摘要：本文解读了水利工程工业系统网络安全政策、水利工程工业系统网络安全现状、水利工程工业系统网络安全防护策略（风险评估、解决方案），介绍了水利工控网络安全实验室。

张志华    水利部机电研究所工控网络安全测评中心副主任

第一部分就是水利工程工业控制系统网络安全政策，这个工控网络安全的问题已经提到国家的战略层面了。习总书记也是几次发表重要讲话，比如14年指出没有网络安全就没有国家安全，16年发表重要讲话指出朝着建设网络强国的目标不懈努力，18年提出自主创新推进网络强国建设，说明咱们国家对网络安全的重视程度。

水利工程作为国家也算基础设施吧，它的工业控制系统有水文监测系统，水质监测系统，闸门监控监测系统，水库大坝监测监控系统，泵站监控系统，水电站监控系统等等。作为国家的关键基础设施，水利工程的工业控制系统它的安全也是事关国家的经济发展、社会稳定和国家安全。为了响应国家工控网络安全建设的号召，18年水利部也指出了水利网信工作的要点。第一步就是深入贯彻国家信息化战略，要求组织做好水利网络安全顶层设计，并且贯彻实施加强水利关键信息基础设施网络安全保护，组织开展国家信息安全专项工程建设。第二步全面加强网络监管，加强水利关键信息基础设施网络安全保护，指导关键信息基础设施主管单位完善网络安全管理制度，开展应急预案及专项预案编制。全力加强网络监管，抓好网络安全监督检查，按照中央王信办、公安部等国家网络安全主管部门部署，组织开展水利网络安全检查，在各单位自查基础上开展抽查。全力加强网络监管，完善网络安全信息通报机制。全力加强网络监管，开展水利工控系统网络安全防护，认真组织实施国家信息安全专项，18年水利部要进行水利的网络安全建设。

第二部分就是水利工程工业控制网络安全现状，水利工程工业控制跟大多数工业系统有相通的地方，也存在很多漏洞。比如操作系统漏洞、控制器、组态软件等存在大量未修复的漏洞。上位机达赖使用的Widows、XP等操作系统，西门子S7-300PLC存在中高危漏洞。第二经现场抓包流量分析，部分现有共工矿系统已经存在威胁。第三就是操作站和工程师站存在较多远程维护端口和后门，系统运维严重依赖于设备生产厂家或者集成长。第四就是日常运行维护过程中普遍存在存储介质未存在有效的管理手段进行管理和防护，有的直接像USB口、网口未采取任何措施，有的把网口、USB直接进行简单的处理。存在账号共享、权限划分不明确、弱口令、未定期更改密码等问题。如所有维护人员共用一个账号管理，账号默认保存密码等。第六是工控网、管理网以及上级管理网之间缺乏系统有效的防护策略，现有防火墙、网闸等安全措施形同虚设。比如管理策略不到位，工控网可以直接访问互联网。第七就是大部分上位机系统未安装杀毒软件，即使安装，病毒库更新严重滞后。第八，缺乏对于工控安全审计监控和保护的有效措施，对第三方运维缺乏管理监督手段。我们跟水利工程交流的时候，他们就提出有的厂商在给他们进行第三方维护的时候，都没有通知他们现场的管理人员和运行人员。九是控制网与办公网网络边界不清晰，控制网存在多个数据出口且无防护措施。

15年水利部曾经对天津市的一个供水管理所还有一个水电站进行了现场的安全检测，供水管理所主要检测的设备包括PLC及组态软件，水电站检测的设备主要是PLC还有调速器，在供水管理所我们给PLC发送畸形报文的时候，可以导致整个供水设备失去响应甚至包括，造成供水系统停止。上位机组态软件相关的高危漏洞容易被利用，进行设备登录控制发起攻击等，可能导致整个供水系统遭到破坏甚至崩溃。在水电站PLC也发现同样的问题，对水电站来说，PLC都是一些重要的设备，很容易造成设备停机。对危机调速器也是发送相关的畸形报文，也是导致调速控制系统崩溃。调速器在水电站是非常重要的设备，一旦失去作用，造成紧急停机或者飞车现象。

第三就是水利工程工业控制系统网络安全防护策略，应该采取风险评估、安全防护和应急处理三位一体的防护策略。风险评估就是发现从技术方面还有管理方面存在的风险漏洞，然后依据风险评估结果，结合水电行业的网络特点，制定一些网络防护方案。最后一步就是做好应急处理，一旦出现网络安全事故，争取把损失减少到最小。

首先是风险评估，风险评估应该包括技术评估和管理评估两个方面。技术评估包括流量分析和漏洞分析，流量分析就是获取工控网络中网络流量，通过实验室开展深度的流量端口协议等风险分析。漏洞分析就是对重要的服务器和交换机、路由器、防火墙，纵向加密网关等进行漏洞挖掘和检测。管理评估主要是包含资产识别、人员访谈、问卷调查、现场核实等几个方面。资产识别就是识别工控系统资产，根据分类规则进行分类，并展开管理现状分析。人员访谈就是以面对面的形式交流，掌握各岗位人员工控系统信息安全的能力、意识、工作方法。问卷调查就是以问卷的形式收集企业工控系统信息，并通过问卷应答的形式进一步判断组织工控安全管控的能力。现场核实就是通过实地检查的形式，对各控制系统的运行、应急响应、运维管理现状做深入核实，找出存在的风险。

技术评估方面就是通过采用设备接入的方法，比如对获取的工控网络流量进行分析，找出存在的安全风险。通过将工控系统中服务器、网络设备、工控系统与工控漏洞库做比较，分析识别出整个工控设备存在的漏洞。渗透测试，对指定网站系统进行测试，查找安全漏洞和木马。基线检查，通过手工检查的方式，对指定的服务器、网络设备进行安全配置检查，发现的安全风险和漏洞。代码审计，通过源代码安全审查工具对系统进行扫描和人工分析审计相结合的方式，发现编码中存在的问题，通过这种方式找出技术方面存在的风险。

管理方面，刚才介绍了，通过人员访谈、问卷调查的形式，对现场的IT技术人员、现场操作人员、维护人员包括企业管理人员访谈还有制度调阅，找出在管理方面存在的风险。通过风险评估可以找出目前的安全策略与实际需求的差距，获得工控系统的安全状态，为制定安全策略提供依据，提供网络和系统的安全解决方案，为安全体系建设提供翔实的依据。

风险评估这个模型就是采用威胁识别、脆弱性识别、资产识别这个模型，计算出风险值。根据风险值的大小，把系统分为高风险、中风险、低风险，根据风险大小，采取不同的防护措施和解决方案。这是水利部机电研究所对国内某个大型水利工程做的一个风险评估，包括信息资产、人员资产等等，评估结果发现极高风险占36项，占总的风险额2%，高风险106个，占6%，中风险344项，低风险1203项，占整个风险值的71%。

刚才讲了风险评估，通过风险评估可以发现工控网络存在的一些问题。我们要制定安全防护方案，还要结合网络架构来制定具体的防护方案。水利工程工业控制系统网络结构特点一般就是分为三层，一是管理层，二是主控层，三是现地控制层。管理层就是遥测、摇信、遥调、遥控等功能，接收主控层的监测数据，对监测数据进行优化分析。主控层接受现地单元的监测数据，向管理层发送数据。现地控制层就是数据采集和收集。我们采取防护措施，一是网络安全隔离，在网络边界之间不同的安全区域之间部署智能工业防火墙，抵御来自外界微基站接入渗透，对控制源身份的合法性进行有效判断，对于非法IP发送的数据包能够有效甄别和拦截。主机安全防护，工程师站、数据服务器、通信工作站等部署主机防护，监控工控主机的进程状态、网络端口状态、USB端口状态，选方位的保护主机的资源使用。禁止非法进程的运行，非法网端口的打开与服务，非法USB设备的接口。第三就是网络监测审计，在核心交换机部署网络监测审计，对网络流量、网络数据、事件进行实时监控、实时报警，帮助维护人员实时掌握工控网络运行状况，对网络中存在的所有活动提供行为审计、内容审计，生成完整记录便于事件追溯。建立针对工控网络协议黑名单与白名单，提供实时报警功能。第四是设备安全防护，现地LCU、RTU等部署智能防护终端，黑名单入侵防御，基于工业漏洞库实现，通过分析、匹配、判断工控网络行为，对符合漏洞库的异常数据和行为进行阻断或告警。白名单主动防御，通过机器智能学习引擎技术自动生成白名单。水利部机电研究所根据水利工程工业控制系统不同的子系统和网络结构特点，制定了一系列的防护方案。包括水文监测系统网络安全解决方案、水资源监测系统网络安全解决方案、水库大坝监测监控系统网络安全解决方案、泵站监控系统网络安全解决方案、水电站监控系统网络安全解决方案。以水电站为例简单介绍一下具体的防护方案。

第一在生产大区之间采取网络安全隔离，通过防火墙抵御威胁渗透。第二是主机安全防护，在主控层的工程师站、操作员站、服务器等部署工矿卫士。第三是设备安全防护，对利用已公开的漏洞攻击行为进行有效的识别和拦截。网络安全监测审计，在生产控制大区通信层环网、LCU子网旁部署监测审计平台，对网络通信流量进行有效监视和威胁检测。最后是集中安全监管，安全监管平台对部署在整个工控系统中的安全设备进行管理。最后是应急管理，建立健全工控安全应急工作责任制，抓好本企业工控安全风险监测工作，制定工控安全事件应急预案，落实人财物保障措施，定期组织演练。

第四部分简单介绍一下水利工控网络安全实验室，采用真实的水作为流转的介质，等比例缩小的电动机、水泵、闸门、大坝、水轮发电机、传动设备等，以高方针子方式模拟泵站和水电站的真实生产工艺六，以逼真的方式展示攻防演示的真实性和有效性。

刚才采用短片的方式介绍了一下我们的实验室，我们的实验室也是在我们上级单位水利部和中国水科院的大力支持下建立起来的。具有专业的研究团队，跟踪国内外安全趋势，有专业的漏洞挖掘和检测设备，具有病毒、木马特征分析，还有完善的工控漏洞库。依托实验室我们主要开展安全培训工作，主要是水电行业的国家政策、标准、水利控制系统安全态势及策略，水利工控系统安全防护安全，包括风险评估、漏洞挖掘、威胁进侧等工作，制定水利工控系统网络安全整体解决方案，水利工控系统网络安全规划、设计、加固等。最后开展工控系统网络安全分析、数据安全分析等。我就简单介绍这么多，欢迎各位专家到我们实验室进行交流。