典型案例 | 某市自来水厂网络安全建设项目 - 新鲜讯息

1
项目背景

根据《中华人民共和国网络安全法》的相关规定，自来水厂作为至关重要的关键基础设施，其安全性和稳定性对于保障经济稳定具有深远影响。

某市自来水厂明确将网络安全作为关键领域，对调度集控系统、泵站区域、水源井区域以及调流调压区域等重要系统，提出了全面的安全防护要求，提升整体的安全防护能力，确保整个水务公司的安全生产与稳定运行。

2
安全现状

2.1 安全分区未实施

在整体架构设计中，主要关注的是监控管理层与生产系统间的网络通信可用性，忽视了不同区域间安全防御体制的构建，导致业务控制指令和数据通信以明文形式传输，缺乏必要的加密措施。这使得管理网PC与生产数采服务器、上位机与PLC控制器之间的数据交换都存在安全风险，急需加强数据传输的加密保护。

2.2 关键节点未审计

现场核心关键设备及工业控制系统缺乏业务流量安全审计机制，导致无法实时监控系统日常流量数据，同时运维人员的操作指令和行为也未纳入安全审计管理。这种缺失使得系统内部异常流量、操作以及生产业务异常事件难以溯源，无法准确定位事件原因，进而无法对事件进行有效的定性分析和处理。

2.3 主机系统未加固

现场工程师站、操作员站和业务服务器的Windows系统长期未进行补丁安装和升级，杀毒软件安装后未更新，导致安全监控和防护机制严重不足。这些系统缺乏进程监控、远程维护监控和恶意代码防范等关键安全措施，使得主机系统极易受到病毒和恶意软件的攻击，亟需加强安全更新和防护策略以确保系统安全稳定运行。

2.4 外设管控未执行

现场工程师站、操作员站以及业务服务器缺乏对移动存储设备的监控与管理，且内网环境中的系统USB接口在逻辑和物理层面均未得到有效封堵，这使得一旦有携带病毒的移动介质接入，现场的主机、服务器面临被病毒感染的高风险。

2.5日志存储不合规

现场不具备采取监测、记录网络运行状态、网络安全事件的技术措施，现场不满足留存相关的网络日志不少于六个月要求。并且不具备采取数据分类、重要数据备份和加密等措施。

3
建设方案

珞安科技深入现场调研，根据客户需求，全面识别存在的问题和潜在风险。通过这一过程，珞安科技准确地把握现场的具体情况，为水务网络安全建设提供实用性的网络安全建设方案：

3.1 安全分区-部署工业防火墙

按照自来水厂管理和控制的原则结合实际环境划分不同的网络区域，实现各区域逻辑隔离，部署工业防火墙将现场工控系统分为调度生产管理区域、自来水厂区域、泵站区域、水源井区域、调流调压区域等。在各个区域之间根据业务需求设置访问控制规则，默认拒绝所有通信，保证访问控制规则最小化。在这个基础上继续进行深层次防护即工业协议白名单防护，实现对现场工控协议识别及过滤，深度保障生产的安全。

3.2 运维审计-部署安全运维审计

内网核心交换机旁路部署安全运维审计系统，对现场内网服务器、工程师站、操作员站、网络安全设备、现场交换机操作进行账户集中管理登录，配合运维审计认证方式及访问控制授权并且配合图形化操作行为审计的功能，在现场有效地让内部运维人员或者第三方调试人员操作处于严格监控状态。对现场策略修改等操作进行实时监控，如果出现问题后可以准确地定位事件责任人，同时也有效地解决了现场资源多运维人员不够操作困难的情况。规范自来水厂内部运维人员运维操作步骤，避免误操作导致的安全隐患。

3.3 入侵检测&流量审计-部署入侵检测及工控安全审计

内网核心交换机侧旁路部署入侵检测系统与工控安全审计系统，接入业务内网当中进行整网流量实时监测和审计。根据已定义的检测策略和工控威胁检测、病毒检测。实时对网络中的非法事件、入侵事件、病毒事件进行告警方便现场运维人员及时发现网络中的异常从而准确定位及时处理。

3.4 主机加固-部署主机加固

在操作员站、工程师站、服务器上安装主机加固软件。对现场主机无用账户进行禁用，根据等保要求进行账户密码复杂度、期限等设置。开启外设管控功能，有效地解决现场操作人员随意插拔移动介质导致主机感染病毒等问题。建立主机加固白名单库有效阻止“白名单”外的程序及病毒、木马、蠕虫等恶意代码的执行。

3.5 外设管控-部署USB安全管理系统

部署USB安全管理系统，结合主机加固软件外设管理功能，将现场工作站、服务器USB口进行禁用，现场所有涉及文件传输拷贝都采用USB安全管理系统进行操作，有效地记录各种使用日志、系统日志等，便于维护、溯源。同时可以检查移动介质是否携带病毒，如果存在就会对病毒文件进行隔离或其他处理，达到了便捷、高效、安全的操作方式。

3.6 日志审计-部署日志审计与分析系统

在内网核心交换机旁路部署日志审计与分析系统，对网络设备、工作站、服务器和交换机等关键业务设备进行数据采集、汇总和存储，确保日志信息至少保留6个月。日志审计与分析系统对现场业务设备产生的日志进行预处理、标准化解析和关联分析，以实现安全事件的溯源和实时告警，有效提升了现场运维人员对安全监控和事故追踪取证的能力。

3.7 漏洞检测-部署漏洞扫描系统

定期利用漏洞扫描系统对自来水厂内网工控系统进行全面的漏洞扫描，能够有效地识别上位机操作站、现场控制层PLC等关键设备的安全漏洞。这一过程不仅帮助现场运维人员及时发现潜在的安全风险，而且确保了对这些漏洞的快速响应和处理。此外，考虑到工业控制系统专有的安全防护需求，这种定期的漏洞扫描是构建有效安全防御体系的重要组成部分，有助于提升整个自来水厂控制系统的安全性和稳定性。

4
案例价值

本项目遵循国家政策和等保二级标准，实现了网络的安全分区和外部风险规避。通过统一管理工控系统主机和网络设备，降低了运维成本，并通过主机安全加固和白名单机制，有效防御恶意软件和病毒，能及时发现网络攻击和异常流量，实现了业务日志的统一收集与保存，解决了信息收集和处理难题，对外设接入进行了严格控制和记录，防止了数据泄露和病毒传播。整体而言，项目建设强化了生产网核心系统的安全防护，有效预防了可能由病毒和其他攻击引起的重大生产事故。

5
结语

随着信息技术的迅猛发展，自来水厂作为城市基础设施的关键组成部分，其网络安全问题变得日益重要。本项目为水务公司提供了一套全面的安全解决方案，覆盖了从网络基础设施加固到安全防护体系构建的各个层面，全面提升了对潜在网络威胁的防御能力，确保供水系统的连续稳定运行及数据安全有效应对工业控制系统的网络安全挑战。

珞安科技

北京珞安科技有限责任公司（简称：珞安科技）成立于2016年，是专注工业网络空间安全的创新型高科技企业和国家专精特新“小巨人”企业，并于2022年行业内率先通过CMMI5级认证。

珞安科技拥有业内顶尖工控安全专家团队、工业网络空间安全研究实验室和四大研发中心，坚持自主研发和技术创新，以零信任理念和体系化思想为指导，打造“实战化、易部署、易维护”工控网络安全产品体系，覆盖工控安全、业务安全和工业互联网安全，构建了全方位的工业网络空间安全防护体系。

依托强大的技术原厂商实力，积极开展安全服务和安全运营，业务遍布20多个行业的2000余家工业企业。在全国设有20+分子公司及办事处，提供7*24h安全应急服务响应，保障国家关键信息基础设施安全稳定运行。