水利背景

水利工程是國民經濟基礎設施的重要組成部分，在防洪安全、水資源合理利用，生態環境保護、推動國民經濟發展等方面具有不可替代的重要作用。水利工程是我國國民經濟和社會發展的重要物質基礎，長期以來，水利工程在防洪、排澇、防災、減災等方面對國民經濟的發展做出了重大的貢獻，同時在農業灌溉、改善航運、生態環境等生產經營管理中發揮了巨大的作用。

隨著我國智慧水利整體規劃的推進，水利工程控制系統主要面臨著五大嚴重威脅：

（1）工控設備自身的后門漏洞（未公開披露），包括進口設備和國產設備；

（2）存在高危漏洞（工控系統網絡以穩定性為基礎，頻繁升級補丁軟件，給系統的穩定性帶來嚴重威脅），未及時升級；

（3）國家級APT（高級持續性威脅）組織現象，其攻擊手段之多、范圍之廣、強度之高、隱蔽之深都達到了前所未見的水平；

（4）工業病毒：專門針對工業控制系統設計的工業病毒；

（5）無線技術和無線產品的廣泛應用，所帶來的一些風險。由于水利控制系統的自身特點，在設計開發時，大部分未將系統防護等安全指標納入其中，而且控制系統網絡中大量使用TCP／IP技術，直接與互聯網連接，其防護措施薄弱，導致攻擊者很容易通過互聯網間接入侵工業控制系統。

建設水利靶場的意義主要體現在以下幾個方面：

（1）水利部印發《“十四五”水安全保障規劃》等系列文件，推進智慧水利建設，強化水利網絡安全體系建設；

（2）水利行業工控安全事件頻發，亟需提高員工網絡安全意識；

（3）現有安全防護措施薄弱，亟需提升工業網絡安全防護等級；

針對水利閘門等工控網絡業務系統，尤其針對控制業務核心控制層構建工控安全最后一道防線，動態構建資產、通信、業務和指令之間的安全圖譜，實時分析網絡通信、指令的合法性和合理性，快速發現和攔截非法資產接入、非法指令和“合法不合理指令”等操作，實現對水利閘門等工控資產、安全資產、控制安全的全面管控。保障控制器的安全、穩定運行，確保閘門控制安全。并依托安全管理平臺實現安全監測-防護的聯動，在發現異常事件時，聯動安全防護產品并及時調整防護策略，將威脅攔截在外。

基于閘門等控制業務的深度理解和行業工控靶場實景模擬測試，構建“行業工控行為白名單策略”，實現防護策略與控制指令、運行工藝的有機動態結合，所有安全產品的安全策略契合行業業務運行特點，解決傳統安全設備“白名單”機制存在的防護不徹底、針對性不強，因主機失陷帶來的“防護”變“掩護”的問題，進一步提升閘門工控網絡安全防護精準度，提升閘門控制安全。

N.02典型水利網絡靶場場景

博智水利網絡靶場典型場景如下圖所示：

水利自動化系統網絡仿真

依據安全分區、網絡專用、橫向隔離、縱向加密原則，通過虛擬化交換機、虛擬化防火墻、虛擬化路由器、虛擬化加密裝置構建多個網絡區域。

水利自動化仿真系統各子系統仿真

模擬水利自動化系統的SCADA系統、LCU控制單元系統、Web信息系統等；

水利系統硬件節點仿真

模擬水利SCADA系統的監控主機、操作員站、通訊機、工程師站、歷史服務器、Web服務器、時鐘系統、交換機、防火墻、公用LCU、閘門LCU、等虛擬化節點。

水利系統軟件仿真

模擬水利自動化系統的數據采集、設備控制、實時數據管理、歷史服務、HMI、報表、對時、WEB服務等軟件模塊。

水利系統接口仿真

模擬SCADA系統服務器、PLC及設備之間的實時數據采集與控制通信接口及其承載的業務功能；支持的協議包括Modbus、IEC60870-5-104、SNTP、IEEE1588、SL651、MQTT、HTTPS等。

水利系統業務功能仿真

模擬水利自動化系統的數據采集及處理、控制和調節、掛牌操作、智能操作票、事故追憶、拓撲著色等SCADA業務以及WEB瀏覽等訪問業務。

3.水利網絡靶場核心優勢

（1）博智水利網絡靶場具備異構資源管理，動態場景構建能力，可統一管理構建各類目標監控系統所需的硬件資源、軟件資源、配置資源以及相應方案，用戶可根據任務需要，利用既有資源，靈活、動態構建水利自動化系統場景。

（2）博智水利網絡靶場具備1:1還原水利自動化系統的能力，真實再現水利自動化系統結構與功能。

（3）博智水利網絡靶場具備虛實結合的仿真能力，可接入水利領域不同廠家自動化設備，以及交換機、路由器、防火墻、網閘、加解密裝置等真實網絡及安全設備。

4.水利網絡靶場應用能力

博智水利網絡靶場逼真的場景可應用于重大網絡安全事件模擬驗證、試驗鑒定、攻防演練、業務培訓等多個場景。

重大網絡安全事件模擬驗證

博智水利網絡靶場可按需構建場景，模擬重大網絡安全事件，驗證相關網絡安全技術。

試驗鑒定

博智水利網絡靶場可接入真實物理設備、軟件系統，為真實物理設備或軟件系統全功能運行提供理想的環境。綜合利用滲透測試工具，對可全面評估真實設備或軟件系統潛在網絡安全風險，確定真實設備或軟件系統是否滿足相關法律法規的規定。

攻防演練

博智水利網絡靶場真實再現水利自動化系統結構與功能，網絡安全技術人員可針對自動化系統各子系統、軟硬件要素、網絡要素、協議、網絡協議展開實戰化演練。

業務培訓

博智水利網絡靶場提供與網絡安全相關的專項工控課程包括典型工控行業介紹、工控安全評估與應急、工控安全政策標準、工控編程組態與系統仿真、工控網絡安全防護、工控系統概述與安全態勢、工控系統滲透測試、工業通訊協議分析。便于網絡安全技術人員開展業務培訓。