总述

中国历来重视水利工作，建国以来建设的一大批水利工程，在生态治理、清洁能源开发、水资源调配管理等领域发挥着重大作用，是国民经济关键基础设施的重要组成部分。随着我国智慧水利整体规划的推进，水利工程工控系统逐步从封闭网络走向开放，面临越来越多来自网络的攻击威胁。2020年4月，以色列污水处理厂等水利设施监控系统（SCADA）遭到多次网络攻击，给全球水利行业工控系统网络安全敲响了警钟，水利行业工控系统网络安全建设迫在眉睫。

水利行业典型工控场景包括闸门控制、水资源调度和农饮水工程，这些工控场景由于业务模式、工控网络架构、水资源体量、管控要求等巨大差异，在网络安全建设面临的挑战和需求也有极大不同，应定制符合其工控业务特性的系列网络安全解决方案，为水利工程数字化转型保驾护航，助力我国智慧水利的建设。

本篇为水利行业工控系统（闸门控制）网络安全解决方案第一篇。

背景

闸门工控系统是水利典型控制场景之一，包括江河大闸和通航船闸等，因其业务的重要性，其工控系统往往采用如西门子、施耐德、AB等国际顶尖厂商工控软硬件产品（如PLC、组态软件等）。这些产品近年来已经被披露大量中高危漏洞，给工控系统网络安全防护带来极大的挑战。随着水利工程数字化建设，工控系统也从封闭走向开放，面临越来越多来自网络的攻击威胁，进一步加剧了工控系统面临的网络安全风险。

针对重大水利工程的攻击往往来自特定组织甚至国家级的攻击团队，其网络攻击能力强、攻击工具复杂多样，且掌握众多的0day漏洞甚至软件硬件的后门，采用诸如社会工程学等手段潜入工控系统网络内部，并在关键节点直接对控制器指令甚至控制器控制逻辑发起攻击，产生严重的破坏作用。如何应对来自内外部的诸如僵木蠕、非法指令篡改等各种网络攻击，构筑工控系统纵深防御体系，确保水利闸门控制指令的安全以及控制逻辑的安全，是闸门水利工程运营管理单位面临的难题。

1. 资产管理不彻底、不全面：管理好工控资产才能管理好工控网络安全，然而目前对资产的管理普遍停留在表单上，或通过平台实现资产的在线状态管理、发现未知资产，但无法实现对资产运行状态的精细化管理，更无法将资产的运行状态与安全数据相结合，实现资产与安全的协同联动管理。
2. 安全防护不精准、不“安全”：网络攻击的快速识别和防御是保障工控系统安全运行的基石，然而目前行业内普遍采用的是“通信白名单”机制，一旦“受信”主机遭到入侵，“防护”变为“掩护”，反而提高了网络攻击的检测和阻断难度。如何将安全检测、防御机制与控制工艺（场景）结合，实现基于控制场景的指令安全分析与阻断，确保控制系统安全运行，是安全建设亟待解决的问题。
3. 工控核心防护缺失，安全防不住：水利闸门控制业务的核心是闸门启闭的控制安全，其防护核心在于控制闸门启闭运行的PLC及其受控设备，当下工控系统网络安全建设往往集中在主机层和网络层，难以深入工控核心控制器，当工控系统遭受网络攻击出现主机失陷时，如何筑牢工控网络安全最后一道防线，确保闸门控制器防得住、打不垮，保障闸门启闭控制的安全，是行业亟待解决的问题。
4. 备份恢复措施不完善，业务恢复慢：闸门控制安全关乎业务的运行安全，现有的备份手段对工控系统兼容性不足，且无法覆盖控制器的备份恢复，难以保障快速、有效的恢复业务稳定运行。如何在网络攻击造成损害后，快速的恢复生产运行，是运营单位面临的难题。

解决方案

针对水利闸门工控网络面临的安全风险与挑战，国利网安基于工控网络安全建设经验和对行业业务的深刻理解，提出全面管控、纵深防御、控制安全、快速恢复的闸门工控系统网络安全防护思路。

全面管控：基于对网络资产的精准识别和全网安全日志的集中分析，快速构建工控网络资产表、资产拓扑图、通信关系图等，并基于对闸门控制业务的深刻理解，动态构建资产、通信、业务和指令之间的安全图谱，实时分析网络通信、指令的合法性和合理性，快速发现和拦截非法资产接入、非法指令和“合法不合理指令”等操作，实现对闸门工控资产、安全资产、控制安全的全面管控。

纵深防御：构建覆盖控制层、监控层、生产管理层的纵深防御体系，尤其针对控制业务核心的控制层构建工控安全最后一道防线，在监控主机失陷后，保障控制器的安全、稳定运行，确保闸门控制安全。并依托安全管理平台实现安全监测-防护的联动，在发现异常事件时，联动安全防护产品并及时调整防护策略，将威胁拦截在外。

控制安全：在安全“全面管控”的基础上，基于闸门控制业务的深度理解和行业工控靶场实景模拟测试，构建“行业工控行为白名单策略”，实现防护策略与控制指令、运行工艺的有机动态结合，所有安全产品的安全策略契合行业业务运行特点，解决传统安全设备“白名单”机制存在的防护不彻底、针对性不强，因主机失陷带来的“防护”变“掩护”的问题，进一步提升船闸工控网络安全防护精准度，提升管闸门控制安全。

快速恢复：构建覆盖控制设备和监控主机的快速备份与恢复体系，当主机、控制器等程序、系统遭到破坏无法稳定运行，快速恢复主机和控制器的系统和数据，恢复闸门控制业务的安全运行。

基于闸门工控网络安全面临的挑战和安全解决思路，制定如下工控网络安全防护示意图。

闸门工控系统网络安全防护示意图

解决方案价值

1、依法合规免责：落实网络安全法律法规要求，切实保障水利闸门枢纽工控网络的生产安全，为我国水利事业安全发展保驾护航。

2、护航智慧水利建设：构建工控网络纵深防御体系，夯实网络安全基座，助力水利枢纽数字化智慧化建设。

3、培养安全人才：推动水利行业工控网络安全技术创新，培养网络安全运维管理核心技术人才，锻炼一支运维能力强的网络安全队伍

4、减轻安全事件影响：打造监测-防护-恢复一体的安全体系，有效降低因网络攻击事件带来的经济财产损失和国计民生影响。