汛期已至，全力保障水泵站安全運行！

概述

七八月份是我國防汛關鍵期，也是臺風暴雨多發期，大范圍強降水、江河洪水呈現多發頻發趨勢，導致嚴重的洪澇災害，危害人民生命財產安全?！蛾P鍵信息基礎設施安全保護條例》2021年9月1日發布，其中明確規定水利工程是“國家關鍵信息基礎設施”的重要組成部分，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益。水泵站作為水利工程建設過程中較為重要組成部分，在防汛抗洪過程中發揮著重要的作用，保障水泵站安全運行至關重要！

水利信息化是我國信息化建設的重要組成部分，也是水利現代化的必然途徑。水利信息化的發展使越來越多的計算機和網絡技術應用于泵站控制系統，更加復雜的網絡安全環境為水泵站的安全運行帶來了極大的安全隱患。隨著《網絡安全法》、《數據安全法》、《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護基本要求》、《水利網絡安全技術規范》等多項網絡安全相關法律法規先后出臺，為進一步提升水利行業網絡安全意識，筑牢水利網絡安全防線，推進智慧水利建設構建了良好的基礎支撐。

一、水泵站面臨的網絡攻擊風險

當前，水利系統防護資源不足、網絡安全成熟度較低，網絡攻擊可能造成嚴重損害，這使水利系統成為黑客組織的攻擊目標。2020年5月28日，以色列國家網絡安全負責人公開承認，該國4月份挫敗了對其供水系統的大規模網絡攻擊。美國國土安全部的統計顯示：早在2015年，針對供水系統的網絡攻擊事件，就已經排入前三名，僅次于關鍵制造和能源行業。頻發網絡安全事件表明，網絡威脅已經向水利系統領域滲透，把水泵站等控制系統作為攻擊目標，為水利系統敲響了安全警鐘。

主要風險：

黑客入侵風險：水泵站工控系統存在與其他網絡互聯需求，因此需開放業務端口與互聯網貫通，存在被不法分子入侵的風險。

病毒傳播風險：跨網互聯存在病毒傳播到企業工控系統中的風險，導致重泵機無法正常工作，甚至造成安全事故。

數據篡改及泄露風險：水泵站經其他網絡傳輸數據時，存在數據篡改和數據泄漏風險。

二、水泵站工控安全防護解決方案

針對當前水利泵站的網絡安全現狀，為保障其生產的安全穩定可持續，要對其進行生產網絡的安全風險評估及安全等級保護建設，涉及的范圍主要包括各泵站生產控制網絡和監控中心。水泵站生產控制網絡包括 PLC 等控制設備、HMI 等工業終端設備、監控終端等上位機、關鍵業務系統等。安盟信息水泵站工控安全防護解決方案在安全通信網絡、安全區域邊界、安全計算環境、安全管理中心四方面對防護框架進行全方位方案設計。

安全通信網絡

網絡架構：劃分不同網絡區域，避免將重要區域部署在網絡邊界處。

安全區域邊界

邊界防護：訪問與數據流通過邊界設備受控接口通信；非授權設備接入內部網絡檢查或限制。 

入侵防范：關鍵網絡節點檢測攻擊，限制外部及內部攻擊，采取技術措施對網絡行為分析，檢測 新型網絡攻擊；記錄檢測到的攻擊并報警。 

安全計算環境

訪問控制：重命名或刪除默認賬戶，修改默認口令；清理多余無效賬戶與共享賬戶；實現管理用戶最小授權以及權限分離。 

安全審計及防范：審計覆蓋每個用戶，審計重要用戶行為和安全事件。對入侵進行阻斷及告警。

安全管理中心

集中管控:劃分出特定的管理區域，并建立安全的信息傳輸路徑，對分布在網絡中的安全設備或安全組件進行管控;對設備、鏈路運行狀況進行集中監測; 對分散在各個設備上的審計數據進行收集 匯總和集中分析，并保證審計記錄的留存時間符合法律法規規要求。

水泵站工控安全防護拓撲結構示意圖

在滿足等級保護合規要求的前提下，結合泵站生產網絡的特點，圍繞著生產系統生命周期的高可用性，安盟信息基于“一中心，兩分離、三邊界”安全防護設計思想，融合工控安全設備與生產系統功能要求，解決應用場景“個性化”安全需求，提升抵御安全風險及安全事件應對能力，確保生產系統可持續運行。

一中心：是指建設企業生產網的網絡安全管理中心，對工業生產全景進行安全態勢感知、分析、預警及準入控制，并對異常報警行為形成工單分配給人工進行干預處理，同時與相應防護設備進行協同防御。

兩分離：為降低生產網因設備管理帶來的風險，建議企業規劃與業務網相對獨立的安全管理網絡，實現業務數據流和安全管理防護數據流的分離，互不干涉。安全管理網絡實現對網絡安全設備的配置管理、運行狀態收集、分析數據收集等。

三邊界：是指生產網邊界、其他外聯邊界、主機邊界三個邊界?；谌吔绮煌踩雷o側重點和業務連續性要求，提供不同的安全防護技術和設備。

方案價值

網絡隔離

在生產環網與監控網之間部署工業安全隔離裝置；監控網到互聯網之間部署下一代防火墻，生產環網與控制中心部署工業防火墻，符合安全策略的應用和數據才可以通過，防止黑客攻擊和勒索病毒入侵。

安全合規

通過安全防護的技術應用要點，實現了高安全隔離前提下的數據交換，符合《工業控制系統信息安全防護指南》、《信息安全技術網絡安全等級保護基本要求》(GBT22239-2019)。

綜合防護

強化區域內網絡、主機、物理環境及數據的安全防護增強整體安全防護能力，形成以邊界防護為要點、多層防線構成縱深防護體系，確保水泵站安全生產穩定運營。

隨著物聯網、大數據等新技術發展應用，水利行業工控系統面臨更多的安全風險，安盟信息將憑借在新一代邊界安全、工業互聯網安全、商用密碼應用與數據安全方面積累的經驗，繼續深化研究并實施水利網絡安全技術防護措施、持續落實網絡安全制度，促進水利工控制系統安全、穩定運行，更好支撐水利業務健康發展！