郭 江，张志华，付志远，雷 亮，李小龙，叶雨龙

（中国水利水电科学研究院天津机电所，天津301900）

0 引言

水库大坝是水利枢纽工程中必不可少的主体建筑物，其投资及效益巨大，一旦发生事故，其后果和造成的灾难也非常巨大，因此需要实时监控水库大坝的工作状态，实现水库大坝动态数据的监测、采集、传输、数据汇集及设备控制自动化，确保水库大坝安全稳定运行并发挥其效益。随着信息化的推动、工业化进程的加速、智慧水利和“互联网+现代水利”的建设，大量的网络、通信和数据库技术应用于水库大坝安全监测监控系统，在水库大坝数字化建设和智慧化改造过程中，必将互联网的风险引入到水库大坝安全监测监控系统。

1 背景

水库大坝安全监测监控系统包括大坝安全监测系统、水情雨情监测遥测系统、水质自动监测系统、闸门自动控制系统、视频监测等，对水库大坝的安全稳定运行起着至关重要的作用。随着“两化融合”的日益推进和物联网的迅猛发展以及智能设备的广泛使用，水库大坝安全监测监控系统也在经历深刻的变革，传统意义上的相对封闭和稳定环境的系统，正在逐步打破“信息孤岛”的局面，随之而来的各种网络攻击、安全威胁也不可避免的暴露出来。水库大坝安全监测监控系统一旦遭到攻击破坏，将给人民的生命财产造成重大损失，甚至威胁国家战略安全。2014年2月，习近平总书记在中央网络安全和信息化领导小组第一次会议发表的重要讲话：“没有网络安全就没有国家安全，没有信息化就没有现代化”，将网络安全提升到国家战略高度。水利部《2018年水利网信工作要点》指出：要深入贯彻国家网络安全战略，全力加强网络安全监管，加强水利关键信息基础设施网络安全保护，抓好网络安全监督检查，完善网络安全信息通报机制，开展水利工控系统网络安全防护工作。

水库大坝作为国家关键基础设施的重要组成部分，水库大坝安全监测监控系统网络安全需要重点防护。如何贯彻执行习总书记“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”的要求和水利部《2018年水利网信工作要点》要求，是一个需要重点关注的问题。首先应从水库大坝安全监测监控系统网络安全风险评估入手，使用符合水库大坝安全监测监控系统特点的理论、方法和工具，准确发现安全监测监控系统存在的主要问题和潜在风险，制定水库大坝安全监测监控系统网络安全防护技术解决方案，实施相应的安全保障措施，指导水库大坝安全监测监控系统的安全防护建设，建立水库大坝安全监测监控系统网络安全纵深防御体系。

2 水库大坝安全监测监控系统网络安全风险评估

风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生所造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，其防范和化解信息安全风险的有效性得到了世界各国的高度认可。风险评估已成为目前各类信息安全服务中需求最为普遍的基础性服务工作之一。

水库大坝安全监测监控系统网络安全风险评估的主要内容包含技术评估和管理评估两个方面，其中技术评估主要包括监测监控系统中的操作员工作站、工程师站、数据服务器、通信服务器、核心交换机、路由设备、现地数据采集终端、闸门现地控制单位等工控设备资产以及软件资产等，发现各级别的漏洞风险；获取工控网络中的网络流量，发现可能存在异常流量。管理评估主要涉及资产识别、人员访谈、问卷调查等，了解水库大坝安全监测监控系统管理方面存在的风险。

风险分析包括管理差距分析、漏洞分析和流量安全分析3个方面。

（1）管理差距分析：按照《工业控制系统信息安全防护指南》的要求，从制度建设和执行效果这2个维度开展管理差距分析，识别出管理方面存在的风险。

（2）漏洞分析：将监测监控系统相关工控设备资产和软件资产与工控漏洞库进行比较分析，识别出存在的各级别的漏洞风险。

（3）流量安全分析：对工控网络流量、端口、协议等开展深度分析，判断出异常流量，识别流量风险。

根据分析结果计算风险值的大小，将风险分为极高风险、高风险、中风险和低风险4级。并编制风险评估报告，报告的内容应包括风险评估的目的、工具、过程、风险评估统计数据、风险处置措施等内容。

针对不同风险，主要采取以下风险处置方法：

（1）制度修订：通过新增或修订现有制度或安全管理策略文件的方式，将安全管理要求落实在制度或安全管理策略文件内，并要求遵照执行。

（2）管理优化：针对现有各类安全管理要求，加强安全意识教育和培训，加强对各类要求的落实情况监督检查。

（3）技术改造：针对现有技术管控中存在的不足，对现有工控设备、工具进行改造或引入成熟工具、设备，从技术上实现相应的管控要求。

3 水库大坝安全监测监控系统网络安全防护技术解决方案

根据风险评估结果找出水库大坝安全监测监控系统在网络架构、设备本体和网络监测审计等方面存在的安全风险，针对系统网络架构进行结构上的安全防护，从边界防护到内部系统间的区域防护；针对监控系统中的软、硬件自身进行本体安全防护，对关键LCU、控制器（PLC）和执行单元的设备层以及上位机操作系统、组态软件、移动介质的使用进行本体安全防护；从入侵行为检测和网络安全审计两个方面进行网络的行为安全防护。

水库大坝安全监测监控系统网络安全防护技术解决方案如下页图1所示。

3.1 上位机防护

在主控层的工程师站、操作员站、OPC服务器等部署工控卫士，通过应用程序、网络、USB移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用，有效提高系统网络的综合“免疫”能力。

3.2 关键节点防护

通过智能保护终端对水库大坝安全监测监控系统现场控制层的RTU进行安全防护，对利用RTU已公开漏洞的攻击行为和流量信息进行有效识别和拦截，允许从受信的上位机发送的合规操作流量通过，基于动态学习和自适应的防护策略，达到对RTU的防护效果。

3.3 网络监测审计

在水库大坝安全监测监控系统的监控层、通信层、现地层旁路部署监测审计平台，对网络通信流量进行有效监视和威胁检测，对向内网进行的生产数据非法收集、恶意攻击、数据篡改、违规操作进行告警和审计，为网络安全管理人员提供线索依据和事件还原功能，对违规操纵和网络攻击行为可实时告警。

图1 水库大坝安全监测监控系统网络安全防护技术解决方案

3.4 集中安全监管

部署在水库大坝安全监测监控系统的网络安全设备通过安全监管平台实现统一化安全监管和运维，监管平台可以实时收集现场安全设备采集分析的威胁情报信息，基于安全分析模型，实现全局的态势安全预警与策略动态自适应，帮助运管人员实时发现现场的安全告警信息，并有助于及时实现安全防护响应。

4 结语

未来的水库大坝安全监测监控系统将会融合更多的先进的信息安全技术，如可信计算、云安全等。因此，需要不断通过风险评估掌握水库大坝安全监测监控系统网络安全现状，服务器、控制器、网络设备、安全设备等存在的安全漏洞，人员及管理等方面存在的安全风险。根据风险评估结果，提出水库大坝安全监测监控系统网络安全对策，不断加强对水库大坝安全监测监控系统的整体安全部署，完善和提供整体的水库大坝安全监测监控系统网络安全防护技术解决方案。