会员风采：一起看全栈动态防御下的水务行业网络安全建设

在万物互联的大背景下，水务行业正在向云计算、物联网、工控等领域专业化发展。中国水务市场在被称为水世纪的21世纪迎来了前所未有的发展机遇，水务行业以年均15%的速度和数以亿计的市场空间成为投资人心目中发展速度最快和最具潜力的行业之一；在此背景下，水务行业也成为了网络安全攻击事件的重灾区，相关业务系统频遭黑客攻击给水务行业网络安全防护建设敲响了警钟，加强水务行业网络安全防护建设，优化智慧水务的网络安全体系，成为保障其健康、长久发展的迫切需求。

政策文件不断出台

·2003年水利部正式发布《全国水利信息化规划》(“金水工程”规划)：本规划分阶段阐明了水利信息化建设的目标与任务，其基本任务是建设水利信息基础设施，营造水利信息化保障环境，围绕重点业务应用，建立和完善水利信息化综合体系。

·2010年水利部信息化工作领导小组办公室组织开展了《水利网络与信息安全体系基本技术要求》编制工作：该要求旨在提出一套全面、系统、科学的水利网络与信息安全体系技术要求，为水利行业各单位、各部门在信息安全等级保护定级以及开展信息系统安全规划、整改及建设工作提供指导。

· 2017年6月1日《中华人民共和国网络安全法》正式颁布实施：明确指出针对城市水务公共服务等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

· 2019年水利部印发《水利网络安全管理办法(试行)》：明确网络安全责任，强化监督检查和责任追究，有效保障水利网络安全。

·2024年水利部办公厅发布《2024年水利网信工作要点》：文件提出了具体的网络安全和信息化工作要点，包括优化水利部数字孪生平台、完善信息化基础设施、提升水利监测感知能力等。

水务行业常见的网络安全风险：

（1）设备层安全挑战

水务系统投入使用的设备时间长，设计之初未在安全上进行考虑，部分操作系统不能对漏洞进行修复或打补丁，在使用过程中面临巨大威胁。

（2）网络层安全挑战

网络层实现了水务仪表、各类传感器、自动控制系统、信息系统、产品以及与人之间的网络互联，同样面临网络威胁，如：中间人攻击、未授权接入、窃听、非法篡改数据等。

（3）控制层安全挑战

SCADA服务器、触摸式控制面板、工程师工作站、操作员工作站、PLC等面临来自网络层的直接或间接安全挑战，这些控制平台、平台运行的控制软件所采用的控制协议，设计之初都没有考虑完整性、身份校验等安全需求，仅为完成传输功能设计，存在不完备的输入验证。

（4）高级持续性威胁APT

水务行业业务系统面对的APT攻击可能是最难应对、产生后果最严重的威胁；随着关键基础设施不断成为黑客攻击和网络战的重点目标，如2016年美国东海岸大面积断网、2017年“WannaCry”勒索病毒肆虐全球等等，水务行业业务系统在特殊时期同样可能成为敌对势力的主要攻击目标。

伴随着新技术不断应用到水务行业建设中，各种新的网络安全风险应运而生，保障水务行业网络安全任重道远。卫达信息从水务行业的网络安全制度、标准、管理和技术防护等方面全面思考，通过国内首创的全栈动态防御技术，可实现对水务系统从网络、终端、应用的统一安全动态防御平台的构建，彻底解决水务系统可能面临的各类已知、未知威胁，保障水务行业网络安全稳定发展。

全栈动态防御

护航水务行业网络安全建设

卫达信息提出业界领先的全栈动态防御新理念，打破传统防御观念，以全栈动态防御为核心，组建动态防御安全防控平台，形成一体化安全防御体系，同时结合《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》和《工业控制系统信息安全防护指南》等相关文件要求，针对水务行业网络及业务在合规的前提下进行整体安全防护，保证水务行业网络信息系统安全，为水务行业网络空间安全实现国家级安全防御能力。

创新引领，全方位保障：

· 边界防护

边界安全防护需要综合考虑横向边界防护、纵向边界防护要求。在各操作员站与工控环网之间部署防火墙，根据安全策略对跨越边界的流量进行管控，避免安全威胁跨区域传播。

· 网络加固

在网关与接入层之间部署网络动态防御系统，以保障工控内网安全为目标，提供基于机器学习算法对用户行为习惯进行建模，通过历史行为模型，实时检测异常用户行为并产生预警，同时自动感知网络危险状态，主动改变网络防御策略，极大增加攻击者的攻击难度，基于攻击者的多个维度特征，监控网络流量数据，对正常访问的行为进行深度学习，全面有效地抵御、识别和定位包括APT攻击在内的网络攻击行为。

· 主机加固

部署主动动态防御系统，通过服务端在工作站、操作站、服务器上安装动态防御客户端，通过可信认证模式，对进程、模块、外设、文件等多类对象进行学习并形成防御模型，限制恶意代码运行，保护文件免受篡改，提高主机安全防护水平。

· 威胁分析

漏洞扫描系统通过接入工控网络，快速识别现场资产及其漏洞，根据各类政策文件要求对工控网络安全状况进行评估，满足水务工控网定期安全检查要求。

· 入侵分析

基于协议解析引擎实现对网络通讯流量的深度解析，根据水务业务场景制定安全策略，在规则匹配、黑白名单匹配等常规手段的基础上，引入高速数据处理引擎组群，通过流式数据关联分析技术，实现对合法流量异常行为的监测。

· 运维管理

安全管理中心可实现对安全设备的集中管控，安全策略统一下发，提高安全工作效率，对运维人员的访问过程进行细粒度授权、全过程操作记录、审计和回放等功能，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业运维管理水平。

· 态势感知

通过态势感知分析系统，与其他安全系统联动，形成联防联控的防护及预警机制，区别于传统防御，从攻击者的视角出发，动态混淆攻击者攻击途径中的多层步骤，打破攻击者的攻击链路，从而实现有效防御，为水务行业信息网建立有效的‘前-安全’网络安全防护体系。

方案优势：

以“动态防御技术”为核心针对水务信息系统网络打造全栈动态防御安全建设方案，旨在解决传统防御所不能解决的未知威胁攻击及防御滞后问题，有效抵御针对目标网络的恶意攻击，提升网络信息嗅探和内网攻击渗透的攻击难度。全面掌握信息系统内网各节点行为，将原本不透明的网络，变得直观、清晰、可控，给安全责任者提供决策依据，帮助管理者全面掌控所管辖信息网络，打造真正‘防得住’的网络防御体系。

（1）构建水务系统网络防护的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、进程文件可信等防御能力，提供‘点-线-面’多维度安全保障。

（2）引入全栈动态防御安全分析技术，形成安全防护手段统筹协调、资源信息全面监控、态势分析高度集中、智能分析实时预警、态势呈现可见可控的综合监控中心，动态感知水务系统的资产脆弱性识别和分析，实时主动感知潜在的网络安全风险，形成高价值、高可见、高实时的战略性威胁情报，及时发现安全威胁、评估安全风险，按照风险、威胁、事件等构建态势要素及态势模型，从计算环境、网络边界、业务特点等维度实现对水务网络全网安全态势感知的可视化。

（3）对水务系统形成监-管-控的一体化动态防御体系，安全防护事前检测，事中防护和事后追踪溯源，通过相关网络防护系统的联动，实现信息安全的主动防御，确保防护范围内业务系统可以第一时间得到保障，发现网络威胁和风险情况及时响应网络相关人员，形成安全防护闭环。

保障水务行业网络安全对于保护国家关键基础设施安全、维护社会稳定与公共安全具有重要意义。多年来卫达信息不断深耕全栈动态防御技术，积极参与维护国家关键基础设施网络安全保障工作，持续打造各行业头部企业网络安全成功案例，不断得到业界认可，未来卫达信息仍将以保卫国家网络安全为己任，不断优化产品及解决方案，为筑牢国家安全底座添砖加瓦。

理事服务 | 会员服务

请联系：13810321968（微信同号）

商务合作 | 开白转载 | 媒体交流 | 文章投稿

请联系：13810321968（微信同号）