)一管理中心

構建安全管理中心區(qū)域，該區(qū)域部署監(jiān)管平臺、堡壘機、日志審計系統(tǒng)、工業(yè)漏掃系統(tǒng)。

① 監(jiān)管平臺，對網(wǎng)絡安全設備統(tǒng)一管理、配置、安全策略統(tǒng)一部署，提高運維效率，設備狀態(tài)監(jiān)控，監(jiān)測網(wǎng)絡的通信流量與安全事件，并能對網(wǎng)絡內的安全威脅進行分析。

② 堡壘機，實現(xiàn)對安全設備、網(wǎng)絡設備、工作站、服務器等設備運行進行集中監(jiān)測和統(tǒng)一管理;對安全運維審計，保存任何操作行為，提供運維審計報告。

③ 日志審計系統(tǒng)，實現(xiàn)對安全產(chǎn)品日志的統(tǒng)一采集、分析、存儲，對安全事件的應急處置、攻擊行為的發(fā)現(xiàn)提供技術支撐，以及追蹤溯源。

④ 工業(yè)漏掃提供了漏洞掃描功能、漏洞修復建議、Windows安全加固功能、漏洞工單管理模塊等，使脆弱性管理工作形成閉環(huán)。

▲監(jiān)管平臺資產(chǎn)大屏

▲監(jiān)管平臺策略配置下發(fā)

▲工業(yè)漏掃工控系統(tǒng)掃描

04.客戶價值

1、方案以OT與IT融合技術(OI/IT一體化防護引擎、一體化知識庫、一體化防護功能)、AI人工智能技術賦能的產(chǎn)品幫助客戶建立高可信度的縱深防御防護體系，確保泵站工控網(wǎng)絡系統(tǒng)長期安全穩(wěn)定運行;

2、順利通過等級保護2.0(三級)測評，為智慧水利平臺建設打下堅實基礎;

3、結合現(xiàn)場原有管理制度，完善成標準化、規(guī)范化、針對性的工控系統(tǒng)網(wǎng)絡安全管理制度。