01
前 言
灌区作为我国重要的公益性基础设施,对经济社会发展具有深远影响。它是确保国家粮食安全和农产品稳定供应的关键,同时为城镇、工业用水以及生态环境提供必要的水资源。灌区还是山水林田湖草系统治理和乡村振兴战略的重要支撑点。自1998年以来,党中央和国务院一直高度重视灌区的建设和发展,投入巨额资金进行大型灌区的续建配套和节水改造工程,有效解决了灌区的病险问题、“瓶颈”制约和骨干渠段的严重渗漏问题,显著提高了农业的综合生产能力和灌溉水的利用效率。由于灌区早期建设标准较低、运行时间较长,加之受到水土资源变化和水资源供需矛盾加剧等因素的影响,一些灌区在工程设施、用水管理和可持续发展等方面仍面临挑战。这些问题限制了灌区在支持乡村振兴战略、保障国家粮食安全和发展现代农业方面的潜力。
“十四五”期间,是开启建设社会主义现代化国家新征程的重要时期,《中共中央关于制定国民经济和社会发展第十四个五年规划和2035年远景目标的建议》作出了全面部署安排,国务院将大型灌区续建配套与现代化改造纳入了近期推进的150项重大水利工程,水利部及地方政府也将其作为水安全保障规划的重点,为下一步加快实施奠定了基础。进一步加强大中型灌区建设与管理,必将为落实“藏粮于地、藏粮于技”战略,保障国家粮食安全发挥重要作用。
02
政策背景
2022年12月29日,水利部办公厅下发《水利部办公厅关于开展数字孪生灌区先行先试工作的通知》,启动48处大中型灌区开展数字孪生灌区先行先试建设。
2023年2月24日,《2023年农村水利水电工作要点》,2023年农村水利水电工作的总体思路包括:紧盯保障国家粮食安全,加快推进大中型灌区现代化改造,新建一批节水型、生态型现代化灌区;深化农业水价综合改革,加快数字孪生农村水利工程建设,扎实推进农村水利水电高质量发展。
2023年5月25日,中共中央、国务院印发《国家水网建设规划纲要》,加强水网与相关产业协同发展。推进国家水网与现代农业融合发展,在粮食主产区及水土资源条件适宜地区,新建一批现代化大型灌区;推进大中型灌区续建配套和改造,提高灌编配水效率。
2023年10月24日,十四届全国人大常委会第六次会议表决通过了全国人民代表大会常务委员会关于批准国务院增发国债和 2023 年中央预算调整方案的决议,明确中央财政在 2023 年四季度增发 2023 年国债1 万亿元,万亿国债重点投资方向包括灌区建设建造和重点水土流失治理工程方面,提高灌溉系统的效率和可靠性,确保水资源的合理分配和高效利用。
03
灌区网络简介
灌区信息化是指利用现代信息技术,对灌区的水情、雨情、土壤墒情、气象等信息进行监测,实现对泵站、闸门等的远程控制,以及对水资源的优化配置和管理。信息化建设能够提升灌区的管理效能,实现灌区的现代化,为灌区管理部门提供科学决策的依据。具体来说,灌区信息化网络通常包括自动化控制网络、视频监控网络、办公网络,以实现对灌区信息化全面的监控和管理。
图3-1 灌区信息化网络拓扑图
1 自动化控制网络
自动化控制网络是灌区信息化的核心,负责实现对灌区关键设施(如泵站、闸门等)的远程控制。使用传感器来监测实时数据,如水位、流量、闸门状态等,并通过执行器根据预设的逻辑或远程指令自动调节设施。自动化控制网络使用稳定的通信技术,如4G/5G、光纤通信等,以保证控制指令的及时性和准确性。
自动化控制网络是提高控制工作自动化和智能化水平。通过信息化系统控制闸门及泵站,实现无人管理目标,同时保证灌区灌溉流量科学、合理。液位变送器和闸门遥测终端设备安装到闸门上,通过测量水位,分析灌区流量。在此基础上,遥控终端能够结合灌区灌溉需求调节闸门开度,既能够提高灌区灌溉效率,也能够达到水资源节约目标。
2 视频监控网络
视频监控网提供对灌区关键位置(包括渠道、闸门等)的实时视频监控能力,通过采集灌区图像数据,在保证数据完整性基础上及时传输给管理部门,为管理人员开展管理工作提供可参考的图像信息,管理者基于图像信息可以掌握灌区节水灌溉工程运行状况,并通过视频监控系统远程下达指令,既能够保证灌区问题及时处理,也能够减少管理人员的工作强度。
3 办公网络
办公网是灌区管理人员进行日常工作的信息化平台,支持文档管理、通讯、会议、任务分配等功能。通过办公自动化系统(OA)等工具提高工作效率,实现信息共享和流程自动化。办公网也可能包含与外部系统互联,如上级管理部门、合作伙伴等,以便于信息交换和业务协同。
04
网络安全风险分析
1 网络区域边界控制安全风险
自动化控制网络分别与视频监控网络、办公网之间连通,网络区域边界缺乏网络访问控制、网络病毒防范等措施,可能导致网络病毒或非法攻击通过办公网进入自动化控制网络,对调度工作站、服务器、闸机等进行攻击,通过控制调度工作站,下发异常指令影响现地自动化控制设备的正常运行。
灌区水位/流量监测以及闸门远程控制系统综合考虑建设成本,选择通过运营商4G/5G网络接入自动化控制网络,普遍存在接入过程缺乏终端设备身份的校验、无法对传输指令进行安全管控、数据传输过程未进行安全加密等安全风险。
相同层级的片区分控中心相连接,区域边界存在非授权访问、数据泄露、中间人攻击的安全风险。
2 网络内部审计安全风险
自动化控制网络中,常见的协议包括工业控制协议和TCP/IP 协议,大部分工业控制协议在设计之初没有包含认证机制,导致无法有效验证通信双方的身份,增加了未授权访问和操作的风险。另外,工业控制协议和 TCP/IP 协议均存在较多已公开的协议漏洞,在缺乏对网络流量和访问活动的持续监控与审计的情况下,一旦遭到网络入侵攻击,将难以迅速识别攻击源,并对事件进行有效的追踪和事后分析。
3 调度工作站/操作员站安全风险
灌区水位/流量遥测终端RTU对取(引)水口、配水口、排水口、用水管理分界点进行水位、流量、水质等实时监测,对地下水位、取水量实时监测。调度工作站通过向灌区水位/流量遥测终端RTU下发指令,调整水位/流量监测频率或配置报警阈值,负责 RTU 的正常运转,对实时性、安全性、可靠性的要求非常高。攻击者如通过非法手段控制调度工作站,对正常的工作指令进行修改、停止等操作,将会对灌区水位和流量的监测数据不准确,可能会造成水资源管理决策失误,导致农作物损害或生产中断,从而造成经济损失。
远程闸门控制系统可根据系统下达的指令,实现对渠道进水闸门、节制闸门或重点支渠、水源的渠首闸门的远程控制与管理。分控中心监控网络操作员站通过向远程闸门控制系统下发指令,可以实现对闸门的开启、关闭、调节等操作,对实时性、安全性、可靠性的要求非常高。攻击者如获得调度工作站的控制权,并对常规操作指令执行修改或中断等非法操作,可能会造成闸门控制失常,导致上下游水流量突变,引发洪灾,对人民群众的生命和财产安全构成严重威胁。
4 办公网、视频监控网终端安全风险
办公网、视频监控网终端是灌区信息化网络中的重要组成部分,承载着日常的业务运作和信息处理。面临着来自网络病毒攻击的多重风险,网络病毒能够自我复制并迅速在网络中传播,对系统安全和数据完整性构成严重威胁。
网络病毒可通过多种途径潜入办公网终端,例如通过电子邮件附件、下载的软件、不安全的网页链接,甚至是USB等移动介质。一旦进入系统,病毒便开始执行其预设的恶意行为,如窃取敏感信息、破坏系统文件、监听键盘输入或锁定用户数据进行勒索。
网络病毒攻击可能导致重要业务数据的丢失或泄露。
病毒攻击还可能造成系统运行缓慢甚至完全崩溃,导致业务中断。在高度依赖信息技术的今天,任何系统停机都可能导致工作流程受阻,影响系统服务和内部运营效率。
网络病毒还可能作为其他网络攻击的载体,如DDoS攻击、APT攻击等,进一步加剧安全风险。网络病毒可能在被感染的终端上预留后门,为攻击者提供进一步渗透网络的机会。
5 网络攻击检测与响应能力风险
自动化控制网络、视频监控网络和办公网在边界处缺乏有效的网络攻击检测机制,将无法识别并应对以下关键安全要素:
攻击源IP:无法追踪定位攻击发起的源头,导致难以采取针对性的防御措施。
攻击类型:无法辨识攻击的性质,例如是分布式拒绝服务攻击(DDoS)、勒索软件攻击还是钓鱼攻击等。
攻击目标:无法确定网络中哪些资产或系统成为攻击的目标,影响对关键资源的保护。
攻击时间:无法知晓攻击发生的具体时间,限制了对攻击行为的及时响应和阻断。
此外,当发生严重的入侵事件时,网络无法提供实时报警,将导致无法迅速启动应急响应措施,增加了对网络威胁的反应时间,从而可能放大安全事件的影响范围和严重性。
6 资产漏洞检测与管理能力风险
灌区自动化控制网络资产的分散性为系统带来一系列的安全风险,尤其在漏洞管理方面。由于资产分布在广阔的地理区域,包括各种RTU、PLC等设备,工业资产的多样性和广泛性使得建立全面的资产清单变得复杂。缺乏详尽的资产信息,难以准确识别和评估整个网络中的潜在漏洞,导致安全管理出现盲点。
另外,过时的设备和软件在灌区自动化控制系统中很常见,老旧资产往往不再接收官方的安全更新和补丁支持,携带大量已知漏洞,成为攻击者的主要目标。配置错误也是导致漏洞风险增加的原因之一,不当的配置可能留下安全漏洞,如开放的网络端口、默认或弱密码等,为攻击者提供了便利的入侵途径。
补丁管理的不足意味着即使已知漏洞存在,相关修复也可能未能及时应用,使得系统长时间暴露在威胁之下。此外,由于工控系统的复杂性,漏洞扫描和风险评估可能不够频繁或不够深入,导致新出现的安全威胁无法被及时发现和修复。
7 日志管理与分析能力风险
灌区网络信息化资产数量日趋增多、系统的关联性和复杂度不断增强,信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。针对日志管理与分析方面,存在以下安全挑战:
1)
日志存储分散
网络中的各种网络设备、安全设备、应用系统等分散在网络的不同位置,审计人员需登录不同设备控制台查看设备产生的日志、设备的状态。
2)
日志数据量大
网络中的各种安全设备、网络设备、应用系统等每天会产生大量的日志,审计人员很难通过人工的手段进行集中存储管理以及有效分析。
3)
日志格式不统一
网络中的各种网络设备、安全设备、应用系统等不同的设备类型产生的日志,其格式都不相同,审计人员需了解每种设备日志的格式才有可能去分析日志,日志分析成本很大。
4)
日志留存难
全网设备每天产生的日志量多,对留存的空间要求非常高,通常还要防止不法分子盗取、修改设备日志。
5)
威胁定位难
当威胁产生时无法利用已有日志对威胁进行详细定位,从而使威胁进一步扩大。
6)
入侵溯源难
当威胁产生时无法关联其他日志进行溯源,无法找到问题的源头从根本上解决问题。
7)
事后取证难
无法提取到针对外部攻击和内部违规操作的相关日志,从而无法为事后调查提供依据,导致事后难以追查。
8 统一安全管控能力风险
灌区信息化网络由于其设备广泛分布和数量庞大,面临着集中安全管控的不足,导致存在信息安全领域的孤岛现象,阻碍对网络安全状况的全面审查和趋势预测。同时,系统内部的第三方运维结构复杂,涵盖了自动化和生产设备的维护等,但缺少严格的安全管理措施,例如有效的身份证明、对移动存储介质的控制以及对运维活动的监督审查。这些不足使得运维环节的安全性难以得到保障,一旦发生安全事件,其来源和责任也难以追踪。
05
灌区网络安全建设方案
为解决灌区信息化网络安全风险,提升灌区信息化网络整体安全防护能力,切实满足等保“一个中心,三重防护”合规建设要求,北京威努特技术有限公司(以下简称“威努特”)从以下两个方面加强灌区网络安全建设,提升灌区网络安全防护能力,构建多层次的网络安全纵深防御体系,确保灌区信息基础设施的稳定运行和数据安全。
自动化控制网络安全建设方面,首先通过技术手段实现安全区域边界的“白环境”,实现访问控制白名单固化、工业协议白名单固化、业务白名单固化。其次,针对工业主机的特殊性,建立工控主机安全计算环境 “白名单”,实现应用锁定、系统锁定、外设锁定、网络锁定,协同统一安全管理平台建立工控主机的安全管理中心、安全状态监测中心。再次,实时监测自动化控制网络内关键网络节点的业务流量,建立安全通信网络“白环境”,实现自动化控制网络异常流量监测、异常行为监测。在自动化控制网络建设安全管理中心,实现自动化控制网络工业资产的主动发现、漏洞的无损探测、网络攻击检测、安全运维、日志审计分析等能力。采用统一安全管理平台实现自动化控制网络安全产品的统一策略下发,提高运维效率,降低维护成本,构建“一个中心、三重防护” 的纵深防御体系。
视频监控网络、办公网网络安全建设方面,首先通过技术手段实现视频监控网络、办公网络与自动化控制网络边界隔离,实现网络区域边界访问控制,防止非授权访问。其次,针对网络入侵防范及恶意代码防范要求,加强网络入侵攻击检测、恶意代码防范的能力。最后,针对终端安全防护要求,提升终端恶意代码防御能力。
威努特灌区网络安全建设方案整体产品部署架构如下图所示。
图5-1 威努特灌区网络安全建设方案设计示意图
1 网络区域边界安全防护
在自动化控制网络调度中心区域边界、各片区分控中心闸门远程监控网络区域边界部署威努特工业防火墙,实现调度中心、各片区分控中心之间的区域边界隔离,根据自动化控制网络调度中心、各片区分控中心闸门远程监控系统内部业务访问关系设置详细的访问控制策略,管理和控制出入不同区域的信息流,防止系统内部的非授权访问行为。并且通过工业防火墙的工业协议深度解析能力、业务白名单策略、工业入侵防御能力等措施,保障自动化控制设备运行的连续性与安全性。
鉴于灌区水位/流量遥测终端 RTU以及闸门远程控制系统闸门 LCU通过运营商4G/5G网络远程接入自动化控制网络的场景,通过部署威努特物联网安全接入网关,利用产品的4G/5G功能与 RTU 和 LCU 的连接,实现对接入设备身份识别,保障灌区水位/流量监测、闸门远程控制系统数据传输的完整性与可靠性,并能够对所有远程控制指令进行安全性校验,确保只有可信的指令才能下发至现地工程自动化系统。
在办公网区域边界出口、自动化控制网络与视频监控网络区域边界、各分控中心视频监控区域边界部署威努特第二代防火墙,在第二代防火墙上设定相应的访问控制策略,来限定某些IP、某些端口、某些应用的访问行为。对所有流经第二代防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击。启用入侵防御和防病毒功能,提供动态的、深度的、主动的安全防御以及恶意代码防范。
在自动化控制网络与办公网区域边界部署威努特工控安全隔离与信息交换系统,通过对自动化控制网络数据的访问进行控制,有效防范恶意攻击和敏感信息泄露,保障自动化控制网络与办公网隔离的同时,实现安全、高速、可靠的数据交换。另外,能够对自动化控制网络边界进行安全防护,实现自动化控制网络与办公网间的物理隔离,彻底阻断网络中病毒、木马、蠕虫等恶意程序的传播,保护了自动化控制网络中关键信息基础设施的安全,提升边界的安全防护能力。
2 网络安全监测与审计
在自动化控制网络核心交换机、各分控中心监控网络交换机上旁路部署威努特工控安全监测与审计系统,能够实时检测出针对灌区自动化控制网络、各分控中心监控网络的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播,帮助客户及时采取应对措施,避免发生安全事故。同时,工控安全监测与审计系统能够详实记录一切网络通信流量,包括网络连接、网络协议、网络会话、工控协议指令等,并提供简便易用的回溯功能,为工业控制系统安全事故调查提供技术手段。
3 调度工作站/操作员站安全防护
在自动化控制网络调度工作站和各分控中心监控网络操作员工作站上部署威努特工控主机卫士,通过其白名单机制为调度工作站和操作员工作站创建一个安全的运行环境,非法进程和应用程序无法通过安全检验,确保将病毒、木马以及恶意软件阻挡在终端运行环境之外。同时对USB端口、蓝牙、无线接口进行全面管控,U盘等未授权设备无法接入终端计算机,有效防范通过USB接口发起的高级攻击。
通过部署工控主机卫士,提升调度工作站和操作员工作站的安全防护能力,确保灌区水位/流量遥测终端RTU和远程闸门控制系统控制指令下发的实时性、安全性和可靠性。
4 办公网终端安全防护
在办公网络终端和视频监控网络多媒体工作站部署威努特终端检测与响应系统,以资产智能识别为基础,以终端威胁检测、异常行为监测、多层级响应机制,帮助用户快速处置终端安全问题,构建终端安全防护系统,精确检测已知病毒木马、未知恶意威胁,常见勒索病毒、终端漏洞等,提升终端安全防护能力,降低灌区信息化网络安全风险。
5 网络入侵攻击检测
在自动化控制网络核心交换机上旁路部署威努特高级威胁检测系统,对灌区自动化控制网络东西向的网络流量进行实时分析,通过联动沙箱、AV病毒检测、对恶意样本、恶意流量、行为异常等威胁进行重点识别,弥补自动化控制网络自身业务系统脆弱的不足,保护自动化控制网络安全,系统性地解决已知威胁、未知威胁等各类网络攻击。
在办公网核心交换机、视频监控网核心交换机、各分控中心视频监控子网核心交换机上旁路部署威努特入侵检测系统,通过对网络中的协议状态检查和智能关联分析,为灌区办公网络、视频监控网络提供全面的信息展现和安全预警,为改善网络的安全风险提供决策依据,入侵检测系统是网络边界隔离防护的合理补充,对网络中协议的识别、入侵行为的检测、安全策略的管理、日志及告警的管理、系统及系统数据的管理等,进一步完善灌区办公网、视频监控网络的安全管理能力。
6 漏洞安全检测与管理
在灌区自动化控制网络安全管理中心部署威努特工控漏洞扫描平台,通过扫描灌区自动化控制网络中的各种设备和系统,识别存在的安全漏洞和脆弱点,评估漏洞可能带来的风险,清晰定位系统脆弱性风险,给出漏洞修复建议和预防措施。通过工控漏洞扫描平台能够及时发现和修复漏洞,减少被黑客攻击的可能性,保护灌区的关键基础设施不受损害,有助于保障灌区的水资源管理安全、高效和可持续。
7 日志安全管理
在灌区自动化控制网络安全管理中心部署威努特日志审计与分析系统,对海量日志进行集中管控,协助客户能够从日志采集、存储、分析、告警等环节参与日志全生命周期管理,有效解决日志分散、日志量大、日志格式不统一的问题,助力安全运维。另外,日志审计与分析系统能够对日志进行留存,支持回溯查询,有效解决事后追查困难、无法提供有效证据的难题。同时,日志审计与分析系统可在信息获取和分析验证等方面提供技术支撑,当体系做出调整后,日志能够更加准确地反映出系统情况,助力灌区网络安全监测体系构建,提升网络安全防御能力。
8 统一安全管控与审计
在灌区自动化控制网络安全管理中心部署威努特统一安全管理平台,对自动化控制网络内部网络安全设备进行统一管理,实现安全策略统一配置下发、安全告警统一呈现,可以提高自动化控制网络的安全性和运维效率,降低安全风险,并确保业务连续性和数据完整性。
在灌区自动化控制网络安全管理中心部署威努特安全运维管理系统,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计,实现对运维人员的操作行为审计,以及对违规操作、非法访问等行为的有效监督,为事后追溯提供依据,解决了运维行为无法监控的问题以及在访问系统资源、操作记录无法做到安全审计、事后可追溯的问题。通过安全运维管理系统,提升灌区自动化控制网络安全性,有助于构建一个更加安全、可控的网络环境。
06
客户价值
1
提高系统稳定性
通过网络安全措施,减少系统受到攻击的风险,提高灌区信息化系统的稳定性和可靠性。
2
提升灌区的管理效能
增强对水情、雨情、土壤墒情、气象等信息的监测,以及对泵站、闸门的远程控制的安全防护,确保灌区收集和传输的数据免受未授权访问、篡改和破坏,保护灌区网络数据资产安全,提升灌区的管理效能。
3
优化资源配置
通过网络安全保障的信息系统,更有效地监控和分配水资源,提高水资源的利用效率。通过自动实时监控引水、输水、配水等全过程的水位、流量,为灌区水资源优化配置提供数据支撑。
4
满足合规要求
符合国家和行业的网络安全法规和标准,可确保在提升灌区信息化网络安全防护能力的同时,满足合规要求。
07
结 语
随着智慧水利的发展,灌区网络安全建设已成为确保水资源管理现代化、智能化的关键基石。威努特灌区网络安全建设方案,以“智慧水利,安全先行”为核心理念,不仅为灌区信息化系统构筑一道坚固的安全防线,还为灌区的可持续发展提供了有力支撑。
方案通过综合运用先进的网络安全技术和管理策略,实现对灌区信息化系统的全方位保护。从数据采集的安全传输到决策支持的精准分析,每一个环节都体现对安全的重视和对效率的追求。通过方案的实施,不仅提升了灌区管理的智能化水平,更确保了水资源的合理分配和高效利用。
展望未来,威努特将继续紧跟技术发展的步伐,不断优化和升级网络安全解决方案。我们坚信,通过不懈的努力和持续的创新,威努特将能够为灌区乃至整个水利行业的网络安全贡献更大的力量。
在此,我们诚挚地邀请各方合作伙伴和行业同仁,携手共进,共同推动智慧水利的发展,守护我们宝贵的水资源,为实现绿色、可持续的水利事业而努力。
智慧水利,安全先行。威努特与您同行,共创安全、智能、高效的水利未来。