徐 波,王 昕

(汉江水利水电(集团)有限责任公司,湖北 武汉 430048)

0 引 言

建设数字孪生水网是建设国家水网的重要内容,也是推动新阶段水利高质量发展的重要标志[1]。数字孪生是流域建设的新发展模式和转型路径,其是指通过运用物联网、大数据、云计算、人工智能等新技术,实现数字化场景、智慧化模拟、精准化决策,建成具有“四预”功能的智慧水利体系,成为新阶段水利高质量发展的有力支撑和强力驱动[2]。

数字孪生水利工程是以物理水利工程为单元、时空数据为底座、数据模型为核心、水利知识为驱动,对物理水利工程全要素和建设运行全过程进行数字映射、智能模拟、前瞻预演,实现对物理水利工程的实时监控,从而发现问题、优化调度的新型基础设施[3],是保障水利工程安全运行、充分发挥水利工程在防洪兴利、水资源调配等方面综合效益的重要手段,是智慧水利建设的重要组成部分,是数字孪生流域建设的关键节点,也是水利数字孪生建设的切入点和突破点。随着数字孪生水利工程的推进,工程自动化程度将越来越高,风险也将急剧增大。因此,在数字孪生水利工程建设中,要高度重视网络安全,构建完善的网络安全体系架构[4]。

本文基于汉江流域数字孪生建设实际情况,通过分析数字孪生水利工程网络安全的新特点,对风险进行识别,从工程管理甚至流域管理、行业管理的角度探讨如何建立与之相适应的网络安全保障体系,并在安全管理、技术防护和安全运维等方面采取切实可行的措施,有针对性地开展网络安全保障体系建设,为数字孪生系统的安全稳定运行提供保障。

1 数字孪生水利工程平台建设情况

根据水利部要求,汉江流域数字孪生项目基于智慧水利建设总体框架开展建设,建设范围以丹江口库区工程及中下游干流沿江区域为重点,覆盖了汉江全流域,工程对象包括汉江上中游水库群、引调水工程以及汉江中下游航电枢纽、分蓄洪民垸、蓄滞洪区、沿江堤防,以及防洪控制站与水量分配控制断面等。该数字孪生工程聚焦汉江流域水利业务能力提升需求,在虚拟空间再造一个与物理汉江相匹配、相对应的数字孪生流域,提升三维数字化场景与汉江水利业务全要素的融合程度,实现汉江流域实时状态与控制管理的镜像化描述和智能化反馈。

汉江流域数字孪生项目建设依托水利云、水利信息网及水利感知网等信息化基础设施,统筹协同工控网与业务网资源,充分利用自建云、政务云及业务云等计算资源,从数据底板、模型平台、知识平台等方面搭建数字孪生核心框架,并支撑应用及水利智慧业务的开发。

2 数字孪生水利工程网络安全风险分析

数字孪生水利工程总体架构以水利信息化基础设施为依托(见图1),通过开发算法模型,使用大数据、人工智能、知识图谱等新技术,将感知、计算、通信、控制等技术与枢纽工程、引水工程、河道工程等水利工程中物理实体、运行环境等生产要素深度融合并进行数字化表达,构建具备高度智能性、系统性、动态性、精确性和完整性的数字孪生平台[5]。作为智慧水利体系的“血管”,数字孪生平台信息化基础设施为整个系统运行提供了数据流动安全保障,通过云服务将数据传递至系统处理层。数字孪生平台信息化基础设施主要包括云存储、云计算、网络通信、安全防护等技术设施[6]。数字孪生平台由数据底板、模型库和知识库以及模拟仿真引擎构成。数据底板是数字孪生的基础,模型库和知识库是核心,模拟仿真引擎实现物理实体与虚拟空间的映射[7]。根据水利工程的各自特点和业务重点不同,在数字孪生平台上开发适应各水管单位所需的防洪、供水、工程运行等各类水利业务应用系统。数字孪生水利工程的系统结构包括了从感知层、传输层、数据层、平台层到应用层的各个组件[8]。因此,数字孪生水利工程必然存在传统水利信息系统常见的网络安全风险。

图1 数字孪生水利工程总体架构Fig.1 Overall architecture of digital twin of water conservancy projects

数字孪生水利工程建设内容如下:

(1) 基础设施。基础设施包括水利感知网、工控网、水利信息网和水利云等主要内容,在汉江试点建设中,主要利用长江水利委员会(以下简称“长江委”)和汉江集团现有运行环境提供的能力支撑。

(2) 数据底板。数据底板是智慧水利的算据,主要包括基础、监测、业务管理、行业共享、地理空间等数据,以及多维多时空尺度数据模型等数据资源,形成基础数据统一、监测数据汇集、二三维一体化、三级贯通的智慧水利数据底板。

(3) 模型平台。模型是智慧水利的算法,数字孪生汉江模型平台主要包括水利专业、可视化等模型,以及可视化渲染、数学模拟仿真等引擎。建设标准统一、接口规范、分布部署、快速组装、敏捷复用的模型平台,是保障智慧化模拟的前提。在数字孪生汉江建设过程中,需要深度分析模型封装与集成所面临的多语言编程、多类型传输、多目标耦合、多形式配置等关键需求,在调用各种不同专业模型的情况下避免频繁调整接口。因此,基于模型开发与集成标准规范,采用约定的模型接口形式,以保障采用不同开发手段开发的模型都能用统一方法接入到数字孪生汉江系统中。

(4) 知识平台。知识平台基于“微服务化、开放兼容、持续演进、云原生”的设计理念构建,包括水利知识、智能算法等。针对以汉江流域为示范的水利知识图谱等内容,数字孪生汉江系统通过提取通用服务、分模块封装、支撑事件正向智能推理和反向溯因等分析,提供精准化决策支撑[3]。

(5) 智慧应用。针对水旱灾害防御、水量调度及生态调度业务需求,开展以流域防洪、水资源管理与调配为主的功能应用场景设计和精准化决策支撑模型开发。通过梳理并分析业务流程,确定防洪、水量调度决策的主题要素和信息关联方式,重现调度决策者对防洪和水量调度的认知过程,实现调度思维的连续性。

项目建设中使用了物联网、大数据、人工智能、移动通讯等新技术,具有建设范围广、网络结构复杂、IT与OT结合、数据量大且敏感数据多、应用场景多、用户身份复杂等特点[9]。因此,数字孪生水利工程既面临着传统的网络安全风险,又面临着网络安全技术防护风险。在本文研究中,数字孪生水利工程的技术风险更多地体现在新技术的应用、技术之间的相互作用和系统集成整合方面。

2.1 异构网多网并发风险

数字孪生水利工程开放共享的技术特点决定了其多网络融合的必要需求,在多网融合兼容性、成熟的网络可视化技术及综合管理技术等方面,工程对异构网络技术等网络服务技术提出了更高的要求[10]。从网络的覆盖范围来看,数字孪生水利工程的网络连接范围已经超出水利工程内网。在工程管理单位内部,数字孪生水利工程与各水文测站、水利工控系统等相连。在水利行业内部,数字孪生水利工程是数字孪生流域的组成部分,既是数字孪生流域的节点,一些具备调水功能的水利工程同时也是数字孪生水网的节点,数字孪生水利工程与数字孪生流域和数字孪生水网互联互通。在与水利行业外部的关系上,数字孪生水利工程也与地方相关部门的业务系统连接。从连接方式来看,既有IP网络,也有物联网,采用云计算方式部署的系统还需要与IDC数字中心连接;各类移动APP使用5G或WiFi的方式进行连接;在大坝安全监测、库区巡察时还使用卫星等方式进行通信。数字孪生水利工程的这些特点给数字孪生水利工程的网络通信安全带来了挑战[11]。

2.2 数据安全风险

数字孪生水利工程最关键的一环就是实现数据资源的有序汇聚和共享,既包括静态数据,也包括实时数据,既有内部数据,也包括外部的交换共享数据,既包括全国水利一张图、工程及相关区域DEM、DOM等地理信息数据,也包括采用卫星遥感、无人机倾斜摄影、激光雷达扫描建模、BIM等技术形成的地理信息数据[12]。同时,各类工程管理的基础数据和水文、工程等各类监测数据以及业务管理数据统一纳入了数据底板。这些数据量大、种类丰富,来源多样,实时数据的更新更是海量数据,结构化、非结构化、时序数据等多种数据类型并存,水利数字孪生正是建立在海量数据的采集、传输和分析处理基础之上的。随着数字孪生水利工程的不断推进,工程数据安全“蓝海效应”也将更加突出,关键信息基础设施、核心数据、重要数据或大量信息将更容易受到外界关注,从而遭到恶意控制、利用[13]。这些数据既通过大数据平台统一管理,同时一些基础数据也分布在水利工程运行管理的各个节点,数字管理难度大。同时,大数据、云计算和智能应用的融合,以及大量异构平台的多层次协作带来更多的入侵方式和攻击路径,数据安全的风险进一步增加,数据存储、处理、交换、销毁等环节敏感数据泄露的风险也随之上升。

2.3 物联网安全风险

数字孪生实时性、保真性的特点要求按一定的频次实时采集水利工程的状态信息,如工程安全监测、水文监测、水质监测、水土保持监测、地质灾害监测和视频信息。这些信息实现了数字孪生水利工程由实到虚的仿真,在数字孪生水利工程建设中,这些信息需要各类专业传感器按照规定的精度和频次采集,并通过物联网进行传输、处理,因此物联网的建设是数字孪生水利工程必不可少的基础设施。在数字孪生水利工程中,各类传感器和视频监控设备以及相应的通信、处理和边缘计算共同组成了水利物联网。从网络安全的角度看,工业物联网设备涉及的网络安全问题主要包括安全漏洞数量急剧上升、拒绝服务攻击、信息泄露以及未授权访问[14]。此外,由于物联网的节点多、单节点功能单一、安全策略不统一,其还存在隐私保护,异构网络的认证与访问控制以及信息传输、存储与管理等问题,在信息安全的机密性、完整性和可用性等多方面面临着网络安全风险。

2.4 工控系统风险

数字孪生要求物理对象和数字空间能够双向映射、动态交互和实时连接。这种交互操作性要求数字孪生水利工程与水利工业控制系统之间进行交互,数字孪生水利工程需要接入闸门开度、机组运行等水利工程运行状态的信息,在条件具备的情况下,还可以实现对水利工程控制系统的远程操作。这些功能的实现必然要与水利工控系统进行网络通讯,这样就会造成原来在物理隔离环境中运行的水利工控系统不同程度地暴露在网络环境中,传统的封闭系统将向开放系统转变。

水利工控系统承担了防洪、灌溉、航运、水力发电等关系到国计民生的职责,极易遭受网络攻击,且受攻击后将引起重大损失风险[15]。另一方面,工控系统中的硬件芯片、软件系统的版本较低,升级维护不及时,可能存在未知的安全漏洞,一旦受到网络攻击,很容易被控制,造成运行失控、数据丢失、系统致瘫等网络安全问题,甚至闸门等设备设施被控制,造成严重的政治影响、社会影响和人身财产损失。

2.5 云计算风险

云计算是与大数据、人工智能技术紧密相关的信息技术,由于在云计算运行环境下,用户无法对平台进行直接管控,将可能带来安全需求、设备部署、技术运维及访问管理等诸多网络安全的风险[16]。数字孪生水利工程中对海量数据的处理必然要使用大数据技术。在云计算环境中会有大量不同安全等级的资产,如果云计算环境中安全域的规划和各类系统的访问控制机制不完善,将存在网络安全问题扩散的风险,在云环境中部署的数字孪生水利工程面临的DDos等网络攻击也非常突出。无论是IaaS层的从机房设备到硬件平台的基础设施的安全,还是PaaS层的接口安全、运行安全,以及SaaS 层的应用安全,都是数字孪生水利工程云计算面临的风险和必须解决的问题。

2.6 移动应用风险

移动应用在水利业务中日益普及。水利工程中水工建筑物、闸门金结的移动巡检、库区岸线和消落地的巡察和水政执法、取水口和排污口的核查、采砂管理以及水利业务管理流程的移动审批等应用都离不开移动应用。数字孪生水利工程桌面端的应用一部分会同步移植到移动应用中。数字孪生水利工程中的移动安全风险主要体现在移动终端、移动接入和移动应用3个方面。移动终端占比最大的Android和iOS操作系统自身存在未完全统一管理、缺乏普适性的审核标准及管理标准等安全风险[17],加上各类应用APP的不当授权,数据安全存在隐患。在网络接入上,存在VPN被非法使用的风险,水利业务的APP在开发时框架和代码的安全漏洞可能被利用,移动安全往往被忽视。

总的看来,数字孪生水利工程中网络安全技术风险特色鲜明,操作难度大,综合要求高,需要通过网络安全保障体系的建设化解这些风险。

3 数字孪生水利工程网络安全保障体系总体框架

3.1 保障目标

水利数字孪生网络安全治理的目标是保障业务不中断、数据不出事、合规不踩线[18]。数字孪生水利工程信息基础设施和防汛兴利、工程安全、生产运营、巡查管护等各类水利业务应用的正常运行,对确保水利数字孪生数据安全,保障水利工程发挥防洪、发电、灌溉、生态、环保等工程效益具有重要意义。

3.2 保障对象

水利数字孪生网络安全的治理对象包括数字孪生水利工程的信息基础设施、行业重要数据以及业务系统资源[19]。数字孪生水利工程的信息基础设施主要包括大型水利工程、重要位置的中型水库运行控制和生产调度系统、水质监控管理系统、引调水工程运行控制和生产调度系统、防汛抗旱指挥系统和水资源信息管理系统等关键信息基础设施[20],以及水利感知网、水利信息网、水利云等信息化基础设施[21]。数字孪生水利工程的重要业务系统包括水库防洪调度、生产运营、供水管理、工程运维管理、工程安全监测、库区管理、水质监测等水利工程管理的业务系统。数字孪生水利工程的重要数据资源包括高精度的地理信息、关键信息基础设施的运行数据、水文水资源数据、工程核心数据、个人信息及其他敏感信息。

4 数字孪生水利工程网络安全技术风险治理体系

为加强数字孪生水利工程网络安全技术风险的主动防护,本文立足网络安全应用技术,从网络安全纵深防御体系建设、物联网安全防护、数据安全防护、水利工业控制系统安全防护、云计算安全防护、移动安全防护六方面搭建了数字孪生水利工程网络安全技术风险治理体系,如图2所示。

图2 数字孪生水利工程网络安全技术风险治理体系Fig.2 Risk management system for network security technology of digital twin water conservancy projects

4.1 网络安全纵深防御体系建设

建立网络安全纵深防御体系是应对数字孪生水利工程复杂网络结构带来的风险的主要途径。

从网络结构和安全域划分的角度,做到网络安全防护的完整和细化。在分析网络结构的基础上,站在全网的角度对网络边界进行整合,使网络边界防护覆盖各种访问连接。对全网的资产进行梳理,根据资产的暴露位置、业务功能和重要等级,进行网络安全域的细粒度划分;进一步细化数字孪生水利工程的网络安全域,在网络边界实施严格的隔离防护措施,实现网络访问权限的最小化,收缩网络攻击面;建立多层次的网络安全防御纵深,在一层防护措施失陷的情况下仍有下一层级的防护,在下一层级措施失效的情况下还有措施予以补救,从而控制网络安全事件的影响范围,如图3所示。

图3 多层次网络安全纵深防御体系Fig.3 Multi-level network security defense system

从连接方式和业务场景的角度,根据数字孪生水利工程中的物联网、移动互联网、广域网等不同的连接方式,以及生产控制区、管理信息区、数据中心区、水利业务专网、互联网应用等业务应用场景的不同,对相同或相似的连接方式进行整合,收敛应用服务及接口的协议类型,统筹进行网络安全防护的部署,使网络边界进一步清晰。同时,也便于网络安全设备设施的部署和管理。

从网络安全接入的角度,对于内网终端用户的接入,建立终端准入机制是保障数字孪生水利工程网络安全的重要屏障(见图4)。通过终端准入机制,可以实现终端安全的检查,对终端的补丁进行升级管理,对终端运行的应用程序进行控制,在发生网络安全攻击时,可以准确定位受影响终端。对远程接入的终端,使用VPN或零信任技术对终端进行管理,实现用户身份的认证和安全连接。可以设立单独的安全接入区,用于统一管理远程接入。

图4 建立终端准入机制Fig.4 Establishing a terminal access mechanism

4.2 物联网安全防护

数字孪生水利工程物联网的安全防护包括物联网终端基础安全、物联网安全接入平台和物联网安全管理平台,在这3个层级上建设从端到边再到云的物联网安全体系。

(1) 物联网终端基础安全。在终端侧采用固件分析、安全测评相结合的手段,通过供应链管控体系明确物联网设备进入数字孪生水利工程的安全标准。根据设备的硬件特征,对进入数字孪生水利工程的物联网设备建立唯一的标识,对接入设备进行合法性验证,建立物联网资产、固件、漏洞的关联关系。对于水利关键信息基础设施使用的物联网设备,可以要求供应商在硬件设计和软件开发时,增加相应的安全模块。在项目实施中,采用了基于驱动层安全监控技术,采用自学习的网络进程安全防护策略,监控网络、进程和文件等类型数据,包含系统控制的动作指令和读写的状态,建立进程、网络、文件关系分析模型,对终端内部数据的关系和完整性进行安全防护。

(2) 物联网安全接入平台。物联网安全接入平台部署在边缘计算节点,将网络安全的关口前移到边缘侧,用于识别物联网设备,控制访问权限,保障物联网在数据传输层面可信。利用分析引擎和感知模型快速准确地实现边缘威胁感知,缩短安全分析的数据路径,提高数据分析的时效性。通过物联网安全接入平台,可以对接入的设备实现漏洞发现、配置脆弱性感知,对威胁流量进行阻断。同时,物联网安全接入平台也可以作为固件分发、配置管理的代理,减轻云端服务的访问压力,提高固件分发和补丁更新的效率。

(3) 物联网安全管理平台。管理平台对于安全管理区的核心交换机采用旁路部署,并与物联网终端设备路由可达,可感知全网资产的安全态势;对于网内物联网设备采用资产管理的模式,以唯一性ID作为资产主要数据流转凭证。采用了漏洞扫描、资产探测和异常检测等方式可以及时发现终端资产中发生的突破、绕过现有安全防御机制的风险行为,实时主动监测和安全预警,及时发现未落实的安全防护措施与安全遗漏盲区。将物联网安全管理平台与系统安全平台、数据安全平台、态势感知平台等其他安全管理平台连接,掌握物联网等感知层的设备资产的漏洞分布情况、运行状态和风险状况,实现对全域物联网设备的统一策略编排、固件分发、系统补丁等安全管理能力。结合大数据、态势感知、机器学习、威胁情报等技术,在物联网设备产生的大量业务、行为、流量等多维数据中,对全域数据进行持续分析、建模训练,实现设备指纹特征、网络行为、威胁行为识别等感知模型的持续优化,提高边缘安全保障能力。

通过物联网安全防护体系的建设,达到了边缘设备可查、接入可信、风险可知、威胁可控的全生命周期安全运营(见图5)。

图5 物联网安全防护体系Fig.5 Internet of things security protection system

4.3 数据安全防护

数据的安全防护是数字孪生水利工程的防护重点,需要开展数据安全治理,并在数据使用过程中严格权限管理,利用数据加密和脱敏技术防止数据的泄露、篡改和破坏。在系统运行过程中,加强数据库的运维审计,在极端情况下采取恢复备份数据的方式恢复系统的运行。

在数据安全治理方面,按照《水利数据分类分级指南(试行)》的规定,做好数据资产的梳理和分类分级,建立数据资产台账,识别和掌握敏感数据的分布使用情况,根据数据的分类分级不同,对数据进行有针对性的安全管理措施,既要保证数据的安全性,又要保证数据的有效利用(见图6)。在汉江流域数字孪生项目建设中,对数据集中、预处理和数据汇聚环节进行了系统治理,包括数据采集和数据分层、数据整理、数据分级、元数据管理、数据质量管理等数据治理内容。通过数据治理将原本零散的数据变成统一规范的主数据,使之满足上层应用和数据共享的需求,实现对数据分布和动态变更情况的追踪,提升了数据质量,使数据得到了全面的规范化。

图6 数据安全防护体系Fig.6 Data security protection system

在数据安全使用方面,项目实施中进行了数字资产盘点,建立了数据资产地图,对数据资产实施了细粒度的分类分级管理,同时对数据资产进行扫描探测,根据敏感级别对数据进行标记。对运维管理终端的安全状态进行监控,防止运维人员违规、越权或恶意进行数据操作。在应用系统开发中,严格控制API接口和数据层面的底层访问权限,对应用系统的使用人员权限进行动态管理,防止业务人员利用管理漏洞对数据进行违规、越权或恶意操作。统一通过数据交换平台与外部进行数据交换,防止数据非法泄露。

在数据加密和脱敏方面,该项目使用了国产密码技术,建立自动加解密机制。应用SM2/SM3/SM4国密标准加密算法,对数据提供身份鉴别、隐私保护、信息校验、数据防伪等基于密码技术的综合性基础服务,实现数据在服务器端和终端之间的透明加解密,防止通过终端泄露数据。建立统一的数据服务平台,实现对数据的统一管理和控制,按需提供数据服务,减少敏感原始数据流出,确实需要原始数据的,输出脱敏后的数据。对数字孪生底板中的敏感数据,采用脱敏技术实现对数值和文本类型的数据脱敏,支持多种脱敏方式,包括不可逆加密、区间随机、掩码替换等。支持自动扫描发现敏感信息,实现高效、方便、准确的信息脱敏。在系统开发调试环节使用脱敏的数据集,防止开发测试环节的数据泄露风险。

4.4 水利工业控制系统安全防护

水利工业控制系统使用Modbus、OPC、Profinet、Ethernet/IP等工业控制协议的同时,也越来越多地采用通用协议、通用硬件和通用软件,并以各种方式与互联网等公共网络连接,因此,需要对水利工业控制系统进行安全防护。根据水利工业控制系统的特殊性,重点在物理安全、边界安全、主机安全等方面进行防护(见图7)。

图7 水利工业控制系统安全防护Fig.7 Safety protection of water conservancy industrial control system

在物理安全方面,从安全分区、网络专用、横向隔离、纵向加密等方面对工控网络进行了优化。在电力监控系统和信息管理大区之间串行部署电力专用单向隔离网闸,用于电力监控系统到管理信息大区的单向数据传输。在业务分区的基础上规划网络安全管理区域,使用带外组网的方式与业务网络隔离,根据实际情况将部署在安全Ⅰ区和安全Ⅱ区的网络安全产品通过防火墙进行逻辑隔离。进一步加强机房规范化管理,将主要设备放置在机房进行集中管理,控制人员进出,在线缆敷设、消防、防水等方面满足规范要求。建设机房环境监控系统,对机房环境、设备状态、设备使用等情况进行记录,保障机房设备和信息系统的物理安全。

在边界安全方面,在工控内外网之间部署隔离设备,通过物理隔离的手段,使内外网之间无法进行基于网络协议的数据交换,实现网络安全隔离。在安全Ⅰ区与安全Ⅱ区之间串接部署工控防火墙产品,并按照最小化原则配置访问控制策略,实现区域逻辑隔离,通过IP/MAC绑定、建立边界访问黑白名单等安全策略,建立不同安全域之间的访问控制策略,确保非授权的设备不能在内外网之间随意连接,避免在一个系统或区域里暴发的工控安全事件扩散到其他系统或区域,从而保障区域间通信网络安全。通过使用工业防火墙在子网边界进行隔离,进一步提高了工业控制系统的网络安全防护能力,工业防火墙在传统防火墙的功能基础上提供多种工控协议的深度解析,支持30多种工控协议识别与深度解析,支持基于工控行为构建白名单访问控制策略,实现细粒度的安全防护。

在主机安全方面,水利工业控制系统往往实现的功能较为单一,这个特点非常适合采用白名单机制,只允许白名单内受信任的程序执行,将木马、病毒等非法程序隔离在外。同时,通过部署主机加固系统,针对安全策略、用户权限、系统补丁、U盘使用、重点目录、外设、网络连接等多个维度进行全方位监控和管理,从而提升操作系统安全级别、确保业务连续不中断、核心数据不丢失。项目实施过程中,对操作员站、工程师站、主服务器以及网络边界通信网关等部署了主机防护系统客户端,采用白名单的主动防御机制,有效实现了主机防病毒、防第三方软件的非授权安装与使用,以及主机系统外接口的管控,USB外接存储设备的认证管控、防病毒与操作行为审计,为主机系统安全运行提供必要的安全保障。对工控主机进行了人工加固,完成所有服务器、工控机、主机未使用的USB接口、串行口、无线、蓝牙、光驱等关闭工作,完善了操作系统、数据库、应用系统口令长度及复杂度,配置用户登录失败处理机制。

4.5 云计算安全防护

云计算环境内会有大量不同安全等级的资产,需要对不同的资产、应用类型进行安全域划分。合理划分云计算环境内不同的安全域,是保障云计算安全和正常运维的基础工作。将数字孪生水利工程划分为水利业务域、水利管理域、数据库域等不同的安全域,在不同安全域间采用访问控制、病毒检测、攻击行为防御、协议类型限制等策略,保护各安全域间的内网安全。

云平台基础环境安全检查方面,在云平台部署完成后,需要对云平台的基础环境进行安全检查,具体包括安全扫描、基线检查等工作,确保云平台的基础安全。

在云平台边界防护方面,在云出口处部署抗DDoS系统和防火墙。抗DDoS系统可有效防护来自互联网的各种DDoS攻击,防护类型包括CC、SYN flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式,保障云平台出口免遭各类大流量攻击的流量资源挤占,防护云内各类系统应用免于遭受拒绝服务攻击。防火墙可以对网络中的各类异常行为、网络攻击、协议攻击、应用攻击等行为进行识别、防御以及第一层网络访问控制,保护云内网络与系统安全。

在访问控制方面,部署安全网关,对云边界进行各类会话、服务的访问控制,其能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等,有效控制访问云中应用的会话类型。对云内的一些高保密性在线应用系统在维护或者日常使用中,需要采用数据安全传输策略,加密保护通信会话数据。在云出口处需要采用VPN网关,满足各类云内系统访问、维护等会话加密需求,保障会话的机密性、完整性、抗抵赖性。采用IDS类产品对网络出口中的各类异常应用进行检测和告警,或采用IPS产品攻击进行有效防御。

在云计算安全管理方面,应通过云堡垒机进行日常运维工作,为云内部运维提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志等操作增强审计信息的粒度。通过云日志审计系统,采集各类日志,进行集中存储、分析、安全风险审计,实现所监控的信息资产的实时监控、快速检索与分析。

4.6 移动安全防护

在应对移动安全中的终端安全、接入安全和应用安全等几个主要风险时,终端安全和接入安全是基础。在此基础上,水利业务应用应针对移动业务的特点,采取不同于桌面端的防护技术进行开发部署。

移动终端作为移动业务运行和存储信息的载体,需要确保移动终端的硬件安全。及时升级移动端操作系统,特别是操作系统的安全升级,强化终端用户的认证方式和认证密码的管理,保证用户个人信息的机密性,防范非授权使用和非法接入,实现移动网络与移动终端之间通信通道的安全可靠。

应用安全是数字孪生水利工程移动安全的重点。选择安全的开发架构,对软件包进行加密处理,完善签名认证机制是保障移动应用安全的必要技术手段。

在移动应用开发时,选择同类产品中排名靠前且有团队持续支持的代码库或框架,优先选用知名厂家的代码库或框架,在开发过程中严格遵守代码库、框架的安全规范,有效防范网络安全攻击。对移动应用的软件包进行安全加固,采取防逆向、防篡改、防调试和防窃取等措施,防范破解、篡改、盗版、调试、数据窃取等各类安全风险。严禁发布测试版本,发布的软件包不能包含测试代码信息,重要操作在服务器端进行日志记录,便于网络安全事件分析处理。

在认证方面,设计有效的身份验证机制,服务端的证书必须由权威的CA机关提供,明确认证使用者的身份而不是设备的身份,会话管理阶段的所有请求都需要对用户的合法身份进行鉴别,重要操作实行二次认证。同时,认证逻辑尽量放在服务器端完成,不在客户端完成。登录、注册、密码找回等属于认证授权环节的网络传输使用https协议传输。

5 应用成果及工作建议

数字孪生水利工程建设已取得阶段性成果,实现了基于调度规则库的水工程联合自动调度,初步实现了汉江流域水情预报及防洪形势预警和汉江流域行蓄洪工程调度运用与效果评估。项目成果已成功应用于2022年汉江流域水量调度管理业务,支撑了2023年度南水北调中线一期工程年度水量调度计划编制和汉江流域年度水量调度计划编制。由于系统涵盖的地理空间尺度大,覆盖了汉江流域的丹江口水库等骨干水利工程,数据汇集和共建共享程度高,对网络安全防护提出了严格要求。本次研究通过构建数字孪生水利工程网络安全防护体系,在汉江流域数字孪生水利工程建设中取得了良好防护效果,也为水利行业其他数字孪生水利工程的网络安全工作提供了借鉴。

(1) 在管理指导方面,针对数字孪生水利工程的网络安全工作提出了明确的要求和管理指导意见,指导了各工程管理单位数字孪生水利工程的网络安全建设。

(2) 在标准规范方面,编制了针对数字孪生水利工程特点的网络安全标准规范,如包括数据安全规范、物联网安全规范、工控安全防护规范等技术标准。

(3) 在网络安全资源整合方面,充分整合已有的网络安全软硬件资源和信息资源,建立统一的漏洞管理平台和威胁情报库,整合态势感知平台资源,及时全面掌握数字孪生水利工程的网络安全运行情况。

(4) 在网络安全专业队伍建设方面,加强了网络安全人才队伍的培养和储备。各工程管理单位的力量有限,网络安全专业人员缺乏,可以以流域为单位,采取一定的组织形式,把工程管理单位和流域管理部门的专业人才组织起来,建立网络安全专业队伍,开展预警分析、应急处置等技术支持工作。

(5) 在安全评价方面,建立了数字孪生水利工程网络安全评价指标体系,该体系的建立有助于全面准确地掌握水利行业网络安全的总体情况和发展变化趋势,并对照评价指标中的弱项,有针对性地进行改进,对共性的问题开展研究,提供更精准的指导。

6 结 语

数字孪生水利工程的网络安全关系到系统的安全运行,本身也是水利工程安全的一部分,数字孪生水利工程的网络安全建设是体系化的建设,管理、技术和运维是有机的整体。本文对数字孪生水利工程的网络安全风险的几个方面进行了分析,重点对技术方面的风险和防护进行了分析。在具体的数字孪生水利工程建设中,各个水利工程具有自身的特点和重点,在工作实践中还需要结合自身实际,开展数字孪生水利工程网络安全保障体系建设,在实践中进行迭代提升。对数字孪生水利工程网络安全管理的相关建议仅供网络安全管理部门和单位参考。