近年來，水利行業正按照國家關于網絡強國、數字中國的總體部署和“十六字”治水方針，堅持網絡安全與數字化轉型是一體雙翼，讓網絡安全始終滲透在整個體系之中，建立與智慧水利發展相協調的全面、系統、主動、智能的智慧水利網絡安全體系是大勢所趨和必然要求。

01.背景介紹

某大型泵站為保障城市防洪安全，提升城市防洪減災能力，新建泵站，泵站按照當地防洪標準為100年一遇。

該泵站為遵循國家網絡安全相關政策標準要求，遵循水利網絡安全總體策略和設計，落實網絡安全法、安全等級保護和關鍵信息基礎設施保護相關要求，建立和完善以包含縱深防御為基礎、監測預警為核心、應急響應為抓手的網絡安全防護體系。

泵站自動化系統由計算機自動控制系統、視頻監控系統、信息管理系統及視頻會議系統四個子系統組成，自控系統包含主機組、輔機、配電設備、介質監測與控制，是保證泵站正常運行的關鍵。工控系統設計初衷是保證其功能穩定、可靠，但是安全層面上任何網絡節點均存在被非法訪問者入侵的風險，一旦遭受入侵，甚至可造成自控系統的中斷。

02.項目需求

通過縱深防御建立合規網絡防護基礎，提升網絡安全風險威脅的迅速發現和處置能力。

1、強化工業主機安全防護

從事件預防的角度開展對工業主機的安全加固工作，發現存在的安全風險和防護短板，通過安全加固提升內外防護能力。

2、提升控制網絡邊界安全

在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有效隔離防護，避免存在被惡意攻擊及入侵的可能。尤其是針對PLC控制系統軟硬件漏洞的難以防范的攻擊行為。

3、加強控制網絡安全監測與審計

加強對工控網絡進行入侵檢測和網絡檢測，便于能夠及時發現工業網絡中的異常行為及入侵行為。工業控制系統的通信協議為了保障通信實時性和可靠性而放棄認證、授權和加密安全特性和功能，安全風險大。

4、提升運維安全

工控系統調試運維作業離不開安全運維平臺，需要有效避免在調試運維過程將病毒、木馬帶入工控系統。

5、進行統一的安全管理

工控系統網離不開統一安全管理平臺。可有效避免項目后期持續運維中增加運維成本以及工控系統日志需要聚合、統一存儲，以便溯源。

6、加強漏洞管理能力

工控系統網需要專用的系統漏洞掃描技術，一旦不法分子利用漏洞攻擊工控系統，會破壞生產連續性。

03.解決方案

該泵站工控系統網絡安全建設，以適度安全為核心，以重點保護、風險管理、標準化、統一安全管理為原則，以AI技術賦能、OT/IT融合安全技術產品為依托。

構建專用控制網絡：工業控制網絡在物理層面上實現控制網與辦公信息網的安全隔離。

構建縱深防御體系：該泵站工控系統分別從主機安全、網絡邊界安全、安全監測與審計3個維度以及統一管理中心進行安全防護，依托安全產品AI機器學習建模，不斷自我優化的能力，實現工控系統業務應用的可用性、完整性和保密性保護的主動防御安全體系，不依賴特征庫的縱深安全防御體系。

構建集中管控中心：對部署的安全防護技術手段在系統范圍內進行集中管控，將孤立的安全能力整合成協同工作的安全防護體系。

圖1 網絡拓撲圖

1、主機安全防護

在通信操作站、操作員站、工程師站和數據服務器主機安裝終端防護白名單軟件工業衛士，使主機免受病毒等各種非法攻擊，可以有效管控主機的USB等外部端口。針對Windows主機，它提供完全適用于工控行業的安全防護，保障關鍵業務的運行，建立穩定的運行環境，同時有效遏制至今已經爆發的工控病毒(如“震網”、Havex、“勒索”等)及其變種的運行。

▲工業衛士白名單管理

▲U盤管控

2、控制網絡邊界安全防護

自控中心交換機與老泵站控制系統之間部署工業防火墻，對不同的安全區之間以及安全區內不同安全域邊界進行安全防護，阻止網絡攻擊在不同區域間滲透，保障關鍵資產和業務的安全。基于AI自學習后生成并優化的白名單策略防護，阻止了不可信的數據和操作行為，最大程度地防范未知威脅。

自控中心交換機與信息中心交換機之間部署工業網閘，實現內外網絡的安全隔離，數據只能以專有數據塊方式靜態地在內外網絡間進行“擺渡”，從而切斷了內外網絡之間的所有直接連接。

▲工業防火墻白名單功能

3、安全監測與審計

自控中心交換機旁路部署工業審計系統，實時檢測出針對工業協議的網絡攻擊、誤操作、違規操作、非法IP或非法設備接入以及病毒的傳播并實時報警，詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，并且提供回溯功能。

信息中心交換機旁路部署入侵檢測系統，對網絡流量進行實時采集并進行深度分析，對那些異常的、可能是入侵行為的數據進行檢測和報警。

▲工業審計S7協議白名單

4、統一管理中心

構建安全管理中心區域，該區域部署監管平臺、堡壘機、日志審計系統、工業漏掃系統。

① 監管平臺，對網絡安全設備統一管理、配置、安全策略統一部署，提高運維效率，設備狀態監控，監測網絡的通信流量與安全事件，并能對網絡內的安全威脅進行分析。

② 堡壘機，實現對安全設備、網絡設備、工作站、服務器等設備運行進行集中監測和統一管理;對安全運維審計，保存任何操作行為，提供運維審計報告。

③ 日志審計系統，實現對安全產品日志的統一采集、分析、存儲，對安全事件的應急處置、攻擊行為的發現提供技術支撐，以及追蹤溯源。

④ 工業漏掃提供了漏洞掃描功能、漏洞修復建議、Windows安全加固功能、漏洞工單管理模塊等，使脆弱性管理工作形成閉環。

▲監管平臺資產大屏

▲監管平臺策略配置下發

▲工業漏掃工控系統掃描

04.客戶價值

1、方案以OT與IT融合技術(OI/IT一體化防護引擎、一體化知識庫、一體化防護功能)、AI人工智能技術賦能的產品幫助客戶建立高可信度的縱深防御防護體系，確保泵站工控網絡系統長期安全穩定運行;

2、順利通過等級保護2.0(三級)測評，為智慧水利平臺建設打下堅實基礎;

3、結合現場原有管理制度，完善成標準化、規范化、針對性的工控系統網絡安全管理制度。