數字孿生水利工程網絡安全風險分析和保障體系

徐 波,王 昕

(漢江水利水電(集團)有限責任公司,湖北 武漢 430048)

0 引 言

建設數字孿生水網是建設國家水網的重要內容,也是推動新階段水利高質量發展的重要標志[1]。數字孿生是流域建設的新發展模式和轉型路徑,其是指通過運用物聯網、大數據、云計算、人工智能等新技術,實現數字化場景、智慧化模擬、精準化決策,建成具有“四預”功能的智慧水利體系,成為新階段水利高質量發展的有力支撐和強力驅動[2]。

數字孿生水利工程是以物理水利工程為單元、時空數據為底座、數據模型為核心、水利知識為驅動,對物理水利工程全要素和建設運行全過程進行數字映射、智能模擬、前瞻預演,實現對物理水利工程的實時監控,從而發現問題、優化調度的新型基礎設施[3],是保障水利工程安全運行、充分發揮水利工程在防洪興利、水資源調配等方面綜合效益的重要手段,是智慧水利建設的重要組成部分,是數字孿生流域建設的關鍵節點,也是水利數字孿生建設的切入點和突破點。隨著數字孿生水利工程的推進,工程自動化程度將越來越高,風險也將急劇增大。因此,在數字孿生水利工程建設中,要高度重視網絡安全,構建完善的網絡安全體系架構[4]。

本文基于漢江流域數字孿生建設實際情況,通過分析數字孿生水利工程網絡安全的新特點,對風險進行識別,從工程管理甚至流域管理、行業管理的角度探討如何建立與之相適應的網絡安全保障體系,并在安全管理、技術防護和安全運維等方面采取切實可行的措施,有針對性地開展網絡安全保障體系建設,為數字孿生系統的安全穩定運行提供保障。

1 數字孿生水利工程平臺建設情況

根據水利部要求,漢江流域數字孿生項目基于智慧水利建設總體框架開展建設,建設范圍以丹江口庫區工程及中下游干流沿江區域為重點,覆蓋了漢江全流域,工程對象包括漢江上中游水庫群、引調水工程以及漢江中下游航電樞紐、分蓄洪民垸、蓄滯洪區、沿江堤防,以及防洪控制站與水量分配控制斷面等。該數字孿生工程聚焦漢江流域水利業務能力提升需求,在虛擬空間再造一個與物理漢江相匹配、相對應的數字孿生流域,提升三維數字化場景與漢江水利業務全要素的融合程度,實現漢江流域實時狀態與控制管理的鏡像化描述和智能化反饋。

漢江流域數字孿生項目建設依托水利云、水利信息網及水利感知網等信息化基礎設施,統籌協同工控網與業務網資源,充分利用自建云、政務云及業務云等計算資源,從數據底板、模型平臺、知識平臺等方面搭建數字孿生核心框架,并支撐應用及水利智慧業務的開發。

2 數字孿生水利工程網絡安全風險分析

數字孿生水利工程總體架構以水利信息化基礎設施為依托(見圖1),通過開發算法模型,使用大數據、人工智能、知識圖譜等新技術,將感知、計算、通信、控制等技術與樞紐工程、引水工程、河道工程等水利工程中物理實體、運行環境等生產要素深度融合并進行數字化表達,構建具備高度智能性、系統性、動態性、精確性和完整性的數字孿生平臺[5]。作為智慧水利體系的“血管”,數字孿生平臺信息化基礎設施為整個系統運行提供了數據流動安全保障,通過云服務將數據傳遞至系統處理層。數字孿生平臺信息化基礎設施主要包括云存儲、云計算、網絡通信、安全防護等技術設施[6]。數字孿生平臺由數據底板、模型庫和知識庫以及模擬仿真引擎構成。數據底板是數字孿生的基礎,模型庫和知識庫是核心,模擬仿真引擎實現物理實體與虛擬空間的映射[7]。根據水利工程的各自特點和業務重點不同,在數字孿生平臺上開發適應各水管單位所需的防洪、供水、工程運行等各類水利業務應用系統。數字孿生水利工程的系統結構包括了從感知層、傳輸層、數據層、平臺層到應用層的各個組件[8]。因此,數字孿生水利工程必然存在傳統水利信息系統常見的網絡安全風險。

圖1 數字孿生水利工程總體架構Fig.1 Overall architecture of digital twin of water conservancy projects

數字孿生水利工程建設內容如下:

(1) 基礎設施。基礎設施包括水利感知網、工控網、水利信息網和水利云等主要內容,在漢江試點建設中,主要利用長江水利委員會(以下簡稱“長江委”)和漢江集團現有運行環境提供的能力支撐。

(2) 數據底板。數據底板是智慧水利的算據,主要包括基礎、監測、業務管理、行業共享、地理空間等數據,以及多維多時空尺度數據模型等數據資源,形成基礎數據統一、監測數據匯集、二三維一體化、三級貫通的智慧水利數據底板。

(3) 模型平臺。模型是智慧水利的算法,數字孿生漢江模型平臺主要包括水利專業、可視化等模型,以及可視化渲染、數學模擬仿真等引擎。建設標準統一、接口規范、分布部署、快速組裝、敏捷復用的模型平臺,是保障智慧化模擬的前提。在數字孿生漢江建設過程中,需要深度分析模型封裝與集成所面臨的多語言編程、多類型傳輸、多目標耦合、多形式配置等關鍵需求,在調用各種不同專業模型的情況下避免頻繁調整接口。因此,基于模型開發與集成標準規范,采用約定的模型接口形式,以保障采用不同開發手段開發的模型都能用統一方法接入到數字孿生漢江系統中。

(4) 知識平臺。知識平臺基于“微服務化、開放兼容、持續演進、云原生”的設計理念構建,包括水利知識、智能算法等。針對以漢江流域為示范的水利知識圖譜等內容,數字孿生漢江系統通過提取通用服務、分模塊封裝、支撐事件正向智能推理和反向溯因等分析,提供精準化決策支撐[3]。

(5) 智慧應用。針對水旱災害防御、水量調度及生態調度業務需求,開展以流域防洪、水資源管理與調配為主的功能應用場景設計和精準化決策支撐模型開發。通過梳理并分析業務流程,確定防洪、水量調度決策的主題要素和信息關聯方式,重現調度決策者對防洪和水量調度的認知過程,實現調度思維的連續性。

項目建設中使用了物聯網、大數據、人工智能、移動通訊等新技術,具有建設范圍廣、網絡結構復雜、IT與OT結合、數據量大且敏感數據多、應用場景多、用戶身份復雜等特點[9]。因此,數字孿生水利工程既面臨著傳統的網絡安全風險,又面臨著網絡安全技術防護風險。在本文研究中,數字孿生水利工程的技術風險更多地體現在新技術的應用、技術之間的相互作用和系統集成整合方面。

2.1 異構網多網并發風險

數字孿生水利工程開放共享的技術特點決定了其多網絡融合的必要需求,在多網融合兼容性、成熟的網絡可視化技術及綜合管理技術等方面,工程對異構網絡技術等網絡服務技術提出了更高的要求[10]。從網絡的覆蓋范圍來看,數字孿生水利工程的網絡連接范圍已經超出水利工程內網。在工程管理單位內部,數字孿生水利工程與各水文測站、水利工控系統等相連。在水利行業內部,數字孿生水利工程是數字孿生流域的組成部分,既是數字孿生流域的節點,一些具備調水功能的水利工程同時也是數字孿生水網的節點,數字孿生水利工程與數字孿生流域和數字孿生水網互聯互通。在與水利行業外部的關系上,數字孿生水利工程也與地方相關部門的業務系統連接。從連接方式來看,既有IP網絡,也有物聯網,采用云計算方式部署的系統還需要與IDC數字中心連接;各類移動APP使用5G或WiFi的方式進行連接;在大壩安全監測、庫區巡察時還使用衛星等方式進行通信。數字孿生水利工程的這些特點給數字孿生水利工程的網絡通信安全帶來了挑戰[11]。

2.2 數據安全風險

數字孿生水利工程最關鍵的一環就是實現數據資源的有序匯聚和共享,既包括靜態數據,也包括實時數據,既有內部數據,也包括外部的交換共享數據,既包括全國水利一張圖、工程及相關區域DEM、DOM等地理信息數據,也包括采用衛星遙感、無人機傾斜攝影、激光雷達掃描建模、BIM等技術形成的地理信息數據[12]。同時,各類工程管理的基礎數據和水文、工程等各類監測數據以及業務管理數據統一納入了數據底板。這些數據量大、種類豐富,來源多樣,實時數據的更新更是海量數據,結構化、非結構化、時序數據等多種數據類型并存,水利數字孿生正是建立在海量數據的采集、傳輸和分析處理基礎之上的。隨著數字孿生水利工程的不斷推進,工程數據安全“藍海效應”也將更加突出,關鍵信息基礎設施、核心數據、重要數據或大量信息將更容易受到外界關注,從而遭到惡意控制、利用[13]。這些數據既通過大數據平臺統一管理,同時一些基礎數據也分布在水利工程運行管理的各個節點,數字管理難度大。同時,大數據、云計算和智能應用的融合,以及大量異構平臺的多層次協作帶來更多的入侵方式和攻擊路徑,數據安全的風險進一步增加,數據存儲、處理、交換、銷毀等環節敏感數據泄露的風險也隨之上升。

2.3 物聯網安全風險

數字孿生實時性、保真性的特點要求按一定的頻次實時采集水利工程的狀態信息,如工程安全監測、水文監測、水質監測、水土保持監測、地質災害監測和視頻信息。這些信息實現了數字孿生水利工程由實到虛的仿真,在數字孿生水利工程建設中,這些信息需要各類專業傳感器按照規定的精度和頻次采集,并通過物聯網進行傳輸、處理,因此物聯網的建設是數字孿生水利工程必不可少的基礎設施。在數字孿生水利工程中,各類傳感器和視頻監控設備以及相應的通信、處理和邊緣計算共同組成了水利物聯網。從網絡安全的角度看,工業物聯網設備涉及的網絡安全問題主要包括安全漏洞數量急劇上升、拒絕服務攻擊、信息泄露以及未授權訪問[14]。此外,由于物聯網的節點多、單節點功能單一、安全策略不統一,其還存在隱私保護,異構網絡的認證與訪問控制以及信息傳輸、存儲與管理等問題,在信息安全的機密性、完整性和可用性等多方面面臨著網絡安全風險。

2.4 工控系統風險

數字孿生要求物理對象和數字空間能夠雙向映射、動態交互和實時連接。這種交互操作性要求數字孿生水利工程與水利工業控制系統之間進行交互,數字孿生水利工程需要接入閘門開度、機組運行等水利工程運行狀態的信息,在條件具備的情況下,還可以實現對水利工程控制系統的遠程操作。這些功能的實現必然要與水利工控系統進行網絡通訊,這樣就會造成原來在物理隔離環境中運行的水利工控系統不同程度地暴露在網絡環境中,傳統的封閉系統將向開放系統轉變。

水利工控系統承擔了防洪、灌溉、航運、水力發電等關系到國計民生的職責,極易遭受網絡攻擊,且受攻擊后將引起重大損失風險[15]。另一方面,工控系統中的硬件芯片、軟件系統的版本較低,升級維護不及時,可能存在未知的安全漏洞,一旦受到網絡攻擊,很容易被控制,造成運行失控、數據丟失、系統致癱等網絡安全問題,甚至閘門等設備設施被控制,造成嚴重的政治影響、社會影響和人身財產損失。

2.5 云計算風險

云計算是與大數據、人工智能技術緊密相關的信息技術,由于在云計算運行環境下,用戶無法對平臺進行直接管控,將可能帶來安全需求、設備部署、技術運維及訪問管理等諸多網絡安全的風險[16]。數字孿生水利工程中對海量數據的處理必然要使用大數據技術。在云計算環境中會有大量不同安全等級的資產,如果云計算環境中安全域的規劃和各類系統的訪問控制機制不完善,將存在網絡安全問題擴散的風險,在云環境中部署的數字孿生水利工程面臨的DDos等網絡攻擊也非常突出。無論是IaaS層的從機房設備到硬件平臺的基礎設施的安全,還是PaaS層的接口安全、運行安全,以及SaaS 層的應用安全,都是數字孿生水利工程云計算面臨的風險和必須解決的問題。

2.6 移動應用風險

移動應用在水利業務中日益普及。水利工程中水工建筑物、閘門金結的移動巡檢、庫區岸線和消落地的巡察和水政執法、取水口和排污口的核查、采砂管理以及水利業務管理流程的移動審批等應用都離不開移動應用。數字孿生水利工程桌面端的應用一部分會同步移植到移動應用中。數字孿生水利工程中的移動安全風險主要體現在移動終端、移動接入和移動應用3個方面。移動終端占比最大的Android和iOS操作系統自身存在未完全統一管理、缺乏普適性的審核標準及管理標準等安全風險[17],加上各類應用APP的不當授權,數據安全存在隱患。在網絡接入上,存在VPN被非法使用的風險,水利業務的APP在開發時框架和代碼的安全漏洞可能被利用,移動安全往往被忽視。

總的看來,數字孿生水利工程中網絡安全技術風險特色鮮明,操作難度大,綜合要求高,需要通過網絡安全保障體系的建設化解這些風險。

3 數字孿生水利工程網絡安全保障體系總體框架

3.1 保障目標

水利數字孿生網絡安全治理的目標是保障業務不中斷、數據不出事、合規不踩線[18]。數字孿生水利工程信息基礎設施和防汛興利、工程安全、生產運營、巡查管護等各類水利業務應用的正常運行,對確保水利數字孿生數據安全,保障水利工程發揮防洪、發電、灌溉、生態、環保等工程效益具有重要意義。

3.2 保障對象

水利數字孿生網絡安全的治理對象包括數字孿生水利工程的信息基礎設施、行業重要數據以及業務系統資源[19]。數字孿生水利工程的信息基礎設施主要包括大型水利工程、重要位置的中型水庫運行控制和生產調度系統、水質監控管理系統、引調水工程運行控制和生產調度系統、防汛抗旱指揮系統和水資源信息管理系統等關鍵信息基礎設施[20],以及水利感知網、水利信息網、水利云等信息化基礎設施[21]。數字孿生水利工程的重要業務系統包括水庫防洪調度、生產運營、供水管理、工程運維管理、工程安全監測、庫區管理、水質監測等水利工程管理的業務系統。數字孿生水利工程的重要數據資源包括高精度的地理信息、關鍵信息基礎設施的運行數據、水文水資源數據、工程核心數據、個人信息及其他敏感信息。

4 數字孿生水利工程網絡安全技術風險治理體系

為加強數字孿生水利工程網絡安全技術風險的主動防護,本文立足網絡安全應用技術,從網絡安全縱深防御體系建設、物聯網安全防護、數據安全防護、水利工業控制系統安全防護、云計算安全防護、移動安全防護六方面搭建了數字孿生水利工程網絡安全技術風險治理體系,如圖2所示。

圖2 數字孿生水利工程網絡安全技術風險治理體系Fig.2 Risk management system for network security technology of digital twin water conservancy projects

4.1 網絡安全縱深防御體系建設

建立網絡安全縱深防御體系是應對數字孿生水利工程復雜網絡結構帶來的風險的主要途徑。

從網絡結構和安全域劃分的角度,做到網絡安全防護的完整和細化。在分析網絡結構的基礎上,站在全網的角度對網絡邊界進行整合,使網絡邊界防護覆蓋各種訪問連接。對全網的資產進行梳理,根據資產的暴露位置、業務功能和重要等級,進行網絡安全域的細粒度劃分;進一步細化數字孿生水利工程的網絡安全域,在網絡邊界實施嚴格的隔離防護措施,實現網絡訪問權限的最小化,收縮網絡攻擊面;建立多層次的網絡安全防御縱深,在一層防護措施失陷的情況下仍有下一層級的防護,在下一層級措施失效的情況下還有措施予以補救,從而控制網絡安全事件的影響范圍,如圖3所示。

圖3 多層次網絡安全縱深防御體系Fig.3 Multi-level network security defense system

從連接方式和業務場景的角度,根據數字孿生水利工程中的物聯網、移動互聯網、廣域網等不同的連接方式,以及生產控制區、管理信息區、數據中心區、水利業務專網、互聯網應用等業務應用場景的不同,對相同或相似的連接方式進行整合,收斂應用服務及接口的協議類型,統籌進行網絡安全防護的部署,使網絡邊界進一步清晰。同時,也便于網絡安全設備設施的部署和管理。

從網絡安全接入的角度,對于內網終端用戶的接入,建立終端準入機制是保障數字孿生水利工程網絡安全的重要屏障(見圖4)。通過終端準入機制,可以實現終端安全的檢查,對終端的補丁進行升級管理,對終端運行的應用程序進行控制,在發生網絡安全攻擊時,可以準確定位受影響終端。對遠程接入的終端,使用VPN或零信任技術對終端進行管理,實現用戶身份的認證和安全連接。可以設立單獨的安全接入區,用于統一管理遠程接入。

圖4 建立終端準入機制Fig.4 Establishing a terminal access mechanism

4.2 物聯網安全防護

數字孿生水利工程物聯網的安全防護包括物聯網終端基礎安全、物聯網安全接入平臺和物聯網安全管理平臺,在這3個層級上建設從端到邊再到云的物聯網安全體系。

(1) 物聯網終端基礎安全。在終端側采用固件分析、安全測評相結合的手段,通過供應鏈管控體系明確物聯網設備進入數字孿生水利工程的安全標準。根據設備的硬件特征,對進入數字孿生水利工程的物聯網設備建立唯一的標識,對接入設備進行合法性驗證,建立物聯網資產、固件、漏洞的關聯關系。對于水利關鍵信息基礎設施使用的物聯網設備,可以要求供應商在硬件設計和軟件開發時,增加相應的安全模塊。在項目實施中,采用了基于驅動層安全監控技術,采用自學習的網絡進程安全防護策略,監控網絡、進程和文件等類型數據,包含系統控制的動作指令和讀寫的狀態,建立進程、網絡、文件關系分析模型,對終端內部數據的關系和完整性進行安全防護。

(2) 物聯網安全接入平臺。物聯網安全接入平臺部署在邊緣計算節點,將網絡安全的關口前移到邊緣側,用于識別物聯網設備,控制訪問權限,保障物聯網在數據傳輸層面可信。利用分析引擎和感知模型快速準確地實現邊緣威脅感知,縮短安全分析的數據路徑,提高數據分析的時效性。通過物聯網安全接入平臺,可以對接入的設備實現漏洞發現、配置脆弱性感知,對威脅流量進行阻斷。同時,物聯網安全接入平臺也可以作為固件分發、配置管理的代理,減輕云端服務的訪問壓力,提高固件分發和補丁更新的效率。

(3) 物聯網安全管理平臺。管理平臺對于安全管理區的核心交換機采用旁路部署,并與物聯網終端設備路由可達,可感知全網資產的安全態勢;對于網內物聯網設備采用資產管理的模式,以唯一性ID作為資產主要數據流轉憑證。采用了漏洞掃描、資產探測和異常檢測等方式可以及時發現終端資產中發生的突破、繞過現有安全防御機制的風險行為,實時主動監測和安全預警,及時發現未落實的安全防護措施與安全遺漏盲區。將物聯網安全管理平臺與系統安全平臺、數據安全平臺、態勢感知平臺等其他安全管理平臺連接,掌握物聯網等感知層的設備資產的漏洞分布情況、運行狀態和風險狀況,實現對全域物聯網設備的統一策略編排、固件分發、系統補丁等安全管理能力。結合大數據、態勢感知、機器學習、威脅情報等技術,在物聯網設備產生的大量業務、行為、流量等多維數據中,對全域數據進行持續分析、建模訓練,實現設備指紋特征、網絡行為、威脅行為識別等感知模型的持續優化,提高邊緣安全保障能力。

通過物聯網安全防護體系的建設,達到了邊緣設備可查、接入可信、風險可知、威脅可控的全生命周期安全運營(見圖5)。

圖5 物聯網安全防護體系Fig.5 Internet of things security protection system

4.3 數據安全防護

數據的安全防護是數字孿生水利工程的防護重點,需要開展數據安全治理,并在數據使用過程中嚴格權限管理,利用數據加密和脫敏技術防止數據的泄露、篡改和破壞。在系統運行過程中,加強數據庫的運維審計,在極端情況下采取恢復備份數據的方式恢復系統的運行。

在數據安全治理方面,按照《水利數據分類分級指南(試行)》的規定,做好數據資產的梳理和分類分級,建立數據資產臺賬,識別和掌握敏感數據的分布使用情況,根據數據的分類分級不同,對數據進行有針對性的安全管理措施,既要保證數據的安全性,又要保證數據的有效利用(見圖6)。在漢江流域數字孿生項目建設中,對數據集中、預處理和數據匯聚環節進行了系統治理,包括數據采集和數據分層、數據整理、數據分級、元數據管理、數據質量管理等數據治理內容。通過數據治理將原本零散的數據變成統一規范的主數據,使之滿足上層應用和數據共享的需求,實現對數據分布和動態變更情況的追蹤,提升了數據質量,使數據得到了全面的規范化。

圖6 數據安全防護體系Fig.6 Data security protection system

在數據安全使用方面,項目實施中進行了數字資產盤點,建立了數據資產地圖,對數據資產實施了細粒度的分類分級管理,同時對數據資產進行掃描探測,根據敏感級別對數據進行標記。對運維管理終端的安全狀態進行監控,防止運維人員違規、越權或惡意進行數據操作。在應用系統開發中,嚴格控制API接口和數據層面的底層訪問權限,對應用系統的使用人員權限進行動態管理,防止業務人員利用管理漏洞對數據進行違規、越權或惡意操作。統一通過數據交換平臺與外部進行數據交換,防止數據非法泄露。

在數據加密和脫敏方面,該項目使用了國產密碼技術,建立自動加解密機制。應用SM2/SM3/SM4國密標準加密算法,對數據提供身份鑒別、隱私保護、信息校驗、數據防偽等基于密碼技術的綜合性基礎服務,實現數據在服務器端和終端之間的透明加解密,防止通過終端泄露數據。建立統一的數據服務平臺,實現對數據的統一管理和控制,按需提供數據服務,減少敏感原始數據流出,確實需要原始數據的,輸出脫敏后的數據。對數字孿生底板中的敏感數據,采用脫敏技術實現對數值和文本類型的數據脫敏,支持多種脫敏方式,包括不可逆加密、區間隨機、掩碼替換等。支持自動掃描發現敏感信息,實現高效、方便、準確的信息脫敏。在系統開發調試環節使用脫敏的數據集,防止開發測試環節的數據泄露風險。

4.4 水利工業控制系統安全防護

水利工業控制系統使用Modbus、OPC、Profinet、Ethernet/IP等工業控制協議的同時,也越來越多地采用通用協議、通用硬件和通用軟件,并以各種方式與互聯網等公共網絡連接,因此,需要對水利工業控制系統進行安全防護。根據水利工業控制系統的特殊性,重點在物理安全、邊界安全、主機安全等方面進行防護(見圖7)。

圖7 水利工業控制系統安全防護Fig.7 Safety protection of water conservancy industrial control system

在物理安全方面,從安全分區、網絡專用、橫向隔離、縱向加密等方面對工控網絡進行了優化。在電力監控系統和信息管理大區之間串行部署電力專用單向隔離網閘,用于電力監控系統到管理信息大區的單向數據傳輸。在業務分區的基礎上規劃網絡安全管理區域,使用帶外組網的方式與業務網絡隔離,根據實際情況將部署在安全Ⅰ區和安全Ⅱ區的網絡安全產品通過防火墻進行邏輯隔離。進一步加強機房規范化管理,將主要設備放置在機房進行集中管理,控制人員進出,在線纜敷設、消防、防水等方面滿足規范要求。建設機房環境監控系統,對機房環境、設備狀態、設備使用等情況進行記錄,保障機房設備和信息系統的物理安全。

在邊界安全方面,在工控內外網之間部署隔離設備,通過物理隔離的手段,使內外網之間無法進行基于網絡協議的數據交換,實現網絡安全隔離。在安全Ⅰ區與安全Ⅱ區之間串接部署工控防火墻產品,并按照最小化原則配置訪問控制策略,實現區域邏輯隔離,通過IP/MAC綁定、建立邊界訪問黑白名單等安全策略,建立不同安全域之間的訪問控制策略,確保非授權的設備不能在內外網之間隨意連接,避免在一個系統或區域里暴發的工控安全事件擴散到其他系統或區域,從而保障區域間通信網絡安全。通過使用工業防火墻在子網邊界進行隔離,進一步提高了工業控制系統的網絡安全防護能力,工業防火墻在傳統防火墻的功能基礎上提供多種工控協議的深度解析,支持30多種工控協議識別與深度解析,支持基于工控行為構建白名單訪問控制策略,實現細粒度的安全防護。

在主機安全方面,水利工業控制系統往往實現的功能較為單一,這個特點非常適合采用白名單機制,只允許白名單內受信任的程序執行,將木馬、病毒等非法程序隔離在外。同時,通過部署主機加固系統,針對安全策略、用戶權限、系統補丁、U盤使用、重點目錄、外設、網絡連接等多個維度進行全方位監控和管理,從而提升操作系統安全級別、確保業務連續不中斷、核心數據不丟失。項目實施過程中,對操作員站、工程師站、主服務器以及網絡邊界通信網關等部署了主機防護系統客戶端,采用白名單的主動防御機制,有效實現了主機防病毒、防第三方軟件的非授權安裝與使用,以及主機系統外接口的管控,USB外接存儲設備的認證管控、防病毒與操作行為審計,為主機系統安全運行提供必要的安全保障。對工控主機進行了人工加固,完成所有服務器、工控機、主機未使用的USB接口、串行口、無線、藍牙、光驅等關閉工作,完善了操作系統、數據庫、應用系統口令長度及復雜度,配置用戶登錄失敗處理機制。

4.5 云計算安全防護

云計算環境內會有大量不同安全等級的資產,需要對不同的資產、應用類型進行安全域劃分。合理劃分云計算環境內不同的安全域,是保障云計算安全和正常運維的基礎工作。將數字孿生水利工程劃分為水利業務域、水利管理域、數據庫域等不同的安全域,在不同安全域間采用訪問控制、病毒檢測、攻擊行為防御、協議類型限制等策略,保護各安全域間的內網安全。

云平臺基礎環境安全檢查方面,在云平臺部署完成后,需要對云平臺的基礎環境進行安全檢查,具體包括安全掃描、基線檢查等工作,確保云平臺的基礎安全。

在云平臺邊界防護方面,在云出口處部署抗DDoS系統和防火墻。抗DDoS系統可有效防護來自互聯網的各種DDoS攻擊,防護類型包括CC、SYN flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻擊方式,保障云平臺出口免遭各類大流量攻擊的流量資源擠占,防護云內各類系統應用免于遭受拒絕服務攻擊。防火墻可以對網絡中的各類異常行為、網絡攻擊、協議攻擊、應用攻擊等行為進行識別、防御以及第一層網絡訪問控制,保護云內網絡與系統安全。

在訪問控制方面,部署安全網關,對云邊界進行各類會話、服務的訪問控制,其能夠對FTP、HTTP、P2P應用、IM以及VoIP語音數據等應用進行識別,并根據安全策略配置規則,保證應用的正常通信或對其進行指定的操作,如監控、流量統計、流量控制和阻斷等,有效控制訪問云中應用的會話類型。對云內的一些高保密性在線應用系統在維護或者日常使用中,需要采用數據安全傳輸策略,加密保護通信會話數據。在云出口處需要采用VPN網關,滿足各類云內系統訪問、維護等會話加密需求,保障會話的機密性、完整性、抗抵賴性。采用IDS類產品對網絡出口中的各類異常應用進行檢測和告警,或采用IPS產品攻擊進行有效防御。

在云計算安全管理方面,應通過云堡壘機進行日常運維工作,為云內部運維提供完全的審計信息,通過賬號管理、身份認證、資源授權、實時監控、操作還原、自定義策略、日志等操作增強審計信息的粒度。通過云日志審計系統,采集各類日志,進行集中存儲、分析、安全風險審計,實現所監控的信息資產的實時監控、快速檢索與分析。

4.6 移動安全防護

在應對移動安全中的終端安全、接入安全和應用安全等幾個主要風險時,終端安全和接入安全是基礎。在此基礎上,水利業務應用應針對移動業務的特點,采取不同于桌面端的防護技術進行開發部署。

移動終端作為移動業務運行和存儲信息的載體,需要確保移動終端的硬件安全。及時升級移動端操作系統,特別是操作系統的安全升級,強化終端用戶的認證方式和認證密碼的管理,保證用戶個人信息的機密性,防范非授權使用和非法接入,實現移動網絡與移動終端之間通信通道的安全可靠。

應用安全是數字孿生水利工程移動安全的重點。選擇安全的開發架構,對軟件包進行加密處理,完善簽名認證機制是保障移動應用安全的必要技術手段。

在移動應用開發時,選擇同類產品中排名靠前且有團隊持續支持的代碼庫或框架,優先選用知名廠家的代碼庫或框架,在開發過程中嚴格遵守代碼庫、框架的安全規范,有效防范網絡安全攻擊。對移動應用的軟件包進行安全加固,采取防逆向、防篡改、防調試和防竊取等措施,防范破解、篡改、盜版、調試、數據竊取等各類安全風險。嚴禁發布測試版本,發布的軟件包不能包含測試代碼信息,重要操作在服務器端進行日志記錄,便于網絡安全事件分析處理。

在認證方面,設計有效的身份驗證機制,服務端的證書必須由權威的CA機關提供,明確認證使用者的身份而不是設備的身份,會話管理階段的所有請求都需要對用戶的合法身份進行鑒別,重要操作實行二次認證。同時,認證邏輯盡量放在服務器端完成,不在客戶端完成。登錄、注冊、密碼找回等屬于認證授權環節的網絡傳輸使用https協議傳輸。

5 應用成果及工作建議

數字孿生水利工程建設已取得階段性成果,實現了基于調度規則庫的水工程聯合自動調度,初步實現了漢江流域水情預報及防洪形勢預警和漢江流域行蓄洪工程調度運用與效果評估。項目成果已成功應用于2022年漢江流域水量調度管理業務,支撐了2023年度南水北調中線一期工程年度水量調度計劃編制和漢江流域年度水量調度計劃編制。由于系統涵蓋的地理空間尺度大,覆蓋了漢江流域的丹江口水庫等骨干水利工程,數據匯集和共建共享程度高,對網絡安全防護提出了嚴格要求。本次研究通過構建數字孿生水利工程網絡安全防護體系,在漢江流域數字孿生水利工程建設中取得了良好防護效果,也為水利行業其他數字孿生水利工程的網絡安全工作提供了借鑒。

(1) 在管理指導方面,針對數字孿生水利工程的網絡安全工作提出了明確的要求和管理指導意見,指導了各工程管理單位數字孿生水利工程的網絡安全建設。

(2) 在標準規范方面,編制了針對數字孿生水利工程特點的網絡安全標準規范,如包括數據安全規范、物聯網安全規范、工控安全防護規范等技術標準。

(3) 在網絡安全資源整合方面,充分整合已有的網絡安全軟硬件資源和信息資源,建立統一的漏洞管理平臺和威脅情報庫,整合態勢感知平臺資源,及時全面掌握數字孿生水利工程的網絡安全運行情況。

(4) 在網絡安全專業隊伍建設方面,加強了網絡安全人才隊伍的培養和儲備。各工程管理單位的力量有限,網絡安全專業人員缺乏,可以以流域為單位,采取一定的組織形式,把工程管理單位和流域管理部門的專業人才組織起來,建立網絡安全專業隊伍,開展預警分析、應急處置等技術支持工作。

(5) 在安全評價方面,建立了數字孿生水利工程網絡安全評價指標體系,該體系的建立有助于全面準確地掌握水利行業網絡安全的總體情況和發展變化趨勢,并對照評價指標中的弱項,有針對性地進行改進,對共性的問題開展研究,提供更精準的指導。

6 結 語

數字孿生水利工程的網絡安全關系到系統的安全運行,本身也是水利工程安全的一部分,數字孿生水利工程的網絡安全建設是體系化的建設,管理、技術和運維是有機的整體。本文對數字孿生水利工程的網絡安全風險的幾個方面進行了分析,重點對技術方面的風險和防護進行了分析。在具體的數字孿生水利工程建設中,各個水利工程具有自身的特點和重點,在工作實踐中還需要結合自身實際,開展數字孿生水利工程網絡安全保障體系建設,在實踐中進行迭代提升。對數字孿生水利工程網絡安全管理的相關建議僅供網絡安全管理部門和單位參考。