1、背景介紹

寧波舟山某自來水有限公司是一家集供水生產、運營服務與工程建設于一體的綜合性供水企業，承擔著某縣城區及周邊14萬居民、千余家單位的日常供水任務，供水安全直接關乎民生保障和城市運行安全。隨著自動化系統廣泛應用，供水企業的信息網絡與工業控制系統正加速融合，網絡安全問題已成為關鍵風險源之一。技術方面系統固有的脆弱性、網絡邊界融合的風險、協議與設備安全的缺陷已經暴露；網絡與數據安全方面系統邊界模糊、數據安全威脅、外部攻擊手段不斷升級等風險已逐步顯現；運營管理方面安全管理體系碎片化、企業間安全標準不一、安全事件感知不及時、人員安全技能不足等問題也開始引起大家重視。

經過前期調研，發現該自來水有限公司存在系統邊界模糊、缺乏縱深防御體系、應急響應能力弱等問題，難以有效應對復雜多樣的安全威脅。同時，隨著《關鍵信息基礎設施安全保護條例》、《工控安全防護指南》、《網絡安全等級保護條例》等規則制度深入推進，供水行業對網絡與工控系統的安全合規要求不斷提高。為保障生產穩定、守護公共安全，需加快構建覆蓋通信、邊界、主機、審計和態勢感知等多維一體的安全體系，全面提升企業網絡安全防護水平與運營韌性。

2、 目標與原則

本項目的建設目標是結該自來水有限公司的網絡安全現狀，構建“技術+管理+運營”三位一體的縱深防御體系，由被動、單點防御轉為智能主動防御體系建設，全面提升某自來水有限公司的網絡安全保護及整網安全能力。同時，加強“監測預警系統”、“終端安全查殺能力”、“應急響應手段”、“大數據安全平臺”的落地建設，提升“集中管控能力”、“安全監測能力”、“分析溯源能力”三項能力。項目建成能實現以下具體目標：

(1) 通過安全監測能力建設，管理人員對目前內網所存在風險能夠精確掌握。

(2) 在對某自來水有限公司控制系統網絡（車間與倉庫）和辦公網絡邊界進行隔離，確保辦公網絡對某自來水有限公司控制系統訪問的安全性。

(3) 通過分析溯源能力建設，技術人員對生產網中入侵、異常行為的及時發現，對異常行為鏈條進行分析研判，對現場設備進行深度防護。

(4) 通過集中管控能力建設，管理人員、技術人員對整個工控系統各類設備運行狀況、安全狀況統一管理。

3、 案例實施與應用情況詳細介紹

3.1案例方案架構

構建分域的控制體系：在總體架構上將按照區域邊界保護思路進行，將某自來水有限公司工控系統和外部系統從結構上劃分為不同的安全區域，以安全區域為單位進行安全防御技術措施的建設，從而構成了分域的安全控制體系。

構建縱深的防御體系：某自來水有限公司工控安全解決方案包括技術和管理兩個部分，某自來水有限公司工控系統圍繞著安全管理中心，從安全通信網絡、安全區域邊界、安全計算環境三個維度進行安全技術和措施的設計，保證業務應用的可用性、完整性和保密性保護；通過集中管理，可對安全設備進行聯動，對確認的重大威脅或攻擊可進行安全聯動防護，充分考慮各種技術的組合和功能的互補性，提供多重安全措施的綜合防護能力，從外到內形成一個縱深的安全防御體系，保障系統整體的安全保護能力。

保證一致的安全強度：某自來水有限公司工控安全等級保護設計方案將采用分級的辦法，對于同一安全等級系統采取強度一致的安全措施，并采取統一的防護策略，使各安全措施在作用和功能上相互補充，形成動態的防護體系。

3.2案例技術詳情

3.2.1建立安全通信網絡

工業控制系統與企業其它系統之間應劃分為兩個區域，區域間應采用單向的技術隔離手段；工業控制系統內部應根據業務特點劃分為不不同安全域，安全域之間應采用技術隔離手段；涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離。

在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密傳輸。

(1)工業防火墻

在生產網服務區的邊界部署工業防火墻，實現生產服務區與各個工廠之間的訪問控制，利用工業防火墻通過深度解析OPC、Modbus、S7、Ethemet/IP(CIP)等數十種工控協議，建立工業網絡通信“電子柵欄”，阻止任何來自安全區域外的非授權訪問，有效抑制病毒、木馬在工控網絡中的傳播和擴散，防護針對SCADA、PLC、DCS等重要控制系統的各類已知、未知的惡意攻擊和破壞行為。

同時做好橫向隔離，工業網絡內部安全域間使用工業防火墻進行邊界劃分，并配置訪問控制策略，利用工業防火墻的多業務端口實現橫向隔離，只允許特定設備的特定協議通過（如OPC、Modbus等）。工業防火墻具有bypass功能，確保生產業務的連續性。

(2)安全區域邊界

設置訪問控制：在工業控制系統與企業其它系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網絡服務；應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。

(3)工業安全監測審計平臺

在該自來水有限公司的終端核心交換機上部署工業安全監測審計平臺，實時監測生產過程中產生的所有流量，識別多種工控協議，實現對工業控制系統內的異常流量、異常行為、異常操作、非法接入等安全風險的實時告警。

(4)工業入侵檢測系統

邊界訪問控制是實現可信網絡的首要前提，根據源IP地址，源端口，目的IP地址，目的端口和協議五元組進行判斷，符合訪問控制策略的將被允許，否則將被禁止，從而限制了對網絡的非法訪問。在網絡邊界部署入侵檢測系統，建立統一入侵檢測及防御體系。在邊界安全防護五元組策略的基礎上進行有效建設，并對目標網絡系統漏洞、協議弱點、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等威脅的一體化深度防御，在提升信息網絡的抗攻擊能力同時，加強對基礎網絡的安全控制和監控手段，來提升基礎網絡的安全性，從而為上層應用提供安全的運行環境。

(5)工業網閘

通過在互聯網服務器安全域與數據中心內網的安全邊界上以及在互聯網服務器安全域中的業務服務器與單個部門服務器安全域中的業務數據庫之間部署安全隔離網閘，對各部門的數據庫實現按需數據同步。用戶可以通過互聯網訪問到互聯網服務器區中的指定業務前置服務器中，互聯網服務器區的業務前置服務器負責接收用戶的業務訪問請求，并通過安全隔離網閘訪問內網某個部門前置受理服務器，在內部安全域實現內網前置處理服務器對相應數據庫完成業務處理，并將業務處理結果，按照用戶部門的不同，存儲在單個部門服務器安全域中、訪問用戶所在的部門的數據庫中，完成用戶通過互聯網對自己部門業務服務器的訪問。通過這種方式，可以為訪問提供更高的安全性保障。安全隔離網閘兩側網絡之間所有的TCP/IP連接在其主機系統上都要進行完全的應用協議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信，即實現“協議落地、內容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現最高級別的安全。

3.2.2建立安全計算環境

在該項目實施中關閉或拆除設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等，確需保留的通過相關的技術措施實施嚴格的監控管理；項目使用可專用設備和專用軟件對控制設備進行更新；

生產網計算機設備的USB接口使用監控管理、串行口或多余網口使用監控管理以及計算機內部惡意代碼程序管理等，都可通過主機安全及管理系統進行統一管理以及審計。

(1)主機安全及管理系統（EDR）

在生產網內計算機部署主機安全客戶端，在調度中心部署主機安全及管理系統平臺，對所有中心主機安全客戶端進行統一管理。EDR集成了系統加固與防護、網絡加固與防護等功能，也能應對攻防對抗場景； 內置文件誘餌引擎對勒索病毒具有專防專殺能力；內核級東西向流量隔離技術，實現網絡隔離與防護；同時具備補丁修復、外設管控、文件審計、違規外聯檢測與阻斷等主機安全能力。

(2)數據庫審計與風險控制系統

可對數據主機時間進行審計、網絡事件審計、數據庫時間審計、應用系統事件審計，并按照目標標識和事件類型等條件進行統計；通過綜合關聯分析，發現潛在危害和異常事件。

3.2.3建立安全管理中心

(1)綜合日志審計平臺

在項目中部署了綜合日志審計平臺，可集中收集分散在各個安全域探針的日志、流量等信息進行信息匯總和集中分析。通過多維度、跨設備、細粒度的關聯分析，打破信息孤島，自動進行日志審計，快速發現潛在安全事件。

(2)運維審計與風險控制系統（堡壘機）

通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監控、審計回放、自動化運維流程管理等功能，增強運維管理的安全性。

(3)工業安全態勢感知平臺

工業控制系統主要部署于企業生產網，與互聯網邏輯隔離，相關流量與日志信息通過網絡傳輸。工業企業生產網的相關流量和日志信息是工控安全監測的重點區域，如出現安全隱患或安全事件，可能造成極為嚴重的后果。所以態勢感知平臺既要覆蓋互互聯網，同時覆蓋工業網絡，實時監測發現安全威脅，為該自來水有限公司全網IT和OT的安全監測與預警體系提供技術支撐。

（4）APT監測預警

該自來水有限公司工業控制網絡和企業辦公網邏輯隔離，所以全網在考慮工業控制網絡安全的同時也要兼顧辦公網的安全監測預警，辦公網除了常規的入侵風險，也會面臨APT攻擊，APT的監測和預警也是建設的要點。

APT監測需要對流量進行深度解析，發現流量中的惡意攻擊，提供了全面的檢測和預警的能力。發現0day漏洞利用、未知惡意代碼等高級攻擊手段，檢測到傳統安全設備無法檢測的攻擊，為用戶提供更高級的安全保障。

3.3案例實施后解決的問題

(1)構建情報驅動的溯源分析能力

通過基于大數據技術平的企業級工業安全態勢感知平臺的建設，在平臺完成以威脅情報中心作為信息源，通過收集內部與外部威脅信息，以及與第三方情報提供商合作，形成企業自主的情報中心，主動掌握攻擊方最新的活動及攻擊手段。在監測告警環節啟動應急響應流程，全程跟蹤安全事件及漏洞，將被動挨打轉化為主動出擊。依托強大的安全大數據處理能力，對公司全網進行快速排查與分析，打造主動縱深防御的機制，第一時間掌握企業安全態勢，做到全局把控，避免出現攻擊事件突發情況的產生，從企業內部根本性解決安全隱患。

(2)提高技術能力和安全意識

在平臺運營過程中，將技術創新貫穿到業務系統的全生命周期中，形成全生命周期的安全檢測機制；讓最了解自己業務的技術人員主動去檢測自己的業務系統.將定期對相應的人員進行評優，給予相應獎勵，充分調動了大家的積極性，提高了安全意識與安全技能。

(3)滿足了工控安全等保合規性

在當前國家政策的指引下，工控安全合規性事關重要，首先必須滿足合規的最基本相關要求，而后在此基礎上再從提高企業自身的安全運營能力上進一步去提升公司的工控安全建設。本項目中應用具有免疫特征的安全防護體系、機制和關鍵技術在保證合規性建設的同時，可以持續為解決新技術、新應用所帶來的安全問題。

(4)提高了安全運維人員的工作效率

通過平臺的考核管理模塊，可以創建考核任務，為各個廠或者相關人員進行整體的安全評價，方便安全運維人員實時掌握各廠或者人員對安全工作開展的情況；

安全運維人員可以一鍵生成安全運營及分析報告，以圖形化形式對報告進行展現，解放安全運維人員以往需要人工編寫分析運營報告的工作，并且當發生安全事件時，可以提供詳細的安全事件分析溯源取證信息及專家處置建議指導，幫助企業洞察網絡安全態勢；“一張卡片看清風險，一頁報告看清始末”，為企業安全運維人員展示企業基本信息以及發生的安全事件和處置的狀態，以及系統和資產的安全狀態，企業面臨的安全風險等等，方便安全運維人員及時掌握整個企業的安全狀況；

項目中部署的工業安全態勢感知平臺提供在線安全培訓模塊，可以讓相關人員及時的學習相關的網絡安全知識；可以實時掌握資產訪問流量、訪問次數變化趨勢，訪問來源、資產的漏洞信息等，方便安全運維人員對整個企業的資產的安全管理；

平臺實現安全自動化編排響應（自動化處置相關的事件），為安全運維人員從分析工作中解放出來，可以流程化的完成事件的管理，提高協作溝通能力。

4、 應用價值與效益

本項目在水務行業工控安全領域的實際應用，顯著提升了企業對網絡安全風險的識別、響應與處置能力。通過構建情報驅動的安全監測與溯源分析機制，企業能夠主動掌握潛在攻擊者的行為特征與威脅動態，實現從“被動防守”向“主動防御”的轉變。借助平臺化大數據能力與威脅情報中心聯動，提升了對全網風險的掌控效率，有效規避安全突發事件帶來的系統癱瘓與運營損失。此外，本項目還具備以下顯著優點：

（1）行業適配性強：方案針對供水行業民生保障屬性設計，兼顧工控系統穩定性與公共安全需求，向同行業（如污水處理、燃氣供應等市政公用事業）推廣時，可快速復用分域防護、合規建設等核心模塊，降低行業適配成本。

（2）技術體系成熟：從通信、邊界到主機的多維防護，結合自動化響應與態勢感知，形成完整縱深防御鏈，且經實際項目驗證能解決邊界模糊、應急弱等共性問題，技術可遷移性高，適用于其他工業控制場景（如電力、智能制造）。

（3）在商業模式成熟：方案以“平臺+服務”方式部署，具備高度通用性與可復制性，可推廣至各類供水、供熱、市政等公用事業單位，形成標準化工控安全解決方案。

在經濟效益上，方案通過避免網絡安全事故帶來的直接經濟損失與間接停產成本，顯著提升業務連續性；在社會效益上，保障了城市供水等重要民生基礎設施的安全穩定運行，助力提升監管效能與公眾安全感。