“新質生產力賦能浙江城鄉水務高質量發展”研討會暨浙江省城市水業協會2024年年會于2024年9月4-6日在浙江寧波舉辦。會議精心邀請60余位行業專家與會交流，來自浙江省水務企業、高等院校、設計院、研究院、政府部門及國內友好交流單位等近千位水務同仁、專家、學者參加了此次會議。上海《凈水技術》雜志社作為此次年會的媒體支持單位，整理了大會部分報告內容，歡迎各位水業同仁賞閱。

寧波水務集團工控系統網絡安全案例分享

劉青友

寧波市水務環境集團智慧水務運營中心

城市水務工控網絡安全大家都知道很重要，基本要做到“萬無一失”，因為“一失萬無”，但是在實際操作層面上很多人感覺無從下手，只會干著急，表現在護網行為期間就去“拔網線”，這種掩耳盜鈴的做法是錯誤的，護網是公安幫我們找問題，“拔網線”其實就是拒絕公安幫我們找問題，面對黑客，你能即時“拔網線”了么？在這里我對四個層面來進行工控系統網絡安全防護，即“人手不足的問題、怎么建的問題、怎么管理的問題、出了問題怎么快速處理”，做到對網絡安全真正的有底、放心。

工控系統網絡安全建設的目標主要就兩點，“對內安全管理、對外安全防護”。對內的就是要求我們自已能看得清、防得住、管得勞、可恢復、查得準，對外就是做到黑客“看不見、攻不進、拿不走、毀不掉、抓得住”，最終實現內部安全與外部安全的技術措施相結合。

如何做到內部“看得清”，這就要求我們對工控系統網絡資產進行充分識別、清查，比如說：網絡內是否存在啞資產？有沒有人新接入網絡？網絡邊界在哪？這是在整個安全建設要點中要做的第一步。

另外我們還需要基于看得清這個點去做到如何讓黑客“看不見”，那就是需要通過相應技術手段；如端口最小化、服務禁止訪問、業務通信精細化策略等，讓外部人員想入侵但卻無法找到路徑。相應技術措施對應的設備有邊界的網閘、防火墻，可通過這些設備來實現對外服務/端口最小化，主機的加固可以做到對一些不必要的服務和端口進行關閉，專項的隔離裝置可以將資產的通信標識進行隱匿。

做到“看得清”、“看不見”，其實是成本最低一種最有效的做法，大部分也是一次性工作，卻是大家最容易忽視的工作，如果切實做到了“看得清”、“看不見”，你的工控系統網絡安全水平就跑贏了國內99%工控系統網絡安全水平，基本上不用擔心會被黑客入侵。工控系統無須對互聯網服務，客戶群基本上是內部員工，所以允許訪問的“白名單”是確定，因此相對辦公網的網絡安全，“看得清”和“看不見”更容易做到。

在實現“看得清與看不見”的之后，“攻不進與防得住”也很重要。安全建設怎么才能讓外部的攻擊進不來，并且怎么防止內部突破。當前從整個網絡攻擊態勢來看，由邊界攻擊入侵和利用系統內部弱密碼、遠程桌面等手段入侵的概率在水務層面是比較突出的。由此我們需要做的事情分兩步：一如何讓外部攻擊進不來，就在與辦公網的邊界防護上做文章，工控系統的數據要上傳到辦公網上，這個業務需求不可避免，那我們就在這個邊界上設置單向網閘，只允許工控網的數據上傳到辦公網指定的服務器，不允許辦公網的任何數據反傳到工控網。二如何防止內部突破，管理手段上可采用強口令、遠程桌面禁用等，技術手段上可采用對主機進程的管控，拒絕惡意代碼的運行。三是要做到讓內部攻擊不會縱向擴散到PLC控制網，這就需要在工控管理網和PLC控制網之間設置內部防火墻，并且在管理網計算機和服務器上安裝主機衛士防止惡意進程。四是對針對PLC指令和組態程序篡改做進一步防護，安裝PLC防護器。四層防護如同四道鐵桶，切實做到“攻不進與防得住”，若考慮到預算不足，可以按“一、二、三、四”的順序來逐步投資。

前面我們說的“看得清與看不見、攻不進與防得住”，都是建立在網絡攻擊前期階段的一些措施，也相當于水務網絡安全的第一道防護屏障，那這里我們可以設想如果第一屏障被突破后，接下我們我們能夠做些什么，那就是我們講的“管得牢與拿不走”，如果黑客真進來了，那我們還是要采取一系列的管控措施（如運維審計賬號授權、違規外聯的準入控制、數據的拷貝等操作識別），對其攻擊以及數據拷貝等惡意行為進行監控攔截。比如：水務常見的第三方運維，不法分子可以利用運維通道進入內部從而進行各種操作，包括現場運維操作，筆記本的隨意接入網絡、移動存儲設備的隨意接入。這一系列的高危行為，我們可以通過建設運維審計、準入、主機管控等設備進行防護，起到“管得牢與拿不走”的效果。

我們知道針對水務的網絡攻擊真正有影響后果的是在控制層面，尤其是對工控PLC的攻擊，如：篡改PLC程序，嚴重的可能導致物理設備的損毀。這也是我們常說工控網絡攻擊與傳統網絡攻擊的最大差別所在，所以我們在安全建設過程中應當要關注到怎么才能阻止并及時發現黑客的這種毀滅性破壞操作，這里就涉及到對PLC組態程序備份管理和恢復，通過對關鍵程序的監測能夠在第一時間發現程序是否被修改，修改的內容是什么。并基于快速恢復的技術手段及時的進行恢復操作。避免造成設備的損傷。

在經過前面講的一系列技術和管理措施，但最后工控系統還是被破壞了，怎么辦？這就需要有溯源能力，這個無論是在平時的網絡安全防護過程中，還是HW行動中，都是在網絡安全建設中必須要具備的能力，“抓得住，查得準”怎么抓，怎么查?

首先我們從入侵角度來看，黑客攻入進來必然會留下痕跡，但很多時候黑客在入侵之后會做一個操作，那就是痕跡清理，它會刪除各類操作日志，這樣對于我們后續的溯源工作是帶來比較大的挑戰，反過來我們也沒有辦法及時發現系統或網絡的脆弱性問題。

前面一開始我們講了幾個核心問題挑戰，其中就有“怎么建，套標準”的問題，在這里我們主要強調大多水務人員在網絡安全建設時容易產生的一個誤區，認為等保測評通過的證書拿到后，就可以高枕無憂了，首先我們要知道等保是有一個體系化流程的，需要經過常態化檢查問題-整改問題-復查問題，常規檢查整改每月要求1次，重大安保前單獨1次，而且檢查單位和整改單位要求是不能為同一家，所以拿到等保測評證書，并不完全意味著網絡安全建設的結束，持續的安全管理必不可少。

以上說的這些內容在寧波水務這邊我們是親身經歷過的，包括整個安全建設理念都是基于水務業務安全角度出發。

首先寧波水務這次整體安全建設，我們是以建設寧波水務集團為統一安全運營中心，管控下面各水司及各廠的整體安全。這里我們采取了三級架構；集團-公司-廠級，構建起安全協同處置體系，平時在運維過程中，像集團這邊基本就是安排一個人進行日常監測就足夠了，告警可以通過態勢感知清楚看到，是哪個廠，哪個設備，我們也會賦能到下面各個廠去處理相關安全事件，廠商也會在運行過程中提供周期性的運維，包括應急支持，所以這套安全協同處置體系，給我們寧波水務集團充分解決了人的問題，管理的問題，網絡安全能力不足的問題。

落實到各個廠的安全建設，其實就是我們前面講的兩大核心目標，采用管理和技術措施的相結合，在各節點該部署什么設備，采取什么策略，都有明確的要求。

整個項目在后期建設完，我們也寧波市公安的協調組織下，對安全建設的內容進行過實網攻防測試，不管是從內部還是外部，攻擊的手段和路徑都能夠被安全設備發現出來，真正做到了“看不見”“看得清”“防得住”“攻不進”“管得牢”“拿不走”“可恢復”“毀不掉”“查得準”“抓得住”。

在安全建設的同時我們也考慮到人員能力提升這塊的問題，同時也在本次建設項目當中開展過多次相關安全技術培訓及演練，包括設備的使用、基礎問題的解決，安全意識水平的提高，日常操作行為的規范，目的就是為了更好的降低因“人”的脆弱性帶來的安全風險。

我們說網絡安全不應該是一成不變的，只有我們做的越完善，考慮的點越多，安全防護等級才能越高，所謂對癥下藥，所以我們建立常態化實網攻擊測試演練，一方面為發現問題后續我們能夠有針對性的去防護，另一方面旨在對寧波水務集團網絡安全應急處置能力的驗證。最后總結一下：工控系統的網絡安全是完全可控的，不一定要投入大量的人力、財力，80%以上的工作是一次性的，謝謝大家聆聽。

來 源：浙江省城市水業協會，僅供分享 交流不作商業用途，版權歸原作者和原作者出處。若有侵權，請聯系刪除。

排版：《凈水技術》編輯 李濱妤

審核：《凈水技術》社長/執行主編 阮辰旼

推薦閱讀（點擊標題跳轉）

《凈水技術》2025年活動計劃

《凈水技術》刊務理事會歡迎廣大水務企業加盟合作

詳情可咨詢市場部 ：孫編輯 15900878214