隋 昕，龐 正

（1.山東省調(diào)水工程運行維護中心膠州管理站，山東 青島266300；2.山東省調(diào)水工程運行維護中心博興管理站，山東 濱州 256500）

1 引言

調(diào)水泵站是水利工程重要組成部分之一，其主要作用為防洪防澇、調(diào)水灌溉以及生產(chǎn)、生活供水。泵站的運行有效推動了水資源的合理配置，提高了水資源的利用率，降低了洪澇災害的發(fā)生。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展以及水利部《水利網(wǎng)信水平提升三年行動方案（2019-2021年）》、《智慧水利總體方案》等加強、加快水利信息化建設(shè)方案的提出，越來越多的計算機和網(wǎng)絡技術(shù)應用于泵站控制系統(tǒng)，在增強泵站的自動化控制、可視化、以及數(shù)據(jù)洞察能力的同時，也引入了更加復雜的安全環(huán)境，為泵站的安全運行帶來了極大的隱患。由于工控網(wǎng)絡與傳統(tǒng)的互聯(lián)網(wǎng)在網(wǎng)絡邊緣、體系結(jié)構(gòu)、傳輸內(nèi)容等方面具有本質(zhì)的不同，因此傳統(tǒng)的互聯(lián)網(wǎng)安全技術(shù)并不適用于工控網(wǎng)絡的安全。在當前嚴峻的網(wǎng)絡安全形勢下,面對各類復雜的網(wǎng)絡攻擊,工控系統(tǒng)一旦遭到破壞或者喪失功能，將嚴重危害國家安全、公共利益。

面對嚴峻的網(wǎng)絡安全形勢，水利部高度重視水利工程控制系統(tǒng)網(wǎng)絡安全。2018年制定了《水利網(wǎng)絡安全任務細化實化方案》，要求健全網(wǎng)絡安全責任和制度體系；切實保障水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡安全工作部署到位、執(zhí)行到位；開展水利工程工控系統(tǒng)網(wǎng)絡安全等級保護工作。2019年出臺了《水利網(wǎng)絡安全管理辦法（試行）》，要求落實網(wǎng)絡安全等級保護制度、明確運行階段網(wǎng)絡安全責任、強化監(jiān)督指導和責任追究；水利網(wǎng)絡安全遵循“誰主管誰負責，誰建設(shè)誰負責，誰運行誰負責，誰使用誰負責”的原則；水利信息系統(tǒng)應嚴格按照已確定的安全保護等級設(shè)計安全方案。

2 調(diào)水泵站控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀

基于我國水利行業(yè)網(wǎng)絡安全的建設(shè)現(xiàn)狀，泵站控制系統(tǒng)網(wǎng)絡安全還停留在傳統(tǒng)邊界防護階段，發(fā)展和提升都存在瓶頸。

（1）系統(tǒng)軟件升級困難

工業(yè)控制設(shè)備廠商會定期發(fā)布工業(yè)控制軟件補丁，用于解決工業(yè)控制系統(tǒng)中的問題，但泵站控制系統(tǒng)以穩(wěn)定性為基礎(chǔ)，頻繁升級補丁軟件，給系統(tǒng)的穩(wěn)定性帶來嚴重威脅，升級失敗或出錯將造成整個系統(tǒng)的不可用，給泵站生產(chǎn)帶來巨大的影響。

（2）網(wǎng)絡時延要求高

與傳統(tǒng)互聯(lián)網(wǎng)不同，泵站控制系統(tǒng)中，對控制信號的傳輸時延和傳輸可靠性要求高，數(shù)據(jù)必須在固定的時間內(nèi)可靠到達目標系統(tǒng)，數(shù)據(jù)丟失、延遲、亂序等都將給泵站控制系統(tǒng)帶來嚴重的問題。

（3）運維管理分散，數(shù)據(jù)不集中

很多泵站已經(jīng)部署了防火墻、入侵檢測、WAF等，每個系統(tǒng)的安全能力是獨立的，整體方案是割裂的，難以實現(xiàn)集中管理和運維；另外,大量的安全設(shè)備日志告警會大幅增加運維工作量，存在大量的重復或者誤報，給泵站的實際業(yè)務帶來了很大困擾。

（4）缺乏全面可視的防護體系，存在隱患威脅

泵站傳統(tǒng)網(wǎng)絡安全建設(shè)思路往往只是基于邊界進行防護,忽視了擁有內(nèi)網(wǎng)檢測能力的縱深防御體系建設(shè)，一旦邊界防護體系被攻破，將會對內(nèi)網(wǎng)的業(yè)務和系統(tǒng)造成嚴重損害。泵站控制網(wǎng)絡都是相對封閉的系統(tǒng)，缺少病毒傳播控制的技術(shù)手段，并且無法通過殺毒軟件及時清理，一旦感染病毒將造成整個控制網(wǎng)絡癱瘓，給泵站生產(chǎn)帶來嚴重影響。

（5）工業(yè)控制協(xié)議多樣

泵站控制系統(tǒng)網(wǎng)絡中存在多種控制協(xié)議，其中有大量的公有協(xié)議和私有協(xié)議，分布在網(wǎng)絡分層模型的多個層級，針對控制系統(tǒng)的攻擊和病毒，承載在工業(yè)控制協(xié)議之上，需要采用深度DPI技術(shù)對泵站控制系統(tǒng)的安全威脅進行識別和有效控制。

因此，水利行業(yè)亟待對網(wǎng)絡安全能力進行提升，落實“等?！币?保護關(guān)鍵業(yè)務系統(tǒng)網(wǎng)絡安全。

3 調(diào)水泵站控制系統(tǒng)網(wǎng)絡安全等保合格建設(shè)過程中存在的問題

《水利網(wǎng)絡安全管理辦法》試行要求，在規(guī)劃建設(shè)階段，項目立項審核審批部門應確認新建系統(tǒng)已經(jīng)完成定級后，方可進行立項審批，嚴格按照已確定的安全保護等級設(shè)計安全方案。泵站控制系統(tǒng)和網(wǎng)絡安全設(shè)計方案一般由水利規(guī)劃設(shè)計院進行統(tǒng)一規(guī)劃、設(shè)計，網(wǎng)絡安全設(shè)計方案需在控制系統(tǒng)設(shè)計方案的基礎(chǔ)之上進行，依據(jù)控制系統(tǒng)設(shè)計方案特點及工藝流程進行網(wǎng)絡安全方案設(shè)計。泵站控制系統(tǒng)的規(guī)劃、設(shè)計各水利規(guī)劃設(shè)計院已有成熟的方案，并且設(shè)計手冊、設(shè)計規(guī)范等指導性文件齊全。但控制系統(tǒng)網(wǎng)絡安全是近幾年才提出的新要求，并受到國家及各行業(yè)的高度重視，對設(shè)計院來說是一個全新的課題，無成熟的方案和相應的設(shè)計經(jīng)驗，并且設(shè)計手冊、設(shè)計規(guī)范等更新滯后，參考資料缺乏，一般需要咨詢安全設(shè)備或安全服務的廠商進行安全方案設(shè)計。安全廠商的技術(shù)水平對控制系統(tǒng)網(wǎng)絡安全設(shè)計有很大的影響，如有些傳統(tǒng)的信息安全廠商，對控制系統(tǒng)不了解或還處于研究階段，若參照傳統(tǒng)的信息安全設(shè)計方案，設(shè)計方案不合理，起不到應有的防護作用；有些工控安全廠商對水利控制系統(tǒng)了解不夠深入，照搬電力或其它行業(yè)的網(wǎng)絡安全設(shè)計方案或出于企業(yè)盈利目的，造成網(wǎng)絡安全設(shè)計方案過于龐大，預算過高。一般的泵站控制系統(tǒng)相對簡單，預算也相對較低，照搬其它行業(yè)的網(wǎng)絡安全方案，使得有些泵站網(wǎng)絡安全預算遠遠超過預算比例，造成設(shè)計方案評審不能通過。并且泵站管理單位一般為非盈利單位，依靠國家撥款實現(xiàn)泵站的運營及管理，過高的建設(shè)成本管理單位也難以接受。這就需要項目主管或建設(shè)單位和設(shè)計院多交流、多溝通，共同把關(guān)，選擇對水利控制系統(tǒng)有深入了解或研究的安全企業(yè)進行方案設(shè)計咨詢。

在運營管理階段，水利信息系統(tǒng)在運行過程中，三級及以上系統(tǒng)每年開展一次網(wǎng)絡安全等級保護測評工作。由于早期泵站設(shè)計沒有考慮控制系統(tǒng)網(wǎng)絡安全問題或網(wǎng)絡安全防護不足，大多數(shù)泵站控制系統(tǒng)需網(wǎng)絡安全整改。根據(jù)網(wǎng)絡安全整改方案上架類似防火墻、上網(wǎng)行為管理、WAF等設(shè)備，往往新舊設(shè)備功能重復、類似，但體系建設(shè)不全面，后續(xù)還需要新的網(wǎng)絡安全設(shè)備來補足，從方案源頭上增加了泵站安全建設(shè)的成本。

4 調(diào)水泵站控制系統(tǒng)網(wǎng)絡安全等保合規(guī)建設(shè)思路

2019年《網(wǎng)絡安全等級保護基本要求》正式邁入2.0時代，國家監(jiān)管部門對網(wǎng)絡安全保衛(wèi)工作日益重視，不斷加強監(jiān)管力度。等保2.0要求建立安全技術(shù)體系，主要包括“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”；建立安全管理體系，主要包括“安全管理制度”、“安全管理機構(gòu)”、“安全管理人員”、“安全建設(shè)管理”和“安全運維管理”。相比等保1.0，新增“安全管理中心”，引入集中管控新要求，改變重技術(shù)輕管理的現(xiàn)狀，重點加強安全管理?！鞍踩芾碇行摹毙杈邆湎到y(tǒng)管理、審計管理、安全管理、集中管控等功能。

泵站控制系統(tǒng)網(wǎng)絡安全等保合規(guī)建設(shè)應在對泵站控制系統(tǒng)充分分析的基礎(chǔ)上，針對泵站控制系統(tǒng)特點，結(jié)合等保2.0及相關(guān)的標準要求，制定全面的解決方案，建立全面的網(wǎng)絡安全防護體系。

（1）建立一體化集中管控平臺

遵循網(wǎng)絡安全等保2.0規(guī)范要求，建設(shè)一體化集中管控平臺，將現(xiàn)有的系統(tǒng)資產(chǎn)、安全防護設(shè)備建立對接管理；將國家強制、組織制定的管理制度融入到運行管理中，實現(xiàn)集中管控、實時監(jiān)測、快速處置、持續(xù)預防的運營管理閉環(huán)；把分散的運行管理數(shù)據(jù)集中匯聚、綜合關(guān)聯(lián)分析，把孤立的管理行為建立聯(lián)動機制；保障系統(tǒng)運行可信、可控、可管，建立事前預防、事中響應、事后審計的動態(tài)保障體系，實現(xiàn)安全合規(guī)、一體化管理、一站式服務。

（2）降本增效，充分利用舊產(chǎn)品，減少投入

摒棄傳統(tǒng)產(chǎn)品堆疊模式，以一體化集中管控平臺單產(chǎn)品替代傳統(tǒng)眾多產(chǎn)品（漏洞掃描、運維管理、日志審計、堡壘機等）的疊加解決方案，降低泵站等保合規(guī)建設(shè)成本和后期運行維護成本；同時開放的接口可兼容對接第三方產(chǎn)品，有效保障泵站原有安全管理產(chǎn)品投入。

（3）建立全面可視可控安全防護體系

基于統(tǒng)計分析，發(fā)現(xiàn)重點問題特征，加強重點防護，提升防護效率。通過靈活的管理與服務流程，以及在線服務機制，提升安全管理效率；通過可視化管理、豐富的運行分析報告，全面發(fā)揮安全防護、安全管理設(shè)備系統(tǒng)的功效，為系統(tǒng)運行提供安全、穩(wěn)定、高效的環(huán)境，保障信息系統(tǒng)有效應用，發(fā)揮系統(tǒng)價值。

圖1 調(diào)水泵站控制系統(tǒng)網(wǎng)絡安全等保合規(guī)建設(shè)解決方案

5 調(diào)水泵站控制系統(tǒng)網(wǎng)絡安全等保合規(guī)建設(shè)解決方案

在泵站核心交換機部署集中管控平臺和工控入侵檢測系統(tǒng)；在接入交換機與上級調(diào)度中心之間部署工控網(wǎng)閘；在泵站主機/操作員站數(shù)據(jù)庫服務器上分別部署工控主機衛(wèi)士；在核心交換機與底層交換機間部署工控防火墻；在底層交換機上部署工控安全審計系統(tǒng)。

（1）集中管控平臺

通過統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、綜合分析、協(xié)同處置、持續(xù)安全運維，實現(xiàn)集中管控的安全運維管理閉環(huán)。同時對標五大項管理要求（安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理），建立管理與流程體系，將制度與技術(shù)結(jié)合，管理可視、過程可控，避免人為因素風險，保障管理策略落地執(zhí)行。全面記錄工業(yè)網(wǎng)絡中的主機安全日志、異常監(jiān)測日志、防護日志、工業(yè)網(wǎng)絡會話等，留存攻擊原始報文信息；建立系統(tǒng)運行與管理服務全流程數(shù)字化，支持數(shù)據(jù)驅(qū)動對工控防火墻、工控主機衛(wèi)士、工業(yè)網(wǎng)絡隔離系統(tǒng)、工控安全審計系統(tǒng)等的統(tǒng)一精細化安全管控。

（2）工控入侵檢測系統(tǒng)

實時檢測網(wǎng)絡中傳輸數(shù)據(jù)的安全性，對檢測結(jié)果進行記錄，準確識別網(wǎng)絡攻擊，及時產(chǎn)生告警，并生成攻擊日志，詳細記錄告警內(nèi)容，方便溯源。

（3）工控網(wǎng)閘

保證內(nèi)外網(wǎng)隔離的情況下，實現(xiàn)數(shù)據(jù)安全、可靠的交換。

（4）工控主機衛(wèi)士

以白名單的技術(shù)方式監(jiān)控工控主機的進程狀態(tài)、網(wǎng)絡端口狀態(tài)、USB 端口狀態(tài)，全方位地保護主機的資源使用。根據(jù)白名單的配置，工控主機衛(wèi)士禁止非法操作進程的運行及網(wǎng)絡端口和移動存儲設(shè)備的任意打開與接入，切斷病毒和木馬的傳播途徑，確保正常操作指令的下發(fā)和相關(guān)進程的正常執(zhí)行。

（5）工控防火墻

能夠有效識別各類針對工控系統(tǒng)的攻擊和威脅，為工控網(wǎng)絡與外部網(wǎng)絡互聯(lián)、內(nèi)部區(qū)域之間的連接提供安全保障。

（6）工控安全審計系統(tǒng)

對工控網(wǎng)絡的流量、協(xié)議、業(yè)務進行安全監(jiān)測審計，實現(xiàn)工控網(wǎng)絡從流量、協(xié)議、事件到業(yè)務的安全可視、異常行為監(jiān)測，及時發(fā)現(xiàn)各種違規(guī)行為和病毒、黑客的攻擊行為。

6 結(jié)語

調(diào)水泵站控制系統(tǒng)具有其自身的特點，在進行泵站控制系統(tǒng)等保合規(guī)建設(shè)時，要充分考慮泵站控制系統(tǒng)的特點，結(jié)合等保2.0要求，制定合理的控制系統(tǒng)網(wǎng)絡安全建設(shè)方案，盡量避免傳統(tǒng)的產(chǎn)品堆疊模式，采用集成度高、功能齊全、滿足要求的一體化產(chǎn)品，降低泵站等保合規(guī)建設(shè)成本和后期運行維護成本。