蔡 阳，付 静，詹全忠，周维续

（水利部信息中心，北京 100053）

0 引言

关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，党的十八大以来，以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作，就加强关键信息基础设施安全保护工作作出了一系列重大决策和部署。在 2016 年网络安全和信息化工作座谈会上，习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”，《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》明确强调要“建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力”。2021 年 8 月，国务院公布《关键信息基础设施安全保护条例》（以下简称《条例》），在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了界定和规范，这是我国首部专门针对关键信息基础设施安全保护工作的行政法规，为加强关键信息基础设施安全保护工作提供了重要法治保障。

《中华人民共和国网络安全法》《条例》均将公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等作为关键信息基础设施的重要行业和领域，要求在网络安全等级保护制度的基础上，实行重点保护[1-2]。水利作为关键信息基础设施重点行业之一，要贯彻落实《条例》要求，做好水利关键信息基础设施保护工作。

1 水利关键信息基础设施认定

根据《条例》第八条规定，水利部是水利行业关键信息基础设施安全保护工作部门，负责结合水利行业实际，制定水利行业关键信息基础设施认定规则。

关键信息基础设施认定考虑的因素主要包括：1）网络设施和信息系统等对于本行业、领域关键核心业务的重要程度；2）网络设施和信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；3）对其他行业和领域的关联性影响。水利关键信息基础设施的认定首先要明确水利关键业务，根据水利业务特点，防洪、供水、生态等水利公共产品和服务供给，关乎国家安全、经济社会稳定和广大人民群众生命财产安全，相关业务规模大，覆盖地域广，在水利行业领域不可替代，对其他行业领域有连锁性、关联性重大安全风险，这些业务可确定为水利关键业务，主要包括水灾害防御和水资源、水工程和水生态与河湖管理等方面。明确关键业务后，需要分析这些业务对信息化的依赖程度，对信息化依赖程度高的水利关键业务，其网络设施、信息系统才可认定为关键信息基础设施。各级水利部门初步认定关键信息基础设施后，经逐级审核，报水利部网络安全与信息化领导小组办公室认定，认定结果通知水利关键信息基础设施运营者，并通报国务院公安部门。

2 水利关键信息基础设施网络安全状况

水利关键信息基础设施是水利网络安全保护的重点，近年来，各级水利部门以网络安全等级保护工作为抓手，采取多种措施，不断强化网络安全防护、安全管理和有关制度标准建设，水利关键信息基础设施网络安全防护能力大幅提升。但是，从每年水利部开展的攻防演练、网络安全检查看，特别是水利部组织的首批水利关键信息基础设施摸底风险评估看，仍然存在不少安全隐患和薄弱环节，水利关键信息基础设施网络安全形势严峻，存在的主要问题有：

1）组织机构不健全，责任边界不清晰。水行政主管部门运营的关键信息基础设施一般有专门的网络安全管理机构，但是一些水利关键信息基础设施为水利工程控制系统，其运营者多为企事业单位，部分运营者没有设立专门的网络安全管理机构，机构不健全，同时这些关键信息基础设施的日常运营者一般为生产管理部门，网络安全的主管部门为信息化部门，生产部门与信息化部门之间职责界定不清晰，容易产生疏漏。

2）管理制度缺融合，安全运行存短板。水利工程控制系统均有生产安全操作和网络安全管理的制度规范，但是这些制度规范与网络安全管理制度之间融合度不够，生产安全管理制度规范中体现网络安全管理要求不全面，存在生产管理与网络安全管理脱节风险。部分水利工程控制系统运营者未定期开展网络安全检测评估，系统存在安全漏洞隐患，缺少规范化、常态化的安全审计及风险评估，不满足《条例》规定的关键信息基础设施运营者每年至少进行 1 次网络安全检测和风险评估的要求。

3）防护手段不全面，主动防御有缺陷。水利工程控制系统均在网络边界部署了单向隔离工控网闸或完全不与外部网络连接，形成了相对封闭的网络，安全防护主要依赖物理隔离，在内部网络安全检测、防护、加密等措施方面均存在不足。对比公安部 1960 号文件中关于网络安全“实战化、体系化、常态化”，以及“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”能力要求，水利工程控制系统运营者普遍在建立“动态防御、主动防御”体系及“实战化、体系化和联防联控”方面还存在差距，未建立威胁情报收集、分析和利用机制，对网络安全事件的监测分析能力也较弱，距离及时有效监测、识别、防御、阻断敌对势力和黑客组织的网络攻击活动存在差距。

4）产品服务有隐患，安全可信有风险。《条例》规定关键信息基础设施运营者应当优先采购安全可信的网络产品和服务，采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。目前水利工程控制系统的控制设备、组态软件、PLC 等核心产品服务安全可信程度不高，存在安全隐患。

3 构建水利关键信息基础设施安全保护体系的思考

《条例》规定关键信息基础设施运营者应依照《条例》和有关法律、行政法规的规定及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

一直以来，水利行业高度重视网络安全，特别是水利关键信息基础设施网络安全，网络安全防护体系基本建成，但与《条例》的相关要求相比仍有较大差距，水利关键信息基础设施运营单位应深入贯彻“三化六防”思想，以水利网络安全顶层设计为指引，以水利关键信息基础设施为安全保护对象，坚持“实战化，体系化，常态化”理念，构建水利关键信息基础设施网络安全综合防御体系，不断提升水利关键信息基础设施“动态防御，主动防御，纵深防御，精准防护，整体防护，联防联控”能力。

3.1 加强体系化建设，构建水利关键信息基础设施网络安全综合防御体系

以水利网络安全总体策略为指引，以关键信息基础设施为安全保护对象，通过组织管理、安全技术、监督检查 3 个体系建设，构建水利关键信息基础设施网络安全综合防御体系，不断提升水利关键信息基础设施网络安全纵深防御、监测预警、应急响应的能力[3]，体系架构如图1 所示。

图1 水利关键信息基础设施综合防御体系架构示意图

1）组织管理体系。水利部作为水利行业关键信息基础设施安全保护的工作部门，依托现有网络安全管理体系，建立水利行业关键信息基础设施安全保护和监督管理组织体系。各级水行政主管部门是所辖水利关键信息基础设施安全保护工作的部门，下属网信部门具体负责监督管理工作，下属相应业务部门负责指导协调；各水利关键信息基础设施运营者承担安全保护的主体责任，根据情况可设业务主管、建设、运行管理等单位，分别承担监督协调、网络安全建设和运行责任。

2）安全技术体系。遵循网络安全总体策略，构建涵盖基础防护、监测分析和响应恢复的网络安全技术体系。a. 基础防护方面。建设完善统一身份认证、密码、备份、应用安全检测，数据共享交换平台等统一基础安全服务，构成纵深防御底盘，安全资源共享公用，提升整体安全支撑能力；根据网络安全等级保护相关要求，在基础安全服务的支撑下，构建安全物理环境、通信网络、区域边界、计算环境等多层次防护；开展关键信息基础设施自身建设整改，使用安全可信的产品和服务，提升关键信息基础设施本体安全，采购、使用的网络关键设备和安全专用产品，应通过检测认证，采购、使用的网络产品和服务，应符合法律、行政法规的规定和相关国家标准的要求。可能影响国家安全的，应当通过国家网络安全审查。b. 监测分析方面。整合第三方情报机构、安全厂商、上级部门的安全情报，结合自身安全数据，构建安全情报中心；建设安全数据采集系统，对各类安全设备、主机、应用的日志，以及重要边界网络流量、内外部威胁情报等网络安全相关数据进行统一收集；采用大数据技术，构建网络安全大数据平台，汇集、整理、存储、处理各类安全数据，形成安全数据仓库；在各类安全数据的基础上，构建网络安全威胁感知系统，基于行为分析、特征分析、关联分析、威胁情报、机器学习等技术实现网络安全威胁的全方位感知[4]。c. 响应恢复方面。建设网络安全风险全过程闭环管理系统，将安全风险根据影响程度分为不同类别：安全事件、告警、威胁，根据事先确定的流程，对安全事件、告警、威胁处置进行全过程闭环管理；建设统一设备管控系统，把应急响应与网络安全设备联动管理，实现阻断、隔离、策略下发等多种动作编排，将威胁防护措施转化成安全策略控制任务，提高全网协防效率，缩短威胁处置时间，提升应急能力。

3）监督检查体系。依据《水利网络安全管理办法（试行）》，围绕“抓住及时发现漏洞、及时有效处置漏洞”2 个关键，通过“查、改、罚”等有效手段[5-6]，强化水利关键信息基础设施网络安全监管，建立水利关键信息基础设施网络安全监督检查体系，以水利关键信息基础设施运营者自查为主，各级水利关键信息基础设施安全保护工作部门定期监督检查为辅，配合网信、公安部门的网络安全检查监测，形成监督检查合力。

3.2 立足实战化，坚持以攻促防

攻防实战结果是检验水利关键信息基础设施网络安全工作最重要的依据，也是评价水利关键信息基础设施网络安全保护能力最重要指标。

1）实战攻防。各级水利关键信息基础设施保护工作部门、运营者要定期开展实战攻防，通过攻防演习、演练及沙盘推演等方式，发现关键信息基础设施存在的漏洞隐患，检验网络安全防护手段的有效性、联防联控机制的完善性，锻炼网络安全队伍，提高全员的网络安全意识。

2）仿真平台。水利关键信息基础设施，特别是水利工程控制系统类关键信息基础设施，应加强关键信息基础设施模拟仿真平台建设，依托仿真平台，开展常态化的攻防培训、应急演练、测试验证等。

3.3 实施常态化运营，提升防护能力

加强网络安全运营管理，将关键信息基础设施的日常安全监测、巡检、事件分析和响应处置等内容，纳入生产运营管理中，并在保证业务稳定运行的情况下，定期对关键信息基础设施进行漏洞检测、安全配置检查、安全风险评估和网络安全应急演练等工作。通过常态化运营，构建分析预测、威胁防护、持续监测、响应处置的闭环体系，不断优化完善，提升以下 6 个方面关键信息基础设施网络安全能力：

1）动态防御。采用大数据、人工智能等技术，基于水利网络安全大数据分析平台，构建水利关键信息基础设施网络安全态势感知平台，通过数据挖掘、关联分析，结合自动化、半自动化处置措施，持续监测网络安全攻击，动态调整策略，以应对动态、多变、高强度的网络攻击，实现水利关键信息基础设施网络安全从静态防御到动态防御。

2）主动防御。充分利用水利网络安全威胁情报中心，配合全流量数据采集分析、蜜罐诱捕，及时主动发现、处置网络安全威胁，特别是潜伏、未知威胁，并跟踪溯源，水利关键信息基础设施网络安全变被动防御为主动防御。

3）纵深防御。依据网络安全等级保护 2.0“一个中心、三重防护”理念，采用分区分域分业务隔离机制，层层、逐级设防，打造水利关键信息基础设施网络安全纵深防御。

4）精准防护。根据水利关键信息基础设施网络安全实际，以水利工控网络安全为焦点，以水利基础数据网络安全为要点，针对性地采取措施，实施精准防护。

5）整体防护。构建水利关键信息基础设施网络安全综合防御体系，从保护对象自身安全加固、外部强化防护、全方位监测预警、应急联动处置等方面全面加强安全，通过水利关键信息基础设施网络安全态势感知平台统一管理调度，形成协同联动、高效统一的整体防护。

6）联防联控。在国家联防联控机制下，构建水利关键信息基础设施网络安全联防联控体系，实现“一处报警，处处设防；一处威胁，处处处置”，提升水利关键信息基础设施整体应对网络攻击的能力。水利关键信息基础设施网络安全联防联控机制是健全水利网络安全保障体系、提升行业网络安全整体实战对抗能力的重要抓手，是实现网络安全防护目标不受冲击破坏的有力保障。

4 结语

水利关键信息基础设施网络安全事关国家安全和社会稳定，事关长治久安和可持续发展，水利部门要贯彻《条例》及相关法律法规制度规范要求，确实履行好关键信息基础设施保护工作部门、运营者职责，积极与各级网信部门、公安机关等国家监管部门沟通联系，扎实做好水利关键信息基础设施安全保护工作，保障水利关键信息基础设施安全稳定运行。