清波碧流从高高的河床上飞身而下，转化为电能点亮城市之光；一条条水脉干渠如同潜龙，蜿蜒贯通城市接入千家万户。山脉逶迤，蜿蜒结作。千百年来，西南地区的灵山秀水见证着这里的沧桑巨变。水，从最初依水而居的繁衍生息之力，逐步成为贯通城市命脉的“血液”之本。

西南地区河流众多流量丰富，且地跨阶梯交接处，落差大，是我国水资源最为丰富的地区。公开资料显示，西南地区的水资源总量占全国水资源总量的4成左右，水资源的合理开发和利用已成为西南地区实现可持续发展的重要工作。近年来，随着数字化和智能化的发展，智慧水网在城市缓慢铺开，城市水务正在走向生产智能化、工艺装备化、设备集成化、监测数据化和管理信息化的智慧化发展道路。随着IT和OT互联互通，为确保生产安全，工业自动化控制网络信息安全显得越发重要。

长扬科技作为城市安全生命线的捍卫者，正承担着促进西南某城市”血液”循环安全运行的重任。

在西南地区，长扬科技与当地大型水务集团共同打造行业标杆案例，共实施了该集团下20个水厂和污水处理厂的生产网的安全部署，对其进行了技术体系与管理体系的整体建设。这是行业首家进行完整的工控安全解决方案设计实施的案例，同时也是首家按照等保2.0三级要求设计并通过测评的案例。依据网络安全等级保护的基本要求，不仅从安全技术角度提出了解决现阶段水处理行业面临的安全问题的办法，同时从安全管理方面给出了需要加强的安全管理建设内容，并且结合最新的工业安全标准与技术，在满足等级保护的同时做到安全运营与网络安全监测。

案例背景

某水务集团下自来水公司负责西南某城市某主城区多个片区区域供水。包含两个水厂，下辖该市某区供水有限公司，供水能力十几万m³/日。其工业控制系统为分层分布开放式结构，采用环形冗余光纤快速以太网拓朴结构，本解决方案主要针对其工业控制网络提出安全防护建议，同时完成等保整改安全服务。
通过近年来的网络安全建设，水处理行业工业控制系统信息安全保障能力得到一些提升，但仍存在安全挑战：

• 网络安全管理体系亟需完善；
• 办公网与生产网之间需要加强隔离措施；
• 安全技术防护缺失问题有待解决；
• OT网自身的脆弱性；
• 网络安全人才储备需进一步提升。

总体而言，水务关键信息基础设施网络安全管理工作成效逐年提升，但是离既定的目标和要求还有很大差距，仍需要结合工控系统运行实际情况加强防护技术建设并提高管理能力。

解决方案建设思路本案依据行业网络安全的以下总体思路：

• “分级分域、整体保护 、积极预防、动态管理”策略；
• 以风险为核心，先了解风险，再分步规划实施 ；
• 进行网络区域划分，纵向分层，横向分区 ；
• 同时以技术为先，管理跟随；
• 进行边界分层防护，域内实施监控。

根据水处理行业的核心业务系统的安全建设需求，结合工控安全特性，为企业构建工控安全管理和服务体系，实现水务工控系统网络安全防护，全面提升工控网络的整体安全性，保障系统的安全稳定运行，同时达到网络安全法和《网络安全等级保护基本要求》(GB/T 22239-2019)的相关要求。

根据该自来水生产网络安全现状并结合生产系统运行环境相对稳定、系统更新频率较低的特点，结合工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求，提出基于“白名单”机制的工业控制系统信息安全解决方案，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全环境。

建设方案

在“一个中心、三重防护”理念的基础上，进行全方位主动防御、安全可信、动态感知和全面审计。

技术体系框架

一，机房物理环境建设

完善视频监控、灭火装置、门禁系统、温湿度控制设备等基础物理安全设施。

二，入侵防御系统建设

通过部署，实现了工控网和办公网的安全深度隔离，同时满足了等级保护中关于入侵行为检测与阻断、网络病毒传播阻断等安全要求。

三，工业防火墙建设

在工控网与办公网之间采用工业防火墙进行纵向区域隔离，该防护设备内置工业控制系统漏洞库，能够进行工业控制协议深度解析，并支持黑白名单防护，自动学习工业数据流特征，自动辅助生成安全防护策略，对工控网中的网络通信行为进行细粒度的控制，可有效地阻止网络攻击向关键区域、关键设备蔓延。

四，工控主机卫士建设

• 通过配置上位机访问控制策略，阻断高威胁端口（如135、137、445等高威胁病毒传播端口），阻止工控网络中病毒威胁扩散；
• 通过配置上位机进程白名单策略，阻断恶意程序或者病毒程序的运行，实现对上位机的进程精细化管理，确保非法程序无法运行；
• 通过配置USB管控策略，阻止非授权USB设备使用，实现对USB设备的严格管控，降低病毒传播风险。

五，入侵检测系统建设

通过部署入侵检测系统，可以有效的监视交换机上的所有实时传输数据，提供专业全面入侵检测能力。通过协议状态检查和智能关联分析，提供给用户全面的信息展现和安全预警，为改善用户网络的风险控制环境提供决策依据，实现对工业控制系统安全威胁的识别与预警，为网络安全事件的故障排查、威胁溯源提供有力的技术手段。

六，日志审计系统建设

通过主被动结合的方式，实时地采集网络中安全设备、网络设备、主机、操作系统以及各种应用系统产生的海量日志信息，对收集的日志信息进行集中化存储、备份、查询、审计、告警、响应，并可出具丰富的报表报告，实现全生命周期的日志管理，同时满足网络安全法对于日志溯源与审计六个月的留存时间要求。

七，安全运维堡垒机系统建设

通过堡垒机实现对被管理设备的统一授权，统一认证、统一审计、统一回放等安全集中控制，加强内部业务操作行为监管、避免核心资产损失、保障业务系统的正常运营。

八，管理体系方案

形成包括安全管理制度建设、安全管理机构建设、安全管理人员建设、安全建设管理建设、安全运维管理建设在内的管理体系方案。

九，安全服务体系建设

安全服务是保证设备和系统安全运行的关键防护措施，本次安全服务主要根据现场实际情况与等级保护2.0差距分析报告及整改建议对工控环境的操作系统、数据库、网络设备、安全设备进行安全服务。

建设效果整体实施中包含了工控网络风险调研分析、安全管理体系完善（安全管理制度分析编制、安全意识培训、工控安全应急响应机制完善、运维体系优化）、安全技术体系的建立（工控安全域划分、工控网络安全检测、工控安全域防护、工控安全管理平台，产品包含了工控安全管理平台、工控监测审计、入侵防御系统、入侵检测系统、工控防火墙、工控主机卫士等）。

从技术和管理两个方面进行安全建设，做到了对网络资源可信、可控和可管，使工业控制系统形成一套完善的安全防护体系，具有抵御高强度连续攻击（APT）的能力。其具体效果，可分为以下三方面：

第一，降低信息安全风险，提高工业控制系统的安全防护能力。

• 通过实施本项目，发现系统与国家安全标准之间存在的差距，查明目前系统存在的安全隐患和不足；
• 在已实施水厂中，完成了6000+漏洞整改加固，最终将高危漏洞的数量降为0；
• 20个厂的安全管理制度落地，明确了网络安全责任与主体；
• 通过安全整改之后，网络在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，能抵抗较为严重的自然灾害，以及防范计算机病毒和恶意代码危害。具有检测、发现、报警及记录入侵行为的能力；
• 具有对安全事件进行响应处置，并追踪安全责任的能力。遭到损害后，具有较快恢复正常运行状态的能力；
• 对于服务保障性要求高的网络，能快速恢复正常运行状态；
• 具有对网络资源、用户、安全机制等进行集中控管的能力。

第二，满足国家相关法律法规和制度的要求以及相关主管单位和行业要求。通过开展网络安全等级保护工作，能积极响应国家相关法律法规、政策制度以及公安、网信办等行业主管单位的要求。

第三，合理地规避和降低风险。2011年9月中华人民共和国工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号），通知中明确要求了按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，建立健全信息安全责任制。每年都会发生一些较大的网络安全事件，通过开展等级保护工作，从主观上防患于未然，合理降低风险。  

行业价值

水处理行业标杆示范项目

本案是西南水处理行业第一家进行完整的工控安全解决方案设计实施的案例，同时也是第一家按照等保2.0三级设计并通过测评的案例。可复制可推广性强，示范效果显著；

创新示范效益显著

通过项目建设，有利于孵化行业标准，提升行业监管、企业管理的效率及水平。尤其有利于在水处理领域形成工控及网络安全监管示范效应；

管理效益突出

该案从上到下，从下到上的双向机制，建立了该水务集团工控及网络安全管理体系，制定工控安全综合管控平台业务与技术规范，建立管理标准与制度体系。实现了对所有工控安全防护设备及系统的统一管理，降低运维管理成本。尤其为集团级工控信息化提供样板指导。实现山与水、水与城、城与人和谐共生，实现以水的“灵气”彰显城市的“神气”，西南地区城市智慧发展离不开安全这一刚需命题。长扬科技依托专业、可靠的集团级工业网络安全保障能力，致力保障城市安全生命线，为提升城市形象和区域价值，加快推进区域高质量发展贡献安全力量。