调水泵站控制系统网络安全等保合规建设探讨

2021-06-03隋昕，庞正

水电站机电技术 2021年5期

隋昕，庞正

（1.山东省调水工程运行维护中心胶州管理站，山东青岛266300；2.山东省调水工程运行维护中心博兴管理站，山东滨州 256500）

1 引言

调水泵站是水利工程重要组成部分之一，其主要作用为防洪防涝、调水灌溉以及生产、生活供水。泵站的运行有效推动了水资源的合理配置，提高了水资源的利用率，降低了洪涝灾害的发生。随着工业互联网的发展以及水利部《水利网信水平提升三年行动方案（2019-2021年）》、《智慧水利总体方案》等加强、加快水利信息化建设方案的提出，越来越多的计算机和网络技术应用于泵站控制系统，在增强泵站的自动化控制、可视化、以及数据洞察能力的同时，也引入了更加复杂的安全环境，为泵站的安全运行带来了极大的隐患。由于工控网络与传统的互联网在网络边缘、体系结构、传输内容等方面具有本质的不同，因此传统的互联网安全技术并不适用于工控网络的安全。在当前严峻的网络安全形势下,面对各类复杂的网络攻击,工控系统一旦遭到破坏或者丧失功能，将严重危害国家安全、公共利益。

面对严峻的网络安全形势，水利部高度重视水利工程控制系统网络安全。2018年制定了《水利网络安全任务细化实化方案》，要求健全网络安全责任和制度体系；切实保障水利关键信息基础设施网络安全工作部署到位、执行到位；开展水利工程工控系统网络安全等级保护工作。2019年出台了《水利网络安全管理办法（试行）》，要求落实网络安全等级保护制度、明确运行阶段网络安全责任、强化监督指导和责任追究；水利网络安全遵循“谁主管谁负责，谁建设谁负责，谁运行谁负责，谁使用谁负责”的原则；水利信息系统应严格按照已确定的安全保护等级设计安全方案。

2 调水泵站控制系统网络安全现状

基于我国水利行业网络安全的建设现状，泵站控制系统网络安全还停留在传统边界防护阶段，发展和提升都存在瓶颈。

（1）系统软件升级困难

工业控制设备厂商会定期发布工业控制软件补丁，用于解决工业控制系统中的问题，但泵站控制系统以稳定性为基础，频繁升级补丁软件，给系统的稳定性带来严重威胁，升级失败或出错将造成整个系统的不可用，给泵站生产带来巨大的影响。

（2）网络时延要求高

与传统互联网不同，泵站控制系统中，对控制信号的传输时延和传输可靠性要求高，数据必须在固定的时间内可靠到达目标系统，数据丢失、延迟、乱序等都将给泵站控制系统带来严重的问题。

（3）运维管理分散，数据不集中

很多泵站已经部署了防火墙、入侵检测、WAF等，每个系统的安全能力是独立的，整体方案是割裂的，难以实现集中管理和运维；另外,大量的安全设备日志告警会大幅增加运维工作量，存在大量的重复或者误报，给泵站的实际业务带来了很大困扰。

（4）缺乏全面可视的防护体系，存在隐患威胁

泵站传统网络安全建设思路往往只是基于边界进行防护,忽视了拥有内网检测能力的纵深防御体系建设，一旦边界防护体系被攻破，将会对内网的业务和系统造成严重损害。泵站控制网络都是相对封闭的系统，缺少病毒传播控制的技术手段，并且无法通过杀毒软件及时清理，一旦感染病毒将造成整个控制网络瘫痪，给泵站生产带来严重影响。

（5）工业控制协议多样

泵站控制系统网络中存在多种控制协议，其中有大量的公有协议和私有协议，分布在网络分层模型的多个层级，针对控制系统的攻击和病毒，承载在工业控制协议之上，需要采用深度DPI技术对泵站控制系统的安全威胁进行识别和有效控制。

因此，水利行业亟待对网络安全能力进行提升，落实“等保”要求,保护关键业务系统网络安全。

3 调水泵站控制系统网络安全等保合格建设过程中存在的问题

《水利网络安全管理办法》试行要求，在规划建设阶段，项目立项审核审批部门应确认新建系统已经完成定级后，方可进行立项审批，严格按照已确定的安全保护等级设计安全方案。泵站控制系统和网络安全设计方案一般由水利规划设计院进行统一规划、设计，网络安全设计方案需在控制系统设计方案的基础之上进行，依据控制系统设计方案特点及工艺流程进行网络安全方案设计。泵站控制系统的规划、设计各水利规划设计院已有成熟的方案，并且设计手册、设计规范等指导性文件齐全。但控制系统网络安全是近几年才提出的新要求，并受到国家及各行业的高度重视，对设计院来说是一个全新的课题，无成熟的方案和相应的设计经验，并且设计手册、设计规范等更新滞后，参考资料缺乏，一般需要咨询安全设备或安全服务的厂商进行安全方案设计。安全厂商的技术水平对控制系统网络安全设计有很大的影响，如有些传统的信息安全厂商，对控制系统不了解或还处于研究阶段，若参照传统的信息安全设计方案，设计方案不合理，起不到应有的防护作用；有些工控安全厂商对水利控制系统了解不够深入，照搬电力或其它行业的网络安全设计方案或出于企业盈利目的，造成网络安全设计方案过于庞大，预算过高。一般的泵站控制系统相对简单，预算也相对较低，照搬其它行业的网络安全方案，使得有些泵站网络安全预算远远超过预算比例，造成设计方案评审不能通过。并且泵站管理单位一般为非盈利单位，依靠国家拨款实现泵站的运营及管理，过高的建设成本管理单位也难以接受。这就需要项目主管或建设单位和设计院多交流、多沟通，共同把关，选择对水利控制系统有深入了解或研究的安全企业进行方案设计咨询。

在运营管理阶段，水利信息系统在运行过程中，三级及以上系统每年开展一次网络安全等级保护测评工作。由于早期泵站设计没有考虑控制系统网络安全问题或网络安全防护不足，大多数泵站控制系统需网络安全整改。根据网络安全整改方案上架类似防火墙、上网行为管理、WAF等设备，往往新旧设备功能重复、类似，但体系建设不全面，后续还需要新的网络安全设备来补足，从方案源头上增加了泵站安全建设的成本。

4 调水泵站控制系统网络安全等保合规建设思路

2019年《网络安全等级保护基本要求》正式迈入2.0时代，国家监管部门对网络安全保卫工作日益重视，不断加强监管力度。等保2.0要求建立安全技术体系，主要包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；建立安全管理体系，主要包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。相比等保1.0，新增“安全管理中心”，引入集中管控新要求，改变重技术轻管理的现状，重点加强安全管理。“安全管理中心”需具备系统管理、审计管理、安全管理、集中管控等功能。

泵站控制系统网络安全等保合规建设应在对泵站控制系统充分分析的基础上，针对泵站控制系统特点，结合等保2.0及相关的标准要求，制定全面的解决方案，建立全面的网络安全防护体系。

（1）建立一体化集中管控平台

遵循网络安全等保2.0规范要求，建设一体化集中管控平台，将现有的系统资产、安全防护设备建立对接管理；将国家强制、组织制定的管理制度融入到运行管理中，实现集中管控、实时监测、快速处置、持续预防的运营管理闭环；把分散的运行管理数据集中汇聚、综合关联分析，把孤立的管理行为建立联动机制；保障系统运行可信、可控、可管，建立事前预防、事中响应、事后审计的动态保障体系，实现安全合规、一体化管理、一站式服务。

（2）降本增效，充分利用旧产品，减少投入

摒弃传统产品堆叠模式，以一体化集中管控平台单产品替代传统众多产品（漏洞扫描、运维管理、日志审计、堡垒机等）的叠加解决方案，降低泵站等保合规建设成本和后期运行维护成本；同时开放的接口可兼容对接第三方产品，有效保障泵站原有安全管理产品投入。

（3）建立全面可视可控安全防护体系

基于统计分析，发现重点问题特征，加强重点防护，提升防护效率。通过灵活的管理与服务流程，以及在线服务机制，提升安全管理效率；通过可视化管理、丰富的运行分析报告，全面发挥安全防护、安全管理设备系统的功效，为系统运行提供安全、稳定、高效的环境，保障信息系统有效应用，发挥系统价值。

图1 调水泵站控制系统网络安全等保合规建设解决方案

5 调水泵站控制系统网络安全等保合规建设解决方案

在泵站核心交换机部署集中管控平台和工控入侵检测系统；在接入交换机与上级调度中心之间部署工控网闸；在泵站主机/操作员站数据库服务器上分别部署工控主机卫士；在核心交换机与底层交换机间部署工控防火墙；在底层交换机上部署工控安全审计系统。

（1）集中管控平台

通过统一管理、统一监控、统一审计、综合分析、协同处置、持续安全运维，实现集中管控的安全运维管理闭环。同时对标五大项管理要求（安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理），建立管理与流程体系，将制度与技术结合，管理可视、过程可控，避免人为因素风险，保障管理策略落地执行。全面记录工业网络中的主机安全日志、异常监测日志、防护日志、工业网络会话等，留存攻击原始报文信息；建立系统运行与管理服务全流程数字化，支持数据驱动对工控防火墙、工控主机卫士、工业网络隔离系统、工控安全审计系统等的统一精细化安全管控。

（2）工控入侵检测系统

实时检测网络中传输数据的安全性，对检测结果进行记录，准确识别网络攻击，及时产生告警，并生成攻击日志，详细记录告警内容，方便溯源。

（3）工控网闸

保证内外网隔离的情况下，实现数据安全、可靠的交换。

（4）工控主机卫士

以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB 端口状态，全方位地保护主机的资源使用。根据白名单的配置，工控主机卫士禁止非法操作进程的运行及网络端口和移动存储设备的任意打开与接入，切断病毒和木马的传播途径，确保正常操作指令的下发和相关进程的正常执行。

（5）工控防火墙

能够有效识别各类针对工控系统的攻击和威胁，为工控网络与外部网络互联、内部区域之间的连接提供安全保障。

（6）工控安全审计系统

对工控网络的流量、协议、业务进行安全监测审计，实现工控网络从流量、协议、事件到业务的安全可视、异常行为监测，及时发现各种违规行为和病毒、黑客的攻击行为。