赵文波

（北京天地和兴科技有限公司，北京 100085）

0 引言

水是维系人类生活及社会发展不可缺少的自然资源，而水利工程是国家关键基础设施的重要组成部分，在防洪安全、水资源合理利用、生态环境保护、国民经济发展等方面具有不可替代的重要作用，包括城镇供水、水力发电、水利调度、港口、水利灌溉、水环境等工程。目前，大部分水利工程均通过各种工业控制系统进行自动化控制或远程监测，而随着全社会数字化转型浪潮的到来，5G、物联网、边缘计算、云计算等新兴 ICT 技术（信息与通信技术）被广泛应用于水利工程控制系统中，水利工程控制系统则升级为智慧水利物联网系统，极大提高了水利工程的生产效率、设备故障预测率、系统智能化水平等，但也带来了极大的信息安全风险，既有新的设备漏洞引入的脆弱性问题，也有外部攻击带来的网络安全威胁[1]。为应对这些前所未有的安全问题，需要用创新的方法和技术化解。通过实时监测整体智慧水利物联网系统网络安全态势，对于提升智慧水利系统抵御网络安全威胁能力意义重大。

1 智慧水利物联网总体框架

智慧水利物联网通过物联网、移动宽带、边缘计算、云计算等新兴 ICT 技术与水利信息系统的结合，实现水资源数据实时采集和共享，以及大数据的深度分析和应用管理，有效提升了水利工程运用和管理的效率。智慧水利物联网在采集站点种类、空间密度、时间频度、数据精度等方面进行全面的提升，为智慧水利应用提供了基础支撑。智慧水利感知网涵盖了水文水资源、水生态环境、水利工程运行、水旱灾害防御等方面，主要包括雨量自动采集、水位自动监测、土壤墒情感知、水质在线智能分析，以及泵站自动化、城市供水管网、农田智能灌溉、水电站自动化等监控。

智慧水利物联网总体技术框架如图 1 所示。

图1 智慧水利物联网总体技术框架

智慧水利物联网总体分为 4 层，从下至上分别如下：

1）传感终端层。根据不同的系统应用，传感终端层有各种类型的传感和监测设备，如雨量计、水位/液位传感器、水质分析仪、土壤墒情传感器、智能灌溉屏、LCU 屏等。传感终端层是物联网的神经末梢，负责把真实自然世界的各种物理量、化学量、生物量转化为可测量的电信号，采集大量的原始感知数据，这些采集数据经过局域网络到达边缘计算层。

2）边缘计算层。边缘计算层是云端计算的延伸，它有效分担了云端的计算压力，主要由各种智能网关或边缘计算服务器组成，在其上运行各种定制 App，并根据实际水利应用需求，对原始感知数据进行第1 次处理，处理后的数据或原始数据将进入网络传输层。

3）网络传输层。网络传输层是一个广义的概念，既包括数据采集现场局域网，也包括实现远程通信的广域网。这一层不对采集数据进行处理，仅解决网络通路问题，有大量的网络和网络安全设备作为支撑，如路由器、交换机、VPN、防火墙、无线网桥、IPS（入侵防御系统）和 IDS（入侵检测系统）等。随着业务系统的云化，采集的数据最后进入云计算层。

4）云计算层。云计算层是物联网的神经中枢，是各种 ICT 技术应用最多，最为复杂的一层。云计算层内部大致分为 3 层，其中：有负责业务支撑的各种资源池层，如网络、计算、存储等资源池；再往上是负责数据分析的数据处理层，完成数据校验、解析、管理、入库等工作；最后是面向实际水利业务的业务应用层，这些应用最终提供给政府主管部门、水利企业或公众使用。

2 智慧水利物联网网络安全威胁态势

智慧水利物联网显著增加了水利信息系统的复杂性，各种 ICT 新技术的使用加速了水利 IT 基础设施演进的步伐，此外，接入网络的各种物联网采集终端的数量和采集的数据都与日俱增，这些技术和趋势帮助水利相关企业加速实现业务成果迈向数字化。但与此同时，也给智慧水利物联网系统带来前所未有的网络安全威胁。网络安全威胁主要有以下几个方面：1）大量的物联网感知节点暴露在外部，其自身的物理环境安全得不到保障（包括电磁干扰、电力保障等）；2）物联网感知节点缺乏网络接入认证授权控制，导致出现非法访问、僵尸网络、拒绝服务攻击等安全问题；3）物联网感知节点缺乏安全防护，导致存在传输的感知数据被篡改、伪造、重传等安全问题；4）大量物联网感知和边缘计算等节点可能存在安全漏洞，易被攻击者利用对整个智慧水利物联网系统发起攻击；5）系统内部威胁也不容小觑，内部威胁可能源自一位内部可靠员工的误操作，也可能源自伪装成合法用户的攻击者，其攻破了网络边界，窃取了认证信息，并且植入了恶意软件[2]。

3 智慧水利物联网网络安全监测体系建设必要性

面对持续增长的内外部安全威胁，尤其是利用系统大量物联网感知和边缘计算等节点的漏洞发起的新型高级持续性的网络攻击，单靠“头痛医头、脚痛医脚”的传统信息安全建设思路已经无法应对，需要实时监控物联网感知层、边缘计算层、网络传输层、云计算层的安全威胁动态，如各种设备的系统日志、安全日志、异常告警、流量数据等，对非法访问、拒绝服务攻击、数据篡改、伪造等安全问题做到实时分析预警。构建全面的自动化安全监测体系，作为预警网络安全威胁的基石，对智慧水利物联网系统做动态持续性的网络安全监测，做到网络安全问题早发现、早报告、早处置。

国家也高度重视新的网络安全问题，2016 年颁布了《中华人民共和国网络安全法》，开启了我国网络安全相关政策、制度、规范等的顶层设计，其中第三章第三十一条，要求对包括工业控制系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护，并在第五章第五十二条对关键信息基础设施安全保护工作的部门提出网络安全监测预警的要求。2018 年，工业和信息化部正式印发了《工业控制系统信息安全行动计划（2018—2020 年）》，其中：要求全面加强技术支撑体系建设，到 2020 年底，建成全国在线监测网络、应急资源库，以及仿真测试、信息共享、信息通报等平台（一网一库三平台）。全国在线监测网络将实现对全国重要工业控制系统运行状态和风险隐患的实时感知、精准研判、科学决策[3]。智慧水利物联网系统作为我国重要的关键信息基础设施，应符合国家法规要求，建立全天候的网络安全监测体系，保障智慧水利物联网系统的安全稳定运行。

4 智慧水利物联网网络安全监测体系建设策略

为保障智慧水利物联网系统整体的安全可靠，可采取以下安全措施：通过网络防火墙对智慧水利物联网系统的各层进行安全隔离，阻断非法访问；通过增加物联网终端准入认证，防止非法终端的接入；通过端到端的加密，保证传输的保密性和完整性。这些安全措施在一定程度上起到安全防护的作用，但随着网络威胁的持续增长及网络攻击手段的多样化，需要根据智慧水利物联网总体框架的分层特点，建设一套覆盖各层的基于主动防御的全维度安全监测体系。智慧水利物联网安全监测体系如图2 所示。

图2 智慧水利物联网安全监测体系

针对 4 个不同采集对象给出的总体安全监测策略分析如下：

1）终端监视。在传感终端层，因为物联网感知终端的计算能力有限，不产生日志也无法查询，所以需要通过观察网络行为找到攻击者的蛛丝马迹，为云端的大数据分析提供一手数据支持，称之为终端监视。通过监视网络流量，可以收集终端设备的运行状态、基本信息、行为的安全基线等，从而实时监测终端节点的合法性及运行的稳定性。

2）边缘监测。边缘计算层是承上启下的一层，既有边缘与云的通信，又有边缘与终端的通信，而且有一定的计算能力，所以安全监测应深入到边缘计算层的每个节点中，对宿主机、水利业务 App 的运行安全状态做实时的监测。同时，还要监测双向通信和外部访问的流量。

3）网络监控。网络传输层是整个系统的大动脉，支撑它的是大量的网络和安全 2 种设备，这些设备均具备强大的网络日志和监控功能。通过Syslog，SNMP trap 等日志采集协议，收集 2 种设备的运行状态日志、安全事件告警；通过 SNMP，ODBC，JDBC 等多种网络监控协议，收集性能信息。另外，通过安全大数据分析后的生产联动策略也可以下发到安全设备上执行，这些措施，既实现对网络层的全面监测，又实现对整个系统通信的安全控制。

4）云端分析。依托云计算层强大的硬件资源池，安全大数据监测分析平台业务部署在云端，可以直接获取云平台本身的资产信息、运行状态、管理信息等，并可以接收其他 3 层收集的安全数据和第三方的威胁情报。这些数据经过采用多种科学分析方法的大数据分析后，实现对系统资产、业务运行、攻击行为、网络威胁、弱点漏洞、安全风险等的全维度态势感知。

通过“终端监视、边缘监测、网络监控、云端分析”的网络安全监测总体策略，对智慧水利物联网进行覆盖云端、网络、边缘、终端的深度网络安全监测，最终达到及时发现内外部网络安全威胁和智能展现物联网网络安全态势的目的。

从各层采集全面的安全数据，应用多种科学分析方法对其进行全维度的深入的大数据分析，最终实现对恶意内部威胁、高级持续性威胁、0day 漏洞攻击及已知威胁的实时发现和及时处置[4–5]。全面安全数据包括安全事件告警与日志、网络流量与原始数据包、业务上下文、外部威胁情报等，科学分析方法包括特征匹配、关联分析、聚类、分类、事件认知、机器学习等。

5 智慧水利物联网网络安全监测分析技术

要实现智慧水利物联网网络安全监测体系总体策略，需要有安全数据采集和分析两大类安全技术作为支撑。

5.1 安全数据采集技术

安全数据采集主要包括真实网络流量、设备日志、计算节点运行状态及应用数据等的采集，基于这些采集的安全数据，进行面向安全态势感知、异常告警、外部攻击告警、内部威胁告警、网络溯源取证、安全应急响应措施建议等应用场景的数据分析，是智慧水利物联网网络安全监测的核心。基于采集的对象，安全数据采集技术包括以下技术：

1）日志采集技术。日志对智慧水利物联网系统尤其重要，日志采集是网络安全监测分析的基础。一般采集的日志包括用户行为、业务变更和系统运行等日志。为满足不同的应用场景，采集方式有WebAPI、标准协议、客户端等方式。针对智慧水利物联网网络安全监测，主要通过 Syslog，SNMPtrap等标准日志采集协议进行系统设备日志收集。

2）流量采集技术。流量采集技术是监控网络流量的关键技术之一，作为日志采集技术的有效补充，可为智慧水利物联网网络安全监测分析提供一手的数据来源。针对物联网感知层设备繁多，功能单一的特点，通过网络镜像的方式可以直接采集各感知层设备的运行状态、基本信息、行为的安全基线等信息。

3）威胁情报技术。除了采用日志和流量 2 种采集技术分析系统内部安全威胁外，还需要对系统外部通信过程中的安全风险进行及时预警，所以，需要通过权威第三方威胁情报对智慧水利物联网网络安全监测提供数据支持，常见的威胁情报包括 IP 地址、URL（统一资源定位器）、文件等信誉情报。

5.2 安全数据分析技术

安全数据分析技术主要包括以下技术：

1）态势可视化技术。态势可视化对威胁成因进行横向对比、纵向分析，建立表征威胁态势的 1 组关键指标体系，记录一段时间内某个网络区域的网络安全威胁状态，并预测其发展趋势，可提早响应，及时应对。态势可视化展示具体包括攻击、脆弱性、设备资产、应用安全、数据资产和流量等态势展示[6]。

2）特征匹配技术。特征匹配技术是一种成熟的攻击检测技术，广泛应用于 IDS 中，借助已知攻击特征检测攻击，实现对暴力破解、拒绝服务攻击、漏洞利用攻击、泛洪攻击等常见攻击类型的检测。另外，将关联分析技术与特征匹配技术相结合，进行数据聚类和分类，实现对未知攻击的检测[7]。

3）威胁情报技术。威胁情报技术是新兴的安全分析技术，利用内部威胁情报数据和众多第三方情报供应商提供的可执行的威胁情报，进行威胁检测和事件响应，可以动态检测 URL/DNS（域名系统）/IP 黑名单、DNS 库、IP 地理库、社工库等[8]。

4）多数据源关联规则技术。通过多场景多维度的组合关联分析，体现强大的关联分析能力，分析场景包含规则、漏洞、流量、威胁、资产、监控等关联。分析事件以正在进行中的威胁和风险检测，确定具体的攻击[9]。关联所有的日志、事件、网络流，以及诸如身份、角色、漏洞等上下文信息，重点标识高风险安全威胁，例如：来自某些 IP 的性能故障事件发生时间存在先后，在网络拓扑上的映射符合故障的传播特性。

5）安全基线分析技术。在新的深度学习算法加持下，通过统计和自学习产生学习基线，包括事件、流量等基线。基线反映网络内过去时间所发生的安全事件，或者网络流量随时间的变化规律和趋势，通过基线可以对比当前事件情况是否偏离基线，从而判断是否是异常事件或流量。

6）事件认知分析技术。通过聚合相关的告警、事件、威胁情报、资产和场景信息，实现自动告警检测和威胁调查取证，通过动态的风险评分计算进行持续的风险评估，通过对之前事件响应的学习实现对同类型安全事件的自动化响应，并给出可执行的安全处置指导性建议[10]。

通过安全数据分析技术手段，可以实现安全事件智能检测、态势感知、应急响应、辅助决策等信息安全的闭环管理，构建起基于主动防御的智慧水利物联网网络安全监测体系[11]。

6 结语

智慧水利物联网是我国水利行业数字化转型的必经之路，而网络安全是智慧水利物联网的重要保障。根据物联网自身的技术特点，建立覆盖从端到云的主动防御网络安全监测体系，落实“终端监视、边缘监测、网络监控、云端分析”的网络安全监测总体策略，通过全覆盖的数据采集和多手段的安全数据分析技术，实现针对智慧水利物联网安全威胁的全过程管理，并提供快速的应急响应决策建议，帮助智慧水利物联网应对日益严重的内外部安全威胁，加快数字化转型进程。但是，建立起监测体系后，还需要对监测分析技术进行持续的优化，对安全数据进行持续的训练和学习，不断提高分析的准确率，降低安全事件告警的误报率。