绿盟智慧水利安全解决方案，护航水利基础设施安全运行

“十四五”国家信息化规划，明确推进智慧水利建设。需要不断完善江流湖泊监测体系，加速水文、水资源等重要水利数据有序共享，以及水情测报和智能调度能力。

网络安全作为智慧水利发展的安全基石，水利部发布的《水利网信水平提升三年行动方案（2019-2021年）》《水利网络安全管理办法》《2020年水利网信工作要点》《关于大力推进智慧水利建设的指导意见》等文件，对网络安全都有明确要求。

智慧水利利用物联网、大数据、云计算、人工智能等新一代信息技术，不断深化包括洪水、干旱、水利工程运行、水利工程建设、水资源开发利用、城乡供水、节水、江河湖泊、水土流失、水利监督等十大业务场景，以构建天空地一体化水利感知网、水利信息网、智慧水利大脑（一云：由国家、流域一级云节点和31个省级二级云节点共同构成；一池：指数据资源池，由水利部、流域及省级数据中心构成；两平台：应用支撑平台和智慧使能平台）为基础，建设水利智能应用。

根据智慧水利总体方案（征求意见稿）以及调研发现，主要存在以下安全风险：

1）感知终端设备物理防护差。水情、旱情的感知终端物理分散、偏僻，无人值守，通常采用简易箱体保护，易破坏；

2）网络边界模糊，缺失访问控制措施。天空地一体化水利感知网，水利信息网，互联互通，网络边界模糊，缺少访问控制措施；感知网采用GPRS/3G/4G等无线进行通信，容易被不法分子利用；

3）无法实时感知水利工程安全运行状态。水利工程设施工控网络中异常行为、入侵行为、漏洞利用，网络攻击等以及违规操作、关键操作等无法实时感知；

4）水利设施的主机“裸奔，带病运行”。工控主机（操作员站、工程师站、SCADA服务器等）无恶意代码防护机制，杀毒软件装不上、误杀、不更新，移动存储介质乱用，安全配置基线缺失；

5）部分水利设施存在互联网远程运维。利用互联网运维工具，如向日葵、VNC、Teamviever等工具，远程运维，无管控措施；

6）水利关键信息基础设施资产家底不清楚。水利工程设施运行多年，第三方运维，资产（硬件、软件、拓扑、配置等）多数发生变化，不更新，与台账不对应，相关人员对资产情况不清楚；

7）物联感知设备暴露面增大。水利智能感知设备、无人机、遥控船、机器人等天地一体化感知终端设备逐渐暴露在互联网，为攻击者提供便利条件；

8）重要核心数据存在泄露风险。如重大水利工程、水库大坝精准位置坐标数据、水位线、水文水资源分布数据等涉及民生安全、国家安全的重要数据和核心数据，无防护手段，存在泄露风险；

9）云平台安全风险。水利云平台微服务组件缺乏安全设计，安全防护措施弱，容器镜像缺乏检测与管理，虚拟机逃逸，接口调用缺少安全认证等问题突出；

10）安全管理弱。相关人员网络安全意识薄弱，网络安全组织、岗位、人员、职责、制度等普遍缺失或不成体系。

在国家法律法规、政策、标准的框架体系下，依据《工业控制系统信息安全防护指南》和《信息安全技术 网络安全等级保护基本要求》的要求，绿盟科技从技术、管理两个方面构建纵深防御体系，达到有效防护、全面监测、及时响应的防护效果。

在水文站、报讯站、旱情监测站、墒情监测站以及工情监测站点部署边缘计算安全网关设备；在水情中心、旱情中心以及工情中心部署边缘计算安全网关服务器。网关设备通过工业协议（MODBUS、OPC、S7等）对各监测站点进行数据采集、处理，然后将处理后的数据通过加密隧道（SM2/SM3/SM4）传输到网关服务器，完成对无线公网（GPRS/3G/4G）通信链路的安全防护。在水情中心、旱情中心以及工情中心网络出口部署防火墙，进行边界防护与访问控制防护。同时，监测主机部署主机卫士系统，对主机的服务、进程、可执行脚本、端口、外设进行白名单机制保护，抵御未知威胁。

在水利工程工控网与办公网之间部署工业网闸，只有水利工程运行数据从工控网传输到办公网，禁止办公网违规访问生产网，实现两网之间安全隔离。

在工控系统之间部署工业防火墙，对工业协议进行2-7层拆包深度学习、建模，对读、写控制以及值域、阈值等进行控制，实现对工业协议的完整性保护。

在关键流量节点处，部署工控安全审计系统，对违规操作、误操作以及关键操作（如下载、上传、组态变更以及CPU启停）等操作行为实时监测，实时了解生产网络的安全状态。在关键流量节点处，部署工控入侵检测，对工控网络中存在的异常威胁、工控漏洞利用行为、恶意攻击实时检测。

对全线的工业主机（操作员站、工程师站、SCADA服务器）进行白名单防护，抵御未知威胁。

建立安全管理中心，进行安全运维、漏洞管理、日志集中采集、态势感知等集中管理与预警。

在水利部及流域、省级云平台主机部署容器安全管理系统，云WAF、云漏扫、云主机防护等产品，实现对水利部、流域一级云节点和31个省级二级云节点的安全防护，保障水资源、水灾害、水生态/水环境、水工程、水监督、水行政和水公共服务等智能应用安全稳定运行。

在水利部及流域、省级数据中心部署数据安全产品，如数据资产识别探针、数据库审计，防泄露、数据流转监测、全流量分析探针等产品。综合多种监测手段进行联动分析，对数据流转、资产漏洞、数据异常、数据泄露以及网络攻击进行检测，实时监测数据资产的网络攻击事件，防止重要水文数据外泄。对数据产生、传输、存储、共享、处理、销毁全生命周期进行安全监管，提升事前预防、事中感知、事后审计及追查的综合防控能力，最终实现对部级、流域和省级数据中心的安全防护。

首先，进行组织治理。明确网络安全负责人和管理组织，企业主要负责人是网络安全第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。其次，进行管理制度建设。主要从四个层面进行建设，包括一级文件的网络安全方针、战略；二级文件的管理规定、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。最后，将制度文件进行评审、修订、发布、执行等管理。

１）全面提升智慧水利网络安全合规性，满足国家主管部门、行业监管部门以及上级单位的安全防护要求；

２）全面提升智慧水利从感知网、工控网以及信息网的安全防护与监测预警能力，助力水利数字化转型升级，护航水利基础设施安全稳定运行；

３）全面提升智慧水利相关业务人员的安全意识、安全技术水平和安全管理水平。