数字化转型下智慧水务应用安全建设探究

数字化转型下智慧水务应用安全建设探究

滕秀峰

天津万峰环保科技有限公司 天津，300000

摘要：现阶段，大数据的建设不仅为水务行业带来前所未有的便利，也给智慧水务安全建设带来便捷。因此，本文结合目前智慧水务应用存在的安全问题与潜在风险，提出并设计智慧水务应用建设方案。

关键词：数字化转型；智慧水务；安全建设；

1 智慧水务建设内容

1.1 智能感知网

根据水务业务应用建设需求，以水雨情、水资源、工情监测站点为核心基础，强化无人机、无人船等技术的综合应用。智能感知网具体建设为河道监测站网、人饮工程监测站网、在建水利设施监测站网、水库监测站网等。监测数据包括水位、流量、雨量、浊度、酸碱度、余氯值、视频实时画面等。

1.2水务大数据中心

（1）水务数据资源目录。水务数据资源目录建设是开展数据共享的重要手段和途径，各级在建立数据资源目录时，应保持基本维度分类体系的一致，并在水务数据中心建立统一的目录服务系统，解决各自领域范围的数据资源目录管理与发布。根据水务系统的实际情况，水务数据资源目录可分为基础数据目录、监测数据目录、业务数据目录。（2）制定数据标准规范体系。按照“一数一源”的原则，进行相关标准规范制定，主要包括数据库设计规范、数据加工存储规范、数据资源共享规范、数据接入规范等。（3）数据资料制作。数据资料制作包括河湖现场全景图、城乡供水三维场景、线上虚拟馆等。

1.3应用支撑平台

（1）水务事件推理能力。可分为洪水预报模型、水库来水及调度模型、视频图像分析模型等。洪水预报模型的构建是为了实现将实时或预报水雨情数据作为输入，通过预报模型，来实现对流域内重要节点的洪水过程的预报。水库来水预报及调度模型则通过选取水库并运用相关建模技术，搭建水库来水预报模型、工程调度模型、水资源优化配置模型。视频图像分析模型即由具备视频智能分析功能的摄像设备组成的智能监控系统，可以按需求监控。（2）水务事件协同能力。通过搭建一个统一的综合集成门户，在实现统一认证、单点登录的同时，可以根据登录用户的身份，确定用户的权限，自动呈现不同的功能界面。（3）水务实景仿真能力。可分为实景及数字孪生等，实景即通过720°全景摄像技术对各场景点进行多角度环视拍摄取景，使用软件进行图片拼合等处理，将平面照及计算机图变为全景，用于虚拟现实浏览。（4）水务时空分析。通过搭建GIS平台，为业务管理提供地图信息的操作、浏览和管理等功能。（5）水务行政服务。主要包括门户和智能问答等，门户可通过分权分域设置，对不同角色、不同级别、不同岗位用户所关注的信息做不同呈现，做到千人千面。智能问答面向内部工作人员和社会公众用户，以问答形式，定位用户所需要的提问知识，为用户提供个性化的信息服务。

1.4 基础资源及网络

包括应用服务器，数据库服务器，数据采集服务器，数字孪生应用服务器，线上虚拟馆应用服务器，以及存储、网络、安全等设备，一般结合建设及租用成本、自身维护能力综合分析，可采用租用外部云资源的方式建设。

1.5 安全体系

信息系统要求的安全体系，包括系统物理安全、网络安全、信息安全、系统安全、运行安全、安全制度等。

2 水务生产网及生产安全区建设方案

2.1 生产网络架构

生产网是为生产区设置的专用数据网络，由跨区域骨干网和接入网组成。各厂站节点通过有线数据专线接入汇聚节点构成有线接入网，各厂站节点通过无线数据专线接入集团平台构成无线接入网。

2.1.1跨区域骨干网

跨区域骨干网完成集团与区域公司的互联，规划为分属不同运营商的有线数据专线做1+1备份，带宽100Mbps。

2.1.2区域内骨干网

区域内骨干网完成区域汇聚节点与地市或项目汇聚节点的互联，覆盖当期所有投运项目，规划为分属不同运营商的有线数据专线做1+1备份，带宽10～50Mbps。

2.1.3接入网

接入网完成地市或项目汇聚节点与各厂站的互联，覆盖当期投运所有厂站。有线数据专线接入厂站到地市汇聚节点的带宽规划2～50Mbps。公用通信网接入的小型场站，使用4G/5G/WLAN的APN/VPN无线专网，规划带宽2～20Mbps。

2.2生产安全设备配置

2.2.1厂站侧安全

一个厂站的所有生产现场设备，用于现场控制、过程控制和生产管理的系统或与生产工控系统直接连接的系统、设备均部署到生产区。

大中型厂站生产区

大中型厂站定义为一个中控室控制一个站点，以有线数据专线接入上级平台的生产区。本地生产区与本地管理区之间无通信互联，相关通信互联通过集团平台完成。在生产区引入物联前置机，提供集团物联网平台与厂站侧工控系统的通信交互、数据交互、控制管理、纵向数据加密、设备证书准入等功能。厂站工控系统通过防火墙与物联前置机进行两级隔离后，接入集团平台生产区。在厂站生产区内设置安全管理域。等保一级配置防火墙（部署在生产区边界）、主机防病毒等设备。等保二级在一级基础上增加配置入侵防御（旁路部署）、日志审计、终端准入等设备。等保三级在二级基础上增加配置数据库审计、堡垒机、统一安全运营中心、病毒防护和准入管理服务器（可选）、流量威胁探针（可选）等设备。

小型厂站生产区

小型厂站为一个中控室控制2个及以上站点，各站点之间独立运行。分布式厂站采用互联网有线宽带或4G/5G的VPN或APN接入集团平台生产区的安全接入域，由接入服务器进行数据收发转接。厂站引入边缘物联代理，提供厂站与平台的通信交互、数据交互、控制管理、纵向数据加密、设备证书准入等功能。厂站工控系统通过物联前置机隔离后接入集团平台生产区，并由边缘物联代理在不同安全域之间建立通信隔离。视频监控数据存储于本地摄像头或本地NVR，根据上级平台需求发送指定摄像头视频流到上级平台，以降低网络传输对带宽的要求。

3 安全防护措施

3.1 生产网络安全及隔离

3.1.1网络路由防护

采用有线MSTP数据专线和无线4G/5G/WLANVPN/APN虚拟专网等安全质量高的通信网络组建水务生产通信网。通过租赁不同运营商MSTP数据专线方式做1+1组网，生产区内通信组网相关交换机、防火墙及加密装置全部采用堆叠高可用方案组网，以保障水务生产网络通信的高可靠性。

3.1.2网络边界防护

采用防火墙构建访问控制策略；采用纵向加密装置构建安全隔离、加密、认证等防护策略。

3.1.3网络设备的安全配置

设置开启访问控制列表、封闭空闲的网络端口、关闭网络边界OSPF路由功能、关闭或限定网络服务等。对厂站与生产数据网的边界防火墙进行病毒防护、准入黑白名单管理。

3.2横向隔离

采用不同安全设备隔离各安全区，在生产区与管理区之间设置横向正反单向安全隔离装置，以接近或达到物理隔离强度。生产区内部采用具有访问控制功能的网络设备、防火墙或具有同类功能的设施，实现逻辑隔离。

3.3纵向认证

采用认证、加密、访问控制等措施实现数据的远程安全传输和纵向边界的安全防护。设置纵向加密认证装置或加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。

结论

数字化转型下智慧水务应用逐渐智能化智慧化，但所面临的网络攻击与信息安全问题也愈发严重，基于等级保护条例和网络信息安全相关规定，结合水务运营实际需要，从安全技术和安全运营方面开展应用建设，统筹规划水务集团集控中心、属地集控中心和厂站全网的安全建设，基于安全分区、专用网络、横向隔离、纵向认证的智慧水务应用安全防护策略，打造集运营管理、态势可感知、事件可预警、事故可追溯、技术大融合、安全可闭环的智慧水务应用安全体系。

参考文献：

[1] 邰娜，刘辉.智慧水务建设中的工业控制系统网络安全简析[J].物联网技术，2018，8（08）：112-113.

[2] 国家标准化管理委员会.网络安全等级保护基本要求：GB/T22239-2019[S].北京：中国标准出版社，2019.