典型案例丨城市水务集团供水全生命周期工控网络安全提升方案

★ 台州市水务集团股份有限公司 鲍立万，江君福，盛文升

★ 浙江国利网安科技有限公司 王剑东，王红杰，叶秀员

随着两化融合走向深入，工业数字化、网络化、智能化快速发展，对水全生命周期（包括原水、制水、二次供水等）的网络攻击事件频发，地区降水量偏少，各大水库普遍缺水，城市水务集团肩负着城市整体供水任务，2023年7月供水量最高已达到97.86万吨。集团及下属基层单位存在工控系统无法自主可控、工控安全防护技术能力薄弱、安全建设不统一等问题，其工控系统网络安全建设迫在眉睫。

基于功能一致性原则，在充分参考城市水务集团工控网络安全建设路径、思路和做法的基础上，本项目根据城市水务集团下属单位不同安全需求进行安全设计和建设，如水厂处理重点是加强关键控制设备（例如加药、增压等工艺流程的PLC控制器）防护能力；针对二次供水结合点位分散数量多的情况设计推出轻量级边界防护设备，加强二次供水底层边界防护能力，进一步提升水全生命周期安全防护能力。

水全生命周期整体工控网络安全建设主要存在安全建设不全面不完善、安全防护不精准、工控核心控制器缺乏防护、安全应急响应不及时、二供终端建设缺乏安全考虑等问题。针对城市水务集团工控系统网络安全面临的风险及行业安全建设方案的不足，本项目建设专注于核心控制层面的防护，侧重工业控制网络中在网资产的实时监测，尤其是控制器资产信息，及时发现潜在威胁和异常资产接入情况，现场人员对现场资产状态信息了如指掌，做到不遗漏生命周期中任何一个环节的工控网络安全，例如常规安全提升方案中极易忽视的二供终端安全建设，由于数量多分散广的特点，计划部署轻量级工业防火墙作为边界防护，抵御外部入侵行为，保障居民用水正常。

本项目根据城市水务集团工控网络安全建设需求，构建具备“预警”“监测”“响应”“防护”“保障”功能的纵深防御体系，如图1所示，在满足等级保护第二级能力要求基础上，进一步提升水全生命周期工控网络安全防护能力。

图1 水全生命周期防护体系

（1）事前“预警”

“预警”功能整合水全生命周期中各级单位自身安全产品信息，包含监测、防护产品采集的信息、运维中心主动扫描获取的信息，以及跟随知识库实时更新的最新威胁情报信息，对用户资产进行资产画像分析。工控网络安全预警以工控安全事件及网络安全事件为主，帮助用户查看资产的详细信息、网络事件、风险暴露点和潜在的漏洞风险等，即“预测”资产的风险并“感知”网络的隐患。

（2）实时“监测”

“监测”功能通过网络流量捕捉、主机信息捕捉、工业控制器信息捕捉、网络设备信息捕捉等方式，全面监测用户网络中的安全状态，实现网络的空间测绘，全息展现网络中的通信关系；实现威胁分析，包含扫描、病毒、恶意代码、高危远程访问等网络威胁分析；实现深度流量分析，分析维度包含资产流量、协议流量、接口流量等；实现工控操作的审计，细粒度至协议、功能码、操作地址、操作值的审计；实现工控资产识别，识别资产的品牌、型号、系列、固件版本、操作系统等信息；实现工控异常网络事件监测，包含异常通信、跨域链接、非法外链、异常资产接入等网络事件监测；实现非法工控操作监测，包含非法访问控制器、非法操作功能码等异常行为监测，全方位、持续性地监测网络中存在的威胁。

（3）快速“响应”

“响应”功能是当网络中出现威胁的时候，可以进行威胁事件回溯、攻击路径还原，可以帮助用户查看攻击的攻击源、攻击路径、攻击类型、攻击阶段、影响范围等，以此进一步帮助用户对攻击进行处理，并对攻击影响范围进行修复。同时，还可以针对威胁进行策略的优化并分发至防护产品进行防护。举例来说，当“监测”功能发现一个异常外链的网络风险，即可通过“响应”功能形成相应的防护策略，并下发至“防护”产品，阻断该外链行为的数据包，为城市水务集团及下属单位提供了快速应急情况响应，可以及时解决网络安全问题，持续保障生产稳定。

（4）可靠“防护”

“防护”功能根据用户配置的策略，保障用户的操作行为符合白名单的设置，对用户网络进行防护。以小至大，分别可以对控制器和操作主机进行定点防护，防护内容包含非法操作IP与MAC阻断、非法操作功能码阻断、非法写入数值阻断等；可以对生产管理区和生产控制区进行隔离防护，阻断不符合白名单的通信报文。

（5）专业“保障”

“保障”服务根据水全生命周期单位不同工艺特点提供全方位专业的安全保障服务，例如安全风险评估、渗透测试、重大活动保障、应急演练、应急响应、安全培训等，力求通过安全服务为客户持续培养安全人才并提升现场人员安全技术能力，建立专业的工控网络安全团队。

本方案根据前期对该地区多个水厂的现场调研，了解了水务集团及各个制水厂、泵站、二次供水等工控系统的基本情况，包括其整体网络架构、厂级防护能力、工控资产状态、二次供水边界防护等。本项目根据水全生命周期的业务特点，针对设备安全、控制安全、应用安全及资产安全等进行纵深防御体系建设，并根据集团要求开展生产网整体规划。整体方案如图2所示。

图2 工控网络安全解决方案网络拓扑示意图

在主力水厂核心控制前端部署控制器防护系统，基于行业工艺流程特点，精准防护控制器的误操作、恶意操作，阻断针对控制器特定漏洞的攻击行为；在核心交换机旁路部署控制器完整性监测与恢复系统，深入研究工业控制器本质安全，对控制器的运行状态、故障诊断及内部组态工程进行实时监测和支持无损恢复控制器组态工程。

在水厂工控系统的生产控制层与现场监控层之间、二次供水及泵站前端部署工业防火墙，通过白名单技术实现工业控制网络边界防护；在水厂生产网边界部署工业网闸，实现物理隔离，保障水厂生产数据上传。

在水全生命周期工控系统的各个工控主机、服务器、接口机等设备安装工业主机安全防护系统进行安全加固，能够对工控主机的运行资源、数据资源和物理存储资源进行管控，防范未知病毒的运行及其对主机资源的利用。

在水厂测试运行工控资产健康监测系统，通过主动扫描形式发现在网资产健康状态，防范异常资产接入及时告警，保障水厂工控资产安全。

在水厂建立厂级安全运维中心，将核心交换机流量镜像接入工控安全审计、工业入侵检测系统进行实时分析，实现操作行为审计、外部入侵检测和异常行为告警；旁路部署日志审计实现全网日志统一存储分析；部署数据库审计实现数据库服务器行为操作审计记录预警；部署运维审计实现第三方安全运维审计记录告警，资源合理划分；通过统一安全管理平台实现厂内安全设备集中管理与统一配置。

通过本方案实施，从设备安全、控制安全、边界安全及资产安全等角度出发，构建水全生命周期工控网络安全纵深防御体系。主要实施成效如下：

（1）实现水全生命周期的资产绘制和图谱建立

基于内置完备的工控知识库，通过主动探测获取网络中的资产指纹信息，对资产关键特征进行有效提取，构建基于资产识别、状态监测、日志获取、风险预警的全面资产绘制，形成工控资产图鉴与接入网络图谱。基于资产风险规则引擎，结合网络拓扑动态监测，全局分析资产健康指标，实现工业网络空间的全息测绘。

（2）实现水全生命周期关键控制器防护

通过采取设备身份鉴别与白名单访问控制实现对工业控制器的保护，使得所有对工业控制器的访问均为已授权的访问，确保工业控制器执行的控制命令均来自合法用户。同时，实现对工业控制器的运行状态、数据状态等进行实时、深度监测，根据异常情况进行告警与防护，并可在控制器工艺组态文件被篡改的情况下快速恢复安全版本。 

（3）实现水全生命周期生产边界隔离

通过白名单访问控制实现泵房控制网络的区域边界隔离，对非法访问行为及时阻断，有效解决外部入侵威胁，持续保障水全生命周期终端节点生产控制安全；通过先进的网络物理隔离技术和数据摆渡技术，解决水厂生产网与信息网数据交互与不同安全区域之间的边界隔离防护问题。

（4）实现水全生命周期资产识别与监测

通过工控资产健康监测系统，利用主动形式识别水厂控制网络在网资产健康状态并进行实时监测与分析，识别网络内的异常资产接入情况提供快速告警，协助梳理在网资产网络结构，帮助现场人员快速掌握网络状态，保障生产控制网络资产安全。 

（1）基于交互特征的工控通信主体识别技术

基于工控网络通信主体交互特征库，通过主动扫描和被动监控相结合的工控通信主体识别方法，通过策略自学习、测试模式等设定，针对连接状态、认证状态、请求-响应等变迁特征形成高效、高准确度的工控通信主体识别方法，构造数据包主动与在网资产通信，提取在网资产自身的资产属性及运行特征，如资产类型、资产型号、操作系统、在离线状态、资源使用情况、运行日志、开放服务端口等信息，结合工控网络中的会话信息特征，再提取相应资产的对外通信内容、通信协议、流量数据等信息，实现实时监测资产及网络状态，及时发现资产异常、网络异常、风险暴露面，形成工控资产图鉴与接入网络图谱。

（2）资产健康度评分算法

基于工控通信主体识别技术提取在网资产自身的资产属性、运行特征及工控网络会话信息，对获取的信息进行分析预处理，融合时序变化特征，输出事件及事件等级；构建多维度工控资产健康度评估模型，根据当前网络情况、资产重要程度自适应调整事件评估权重，生成相应资产的健康度评分，并输出资产预测风险点。

（3）工控OT操作深度审计

根据工艺要求和控制流程，结合I/O点表信息，智能识别工控系统应用服务对象、角色关联对象、目标系统安全域对象和目标系统参数安全范围对象，根据识别出来的安全对象，映射生成安全产品防护策略规则树，实现工控OT操作深度审计，支持多指标的工控行为检测及工控数据变更检测，支持深度解析城市水务行业常用协议Modbus、S7、ENIP/CIP、OPC、IEC104等。 

随着城市水务数字化、智能化建设浪潮，城市水务集团水全生命周期工控网络安全面临着愈加复杂的网络安全风险挑战。通过此次项目建设，为典型的集团型水务企业提供了工控系统网络安全建设和运维管理的示范案例，有效保障了水全生命周期的生产安全，提高了整体生产网络应急响应能力水平，以及集团工控网络安全管控能力水平，并借此建立了集团工控网络安全标准，可作为典型案例进行示范推广，为持续推进工控网络安全建设提供了模板，加强了整体工控网络安全防护能力，保障了水全生命周期安全，保证了居民用水安全。