調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)建設(shè)探討

隋 昕，龐 正

（1.山東省調(diào)水工程運(yùn)行維護(hù)中心膠州管理站，山東 青島266300；2.山東省調(diào)水工程運(yùn)行維護(hù)中心博興管理站，山東 濱州 256500）

1 引言

調(diào)水泵站是水利工程重要組成部分之一，其主要作用為防洪防澇、調(diào)水灌溉以及生產(chǎn)、生活供水。泵站的運(yùn)行有效推動(dòng)了水資源的合理配置，提高了水資源的利用率，降低了洪澇災(zāi)害的發(fā)生。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展以及水利部《水利網(wǎng)信水平提升三年行動(dòng)方案（2019-2021年）》、《智慧水利總體方案》等加強(qiáng)、加快水利信息化建設(shè)方案的提出，越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于泵站控制系統(tǒng)，在增強(qiáng)泵站的自動(dòng)化控制、可視化、以及數(shù)據(jù)洞察能力的同時(shí)，也引入了更加復(fù)雜的安全環(huán)境，為泵站的安全運(yùn)行帶來(lái)了極大的隱患。由于工控網(wǎng)絡(luò)與傳統(tǒng)的互聯(lián)網(wǎng)在網(wǎng)絡(luò)邊緣、體系結(jié)構(gòu)、傳輸內(nèi)容等方面具有本質(zhì)的不同，因此傳統(tǒng)的互聯(lián)網(wǎng)安全技術(shù)并不適用于工控網(wǎng)絡(luò)的安全。在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下,面對(duì)各類(lèi)復(fù)雜的網(wǎng)絡(luò)攻擊,工控系統(tǒng)一旦遭到破壞或者喪失功能，將嚴(yán)重危害國(guó)家安全、公共利益。

面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，水利部高度重視水利工程控制系統(tǒng)網(wǎng)絡(luò)安全。2018年制定了《水利網(wǎng)絡(luò)安全任務(wù)細(xì)化實(shí)化方案》，要求健全網(wǎng)絡(luò)安全責(zé)任和制度體系；切實(shí)保障水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作部署到位、執(zhí)行到位；開(kāi)展水利工程工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。2019年出臺(tái)了《水利網(wǎng)絡(luò)安全管理辦法（試行）》，要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、明確運(yùn)行階段網(wǎng)絡(luò)安全責(zé)任、強(qiáng)化監(jiān)督指導(dǎo)和責(zé)任追究；水利網(wǎng)絡(luò)安全遵循“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則；水利信息系統(tǒng)應(yīng)嚴(yán)格按照已確定的安全保護(hù)等級(jí)設(shè)計(jì)安全方案。

2 調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

基于我國(guó)水利行業(yè)網(wǎng)絡(luò)安全的建設(shè)現(xiàn)狀，泵站控制系統(tǒng)網(wǎng)絡(luò)安全還停留在傳統(tǒng)邊界防護(hù)階段，發(fā)展和提升都存在瓶頸。

（1）系統(tǒng)軟件升級(jí)困難

工業(yè)控制設(shè)備廠(chǎng)商會(huì)定期發(fā)布工業(yè)控制軟件補(bǔ)丁，用于解決工業(yè)控制系統(tǒng)中的問(wèn)題，但泵站控制系統(tǒng)以穩(wěn)定性為基礎(chǔ)，頻繁升級(jí)補(bǔ)丁軟件，給系統(tǒng)的穩(wěn)定性帶來(lái)嚴(yán)重威脅，升級(jí)失敗或出錯(cuò)將造成整個(gè)系統(tǒng)的不可用，給泵站生產(chǎn)帶來(lái)巨大的影響。

（2）網(wǎng)絡(luò)時(shí)延要求高

與傳統(tǒng)互聯(lián)網(wǎng)不同，泵站控制系統(tǒng)中，對(duì)控制信號(hào)的傳輸時(shí)延和傳輸可靠性要求高，數(shù)據(jù)必須在固定的時(shí)間內(nèi)可靠到達(dá)目標(biāo)系統(tǒng)，數(shù)據(jù)丟失、延遲、亂序等都將給泵站控制系統(tǒng)帶來(lái)嚴(yán)重的問(wèn)題。

（3）運(yùn)維管理分散，數(shù)據(jù)不集中

很多泵站已經(jīng)部署了防火墻、入侵檢測(cè)、WAF等，每個(gè)系統(tǒng)的安全能力是獨(dú)立的，整體方案是割裂的，難以實(shí)現(xiàn)集中管理和運(yùn)維；另外,大量的安全設(shè)備日志告警會(huì)大幅增加運(yùn)維工作量，存在大量的重復(fù)或者誤報(bào)，給泵站的實(shí)際業(yè)務(wù)帶來(lái)了很大困擾。

（4）缺乏全面可視的防護(hù)體系，存在隱患威脅

泵站傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)思路往往只是基于邊界進(jìn)行防護(hù),忽視了擁有內(nèi)網(wǎng)檢測(cè)能力的縱深防御體系建設(shè)，一旦邊界防護(hù)體系被攻破，將會(huì)對(duì)內(nèi)網(wǎng)的業(yè)務(wù)和系統(tǒng)造成嚴(yán)重?fù)p害。泵站控制網(wǎng)絡(luò)都是相對(duì)封閉的系統(tǒng)，缺少病毒傳播控制的技術(shù)手段，并且無(wú)法通過(guò)殺毒軟件及時(shí)清理，一旦感染病毒將造成整個(gè)控制網(wǎng)絡(luò)癱瘓，給泵站生產(chǎn)帶來(lái)嚴(yán)重影響。

（5）工業(yè)控制協(xié)議多樣

泵站控制系統(tǒng)網(wǎng)絡(luò)中存在多種控制協(xié)議，其中有大量的公有協(xié)議和私有協(xié)議，分布在網(wǎng)絡(luò)分層模型的多個(gè)層級(jí)，針對(duì)控制系統(tǒng)的攻擊和病毒，承載在工業(yè)控制協(xié)議之上，需要采用深度DPI技術(shù)對(duì)泵站控制系統(tǒng)的安全威脅進(jìn)行識(shí)別和有效控制。

因此，水利行業(yè)亟待對(duì)網(wǎng)絡(luò)安全能力進(jìn)行提升，落實(shí)“等?！币?保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全。

3 調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合格建設(shè)過(guò)程中存在的問(wèn)題

《水利網(wǎng)絡(luò)安全管理辦法》試行要求，在規(guī)劃建設(shè)階段，項(xiàng)目立項(xiàng)審核審批部門(mén)應(yīng)確認(rèn)新建系統(tǒng)已經(jīng)完成定級(jí)后，方可進(jìn)行立項(xiàng)審批，嚴(yán)格按照已確定的安全保護(hù)等級(jí)設(shè)計(jì)安全方案。泵站控制系統(tǒng)和網(wǎng)絡(luò)安全設(shè)計(jì)方案一般由水利規(guī)劃設(shè)計(jì)院進(jìn)行統(tǒng)一規(guī)劃、設(shè)計(jì)，網(wǎng)絡(luò)安全設(shè)計(jì)方案需在控制系統(tǒng)設(shè)計(jì)方案的基礎(chǔ)之上進(jìn)行，依據(jù)控制系統(tǒng)設(shè)計(jì)方案特點(diǎn)及工藝流程進(jìn)行網(wǎng)絡(luò)安全方案設(shè)計(jì)。泵站控制系統(tǒng)的規(guī)劃、設(shè)計(jì)各水利規(guī)劃設(shè)計(jì)院已有成熟的方案，并且設(shè)計(jì)手冊(cè)、設(shè)計(jì)規(guī)范等指導(dǎo)性文件齊全。但控制系統(tǒng)網(wǎng)絡(luò)安全是近幾年才提出的新要求，并受到國(guó)家及各行業(yè)的高度重視，對(duì)設(shè)計(jì)院來(lái)說(shuō)是一個(gè)全新的課題，無(wú)成熟的方案和相應(yīng)的設(shè)計(jì)經(jīng)驗(yàn)，并且設(shè)計(jì)手冊(cè)、設(shè)計(jì)規(guī)范等更新滯后，參考資料缺乏，一般需要咨詢(xún)安全設(shè)備或安全服務(wù)的廠(chǎng)商進(jìn)行安全方案設(shè)計(jì)。安全廠(chǎng)商的技術(shù)水平對(duì)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)有很大的影響，如有些傳統(tǒng)的信息安全廠(chǎng)商，對(duì)控制系統(tǒng)不了解或還處于研究階段，若參照傳統(tǒng)的信息安全設(shè)計(jì)方案，設(shè)計(jì)方案不合理，起不到應(yīng)有的防護(hù)作用；有些工控安全廠(chǎng)商對(duì)水利控制系統(tǒng)了解不夠深入，照搬電力或其它行業(yè)的網(wǎng)絡(luò)安全設(shè)計(jì)方案或出于企業(yè)盈利目的，造成網(wǎng)絡(luò)安全設(shè)計(jì)方案過(guò)于龐大，預(yù)算過(guò)高。一般的泵站控制系統(tǒng)相對(duì)簡(jiǎn)單，預(yù)算也相對(duì)較低，照搬其它行業(yè)的網(wǎng)絡(luò)安全方案，使得有些泵站網(wǎng)絡(luò)安全預(yù)算遠(yuǎn)遠(yuǎn)超過(guò)預(yù)算比例，造成設(shè)計(jì)方案評(píng)審不能通過(guò)。并且泵站管理單位一般為非盈利單位，依靠國(guó)家撥款實(shí)現(xiàn)泵站的運(yùn)營(yíng)及管理，過(guò)高的建設(shè)成本管理單位也難以接受。這就需要項(xiàng)目主管或建設(shè)單位和設(shè)計(jì)院多交流、多溝通，共同把關(guān)，選擇對(duì)水利控制系統(tǒng)有深入了解或研究的安全企業(yè)進(jìn)行方案設(shè)計(jì)咨詢(xún)。

在運(yùn)營(yíng)管理階段，水利信息系統(tǒng)在運(yùn)行過(guò)程中，三級(jí)及以上系統(tǒng)每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作。由于早期泵站設(shè)計(jì)沒(méi)有考慮控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題或網(wǎng)絡(luò)安全防護(hù)不足，大多數(shù)泵站控制系統(tǒng)需網(wǎng)絡(luò)安全整改。根據(jù)網(wǎng)絡(luò)安全整改方案上架類(lèi)似防火墻、上網(wǎng)行為管理、WAF等設(shè)備，往往新舊設(shè)備功能重復(fù)、類(lèi)似，但體系建設(shè)不全面，后續(xù)還需要新的網(wǎng)絡(luò)安全設(shè)備來(lái)補(bǔ)足，從方案源頭上增加了泵站安全建設(shè)的成本。

4 調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)建設(shè)思路

2019年《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式邁入2.0時(shí)代，國(guó)家監(jiān)管部門(mén)對(duì)網(wǎng)絡(luò)安全保衛(wèi)工作日益重視，不斷加強(qiáng)監(jiān)管力度。等保2.0要求建立安全技術(shù)體系，主要包括“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”和“安全管理中心”；建立安全管理體系，主要包括“安全管理制度”、“安全管理機(jī)構(gòu)”、“安全管理人員”、“安全建設(shè)管理”和“安全運(yùn)維管理”。相比等保1.0，新增“安全管理中心”，引入集中管控新要求，改變重技術(shù)輕管理的現(xiàn)狀，重點(diǎn)加強(qiáng)安全管理?！鞍踩芾碇行摹毙杈邆湎到y(tǒng)管理、審計(jì)管理、安全管理、集中管控等功能。

泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)建設(shè)應(yīng)在對(duì)泵站控制系統(tǒng)充分分析的基礎(chǔ)上，針對(duì)泵站控制系統(tǒng)特點(diǎn)，結(jié)合等保2.0及相關(guān)的標(biāo)準(zhǔn)要求，制定全面的解決方案，建立全面的網(wǎng)絡(luò)安全防護(hù)體系。

（1）建立一體化集中管控平臺(tái)

遵循網(wǎng)絡(luò)安全等保2.0規(guī)范要求，建設(shè)一體化集中管控平臺(tái)，將現(xiàn)有的系統(tǒng)資產(chǎn)、安全防護(hù)設(shè)備建立對(duì)接管理；將國(guó)家強(qiáng)制、組織制定的管理制度融入到運(yùn)行管理中，實(shí)現(xiàn)集中管控、實(shí)時(shí)監(jiān)測(cè)、快速處置、持續(xù)預(yù)防的運(yùn)營(yíng)管理閉環(huán)；把分散的運(yùn)行管理數(shù)據(jù)集中匯聚、綜合關(guān)聯(lián)分析，把孤立的管理行為建立聯(lián)動(dòng)機(jī)制；保障系統(tǒng)運(yùn)行可信、可控、可管，建立事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系，實(shí)現(xiàn)安全合規(guī)、一體化管理、一站式服務(wù)。

（2）降本增效，充分利用舊產(chǎn)品，減少投入

摒棄傳統(tǒng)產(chǎn)品堆疊模式，以一體化集中管控平臺(tái)單產(chǎn)品替代傳統(tǒng)眾多產(chǎn)品（漏洞掃描、運(yùn)維管理、日志審計(jì)、堡壘機(jī)等）的疊加解決方案，降低泵站等保合規(guī)建設(shè)成本和后期運(yùn)行維護(hù)成本；同時(shí)開(kāi)放的接口可兼容對(duì)接第三方產(chǎn)品，有效保障泵站原有安全管理產(chǎn)品投入。

（3）建立全面可視可控安全防護(hù)體系

基于統(tǒng)計(jì)分析，發(fā)現(xiàn)重點(diǎn)問(wèn)題特征，加強(qiáng)重點(diǎn)防護(hù)，提升防護(hù)效率。通過(guò)靈活的管理與服務(wù)流程，以及在線(xiàn)服務(wù)機(jī)制，提升安全管理效率；通過(guò)可視化管理、豐富的運(yùn)行分析報(bào)告，全面發(fā)揮安全防護(hù)、安全管理設(shè)備系統(tǒng)的功效，為系統(tǒng)運(yùn)行提供安全、穩(wěn)定、高效的環(huán)境，保障信息系統(tǒng)有效應(yīng)用，發(fā)揮系統(tǒng)價(jià)值。

圖1 調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)建設(shè)解決方案

5 調(diào)水泵站控制系統(tǒng)網(wǎng)絡(luò)安全等保合規(guī)建設(shè)解決方案

在泵站核心交換機(jī)部署集中管控平臺(tái)和工控入侵檢測(cè)系統(tǒng)；在接入交換機(jī)與上級(jí)調(diào)度中心之間部署工控網(wǎng)閘；在泵站主機(jī)/操作員站數(shù)據(jù)庫(kù)服務(wù)器上分別部署工控主機(jī)衛(wèi)士；在核心交換機(jī)與底層交換機(jī)間部署工控防火墻；在底層交換機(jī)上部署工控安全審計(jì)系統(tǒng)。

（1）集中管控平臺(tái)

通過(guò)統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、綜合分析、協(xié)同處置、持續(xù)安全運(yùn)維，實(shí)現(xiàn)集中管控的安全運(yùn)維管理閉環(huán)。同時(shí)對(duì)標(biāo)五大項(xiàng)管理要求（安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理），建立管理與流程體系，將制度與技術(shù)結(jié)合，管理可視、過(guò)程可控，避免人為因素風(fēng)險(xiǎn)，保障管理策略落地執(zhí)行。全面記錄工業(yè)網(wǎng)絡(luò)中的主機(jī)安全日志、異常監(jiān)測(cè)日志、防護(hù)日志、工業(yè)網(wǎng)絡(luò)會(huì)話(huà)等，留存攻擊原始報(bào)文信息；建立系統(tǒng)運(yùn)行與管理服務(wù)全流程數(shù)字化，支持?jǐn)?shù)據(jù)驅(qū)動(dòng)對(duì)工控防火墻、工控主機(jī)衛(wèi)士、工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)、工控安全審計(jì)系統(tǒng)等的統(tǒng)一精細(xì)化安全管控。

（2）工控入侵檢測(cè)系統(tǒng)

實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性，對(duì)檢測(cè)結(jié)果進(jìn)行記錄，準(zhǔn)確識(shí)別網(wǎng)絡(luò)攻擊，及時(shí)產(chǎn)生告警，并生成攻擊日志，詳細(xì)記錄告警內(nèi)容，方便溯源。

（3）工控網(wǎng)閘

保證內(nèi)外網(wǎng)隔離的情況下，實(shí)現(xiàn)數(shù)據(jù)安全、可靠的交換。

（4）工控主機(jī)衛(wèi)士

以白名單的技術(shù)方式監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB 端口狀態(tài)，全方位地保護(hù)主機(jī)的資源使用。根據(jù)白名單的配置，工控主機(jī)衛(wèi)士禁止非法操作進(jìn)程的運(yùn)行及網(wǎng)絡(luò)端口和移動(dòng)存儲(chǔ)設(shè)備的任意打開(kāi)與接入，切斷病毒和木馬的傳播途徑，確保正常操作指令的下發(fā)和相關(guān)進(jìn)程的正常執(zhí)行。

（5）工控防火墻

能夠有效識(shí)別各類(lèi)針對(duì)工控系統(tǒng)的攻擊和威脅，為工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)、內(nèi)部區(qū)域之間的連接提供安全保障。

（6）工控安全審計(jì)系統(tǒng)

對(duì)工控網(wǎng)絡(luò)的流量、協(xié)議、業(yè)務(wù)進(jìn)行安全監(jiān)測(cè)審計(jì)，實(shí)現(xiàn)工控網(wǎng)絡(luò)從流量、協(xié)議、事件到業(yè)務(wù)的安全可視、異常行為監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)各種違規(guī)行為和病毒、黑客的攻擊行為。

6 結(jié)語(yǔ)

調(diào)水泵站控制系統(tǒng)具有其自身的特點(diǎn)，在進(jìn)行泵站控制系統(tǒng)等保合規(guī)建設(shè)時(shí)，要充分考慮泵站控制系統(tǒng)的特點(diǎn)，結(jié)合等保2.0要求，制定合理的控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)方案，盡量避免傳統(tǒng)的產(chǎn)品堆疊模式，采用集成度高、功能齊全、滿(mǎn)足要求的一體化產(chǎn)品，降低泵站等保合規(guī)建設(shè)成本和后期運(yùn)行維護(hù)成本。