王聞通 孫 猛

一、引言

加快構(gòu)建具有“四預(yù)”（預(yù)報、預(yù)警、預(yù)演、預(yù)案）功能的智慧水利體系為新階段水利高質(zhì)量發(fā)展提供了有力支撐，在此背景下，水利工程自動化監(jiān)控系統(tǒng)的集成化程度越來越高，不同系統(tǒng)的互聯(lián)互通成為必然。江蘇省灌溉總渠管理處（以下簡稱管理處）建有運行管理監(jiān)控中心，對處屬主要工程運行數(shù)據(jù)以不同形式進行實時監(jiān)視和展示，其中淮安抽水一站、二河新閘等6座大型水利工程的自動化監(jiān)控系統(tǒng)被安全定級為二級并開展了測評工作。由于經(jīng)費原因，這些閘站自動化監(jiān)控系統(tǒng)在建設(shè)時考慮更多是系統(tǒng)功能性和穩(wěn)定性，并沒有考慮系統(tǒng)互聯(lián)互通可能帶來的網(wǎng)絡(luò)安全風(fēng)險。通過開展網(wǎng)絡(luò)安全等保測評和持續(xù)整改，系統(tǒng)性分析處屬工程自動化監(jiān)控系統(tǒng)存在的主要安全隱患，對系統(tǒng)網(wǎng)絡(luò)安全管理工作進行思考，提出針對性建議，可逐步提升管理處閘站工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護水平。

二、管理處工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

（一）系統(tǒng)網(wǎng)絡(luò)架構(gòu)情況

管理處各閘站工程自動化監(jiān)控系統(tǒng)雖然實現(xiàn)的功能略有不同，但均采用類似的DCS三層網(wǎng)絡(luò)架構(gòu)，自下而上分為分散過程控制級、集中監(jiān)控操作級和綜合信息管理級（見圖1）。

圖1 系統(tǒng)網(wǎng)絡(luò)架構(gòu)圖

分散過程控制級是整個系統(tǒng)體系結(jié)構(gòu)中的最底層，直接與生產(chǎn)過程現(xiàn)場的傳感器、執(zhí)行器相連，實現(xiàn)生產(chǎn)過程的數(shù)據(jù)采集、閉環(huán)控制、順序控制等功能。構(gòu)成這一級的主要裝置有現(xiàn)場控制站、智能調(diào)節(jié)器、可編程控制器及其他測控裝置。集中操作監(jiān)控級是面向現(xiàn)場操作員和系統(tǒng)工程師的。這一層級以操作監(jiān)視為主要任務(wù)，兼有部分管理功能。它把過程參量的信息集中化，對各個現(xiàn)場控制站的數(shù)據(jù)進行收集，并通過簡單的操作進行工程量的顯示、各種操作流程圖的顯示、趨勢曲線的顯示以及改變過程參數(shù)（如設(shè)定值、控制參數(shù)、報警狀態(tài)等信息）。這一層級另一管理功能是進行控制系統(tǒng)的生成、組態(tài)。綜合信息管理級是自動化監(jiān)控系統(tǒng)體系結(jié)構(gòu)中的最高層，是閘站信息管理系統(tǒng)的核心。主要負責(zé)實現(xiàn)整個集散控制系統(tǒng)綜合管理的信息通道，與其他系統(tǒng)的互聯(lián)互通也通過這一層級轉(zhuǎn)發(fā)數(shù)據(jù)，所有設(shè)備均通過工業(yè)控制網(wǎng)絡(luò)進行互聯(lián)。

（二）系統(tǒng)間網(wǎng)絡(luò)通信情況

為實現(xiàn)相應(yīng)的業(yè)務(wù)需求，閘站工程自動化監(jiān)控系統(tǒng)中的數(shù)據(jù)采集服務(wù)器與管理處的管理監(jiān)控中心服務(wù)器實現(xiàn)網(wǎng)絡(luò)通信，數(shù)據(jù)采集服務(wù)器通過工業(yè)控制網(wǎng)絡(luò)與現(xiàn)地PLC進行通信。數(shù)據(jù)傳輸主干通信網(wǎng)絡(luò)有工控專網(wǎng)線路和租用專線兩種情況，租用專線暫未能將工控數(shù)據(jù)單獨分離傳輸。

（三）系統(tǒng)設(shè)備應(yīng)用情況

根據(jù)統(tǒng)計，管理處自動化監(jiān)控系統(tǒng)中的設(shè)備多種多樣，所采用的控制設(shè)備以國外品牌居多，設(shè)備的安全等級參差不齊。同時自動化監(jiān)控系統(tǒng)中的上位工控機操作系統(tǒng)主要以windows系統(tǒng)為主，部分操作系統(tǒng)版本為XP、server2008等老舊版本。

（四）網(wǎng)絡(luò)安全防護措施情況

隨著網(wǎng)絡(luò)安全等級保護要求的出臺和執(zhí)行，目前管理處已定級測評的水利工程自動化監(jiān)控系統(tǒng)陸續(xù)通過整改完善，具備了一定的網(wǎng)絡(luò)安全防護功能，增加了如隔離網(wǎng)閘、新一代防火墻、日志審計等網(wǎng)絡(luò)安全設(shè)備。但由于目前針對水利工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，還缺乏統(tǒng)一的規(guī)劃、設(shè)計和指導(dǎo)，管理處工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護水平相對較低。

三、管理處工程自動化監(jiān)控系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險

（一）網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)不完善

由于經(jīng)費有限，管理處目前只在部分工程自動化監(jiān)控系統(tǒng)采取了基本的安全防護措施，使其具備一定的區(qū)域邊界防護能力。按照《水利網(wǎng)絡(luò)安全保護技術(shù)規(guī)范》（SL/T803-2020）規(guī)定，完善的水利行業(yè)網(wǎng)絡(luò)安全技術(shù)體系應(yīng)包括網(wǎng)絡(luò)情報服務(wù)、災(zāi)備服務(wù)、密碼服務(wù)、認證服務(wù)等，在安全物理環(huán)境基礎(chǔ)上，構(gòu)建安全計算云環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的3層基礎(chǔ)防護。對照規(guī)定，當(dāng)前管理處工程自動化監(jiān)控系統(tǒng)的網(wǎng)絡(luò)縱深防御技術(shù)體系建設(shè)還不完善，在邊界、網(wǎng)絡(luò)和終端的立體防御方面缺乏整體性和系統(tǒng)性。

（二）主要控制設(shè)備國產(chǎn)率偏低

由于早期產(chǎn)品發(fā)展和應(yīng)用不均衡，管理處水利工程自動化監(jiān)控系統(tǒng)中的控制設(shè)備仍以德國西門子、法國施耐德、美國GE等品牌的產(chǎn)品為主，技術(shù)不能完全實現(xiàn)安全可控。由于控制軟件版本的原因，致使部分上位機只能使用老舊操作系統(tǒng)，導(dǎo)致其無法及時安裝并更新防病毒軟件和防網(wǎng)絡(luò)攻擊惡意代碼庫。

（三）網(wǎng)絡(luò)安全管理制度不全面

處屬各單位都制定了工程自動化監(jiān)控系統(tǒng)相關(guān)管理制度，但相關(guān)制度內(nèi)容主要側(cè)重于應(yīng)用管理和操作規(guī)程上，對于如何防范計算機網(wǎng)絡(luò)病毒及在發(fā)生影響網(wǎng)絡(luò)安全的事件時如何有效應(yīng)急處置等方面還缺乏相應(yīng)的安全管理制度。

（四）網(wǎng)絡(luò)安全管理和運維能力不足

處屬各單位缺乏專門的信息安全崗位和專業(yè)人才，工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理工作基本按照自己的理解開展，缺少演練和培訓(xùn)，在網(wǎng)絡(luò)安全實戰(zhàn)中及時響應(yīng)和應(yīng)對的能力不足。同時由于網(wǎng)絡(luò)安全問題的隱蔽性較強，管理人員難以及時發(fā)現(xiàn)。

四、管理處工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護對策

（一）統(tǒng)一防護標準

盡管目前處屬相關(guān)單位開展了網(wǎng)絡(luò)安全等保測評和整改工作，但整體防護水平參差不齊，網(wǎng)絡(luò)安全建設(shè)缺乏系統(tǒng)性和標準性，因此急需制定適合管理處工程自動化監(jiān)控系統(tǒng)特點的網(wǎng)絡(luò)安全防護軟硬件標準，按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的防護原則，自上而下的體系化指導(dǎo)處屬各單位開展工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)工作，逐步建立具備深度防御的體系。同時，在新系統(tǒng)建設(shè)中，做到網(wǎng)絡(luò)安全同步規(guī)劃、同步建設(shè)、同步運行，現(xiàn)狀系統(tǒng)適度加固。

（二）常態(tài)化開展網(wǎng)絡(luò)安全風(fēng)險評估工作

利用等保測評單位和其他網(wǎng)絡(luò)安全服務(wù)單位的資源和專業(yè)優(yōu)勢，采用人工分析和專業(yè)檢測工具相結(jié)合的方式，常態(tài)化對工程自動化監(jiān)控系統(tǒng)中的PLC、防火墻、隔離裝置等開展漏洞挖掘、滲透攻擊、安全策略等全方位安全測評工作，同時對管理制度制定和管理人員安全意識、安全知識培訓(xùn)情況進行常態(tài)化安全自查。

（三）強化網(wǎng)絡(luò)安全應(yīng)急管理

定期對系統(tǒng)重要數(shù)據(jù)進行異地備份。制定處屬各單位工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織應(yīng)急演練，確保當(dāng)遭受網(wǎng)絡(luò)安全威脅導(dǎo)致系統(tǒng)出現(xiàn)異?；蚬收蠒r，能夠立即正確地采取處置措施，避免造成重大損失。

（四）提高管理人員素質(zhì)

良好的管理人員能力是管理處工程自動化監(jiān)控系統(tǒng)安全運行的充分保證，需定期組織網(wǎng)絡(luò)安全意識和技能培訓(xùn)，加強網(wǎng)絡(luò)安全管理規(guī)程規(guī)范的宣貫，提升系統(tǒng)管理人員網(wǎng)絡(luò)操作規(guī)范性和安全防護意識。

（五）正確選用部署網(wǎng)絡(luò)安全設(shè)備

為了保護工程自動化監(jiān)控系統(tǒng)的安全，需要部署各種網(wǎng)絡(luò)安全設(shè)備，不同的網(wǎng)絡(luò)安全設(shè)備相互配合形成一個統(tǒng)一高效的整體，共同構(gòu)建起立體的安全防御體系。網(wǎng)絡(luò)安全設(shè)備主要分為網(wǎng)絡(luò)邊界安全設(shè)備、應(yīng)用安全設(shè)備、管理與運維安全設(shè)備和主機安全設(shè)備。網(wǎng)絡(luò)邊界安全設(shè)備主要有防火墻、網(wǎng)絡(luò)安全隔離裝置、防DdoS攻擊系統(tǒng)等；應(yīng)用安全設(shè)備主要有入侵防御系統(tǒng)（IPS）、Web應(yīng)用防火墻（WAF）、安全沙箱等；管理與運維安全設(shè)備主要有堡壘機、日志審計系統(tǒng)、數(shù)據(jù)安全態(tài)勢感知系統(tǒng)等；主機安全設(shè)備主要有具有虛擬功能的防火墻（VFW）、終端準入控制系統(tǒng)等，在進行工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理工作中，需要按不同對象，不同環(huán)境選取合適的網(wǎng)絡(luò)安全設(shè)備，達到防范網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密的目標。

五、結(jié)語

江蘇省灌溉總渠管理處水利工程自動化監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護還處于起步階段，管理人員需要不斷學(xué)習(xí)新的專業(yè)知識，在系統(tǒng)管理工作中準確把握網(wǎng)絡(luò)安全的影響因素，不斷提高網(wǎng)絡(luò)安全防御意識和防御能力，保證系統(tǒng)安全穩(wěn)定運行，為水利工程效益充分發(fā)揮保駕護航