1、背景介绍

宁波舟山某自来水有限公司是一家集供水生产、运营服务与工程建设于一体的综合性供水企业，承担着某县城区及周边14万居民、千余家单位的日常供水任务，供水安全直接关乎民生保障和城市运行安全。随着自动化系统广泛应用，供水企业的信息网络与工业控制系统正加速融合，网络安全问题已成为关键风险源之一。技术方面系统固有的脆弱性、网络边界融合的风险、协议与设备安全的缺陷已经暴露；网络与数据安全方面系统边界模糊、数据安全威胁、外部攻击手段不断升级等风险已逐步显现；运营管理方面安全管理体系碎片化、企业间安全标准不一、安全事件感知不及时、人员安全技能不足等问题也开始引起大家重视。

经过前期调研，发现该自来水有限公司存在系统边界模糊、缺乏纵深防御体系、应急响应能力弱等问题，难以有效应对复杂多样的安全威胁。同时，随着《关键信息基础设施安全保护条例》、《工控安全防护指南》、《网络安全等级保护条例》等规则制度深入推进，供水行业对网络与工控系统的安全合规要求不断提高。为保障生产稳定、守护公共安全，需加快构建覆盖通信、边界、主机、审计和态势感知等多维一体的安全体系，全面提升企业网络安全防护水平与运营韧性。

2、 目标与原则

本项目的建设目标是结该自来水有限公司的网络安全现状，构建“技术+管理+运营”三位一体的纵深防御体系，由被动、单点防御转为智能主动防御体系建设，全面提升某自来水有限公司的网络安全保护及整网安全能力。同时，加强“监测预警系统”、“终端安全查杀能力”、“应急响应手段”、“大数据安全平台”的落地建设，提升“集中管控能力”、“安全监测能力”、“分析溯源能力”三项能力。项目建成能实现以下具体目标：

(1) 通过安全监测能力建设，管理人员对目前内网所存在风险能够精确掌握。

(2) 在对某自来水有限公司控制系统网络（车间与仓库）和办公网络边界进行隔离，确保办公网络对某自来水有限公司控制系统访问的安全性。

(3) 通过分析溯源能力建设，技术人员对生产网中入侵、异常行为的及时发现，对异常行为链条进行分析研判，对现场设备进行深度防护。

(4) 通过集中管控能力建设，管理人员、技术人员对整个工控系统各类设备运行状况、安全状况统一管理。

3、 案例实施与应用情况详细介绍

3.1案例方案架构

构建分域的控制体系：在总体架构上将按照区域边界保护思路进行，将某自来水有限公司工控系统和外部系统从结构上划分为不同的安全区域，以安全区域为单位进行安全防御技术措施的建设，从而构成了分域的安全控制体系。

构建纵深的防御体系：某自来水有限公司工控安全解决方案包括技术和管理两个部分，某自来水有限公司工控系统围绕着安全管理中心，从安全通信网络、安全区域边界、安全计算环境三个维度进行安全技术和措施的设计，保证业务应用的可用性、完整性和保密性保护；通过集中管理，可对安全设备进行联动，对确认的重大威胁或攻击可进行安全联动防护，充分考虑各种技术的组合和功能的互补性，提供多重安全措施的综合防护能力，从外到内形成一个纵深的安全防御体系，保障系统整体的安全保护能力。

保证一致的安全强度：某自来水有限公司工控安全等级保护设计方案将采用分级的办法，对于同一安全等级系统采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。

3.2案例技术详情

3.2.1建立安全通信网络

工业控制系统与企业其它系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；工业控制系统内部应根据业务特点划分为不不同安全域，安全域之间应采用技术隔离手段；涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

(1)工业防火墙

在生产网服务区的边界部署工业防火墙，实现生产服务区与各个工厂之间的访问控制，利用工业防火墙通过深度解析OPC、Modbus、S7、Ethemet/IP(CIP)等数十种工控协议，建立工业网络通信“电子栅栏”，阻止任何来自安全区域外的非授权访问，有效抑制病毒、木马在工控网络中的传播和扩散，防护针对SCADA、PLC、DCS等重要控制系统的各类已知、未知的恶意攻击和破坏行为。

同时做好横向隔离，工业网络内部安全域间使用工业防火墙进行边界划分，并配置访问控制策略，利用工业防火墙的多业务端口实现横向隔离，只允许特定设备的特定协议通过（如OPC、Modbus等）。工业防火墙具有bypass功能，确保生产业务的连续性。

(2)安全区域边界

设置访问控制：在工业控制系统与企业其它系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务；应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

(3)工业安全监测审计平台

在该自来水有限公司的终端核心交换机上部署工业安全监测审计平台，实时监测生产过程中产生的所有流量，识别多种工控协议，实现对工业控制系统内的异常流量、异常行为、异常操作、非法接入等安全风险的实时告警。

(4)工业入侵检测系统

边界访问控制是实现可信网络的首要前提，根据源IP地址，源端口，目的IP地址，目的端口和协议五元组进行判断，符合访问控制策略的将被允许，否则将被禁止，从而限制了对网络的非法访问。在网络边界部署入侵检测系统，建立统一入侵检测及防御体系。在边界安全防护五元组策略的基础上进行有效建设，并对目标网络系统漏洞、协议弱点、病毒蠕虫、间谍软件、恶意攻击、流量异常等威胁的一体化深度防御，在提升信息网络的抗攻击能力同时，加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境。

(5)工业网闸

通过在互联网服务器安全域与数据中心内网的安全边界上以及在互联网服务器安全域中的业务服务器与单个部门服务器安全域中的业务数据库之间部署安全隔离网闸，对各部门的数据库实现按需数据同步。用户可以通过互联网访问到互联网服务器区中的指定业务前置服务器中，互联网服务器区的业务前置服务器负责接收用户的业务访问请求，并通过安全隔离网闸访问内网某个部门前置受理服务器，在内部安全域实现内网前置处理服务器对相应数据库完成业务处理，并将业务处理结果，按照用户部门的不同，存储在单个部门服务器安全域中、访问用户所在的部门的数据库中，完成用户通过互联网对自己部门业务服务器的访问。通过这种方式，可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。

3.2.2建立安全计算环境

在该项目实施中关闭或拆除设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的通过相关的技术措施实施严格的监控管理；项目使用可专用设备和专用软件对控制设备进行更新；

生产网计算机设备的USB接口使用监控管理、串行口或多余网口使用监控管理以及计算机内部恶意代码程序管理等，都可通过主机安全及管理系统进行统一管理以及审计。

(1)主机安全及管理系统（EDR）

在生产网内计算机部署主机安全客户端，在调度中心部署主机安全及管理系统平台，对所有中心主机安全客户端进行统一管理。EDR集成了系统加固与防护、网络加固与防护等功能，也能应对攻防对抗场景； 内置文件诱饵引擎对勒索病毒具有专防专杀能力；内核级东西向流量隔离技术，实现网络隔离与防护；同时具备补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。

(2)数据库审计与风险控制系统

可对数据主机时间进行审计、网络事件审计、数据库时间审计、应用系统事件审计，并按照目标标识和事件类型等条件进行统计；通过综合关联分析，发现潜在危害和异常事件。

3.2.3建立安全管理中心

(1)综合日志审计平台

在项目中部署了综合日志审计平台，可集中收集分散在各个安全域探针的日志、流量等信息进行信息汇总和集中分析。通过多维度、跨设备、细粒度的关联分析，打破信息孤岛，自动进行日志审计，快速发现潜在安全事件。

(2)运维审计与风险控制系统（堡垒机）

通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维流程管理等功能，增强运维管理的安全性。

(3)工业安全态势感知平台

工业控制系统主要部署于企业生产网，与互联网逻辑隔离，相关流量与日志信息通过网络传输。工业企业生产网的相关流量和日志信息是工控安全监测的重点区域，如出现安全隐患或安全事件，可能造成极为严重的后果。所以态势感知平台既要覆盖互互联网，同时覆盖工业网络，实时监测发现安全威胁，为该自来水有限公司全网IT和OT的安全监测与预警体系提供技术支撑。

（4）APT监测预警

该自来水有限公司工业控制网络和企业办公网逻辑隔离，所以全网在考虑工业控制网络安全的同时也要兼顾办公网的安全监测预警，办公网除了常规的入侵风险，也会面临APT攻击，APT的监测和预警也是建设的要点。

APT监测需要对流量进行深度解析，发现流量中的恶意攻击，提供了全面的检测和预警的能力。发现0day漏洞利用、未知恶意代码等高级攻击手段，检测到传统安全设备无法检测的攻击，为用户提供更高级的安全保障。

3.3案例实施后解决的问题

(1)构建情报驱动的溯源分析能力

通过基于大数据技术平的企业级工业安全态势感知平台的建设，在平台完成以威胁情报中心作为信息源，通过收集内部与外部威胁信息，以及与第三方情报提供商合作，形成企业自主的情报中心，主动掌握攻击方最新的活动及攻击手段。在监测告警环节启动应急响应流程，全程跟踪安全事件及漏洞，将被动挨打转化为主动出击。依托强大的安全大数据处理能力，对公司全网进行快速排查与分析，打造主动纵深防御的机制，第一时间掌握企业安全态势，做到全局把控，避免出现攻击事件突发情况的产生，从企业内部根本性解决安全隐患。

(2)提高技术能力和安全意识

在平台运营过程中，将技术创新贯穿到业务系统的全生命周期中，形成全生命周期的安全检测机制；让最了解自己业务的技术人员主动去检测自己的业务系统.将定期对相应的人员进行评优，给予相应奖励，充分调动了大家的积极性，提高了安全意识与安全技能。

(3)满足了工控安全等保合规性

在当前国家政策的指引下，工控安全合规性事关重要，首先必须满足合规的最基本相关要求，而后在此基础上再从提高企业自身的安全运营能力上进一步去提升公司的工控安全建设。本项目中应用具有免疫特征的安全防护体系、机制和关键技术在保证合规性建设的同时，可以持续为解决新技术、新应用所带来的安全问题。

(4)提高了安全运维人员的工作效率

通过平台的考核管理模块，可以创建考核任务，为各个厂或者相关人员进行整体的安全评价，方便安全运维人员实时掌握各厂或者人员对安全工作开展的情况；

安全运维人员可以一键生成安全运营及分析报告，以图形化形式对报告进行展现，解放安全运维人员以往需要人工编写分析运营报告的工作，并且当发生安全事件时，可以提供详细的安全事件分析溯源取证信息及专家处置建议指导，帮助企业洞察网络安全态势；“一张卡片看清风险，一页报告看清始末”，为企业安全运维人员展示企业基本信息以及发生的安全事件和处置的状态，以及系统和资产的安全状态，企业面临的安全风险等等，方便安全运维人员及时掌握整个企业的安全状况；

项目中部署的工业安全态势感知平台提供在线安全培训模块，可以让相关人员及时的学习相关的网络安全知识；可以实时掌握资产访问流量、访问次数变化趋势，访问来源、资产的漏洞信息等，方便安全运维人员对整个企业的资产的安全管理；

平台实现安全自动化编排响应（自动化处置相关的事件），为安全运维人员从分析工作中解放出来，可以流程化的完成事件的管理，提高协作沟通能力。

4、 应用价值与效益

本项目在水务行业工控安全领域的实际应用，显著提升了企业对网络安全风险的识别、响应与处置能力。通过构建情报驱动的安全监测与溯源分析机制，企业能够主动掌握潜在攻击者的行为特征与威胁动态，实现从“被动防守”向“主动防御”的转变。借助平台化大数据能力与威胁情报中心联动，提升了对全网风险的掌控效率，有效规避安全突发事件带来的系统瘫痪与运营损失。此外，本项目还具备以下显著优点：

（1）行业适配性强：方案针对供水行业民生保障属性设计，兼顾工控系统稳定性与公共安全需求，向同行业（如污水处理、燃气供应等市政公用事业）推广时，可快速复用分域防护、合规建设等核心模块，降低行业适配成本。

（2）技术体系成熟：从通信、边界到主机的多维防护，结合自动化响应与态势感知，形成完整纵深防御链，且经实际项目验证能解决边界模糊、应急弱等共性问题，技术可迁移性高，适用于其他工业控制场景（如电力、智能制造）。

（3）在商业模式成熟：方案以“平台+服务”方式部署，具备高度通用性与可复制性，可推广至各类供水、供热、市政等公用事业单位，形成标准化工控安全解决方案。

在经济效益上，方案通过避免网络安全事故带来的直接经济损失与间接停产成本，显著提升业务连续性；在社会效益上，保障了城市供水等重要民生基础设施的安全稳定运行，助力提升监管效能与公众安全感。