水利工程自動化監控系統中網絡安全管理的思考

王聞通 孫 猛

一、引言

加快構建具有“四預”（預報、預警、預演、預案）功能的智慧水利體系為新階段水利高質量發展提供了有力支撐，在此背景下，水利工程自動化監控系統的集成化程度越來越高，不同系統的互聯互通成為必然。江蘇省灌溉總渠管理處（以下簡稱管理處）建有運行管理監控中心，對處屬主要工程運行數據以不同形式進行實時監視和展示，其中淮安抽水一站、二河新閘等6座大型水利工程的自動化監控系統被安全定級為二級并開展了測評工作。由于經費原因，這些閘站自動化監控系統在建設時考慮更多是系統功能性和穩定性，并沒有考慮系統互聯互通可能帶來的網絡安全風險。通過開展網絡安全等保測評和持續整改，系統性分析處屬工程自動化監控系統存在的主要安全隱患，對系統網絡安全管理工作進行思考，提出針對性建議，可逐步提升管理處閘站工程自動化監控系統網絡安全防護水平。

二、管理處工程自動化監控系統網絡安全現狀

（一）系統網絡架構情況

管理處各閘站工程自動化監控系統雖然實現的功能略有不同，但均采用類似的DCS三層網絡架構，自下而上分為分散過程控制級、集中監控操作級和綜合信息管理級（見圖1）。

圖1 系統網絡架構圖

分散過程控制級是整個系統體系結構中的最底層，直接與生產過程現場的傳感器、執行器相連，實現生產過程的數據采集、閉環控制、順序控制等功能。構成這一級的主要裝置有現場控制站、智能調節器、可編程控制器及其他測控裝置。集中操作監控級是面向現場操作員和系統工程師的。這一層級以操作監視為主要任務，兼有部分管理功能。它把過程參量的信息集中化，對各個現場控制站的數據進行收集，并通過簡單的操作進行工程量的顯示、各種操作流程圖的顯示、趨勢曲線的顯示以及改變過程參數（如設定值、控制參數、報警狀態等信息）。這一層級另一管理功能是進行控制系統的生成、組態。綜合信息管理級是自動化監控系統體系結構中的最高層，是閘站信息管理系統的核心。主要負責實現整個集散控制系統綜合管理的信息通道，與其他系統的互聯互通也通過這一層級轉發數據，所有設備均通過工業控制網絡進行互聯。

（二）系統間網絡通信情況

為實現相應的業務需求，閘站工程自動化監控系統中的數據采集服務器與管理處的管理監控中心服務器實現網絡通信，數據采集服務器通過工業控制網絡與現地PLC進行通信。數據傳輸主干通信網絡有工控專網線路和租用專線兩種情況，租用專線暫未能將工控數據單獨分離傳輸。

（三）系統設備應用情況

根據統計，管理處自動化監控系統中的設備多種多樣，所采用的控制設備以國外品牌居多，設備的安全等級參差不齊。同時自動化監控系統中的上位工控機操作系統主要以windows系統為主，部分操作系統版本為XP、server2008等老舊版本。

（四）網絡安全防護措施情況

隨著網絡安全等級保護要求的出臺和執行，目前管理處已定級測評的水利工程自動化監控系統陸續通過整改完善，具備了一定的網絡安全防護功能，增加了如隔離網閘、新一代防火墻、日志審計等網絡安全設備。但由于目前針對水利工程自動化監控系統網絡安全建設，還缺乏統一的規劃、設計和指導，管理處工程自動化監控系統網絡安全防護水平相對較低。

三、管理處工程自動化監控系統存在的網絡安全風險

（一）網絡安全技術體系架構不完善

由于經費有限，管理處目前只在部分工程自動化監控系統采取了基本的安全防護措施，使其具備一定的區域邊界防護能力。按照《水利網絡安全保護技術規范》（SL/T803-2020）規定，完善的水利行業網絡安全技術體系應包括網絡情報服務、災備服務、密碼服務、認證服務等，在安全物理環境基礎上，構建安全計算云環境、安全區域邊界、安全通信網絡的3層基礎防護。對照規定，當前管理處工程自動化監控系統的網絡縱深防御技術體系建設還不完善，在邊界、網絡和終端的立體防御方面缺乏整體性和系統性。

（二）主要控制設備國產率偏低

由于早期產品發展和應用不均衡，管理處水利工程自動化監控系統中的控制設備仍以德國西門子、法國施耐德、美國GE等品牌的產品為主，技術不能完全實現安全可控。由于控制軟件版本的原因，致使部分上位機只能使用老舊操作系統，導致其無法及時安裝并更新防病毒軟件和防網絡攻擊惡意代碼庫。

（三）網絡安全管理制度不全面

處屬各單位都制定了工程自動化監控系統相關管理制度，但相關制度內容主要側重于應用管理和操作規程上，對于如何防范計算機網絡病毒及在發生影響網絡安全的事件時如何有效應急處置等方面還缺乏相應的安全管理制度。

（四）網絡安全管理和運維能力不足

處屬各單位缺乏專門的信息安全崗位和專業人才，工程自動化監控系統網絡安全管理工作基本按照自己的理解開展，缺少演練和培訓，在網絡安全實戰中及時響應和應對的能力不足。同時由于網絡安全問題的隱蔽性較強，管理人員難以及時發現。

四、管理處工程自動化監控系統網絡安全防護對策

（一）統一防護標準

盡管目前處屬相關單位開展了網絡安全等保測評和整改工作，但整體防護水平參差不齊，網絡安全建設缺乏系統性和標準性，因此急需制定適合管理處工程自動化監控系統特點的網絡安全防護軟硬件標準，按照“安全分區、網絡專用、橫向隔離、縱向認證”的防護原則，自上而下的體系化指導處屬各單位開展工程自動化監控系統網絡安全建設工作，逐步建立具備深度防御的體系。同時，在新系統建設中，做到網絡安全同步規劃、同步建設、同步運行，現狀系統適度加固。

（二）常態化開展網絡安全風險評估工作

利用等保測評單位和其他網絡安全服務單位的資源和專業優勢，采用人工分析和專業檢測工具相結合的方式，常態化對工程自動化監控系統中的PLC、防火墻、隔離裝置等開展漏洞挖掘、滲透攻擊、安全策略等全方位安全測評工作，同時對管理制度制定和管理人員安全意識、安全知識培訓情況進行常態化安全自查。

（三）強化網絡安全應急管理

定期對系統重要數據進行異地備份。制定處屬各單位工程自動化監控系統網絡安全事件應急預案，并定期組織應急演練，確保當遭受網絡安全威脅導致系統出現異常或故障時，能夠立即正確地采取處置措施，避免造成重大損失。

（四）提高管理人員素質

良好的管理人員能力是管理處工程自動化監控系統安全運行的充分保證，需定期組織網絡安全意識和技能培訓，加強網絡安全管理規程規范的宣貫，提升系統管理人員網絡操作規范性和安全防護意識。

（五）正確選用部署網絡安全設備

為了保護工程自動化監控系統的安全，需要部署各種網絡安全設備，不同的網絡安全設備相互配合形成一個統一高效的整體，共同構建起立體的安全防御體系。網絡安全設備主要分為網絡邊界安全設備、應用安全設備、管理與運維安全設備和主機安全設備。網絡邊界安全設備主要有防火墻、網絡安全隔離裝置、防DdoS攻擊系統等；應用安全設備主要有入侵防御系統（IPS）、Web應用防火墻（WAF）、安全沙箱等；管理與運維安全設備主要有堡壘機、日志審計系統、數據安全態勢感知系統等；主機安全設備主要有具有虛擬功能的防火墻（VFW）、終端準入控制系統等，在進行工程自動化監控系統網絡安全管理工作中，需要按不同對象，不同環境選取合適的網絡安全設備，達到防范網絡攻擊、網絡竊密的目標。

五、結語

江蘇省灌溉總渠管理處水利工程自動化監控系統網絡安全防護還處于起步階段，管理人員需要不斷學習新的專業知識，在系統管理工作中準確把握網絡安全的影響因素，不斷提高網絡安全防御意識和防御能力，保證系統安全穩定運行，為水利工程效益充分發揮保駕護航