水利工程自动化监控系统中网络安全管理的思考

2022-12-20王闻通

治淮 2022年12期

王闻通孙猛

一、引言

加快构建具有“四预”（预报、预警、预演、预案）功能的智慧水利体系为新阶段水利高质量发展提供了有力支撑，在此背景下，水利工程自动化监控系统的集成化程度越来越高，不同系统的互联互通成为必然。江苏省灌溉总渠管理处（以下简称管理处）建有运行管理监控中心，对处属主要工程运行数据以不同形式进行实时监视和展示，其中淮安抽水一站、二河新闸等6座大型水利工程的自动化监控系统被安全定级为二级并开展了测评工作。由于经费原因，这些闸站自动化监控系统在建设时考虑更多是系统功能性和稳定性，并没有考虑系统互联互通可能带来的网络安全风险。通过开展网络安全等保测评和持续整改，系统性分析处属工程自动化监控系统存在的主要安全隐患，对系统网络安全管理工作进行思考，提出针对性建议，可逐步提升管理处闸站工程自动化监控系统网络安全防护水平。

二、管理处工程自动化监控系统网络安全现状

（一）系统网络架构情况

管理处各闸站工程自动化监控系统虽然实现的功能略有不同，但均采用类似的DCS三层网络架构，自下而上分为分散过程控制级、集中监控操作级和综合信息管理级（见图1）。

图1 系统网络架构图

分散过程控制级是整个系统体系结构中的最底层，直接与生产过程现场的传感器、执行器相连，实现生产过程的数据采集、闭环控制、顺序控制等功能。构成这一级的主要装置有现场控制站、智能调节器、可编程控制器及其他测控装置。集中操作监控级是面向现场操作员和系统工程师的。这一层级以操作监视为主要任务，兼有部分管理功能。它把过程参量的信息集中化，对各个现场控制站的数据进行收集，并通过简单的操作进行工程量的显示、各种操作流程图的显示、趋势曲线的显示以及改变过程参数（如设定值、控制参数、报警状态等信息）。这一层级另一管理功能是进行控制系统的生成、组态。综合信息管理级是自动化监控系统体系结构中的最高层，是闸站信息管理系统的核心。主要负责实现整个集散控制系统综合管理的信息通道，与其他系统的互联互通也通过这一层级转发数据，所有设备均通过工业控制网络进行互联。

（二）系统间网络通信情况

为实现相应的业务需求，闸站工程自动化监控系统中的数据采集服务器与管理处的管理监控中心服务器实现网络通信，数据采集服务器通过工业控制网络与现地PLC进行通信。数据传输主干通信网络有工控专网线路和租用专线两种情况，租用专线暂未能将工控数据单独分离传输。

（三）系统设备应用情况

根据统计，管理处自动化监控系统中的设备多种多样，所采用的控制设备以国外品牌居多，设备的安全等级参差不齐。同时自动化监控系统中的上位工控机操作系统主要以windows系统为主，部分操作系统版本为XP、server2008等老旧版本。

（四）网络安全防护措施情况

随着网络安全等级保护要求的出台和执行，目前管理处已定级测评的水利工程自动化监控系统陆续通过整改完善，具备了一定的网络安全防护功能，增加了如隔离网闸、新一代防火墙、日志审计等网络安全设备。但由于目前针对水利工程自动化监控系统网络安全建设，还缺乏统一的规划、设计和指导，管理处工程自动化监控系统网络安全防护水平相对较低。

三、管理处工程自动化监控系统存在的网络安全风险

（一）网络安全技术体系架构不完善

由于经费有限，管理处目前只在部分工程自动化监控系统采取了基本的安全防护措施，使其具备一定的区域边界防护能力。按照《水利网络安全保护技术规范》（SL/T803-2020）规定，完善的水利行业网络安全技术体系应包括网络情报服务、灾备服务、密码服务、认证服务等，在安全物理环境基础上，构建安全计算云环境、安全区域边界、安全通信网络的3层基础防护。对照规定，当前管理处工程自动化监控系统的网络纵深防御技术体系建设还不完善，在边界、网络和终端的立体防御方面缺乏整体性和系统性。

（二）主要控制设备国产率偏低

由于早期产品发展和应用不均衡，管理处水利工程自动化监控系统中的控制设备仍以德国西门子、法国施耐德、美国GE等品牌的产品为主，技术不能完全实现安全可控。由于控制软件版本的原因，致使部分上位机只能使用老旧操作系统，导致其无法及时安装并更新防病毒软件和防网络攻击恶意代码库。

（三）网络安全管理制度不全面

处属各单位都制定了工程自动化监控系统相关管理制度，但相关制度内容主要侧重于应用管理和操作规程上，对于如何防范计算机网络病毒及在发生影响网络安全的事件时如何有效应急处置等方面还缺乏相应的安全管理制度。

（四）网络安全管理和运维能力不足

处属各单位缺乏专门的信息安全岗位和专业人才，工程自动化监控系统网络安全管理工作基本按照自己的理解开展，缺少演练和培训，在网络安全实战中及时响应和应对的能力不足。同时由于网络安全问题的隐蔽性较强，管理人员难以及时发现。

四、管理处工程自动化监控系统网络安全防护对策

（一）统一防护标准

尽管目前处属相关单位开展了网络安全等保测评和整改工作，但整体防护水平参差不齐，网络安全建设缺乏系统性和标准性，因此急需制定适合管理处工程自动化监控系统特点的网络安全防护软硬件标准，按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则，自上而下的体系化指导处属各单位开展工程自动化监控系统网络安全建设工作，逐步建立具备深度防御的体系。同时，在新系统建设中，做到网络安全同步规划、同步建设、同步运行，现状系统适度加固。

（二）常态化开展网络安全风险评估工作

利用等保测评单位和其他网络安全服务单位的资源和专业优势，采用人工分析和专业检测工具相结合的方式，常态化对工程自动化监控系统中的PLC、防火墙、隔离装置等开展漏洞挖掘、渗透攻击、安全策略等全方位安全测评工作，同时对管理制度制定和管理人员安全意识、安全知识培训情况进行常态化安全自查。

（三）强化网络安全应急管理

定期对系统重要数据进行异地备份。制定处属各单位工程自动化监控系统网络安全事件应急预案，并定期组织应急演练，确保当遭受网络安全威胁导致系统出现异常或故障时，能够立即正确地采取处置措施，避免造成重大损失。

（四）提高管理人员素质

良好的管理人员能力是管理处工程自动化监控系统安全运行的充分保证，需定期组织网络安全意识和技能培训，加强网络安全管理规程规范的宣贯，提升系统管理人员网络操作规范性和安全防护意识。

（五）正确选用部署网络安全设备

为了保护工程自动化监控系统的安全，需要部署各种网络安全设备，不同的网络安全设备相互配合形成一个统一高效的整体，共同构建起立体的安全防御体系。网络安全设备主要分为网络边界安全设备、应用安全设备、管理与运维安全设备和主机安全设备。网络边界安全设备主要有防火墙、网络安全隔离装置、防DdoS攻击系统等；应用安全设备主要有入侵防御系统（IPS）、Web应用防火墙（WAF）、安全沙箱等；管理与运维安全设备主要有堡垒机、日志审计系统、数据安全态势感知系统等；主机安全设备主要有具有虚拟功能的防火墙（VFW）、终端准入控制系统等，在进行工程自动化监控系统网络安全管理工作中，需要按不同对象，不同环境选取合适的网络安全设备，达到防范网络攻击、网络窃密的目标。