编者按

当前，中国经济正在进入由高速度向高质量转型的关键时期。在以数字中国、双碳、安全生产为代表的政策驱动，以云大物移智为代表的技术驱动，以及以降本增效为代表的企业发展内生驱动的共振合力下，工业互联网相关领域正在迎来广阔的发展空间。而在市场催生出大量新场景、新机遇的同时，也对安全提出了更高要求。随着相关政策的落地实施，网络安全合规和安全生产已然成为工业企业、政府客户的刚性需求和一把手工程。那么，企业如何在数字化转型过程中规范化地进行安全建设和安全管理？目前存在的痛点难点又该如何解决？

《最佳实践》是威斯尼斯人wns2299cn创办的一档案例类栏目。结合自成立以来的各行业场景服务经验，从近4000家客户服务实践项目中遴选出的具有代表性、有推广性和借鉴性的典范案例，其中多个项目曾获得工信部试点示范项目称号，通过清晰详实的需求分析和解决方案描述，呈现企业在数字化转型过程中的安全建设故事，为行业客户提供有益借鉴。

随着大数据、云、5G、人工智能和物联网等先进技术的发展，水务行业“智慧化”进程不断加快，逐渐形成了智能水厂——智能水网——智慧水务的技术发展方向。同时，随着万物互联，越来越多的网络安全隐患被带入了工业控制领域，威胁不断加剧。对工业控制网络和系统的攻击，可能破坏企业重要装置的正常工艺流程，由此引发的后果是灾难性的。

2020年初，黑客组织对以色列供水系统的网络攻击引起了各国对供水设施安全的关注，其试图控制供水网络阀门的“可编程逻辑控制器”（PLC），一旦攻击成功，黑客将氯及其他化学品按照错误的比例混入水源，可影响城市的供水，将给居民健康造成灾难性的后果。2020年据Claroty统计数据，水务系统受到的网络攻击仅次于能源工业和关键制造业[1]。这表明网络威胁已经渗透到城市水务系统中，以水工业控制系统为目标，为市政水务运营企业敲响了安全警钟。

某水控集团承担着珠澳两地供水安全的重任，是一家集供水、排水、环境治理、工程建设四大业务于一体的水务环境一体化综合运营服务企业。近年来通过持续性的生产网络建设，逐渐形成了以供水、排水公司两个主体为核心的供水、排水生产调度一体化水务管理系统，构建了完整的水厂、调度中心两级调度生产管理模式。

为更好地应对日益严峻的外部网络安全形势，保障水控集团调度、生产两级生产工业控制系统安全稳定运行，威斯尼斯人wns2299cn针对水控集团、供水公司、排水公司信息中心及下属各水厂、净水厂工控系统进行整改加固，最终构建工业互联网态势感知平台，帮助用户实现“摸清业务关系、掌握潜在威胁、看懂安全风险、加强协同共享、持续运营改进”的建设目标。

创新技术高效解决工业态感建设的“老大难”问题

在工业互联网态势感知平台建设过程中，对于复杂网络环境的企业，如何在多网络区域间物理隔离的生产网络将多源异构的海量数据快速采集、处理一直是老大难问题。以往安全建设改造需要改变现有生产网络结构，对于业主意味着大量设备投入，运营成本升高。威斯尼斯人wns2299cn为该集团提供高效、准确的数据采集处理方案，同时帮助企业减少设备投入降低运营成本。

“全流量、日志二合一”新模式助力企业快速高效采集数据

专业的安全数据采集系统是建设工业互联网态势感知平台必不可少的工具，以往的采集系统在获取流量和日志之间只能二选一，对于用户来说投入比较高。而长扬部署于该水务集团下属各水厂、净水厂的数据采集系统，采用的是高效数据采集与预处理技术，支持多数据源格式包括日志采集，包括终端设备、网络设备、安全设备、数据库、中间件等。该技术是长扬在国内工控安全行业首次提出全流量、日志二合一理念及实现，可实时采集日志数据和流量数据，具备高效、准确的数据采集能力。

图1 长扬数据采集系统支持多数据源格式

多种部署方式适应企业生产环境

工业互联网态势感知平台整体采用大数据架构，灵活部署，支持多种部署模式。数据采集系统除横向的集中部署和分布式部署模式外还支持纵向单级部署和级联部署模式。对于简单网络环境的企业采用单级部署模式；对于复杂网络环境的企业，可采用多级级联部署模式，即将智能采集器部署在每个安全区域，采集器直接接收下级采集器上传的数据并向上级采集器转发，最终做到阶梯式数据传输，解决了在不改变现有生产网络结构的前提下跨区域数据采集问题，减少设备和运营成本。

图2 某水控集团部署方案

构建水务集团级工控安全态势感知平台

本项目基于等保2.0“一个中心，三重防护”的整体设计思路，从边界安全、网络审计、入侵检测、主机安全、管理与运维安全五个角度对企业工业控制信息安全系统进行安全防护建设。

同时长扬通过深入的安全需求分析及各版块生产企业现场调研，将等保测评、安全整改加固和态势感知平台建设充分整合，定制开发了覆盖工业安全数据采集、数据传输、数据分析和态势展示全场景的水务集团级工控安全态势感知平台：

图3 某水控集团供水公司部署方案网络拓扑图

项目自2021年开始运行以来，已经采集了企业大量的安全运行数据，并且沉淀和聚合了各类事件、漏洞情况及风险预警等，通过对系统的辅助学习，实现各种指标和基线标定通过可视化呈现，协助集团运维中心及企业集控中心实时掌控安全风险情况及标准流程化应急处置。

图4 长扬工控安全态势感知平台运营（示例）

通过项目建设，某水控集团形成行业监管、集团、厂区三级联动的实时监测预警机制，收集企业工控网络和信息网络的各类资产、漏洞、流量、日志、安全运行状态等数据，为集团安全运营管理构建一个全局的、实时的、可预测的主动感知与防御安全体系，全面提升网络安全感知能力和运营能力，实现对关键信息基础设施的全生命周期管理，使得企业在安全运营方面有了有力的技术手段，在工控网络安全运营管理方面从以往的靠人到现在的靠技术，可精确、高效处理网络安全风险。

图5 某水务集团工控安全态势感知平台架构

本项目威斯尼斯人wns2299cn从全局出发，对某水控集团工控及网络安全进行合规化建设，运用长扬自主知识产权的云计算、大数据技术，通过AI分析方法精准感知网络安全威胁，构建水务集团级工控安全态势感知平台，满足国家相关法律法规要求，切实落实国资委对加强中央企业信息安全工作的指导意见的重要工作。

态势感知平台的建设，全面提升集团关键基础设施网络安全风险评估、态势感知、监测预警及应急处置能力，达到可视、可控、可管的目的，为某水控集团安全运营管理赋能。

技术创新和模式创新助力构建工控安全态势感知能力体系

威斯尼斯人wns2299cn首次提出“全流量、日志二合一”理念及实现，解决了工业态感建设过程中多源异构的海量数据快速采集、处理难题，为该城市水务集团提供了工控安全态势感知能力体系完整解决方案，同时帮助集团节省投资成本，是工控安全态势感知技术创新和模式创新集团以态势感知平台为抓手，实现了资产风险的实时监测；风险的实时监测、分析、处置、改进；实时基于风险调整安全防护策略，实现由被动防御向主动防御的转变。

参考来源：

[1]“Water and Wastewater Sector Third Most Affected by ICS Vulnerabilities Disclosed in First Half 0F 2020.” WaterISAC, 21 Aug. 2020, https://www.waterisac.org/portal/water-and-wastewater-sector-third-most-affected-ics-vulnerabilities-disclosed-first-half-0f.