調水泵站控制系統網絡安全等保合規建設探討

隋 昕，龐 正

（1.山東省調水工程運行維護中心膠州管理站，山東 青島266300；2.山東省調水工程運行維護中心博興管理站，山東 濱州 256500）

1 引言

調水泵站是水利工程重要組成部分之一，其主要作用為防洪防澇、調水灌溉以及生產、生活供水。泵站的運行有效推動了水資源的合理配置，提高了水資源的利用率，降低了洪澇災害的發生。隨著工業互聯網的發展以及水利部《水利網信水平提升三年行動方案（2019-2021年）》、《智慧水利總體方案》等加強、加快水利信息化建設方案的提出，越來越多的計算機和網絡技術應用于泵站控制系統，在增強泵站的自動化控制、可視化、以及數據洞察能力的同時，也引入了更加復雜的安全環境，為泵站的安全運行帶來了極大的隱患。由于工控網絡與傳統的互聯網在網絡邊緣、體系結構、傳輸內容等方面具有本質的不同，因此傳統的互聯網安全技術并不適用于工控網絡的安全。在當前嚴峻的網絡安全形勢下,面對各類復雜的網絡攻擊,工控系統一旦遭到破壞或者喪失功能，將嚴重危害國家安全、公共利益。

面對嚴峻的網絡安全形勢，水利部高度重視水利工程控制系統網絡安全。2018年制定了《水利網絡安全任務細化實化方案》，要求健全網絡安全責任和制度體系；切實保障水利關鍵信息基礎設施網絡安全工作部署到位、執行到位；開展水利工程工控系統網絡安全等級保護工作。2019年出臺了《水利網絡安全管理辦法（試行）》，要求落實網絡安全等級保護制度、明確運行階段網絡安全責任、強化監督指導和責任追究；水利網絡安全遵循“誰主管誰負責，誰建設誰負責，誰運行誰負責，誰使用誰負責”的原則；水利信息系統應嚴格按照已確定的安全保護等級設計安全方案。

2 調水泵站控制系統網絡安全現狀

基于我國水利行業網絡安全的建設現狀，泵站控制系統網絡安全還停留在傳統邊界防護階段，發展和提升都存在瓶頸。

（1）系統軟件升級困難

工業控制設備廠商會定期發布工業控制軟件補丁，用于解決工業控制系統中的問題，但泵站控制系統以穩定性為基礎，頻繁升級補丁軟件，給系統的穩定性帶來嚴重威脅，升級失敗或出錯將造成整個系統的不可用，給泵站生產帶來巨大的影響。

（2）網絡時延要求高

與傳統互聯網不同，泵站控制系統中，對控制信號的傳輸時延和傳輸可靠性要求高，數據必須在固定的時間內可靠到達目標系統，數據丟失、延遲、亂序等都將給泵站控制系統帶來嚴重的問題。

（3）運維管理分散，數據不集中

很多泵站已經部署了防火墻、入侵檢測、WAF等，每個系統的安全能力是獨立的，整體方案是割裂的，難以實現集中管理和運維；另外,大量的安全設備日志告警會大幅增加運維工作量，存在大量的重復或者誤報，給泵站的實際業務帶來了很大困擾。

（4）缺乏全面可視的防護體系，存在隱患威脅

泵站傳統網絡安全建設思路往往只是基于邊界進行防護,忽視了擁有內網檢測能力的縱深防御體系建設，一旦邊界防護體系被攻破，將會對內網的業務和系統造成嚴重損害。泵站控制網絡都是相對封閉的系統，缺少病毒傳播控制的技術手段，并且無法通過殺毒軟件及時清理，一旦感染病毒將造成整個控制網絡癱瘓，給泵站生產帶來嚴重影響。

（5）工業控制協議多樣

泵站控制系統網絡中存在多種控制協議，其中有大量的公有協議和私有協議，分布在網絡分層模型的多個層級，針對控制系統的攻擊和病毒，承載在工業控制協議之上，需要采用深度DPI技術對泵站控制系統的安全威脅進行識別和有效控制。

因此，水利行業亟待對網絡安全能力進行提升，落實“等保”要求,保護關鍵業務系統網絡安全。

3 調水泵站控制系統網絡安全等保合格建設過程中存在的問題

《水利網絡安全管理辦法》試行要求，在規劃建設階段，項目立項審核審批部門應確認新建系統已經完成定級后，方可進行立項審批，嚴格按照已確定的安全保護等級設計安全方案。泵站控制系統和網絡安全設計方案一般由水利規劃設計院進行統一規劃、設計，網絡安全設計方案需在控制系統設計方案的基礎之上進行，依據控制系統設計方案特點及工藝流程進行網絡安全方案設計。泵站控制系統的規劃、設計各水利規劃設計院已有成熟的方案，并且設計手冊、設計規范等指導性文件齊全。但控制系統網絡安全是近幾年才提出的新要求，并受到國家及各行業的高度重視，對設計院來說是一個全新的課題，無成熟的方案和相應的設計經驗，并且設計手冊、設計規范等更新滯后，參考資料缺乏，一般需要咨詢安全設備或安全服務的廠商進行安全方案設計。安全廠商的技術水平對控制系統網絡安全設計有很大的影響，如有些傳統的信息安全廠商，對控制系統不了解或還處于研究階段，若參照傳統的信息安全設計方案，設計方案不合理，起不到應有的防護作用；有些工控安全廠商對水利控制系統了解不夠深入，照搬電力或其它行業的網絡安全設計方案或出于企業盈利目的，造成網絡安全設計方案過于龐大，預算過高。一般的泵站控制系統相對簡單，預算也相對較低，照搬其它行業的網絡安全方案，使得有些泵站網絡安全預算遠遠超過預算比例，造成設計方案評審不能通過。并且泵站管理單位一般為非盈利單位，依靠國家撥款實現泵站的運營及管理，過高的建設成本管理單位也難以接受。這就需要項目主管或建設單位和設計院多交流、多溝通，共同把關，選擇對水利控制系統有深入了解或研究的安全企業進行方案設計咨詢。

在運營管理階段，水利信息系統在運行過程中，三級及以上系統每年開展一次網絡安全等級保護測評工作。由于早期泵站設計沒有考慮控制系統網絡安全問題或網絡安全防護不足，大多數泵站控制系統需網絡安全整改。根據網絡安全整改方案上架類似防火墻、上網行為管理、WAF等設備，往往新舊設備功能重復、類似，但體系建設不全面，后續還需要新的網絡安全設備來補足，從方案源頭上增加了泵站安全建設的成本。

4 調水泵站控制系統網絡安全等保合規建設思路

2019年《網絡安全等級保護基本要求》正式邁入2.0時代，國家監管部門對網絡安全保衛工作日益重視，不斷加強監管力度。等保2.0要求建立安全技術體系，主要包括“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”；建立安全管理體系，主要包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。相比等保1.0，新增“安全管理中心”，引入集中管控新要求，改變重技術輕管理的現狀，重點加強安全管理。“安全管理中心”需具備系統管理、審計管理、安全管理、集中管控等功能。

泵站控制系統網絡安全等保合規建設應在對泵站控制系統充分分析的基礎上，針對泵站控制系統特點，結合等保2.0及相關的標準要求，制定全面的解決方案，建立全面的網絡安全防護體系。

（1）建立一體化集中管控平臺

遵循網絡安全等保2.0規范要求，建設一體化集中管控平臺，將現有的系統資產、安全防護設備建立對接管理；將國家強制、組織制定的管理制度融入到運行管理中，實現集中管控、實時監測、快速處置、持續預防的運營管理閉環；把分散的運行管理數據集中匯聚、綜合關聯分析，把孤立的管理行為建立聯動機制；保障系統運行可信、可控、可管，建立事前預防、事中響應、事后審計的動態保障體系，實現安全合規、一體化管理、一站式服務。

（2）降本增效，充分利用舊產品，減少投入

摒棄傳統產品堆疊模式，以一體化集中管控平臺單產品替代傳統眾多產品（漏洞掃描、運維管理、日志審計、堡壘機等）的疊加解決方案，降低泵站等保合規建設成本和后期運行維護成本；同時開放的接口可兼容對接第三方產品，有效保障泵站原有安全管理產品投入。

（3）建立全面可視可控安全防護體系

基于統計分析，發現重點問題特征，加強重點防護，提升防護效率。通過靈活的管理與服務流程，以及在線服務機制，提升安全管理效率；通過可視化管理、豐富的運行分析報告，全面發揮安全防護、安全管理設備系統的功效，為系統運行提供安全、穩定、高效的環境，保障信息系統有效應用，發揮系統價值。

圖1 調水泵站控制系統網絡安全等保合規建設解決方案

5 調水泵站控制系統網絡安全等保合規建設解決方案

在泵站核心交換機部署集中管控平臺和工控入侵檢測系統；在接入交換機與上級調度中心之間部署工控網閘；在泵站主機/操作員站數據庫服務器上分別部署工控主機衛士；在核心交換機與底層交換機間部署工控防火墻；在底層交換機上部署工控安全審計系統。

（1）集中管控平臺

通過統一管理、統一監控、統一審計、綜合分析、協同處置、持續安全運維，實現集中管控的安全運維管理閉環。同時對標五大項管理要求（安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理），建立管理與流程體系，將制度與技術結合，管理可視、過程可控，避免人為因素風險，保障管理策略落地執行。全面記錄工業網絡中的主機安全日志、異常監測日志、防護日志、工業網絡會話等，留存攻擊原始報文信息；建立系統運行與管理服務全流程數字化，支持數據驅動對工控防火墻、工控主機衛士、工業網絡隔離系統、工控安全審計系統等的統一精細化安全管控。

（2）工控入侵檢測系統

實時檢測網絡中傳輸數據的安全性，對檢測結果進行記錄，準確識別網絡攻擊，及時產生告警，并生成攻擊日志，詳細記錄告警內容，方便溯源。

（3）工控網閘

保證內外網隔離的情況下，實現數據安全、可靠的交換。

（4）工控主機衛士

以白名單的技術方式監控工控主機的進程狀態、網絡端口狀態、USB 端口狀態，全方位地保護主機的資源使用。根據白名單的配置，工控主機衛士禁止非法操作進程的運行及網絡端口和移動存儲設備的任意打開與接入，切斷病毒和木馬的傳播途徑，確保正常操作指令的下發和相關進程的正常執行。

（5）工控防火墻

能夠有效識別各類針對工控系統的攻擊和威脅，為工控網絡與外部網絡互聯、內部區域之間的連接提供安全保障。

（6）工控安全審計系統

對工控網絡的流量、協議、業務進行安全監測審計，實現工控網絡從流量、協議、事件到業務的安全可視、異常行為監測，及時發現各種違規行為和病毒、黑客的攻擊行為。

6 結語

調水泵站控制系統具有其自身的特點，在進行泵站控制系統等保合規建設時，要充分考慮泵站控制系統的特點，結合等保2.0要求，制定合理的控制系統網絡安全建設方案，盡量避免傳統的產品堆疊模式，采用集成度高、功能齊全、滿足要求的一體化產品，降低泵站等保合規建設成本和后期運行維護成本。