案例丨六方云助力智慧水利建设，让“治水”变“智水”

近年来，水利行业正按照国家关于网络强国、数字中国的总体部署和“十六字”治水方针，坚持网络安全与数字化转型是一体双翼，让网络安全始终渗透在整个体系之中，建立与智慧水利发展相协调的全面、系统、主动、智能的智慧水利网络安全体系是大势所趋和必然要求。

01.背景介绍

某大型泵站为保障城市防洪安全，提升城市防洪减灾能力，新建泵站，泵站按照当地防洪标准为100年一遇。

该泵站为遵循国家网络安全相关政策标准要求，遵循水利网络安全总体策略和设计，落实网络安全法、安全等级保护和关键信息基础设施保护相关要求，建立和完善以包含纵深防御为基础、监测预警为核心、应急响应为抓手的网络安全防护体系。

泵站自动化系统由计算机自动控制系统、视频监控系统、信息管理系统及视频会议系统四个子系统组成，自控系统包含主机组、辅机、配电设备、介质监测与控制，是保证泵站正常运行的关键。工控系统设计初衷是保证其功能稳定、可靠，但是安全层面上任何网络节点均存在被非法访问者入侵的风险，一旦遭受入侵，甚至可造成自控系统的中断。

02.项目需求

通过纵深防御建立合规网络防护基础，提升网络安全风险威胁的迅速发现和处置能力。

1、强化工业主机安全防护

从事件预防的角度开展对工业主机的安全加固工作，发现存在的安全风险和防护短板，通过安全加固提升内外防护能力。

2、提升控制网络边界安全

在新建泵站与老泵站自控中心以及新泵站自控中心与信息中心之间进行有效隔离防护，避免存在被恶意攻击及入侵的可能。尤其是针对PLC控制系统软硬件漏洞的难以防范的攻击行为。

3、加强控制网络安全监测与审计

加强对工控网络进行入侵检测和网络检测，便于能够及时发现工业网络中的异常行为及入侵行为。工业控制系统的通信协议为了保障通信实时性和可靠性而放弃认证、授权和加密安全特性和功能，安全风险大。

4、提升运维安全

工控系统调试运维作业离不开安全运维平台，需要有效避免在调试运维过程将病毒、木马带入工控系统。

5、进行统一的安全管理

工控系统网离不开统一安全管理平台。可有效避免项目后期持续运维中增加运维成本以及工控系统日志需要聚合、统一存储，以便溯源。

6、加强漏洞管理能力

工控系统网需要专用的系统漏洞扫描技术，一旦不法分子利用漏洞攻击工控系统，会破坏生产连续性。

03.解决方案

该泵站工控系统网络安全建设，以适度安全为核心，以重点保护、风险管理、标准化、统一安全管理为原则，以AI技术赋能、OT/IT融合安全技术产品为依托。

构建专用控制网络：工业控制网络在物理层面上实现控制网与办公信息网的安全隔离。

构建纵深防御体系：该泵站工控系统分别从主机安全、网络边界安全、安全监测与审计3个维度以及统一管理中心进行安全防护，依托安全产品AI机器学习建模，不断自我优化的能力，实现工控系统业务应用的可用性、完整性和保密性保护的主动防御安全体系，不依赖特征库的纵深安全防御体系。

构建集中管控中心：对部署的安全防护技术手段在系统范围内进行集中管控，将孤立的安全能力整合成协同工作的安全防护体系。

图1 网络拓扑图

1、主机安全防护

在通信操作站、操作员站、工程师站和数据服务器主机安装终端防护白名单软件工业卫士，使主机免受病毒等各种非法攻击，可以有效管控主机的USB等外部端口。针对Windows主机，它提供完全适用于工控行业的安全防护，保障关键业务的运行，建立稳定的运行环境，同时有效遏制至今已经爆发的工控病毒(如“震网”、Havex、“勒索”等)及其变种的运行。

▲工业卫士白名单管理

▲U盘管控

2、控制网络边界安全防护

自控中心交换机与老泵站控制系统之间部署工业防火墙，对不同的安全区之间以及安全区内不同安全域边界进行安全防护，阻止网络攻击在不同区域间渗透，保障关键资产和业务的安全。基于AI自学习后生成并优化的白名单策略防护，阻止了不可信的数据和操作行为，最大程度地防范未知威胁。

自控中心交换机与信息中心交换机之间部署工业网闸，实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接。

▲工业防火墙白名单功能

3、安全监测与审计

自控中心交换机旁路部署工业审计系统，实时检测出针对工业协议的网络攻击、误操作、违规操作、非法IP或非法设备接入以及病毒的传播并实时报警，详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，并且提供回溯功能。

信息中心交换机旁路部署入侵检测系统，对网络流量进行实时采集并进行深度分析，对那些异常的、可能是入侵行为的数据进行检测和报警。

▲工业审计S7协议白名单

4、统一管理中心

构建安全管理中心区域，该区域部署监管平台、堡垒机、日志审计系统、工业漏扫系统。

① 监管平台，对网络安全设备统一管理、配置、安全策略统一部署，提高运维效率，设备状态监控，监测网络的通信流量与安全事件，并能对网络内的安全威胁进行分析。

② 堡垒机，实现对安全设备、网络设备、工作站、服务器等设备运行进行集中监测和统一管理;对安全运维审计，保存任何操作行为，提供运维审计报告。

③ 日志审计系统，实现对安全产品日志的统一采集、分析、存储，对安全事件的应急处置、攻击行为的发现提供技术支撑，以及追踪溯源。

④ 工业漏扫提供了漏洞扫描功能、漏洞修复建议、Windows安全加固功能、漏洞工单管理模块等，使脆弱性管理工作形成闭环。

▲监管平台资产大屏

▲监管平台策略配置下发

▲工业漏扫工控系统扫描

04.客户价值

1、方案以OT与IT融合技术(OI/IT一体化防护引擎、一体化知识库、一体化防护功能)、AI人工智能技术赋能的产品帮助客户建立高可信度的纵深防御防护体系，确保泵站工控网络系统长期安全稳定运行;

2、顺利通过等级保护2.0(三级)测评，为智慧水利平台建设打下坚实基础;

3、结合现场原有管理制度，完善成标准化、规范化、针对性的工控系统网络安全管理制度。