专家观点 | 刘青友：宁波水务集团工控系统网络安全案例分享

“新质生产力赋能浙江城乡水务高质量发展”研讨会暨浙江省城市水业协会2024年年会于2024年9月4-6日在浙江宁波举办。会议精心邀请60余位行业专家与会交流，来自浙江省水务企业、高等院校、设计院、研究院、政府部门及国内友好交流单位等近千位水务同仁、专家、学者参加了此次会议。上海《净水技术》杂志社作为此次年会的媒体支持单位，整理了大会部分报告内容，欢迎各位水业同仁赏阅。

宁波水务集团工控系统网络安全案例分享

刘青友

宁波市水务环境集团智慧水务运营中心

城市水务工控网络安全大家都知道很重要，基本要做到“万无一失”，因为“一失万无”，但是在实际操作层面上很多人感觉无从下手，只会干着急，表现在护网行为期间就去“拔网线”，这种掩耳盗铃的做法是错误的，护网是公安帮我们找问题，“拔网线”其实就是拒绝公安帮我们找问题，面对黑客，你能即时“拔网线”了么？在这里我对四个层面来进行工控系统网络安全防护，即“人手不足的问题、怎么建的问题、怎么管理的问题、出了问题怎么快速处理”，做到对网络安全真正的有底、放心。

工控系统网络安全建设的目标主要就两点，“对内安全管理、对外安全防护”。对内的就是要求我们自已能看得清、防得住、管得劳、可恢复、查得准，对外就是做到黑客“看不见、攻不进、拿不走、毁不掉、抓得住”，最终实现内部安全与外部安全的技术措施相结合。

如何做到内部“看得清”，这就要求我们对工控系统网络资产进行充分识别、清查，比如说：网络内是否存在哑资产？有没有人新接入网络？网络边界在哪？这是在整个安全建设要点中要做的第一步。

另外我们还需要基于看得清这个点去做到如何让黑客“看不见”，那就是需要通过相应技术手段；如端口最小化、服务禁止访问、业务通信精细化策略等，让外部人员想入侵但却无法找到路径。相应技术措施对应的设备有边界的网闸、防火墙，可通过这些设备来实现对外服务/端口最小化，主机的加固可以做到对一些不必要的服务和端口进行关闭，专项的隔离装置可以将资产的通信标识进行隐匿。

做到“看得清”、“看不见”，其实是成本最低一种最有效的做法，大部分也是一次性工作，却是大家最容易忽视的工作，如果切实做到了“看得清”、“看不见”，你的工控系统网络安全水平就跑赢了国内99%工控系统网络安全水平，基本上不用担心会被黑客入侵。工控系统无须对互联网服务，客户群基本上是内部员工，所以允许访问的“白名单”是确定，因此相对办公网的网络安全，“看得清”和“看不见”更容易做到。

在实现“看得清与看不见”的之后，“攻不进与防得住”也很重要。安全建设怎么才能让外部的攻击进不来，并且怎么防止内部突破。当前从整个网络攻击态势来看，由边界攻击入侵和利用系统内部弱密码、远程桌面等手段入侵的概率在水务层面是比较突出的。由此我们需要做的事情分两步：一如何让外部攻击进不来，就在与办公网的边界防护上做文章，工控系统的数据要上传到办公网上，这个业务需求不可避免，那我们就在这个边界上设置单向网闸，只允许工控网的数据上传到办公网指定的服务器，不允许办公网的任何数据反传到工控网。二如何防止内部突破，管理手段上可采用强口令、远程桌面禁用等，技术手段上可采用对主机进程的管控，拒绝恶意代码的运行。三是要做到让内部攻击不会纵向扩散到PLC控制网，这就需要在工控管理网和PLC控制网之间设置内部防火墙，并且在管理网计算机和服务器上安装主机卫士防止恶意进程。四是对针对PLC指令和组态程序篡改做进一步防护，安装PLC防护器。四层防护如同四道铁桶，切实做到“攻不进与防得住”，若考虑到预算不足，可以按“一、二、三、四”的顺序来逐步投资。

前面我们说的“看得清与看不见、攻不进与防得住”，都是建立在网络攻击前期阶段的一些措施，也相当于水务网络安全的第一道防护屏障，那这里我们可以设想如果第一屏障被突破后，接下我们我们能够做些什么，那就是我们讲的“管得牢与拿不走”，如果黑客真进来了，那我们还是要采取一系列的管控措施（如运维审计账号授权、违规外联的准入控制、数据的拷贝等操作识别），对其攻击以及数据拷贝等恶意行为进行监控拦截。比如：水务常见的第三方运维，不法分子可以利用运维通道进入内部从而进行各种操作，包括现场运维操作，笔记本的随意接入网络、移动存储设备的随意接入。这一系列的高危行为，我们可以通过建设运维审计、准入、主机管控等设备进行防护，起到“管得牢与拿不走”的效果。

我们知道针对水务的网络攻击真正有影响后果的是在控制层面，尤其是对工控PLC的攻击，如：篡改PLC程序，严重的可能导致物理设备的损毁。这也是我们常说工控网络攻击与传统网络攻击的最大差别所在，所以我们在安全建设过程中应当要关注到怎么才能阻止并及时发现黑客的这种毁灭性破坏操作，这里就涉及到对PLC组态程序备份管理和恢复，通过对关键程序的监测能够在第一时间发现程序是否被修改，修改的内容是什么。并基于快速恢复的技术手段及时的进行恢复操作。避免造成设备的损伤。

在经过前面讲的一系列技术和管理措施，但最后工控系统还是被破坏了，怎么办？这就需要有溯源能力，这个无论是在平时的网络安全防护过程中，还是HW行动中，都是在网络安全建设中必须要具备的能力，“抓得住，查得准”怎么抓，怎么查?

首先我们从入侵角度来看，黑客攻入进来必然会留下痕迹，但很多时候黑客在入侵之后会做一个操作，那就是痕迹清理，它会删除各类操作日志，这样对于我们后续的溯源工作是带来比较大的挑战，反过来我们也没有办法及时发现系统或网络的脆弱性问题。

前面一开始我们讲了几个核心问题挑战，其中就有“怎么建，套标准”的问题，在这里我们主要强调大多水务人员在网络安全建设时容易产生的一个误区，认为等保测评通过的证书拿到后，就可以高枕无忧了，首先我们要知道等保是有一个体系化流程的，需要经过常态化检查问题-整改问题-复查问题，常规检查整改每月要求1次，重大安保前单独1次，而且检查单位和整改单位要求是不能为同一家，所以拿到等保测评证书，并不完全意味着网络安全建设的结束，持续的安全管理必不可少。

以上说的这些内容在宁波水务这边我们是亲身经历过的，包括整个安全建设理念都是基于水务业务安全角度出发。

首先宁波水务这次整体安全建设，我们是以建设宁波水务集团为统一安全运营中心，管控下面各水司及各厂的整体安全。这里我们采取了三级架构；集团-公司-厂级，构建起安全协同处置体系，平时在运维过程中，像集团这边基本就是安排一个人进行日常监测就足够了，告警可以通过态势感知清楚看到，是哪个厂，哪个设备，我们也会赋能到下面各个厂去处理相关安全事件，厂商也会在运行过程中提供周期性的运维，包括应急支持，所以这套安全协同处置体系，给我们宁波水务集团充分解决了人的问题，管理的问题，网络安全能力不足的问题。

落实到各个厂的安全建设，其实就是我们前面讲的两大核心目标，采用管理和技术措施的相结合，在各节点该部署什么设备，采取什么策略，都有明确的要求。

整个项目在后期建设完，我们也宁波市公安的协调组织下，对安全建设的内容进行过实网攻防测试，不管是从内部还是外部，攻击的手段和路径都能够被安全设备发现出来，真正做到了“看不见”“看得清”“防得住”“攻不进”“管得牢”“拿不走”“可恢复”“毁不掉”“查得准”“抓得住”。

在安全建设的同时我们也考虑到人员能力提升这块的问题，同时也在本次建设项目当中开展过多次相关安全技术培训及演练，包括设备的使用、基础问题的解决，安全意识水平的提高，日常操作行为的规范，目的就是为了更好的降低因“人”的脆弱性带来的安全风险。

我们说网络安全不应该是一成不变的，只有我们做的越完善，考虑的点越多，安全防护等级才能越高，所谓对症下药，所以我们建立常态化实网攻击测试演练，一方面为发现问题后续我们能够有针对性的去防护，另一方面旨在对宁波水务集团网络安全应急处置能力的验证。最后总结一下：工控系统的网络安全是完全可控的，不一定要投入大量的人力、财力，80%以上的工作是一次性的，谢谢大家聆听。

来源：浙江省城市水业协会，仅供分享交流不作商业用途，版权归原作者和原作者出处。若有侵权，请联系删除。

排版：《净水技术》编辑李滨妤

审核：《净水技术》社长/执行主编阮辰旼

推荐阅读（点击标题跳转）

《净水技术》2025年活动计划