国家“十四五” 规划纲要明确提出“构建智慧水利体系,以流域为单元提升水情测报和智能调度能力”。2021年12月23日,水利部召开推进数字孪生流域建设工作会议,要求大力推进数字孪生流域建设,并部署各流域管理机构、地方水利部门和有关工程管理单位先行先试。至此,以数字孪生流域、数字孪生水网、数字孪生工程为核心的数字孪生水利建设框架体系基本形成。
“没有网络安全,就没有国家安全”等一系列新论断,为水利行业开展网络安全工作指明了方向,提供了根本遵循。数字孪生水利网络安全工程建设要加强水利网络安全纵深防御、态势感知、监测预警、风险评估、事件处置能力,强化重要数据安全监管,确保水利网络安全和数据安全。因此,无论是为了符合网络安全国家战略、法律法规要求,还是满足数字孪生水利建设发展需求,网络安全体系都必须进一步加强。本文通过数字孪生水利网络安全体系设计工作,以期为水利行业网络安全体系规划、设计和建设提供借鉴参考。
2022年是数字孪生水利建设的开局之年,以提高数字孪生水利网络安全保障水平和防护能力为落脚点,坚决守住不发生重大网络安全事故为底线,为实现水利行业“需求牵引、应用至上、数字赋能、提升能力”的十六字要求,落实数字化、网络化、智能化赋能水利发展开展了一系列的网络安全保障建设工作。
加强了数据安全管理工作,启动水利行业数据安全保护工作,印发水利数据安全责任人名录,并结合水利业务数据特点出台《水利数据分类分级指南(试行)》《水利数据安全管理办法(试行)》,指导水利行业开展数据分类分级,认定重要数据并形成行业重要数据目录。
业务网络安全防护中,有97家省级以上水利部门采用了数字证书(CA)身份认证。业务应用系统中省级以上水利部门的1874个应用系统有943个完成等级保护定级,其中三级系统211个、二级系统590个;816个系统完成等级保护测评,687个系统完成等级保护整改;117个系统采用了商用密码保护,信息系统安全得到重视,防护能力明显提升。
大型水利工程网络安全防护中,省级以上水利部门建有控制系统243个,103个完成了等级保护定级,建设了17个工控网络安全监测分析和安全态势感知预警及联动处置系统。水利工程控制系统成为水利网络安全工作重点领域。
根据数字孪生水利建设发展战略及信息化规划目标,通过分阶段的网络安全建设,逐步实现整体网络安全保障达到先进水平,实现 “掌控动态、感知威胁、实时预警、快速响应”的“113+”网络安全总体目标。
打造“1”套安全监督机制。打造数字孪生水利网络安全监督长效机制,深入落实网络安全责任,将各级水利行业主管部门网络安全责任落实情况纳入内部考核体系,将网络安全组织保障、安全防护、网络安全威胁治理、应急保障等重点工作纳入考核。
建设“1”个安全监测与分析平台。建设覆盖数字孪生水利感知网、信息网和水利云的网络安全态势感知和监测预警平台,实现对水利行业全天候、全方位的态势感知和监测预警,指导各级水利部门开展准确、有效的网络安全风险防范工作。
构建“3”个安全体系。建设具备“管理可控、制度健全、落实有力、持续改进”的网络安全管理体系;“技术可信、结构合理、完整有效、快速响应”的网络安全技术体系;“运行可靠、感知及时、防护得当、风险可控”的网络安全运营体系,实现网络安全全生命周期防护。通过网络安全体系建设强化顶层网络安全设计,落实组织职责及岗位职责,建立有效的网络安全管理制度及管理流程,增强抵御网络攻击事件的能力以及安全风险的运营管控能力,满足国家相关法律、法规和建设网络强国的战略需求。
“+”个重大安全专项任务
紧密结合数字孪生水利业务发展,集中力量建设一批国家重点关注的、水利行业紧迫需要的网络安全重大专项示范工程。加强跨区域、跨单位、跨部门的协同创新,建立能够调动各方面资源的高效组织管理架构,形成职责清晰、分工合理、相互支持、通心协力的管理机制,从而凝聚网络安全优势资源,做好重大专项实施工作,为数字孪生水利网络安全的发展提供持续性的支撑和引领。
网络安全和信息化是一体之两翼、驱动之双轮,结合数字孪生水利网络安全工作,构建以业务为驱动力、以数据为核心的网络安全战略。根据网络安全目标,提出了规划蓝图的总体框架,如下图所示。
图 1 规划总体框架
数字孪生水利涵盖流域、水网、工程三大领域,涉及大量关键基础设施,一旦发生网络安全事件关系国家安全和国民经济命脉。以“整体的、动态的、开放的、相对的、共同的”网络安全观为指导,从整体全局角度对数字孪生水利网络安全进行考虑,从传统静态分散防护向动态防护转变,借鉴行业内的先进防护经验,在防护成本和价值产出取得平衡实现相对安全,依靠各级水行政主管部门共同努力,加强安全意识,实现共同安全。
通过打造一套网络安全监督机制,强化网络安全监督检查,定期对数字孪生水利进行管理和技术的安全检测评估,掌握风险漏洞情况,并对在安全保护中履责不力的单位和个人进行责任追究。配合协助公安机关、网信管理部门、上级单位等部门组织开展的网络安全监督检查。
水利各级部门的网络安全工作实行年度考核。年初明确考核工作思路,制定下发考核要点,细化任务进度和工作措施。同时,加强培训交流,详细解读考核要求,开展经验分享。年中组织开展考核工作实地检查,及时发现问题和薄弱环节,明确整改要求和落实措施,推动问题尽快解决。年底制定评分模板,量化细化考核指标,确保打分客观、准确,真实反映各水利行业部门网络安全工作落实情况。
针对网络安全人员所承担工作的实际效果及贡献或价值,应用科学的定性和定量的方法,进行核定、评价与评估。各部门对负责网络安全的工作人员从岗位职责,工作目标等方面进行考察,对绩效进行识别,确定绩效目标,然后对绩效目标进行分解、分类,包括信息系统的等级保护工作开展情况、商用密码应用评估工作开展情况、安全事件的处置情况、日常运维工作的情况等。对工作表现突出的网络安全人员予以物质及精神鼓励。通过工作考核专项,对各水利行业部门每年的网络安全工作进行检查督导。
数字孪生水利网络安全监测与分析预警平台,实现对数字孪生水利全天候、全方位的态势感知和监测预警,指导各级水利部门开展准确、有效的网络安全风险防范工作。构建数字孪生水利整体态势感知、风险监测、通报预警、应急处置、安全防范于一体的网络安全监测与分析体系。通过采集主机、数据库、应用系统、安全设备等运行所产生的日志信息建立日志分析模型,对所采集的日志信息进行全维度、跨设备、细粒度的关联分析和数据挖掘,发现可能的违规操作、入侵行为、系统中断、非授权访问、设备和系统运行异常等网络安全事件,提供事件预警和安全态势呈现。平台架构如下图所示:
图 2 安全监测与分析平台架构
通过构建三个网络安全保障体系实现数字孪生水利网络安全建设管理可控、技术可信、运营可靠,保障水利关键信息基础设施安全、稳定、可靠地运行。
安全管理体系建设工作围绕网络安全发展战略及目标,优化现有的安全管理组织架构,细化各级水利部门的网络安全分工职责,强化岗位能力和责任,对组织进行安全管理,实现网络安全管理工作的制度化、规范化、协同化。对数字孪生水利全生命周期进行网络安全规范管理。通过管理要素之间的紧密关联,深入至数字孪生水利系统生命周期的每一个阶段;安全管理体系通过完善组织机制、完善规章制度、梳理岗位职责和权限、建立信息系统全生命周期安全管理机制、强化问题和隐患整改、开展网络安全符合性管理等方面,从而达到保障数字孪生水利网络安全“管理可控”的目的,确保网络安全得到全方位保证,满足安全合规要求。网络安全管理体系如下图所示:
图 3网络安全管理体系框架
按照网络安全体系设计蓝图,数字孪生水利的安全技术体系的核心目标是保障数字孪生水利的安全、可靠、稳定运行,保护数字孪生水利网络信息系统中存储的大量水利资源、水利工程敏感信息,从系统规划、系统设计、系统建设和系统运维角度进行全方位、全过程安全防护。
安全技术体系建设根据国家法律法规和行业标准,通过基础安全防护、安全监测与分析、密码应用支撑和数据安全层面结合数字孪生水利的行业特性、业务特点开展安全建设,对水利感知网、水利信息网、水利云统一安全防护。实现对信息基础设施、应用系统、数字孪生平台的安全防护措施进行查漏补缺,应用暴露面收敛、入侵防范、网络隔离、恶意代码防范、安全审计、密码技术、数据防护等技术措施,对数字孪生水利运用的“云大物移”新技术安全进行研究,构建水利行业完善、先进的技术体系,以实现对数字孪生水利网络安全和信息化工作的关键基础支撑。
图 4 网络安全技术框架
安全技术体系框架参考《信息安全技术 网络安全等级保护基本要求》《信息安全技术 信息系统安全保障评估框架》《信息安全技术 关键信息基础设施安全保护要求》《信息安全技术 信息系统密码应用基本要求》等标准作为基础防护依据,有效形成符合数字孪生水利业务现状的“统一标准”技术架构;同时借鉴《云计算关键领域安全指南》《工业控制系统(ICS)安全指南》《信息安全技术 物联网安全参考模型及通用要求》《系统信息安全要求和信息系统保障等级》(IEC62443-3-3)等新技术标准体系,科学有效地指导数字孪生水利建设逐步对新技术展开落地应用,最终形成“技术可信”的安全防护。
数字孪生水利网络安全运营体系的建设,采用PDCA模型框架,将其融入到具体的网络安全工作活动中,持续改进提升,形成从动态预防、运行防护到监测预警、响应处置的网络安全戴明环工作模型,最终实现“运行可靠”的安全目标。
图 5 安全运行体系框架
动态预防阶段建立风险评估体系,结合数字孪生水利实际情况,系统地识别信息资产,以及各类信息资产所面临的风险,并确定风险控制措施,对风险实施有效控制,将风险降低到可以接受的水平之内,保护资产的机密性、完整性和可用性。
运行防护阶段建立安全运维保障体系,开展安全服务,覆盖日常安全运维工作,对防护工作进行补充检查,进一步强化防护措施。
监测预警阶段建立监测预警子体系,结合态势感知平台实时监测日常运行过程中威胁和漏洞情况,对各级水利部门开展预警和通报工作,对安全趋势进行分析及总结,把握数字孪生水利整体安全情况。
响应处置阶段建立应急响应体系与容灾备份体系,将应急演练工作常态化,同时加强数据的容灾备份工作,保障运行安全。
根据业务应用系统的重要性进行定级工作,并向公安部门进行备案。按照网络安全等级保护级别的不同,采取相应的保护措施,对定级为三级的业务应用系统每年进行一次等级保护测评工作,二级信息系统每两年进行一次等级保护测评工作。从物理和环境、网络和通信、设备和计算、应用和数据等层面,分析和检测存在的安全技术风险。从安全策略和管理制度、安全机构和人员、安全建设、安全运维等角度,分析网络安全管理方面的问题和风险。
坚持自主可控、保障网络安全已经提升至国家战略层面。为积极响应国家政策要求,开展国产化安全改造的研究和应用工作,通过先行先试、探索开拓,以推动和促进国产软硬件与数字孪生水利业务的加速融合。
在网络安全产品选型部署方面,采用国内厂商的安全产品,逐步替换国外网络安全产品,保障数字孪生水利网络安全。
组织相关国产化软硬件厂商对国产化改造建设相关产品技术进行适配、调整和优化;对照国产基础软硬件的要求,对业务应用软件进行优化,确保业务应用软件能够在国产软硬件上稳定可靠运行。
启动国产化改造建设试点工作,按照“先易后难、稳步实施”的方针,制定不同的实施方案,选择数据量相对较小、且系统用户数量适中的数字孪生水利单位开展试点工作,集中发现问题予以优化,调优验证后,最后在涉及面较广、数据量较大、风险较高的数字孪生水利单位进行推广实施,以此将国产化软硬件的替代风险降低到最小。
网络安全体系设计的最终目的是为数字孪生水利业务的开展提供支持和保障。因此,本设计充分考虑到业务及信息化发展的需求,在安全性和业务开展的便利性之间找到平衡点。同时,从全局防护角度出发,实施整体安全保障,形成统一的安全防护标准,解决分散防护短板。同时,在整体安全保障框架下,按照轻重缓急分年度、分阶段、分步骤有序实施,优先解决网络安全工作中的紧迫问题,开展可快速见效的有关工作,逐步建立完善的网络安全保障体系。
(1)《关于大力推进智慧水利建设的指导意见》(水信息〔2021〕323号);
(2)《智慧水利建设顶层设计》(水信息〔2021〕323号);
(3)《“十四五”智慧水利建设规划》(水信息〔2021〕323号);
(4)《2022年度全国水利网信发展报告》
作者:安全专家杨博、曹雅楠