绿盟智慧水利安全解决方案，护航水利基础设施安全运行

一个背景

“十四五”国家信息化规划明确推进智慧水利建设。 要不断完善江河湖泊监测体系，加快推进水文水资源等重要水利数据有序共享，提高水情预报和智能调度能力。

网络安全是智慧水利发展的安全基石。 水利部印发《提高水利网信息化水平三年行动计划（2019-2021年）》《水利网安全管理办法》《2020年水利网信息化工作重点》 》、《关于大理》等《关于推进智慧水利建设的指导意见》等文件对网络安全都有明确要求。

二、智慧水利

智慧水利利用物联网、大数据、云计算、人工智能等新一代信息技术，不断深化对防汛抗旱、水利工程运行、水利工程建设、水资源开发和水利等领域的覆盖。利用、城乡供水、节水、江河湖泊、水土。 失水、水利监管等十大业务场景，构建空地一体化水利感知网络、水利信息网络、智慧水利大脑（一云：由国家和流域一级云组成节点和31个省级二级云节点；一池：指数据资源池，由水利部、流域和省数据中心组成；两平台：应用支撑平台和智慧使能平台）是基于水利智能化应用的建设。

三大安全隐患

根据智慧水利总体方案（征求意见稿）和研究成果，主要安全隐患如下：

1）感知终端设备的物理防护较差。 用于水和干旱条件的传感终端在物理上分散、偏远且无人值守。 它们通常由简单的盒子保护，很容易损坏；

2）网络边界模糊，缺少访问控制措施。 空地一体化水利传感网、水利信息网，互联互通，网络边界模糊，缺乏准入控制措施； 传感网络采用GPRS/3G/4G等无线通信方式，容易被不法分子利用；

3）无法实时感知水利工程安全运行状况。 无法实时感知水利设施工控网络中的异常行为、入侵、利用、网络攻击、非法操作、关键操作等；

4）水利设施主机“裸跑、带病跑”。 工控主机（操作员站、工程师站、SCADA服务器等）无恶意代码保护机制，杀毒软件无法安装、误杀、不更新，移动存储介质乱用，安全配置缺少基线；

5）部分水利设施实现互联网远程运维。 使用互联网运维工具，如向日葵、VNC、Teamviever等工具，进行无管控措施的远程运维；

6）重点水利信息基础设施资产情况不明。 水利设施运行多年，大部分资产（硬件、软件、拓扑、配置等）因第三方运维而发生变化。 它们没有更新，也不对应于分类帐。 相关人员对资产情况不明的；

7）物联网传感设备暴露面增加。 水利智能传感设备、无人机、遥控船、机器人等天地一体化传感终端设备逐渐暴露在互联网中，为攻击者提供便利条件；

8) 存在重要核心数据泄露风险。 例如，重大水利工程、水库大坝精确定位坐标数据、水位线、水文水资源分布数据等关系民生和国家安全的重要数据和核心数据安全连接服务器，没有保护措施，没有泄漏的风险；

9) 云平台安全风险。 水利云平台微服务组件缺乏安全设计，安全防护措施薄弱，缺乏容器镜像检测和管理，虚拟机逃逸，接口调用缺乏安全认证。

10) 安全管理薄弱。 相关人员网络安全意识薄弱，网络安全组织机构、岗位、人员、职责、制度普遍缺失或不系统。

绿盟智慧水利四大安全解决方案

在国家法律、法规、政策和标准的框架下，按照《工业控制系统信息安全保护导则》和《信息安全技术与网络安全等级保护基本要求》的要求，绿盟科技拥有构建纵深防御体系，达到防护有效、监控全面、响应及时的防护效果。

安全技术架构图

水利感知网络安全防护

在水文站、报站、干旱监测站、水分监测站、工业状态监测点部署边缘计算安全网关设备； 在水文中心、旱情中心和工情中心部署边缘计算安全网关服务器。 网关设备通过工业协议（MODBUS、OPC、S7等）采集并处理来自各个监控站点的数据，然后将处理后的数据通过加密隧道（SM2/SM3/SM4）传输到网关服务器，完成无线公网（GPRS/3G/4G）通信链路安全保护。 在水情中心、旱情中心、工情中心的网络出口部署防火墙，进行边界保护和门禁保护。 同时，监控主机部署主机防护系统，以白名单机制保护主机的服务、进程、可执行脚本、端口和外设，抵御未知威胁。

水利工程工控网络安全防护

工控网与水利工程办公网之间部署工业网关。 仅将水利工程运行数据从工控网传输至办公网，禁止办公网违规访问生产网，实现两网安全隔离。

在工业控制系统之间部署工业防火墙，对工业协议进行2-7层解包深度学习建模，控制读写控制、取值范围、阈值等安全连接服务器，实现工业协议的完整性保护。

在关键交通节点部署工控安全审计系统，实时监控非法操作、误操作和关键操作（如下载、上传、配置更改、CPU启停等），了解安全状态实时生产网络。 在关键流量节点部署工控入侵检测，实时检测工控网络中的异常威胁、工控漏洞利用行为和恶意攻击行为。

对所有工业主机（操作员站、工程师站、SCADA服务器）进行白名单保护，防御未知威胁。

建立安全管理中心，对安全运维、漏洞管理、日志集中收集、态势感知等进行集中管理和预警。

水利部流域、省级云平台保护

在水利部、流域、省级云平台主机部署容器安全管理系统、云WAF、云泄漏扫描、云主机防护等产品，实现水利部安全一级流域云节点、31个省级二级云节点安全防护，保障水资源、水灾害、水生态/水环境、水工程、水监管、水行政和水公共服务。

水利部流域、省级数据安全保护

在水利部、流域、省级数据中心部署数据资产识别探针、数据库审计、防泄露、数据流量监控、全流量分析探针等数据安全产品。 结合多种监控手段联动分析，检测数据传输、资产漏洞、数据异常、数据泄露、网络攻击等，实时监控数据资产网络攻击事件，防止重要水文数据泄露。 对数据产生、传输、存储、共享、处理、销毁全生命周期进行安全监管，提升事前预防、事中感知、事后审计、调查的综合防控能力，最终实现对部级、流域、省级数据中心的监控。 安全保护。

安全管理设计

一是组织治理。 明确网络安全负责人和管理机构。 企业主要负责人担任网络安全第一负责人，明确重点岗位职责，关键岗位人员签订网络安全责任书等。二是开展管理制度建设。 主要从四个层次构建，包括第一层文件的网络安全策略和策略； 二级文件的管理规定和办法； 三级文件的操作规程、规范、操作说明、模板等； 表格、日志记录、报告等。最后，系统文件被审查、修改、发布和执行。

五 客户价值

1）全面提升智慧水利网络的安全合规性，满足国家主管部门、行业监管部门及上级单位的安全防护要求；

2）从感知网络、工控网络、信息网络全面提升智慧水利安全防护、监测预警能力，助力水利数字化转型升级，为水利基础设施安全稳定运行保驾护航;

3）全面提升智慧水利相关业务人员的安全意识、安全技术水平和安全管理水平。