随着国家对生态环境要求越来越严格，污水厂自动化水平的不断提高，以及数字化、信息化技术的广泛应用，污水厂控制系统的安全及经济信息安全被提到非常重要的位置。《网络安全法》中明确要求 “国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。”“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

江心洲污水处理厂是南京最大的污水处理厂，工程规模为67万m3/d，出水标准执行一级A标准。处理后的水排放到长江中，污水厂的运行安全与否直接影响长江的生态环境安全。为保证污水厂的安全运行，防止网络攻击，污水厂控制系统安装了一套工业控制网络安全系统。

江心洲污水厂自控系统分为三个层次，即就地设备层、车间控制层和调度监控层。PLC及中控室监控计算机之间通过100M/1000M TCP/IP光纤环网工业以太网进行高速大容量数据交换；调度监控层各节点通过交换机构成星型以太网，采用SERVER/CLIENT结构。 

江心洲污水厂自控系统采用“集中监控、管理，分散控制”的集散型系统。调度监控层系统由二台历史服务器（双机热备）、二台数据采集服务器（双机容错、热备）、三台中控室监控计算机、一个工程师站、打印、报表服务器和分区控制分站组成本工程实时控制工业以太网络，如中控室监控计算机故障，各现场分站仍能独立和稳定工作，从根本上提高了系统的可靠性。同时采用以PLC为主构成的集散型系统，有较高的性价比。 

监控系统采用现场PLC，配备先进的上位机软件。在污水厂中央控制室设置三台计算机作为操作员站。自控系统按照C/S架构的开发与部署模式，系统实现的主要功能有远程监视管理系统、生产运行管理系统、信息报表管理系统、设备资产管理系统、能源监测系统、报警信息管理、数据运行质量分析、专家系统、系统管理、移动APP查询。 

污水厂控制系统如图1所示。

图1  污水厂控制系统示意图

为保护污水厂自控系统的安全，本设计方案设计了一套完整的计算机信息安全防护系统。 

4.1　工业安全的重要性及必要性 

近年来，针对工业控制系统的攻击已经频繁出现并造成了严重的影响，进行工业控制系统的防护是非常必要的。 

4.2　自控系统信息防护设计目标 

（1）满足合规

依据国家等级保护要求及安全防护指南，结合物理环境、区域网络边界、网络环境、主机计算环境、安全管理层面等存在的安全风险，为安全整改和建设规划提供有力的依据。 

（2）整体防护 

针对已发现安全风险和潜在安全威胁，结合现有成熟技术进行工控网络安全整改与建设，重点从网络安全域划分及访问控制、网络安全监测及审计、主机安全防护、集中安全管理等方面提升工控网络的安全防范能力。

（3）持续运营 

以工业安全态势感知平台作为工业安全集中管理中心，通过外部情报、行业情报、内部情报及各类日志进行综合建模分析，结合AI技术对网络中存在的异常情况、未来可能的攻击行为等进行捕捉研判。以更强风险感知和识别能力为基础，综合的管理风险、应对风险，实现工业控制系统安全能力的可持续运营。 

4.3　方案设计依据针对水务工业控制系统基于等级保护二级的安全防护方案编制，遵循依据如下： 

（1）《工业控制系统信息安全防护指南》 

（2）GB 17859-1999计算机信息系统安全保护等级划分准则 

（3）GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 

（4）GB/T 22239-2019 信息安全技术 网络系统安全等级保护基本要求 

（5）GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 

（6）GB/T 25070-2019 信息技术安全 网络安全等级保护设计技术要求 

4.4　方案设计思路 

鉴于本污水厂工业控制系统在市政工程中的重要性，结合公安部网监和业主的要求，并参照《信息安全技术  网络安全等级保护定级指南》，本项目工业控制系统信息安全保护等级定为二级，污水厂工业控制系统信息安全建设方案也参照等级保护二级基本要求进行差异分析和安全建设。为实现污水厂自控系统安全合规的建设需求，我们建议参考图2所示拓扑引入一系列安全软硬件进行安全防护，具体包括： 

图2 基于合规的安全防护拓扑设计示意

（1）工业防火墙：采用串接形式部署的硬件设备，基于工业现场特点和工业控制系统安全风险进行设计，对工业控制系统进行细粒度的安全域划分，利用深度工业识别技术和AI技术防止潜在的攻击行为对系统造成破坏。 

（2）工业审计系统：采用旁路镜像部署的硬件设备，起到对工业网络关键节点进行入侵检测和事后日志审计的作用，对边界防护难以识别的内部流向交互风险进行识别、预警和日志留存。 

（3）工业卫士：软件产品，部署于操作员站和业务服务器，通过严格的设备管控防止未授权操作和恶意代码攻击事件的发生。 

（4）工业漏洞扫描：部署于安全管理区域，对全网资产和风险进行识别，便于掌握现场真实的脆弱性情况，指导总体风险缓解机制的指定和详细安全策略设计。

 （5）安全监管平台：部署于安全管理区域，是污水厂工控系统的安全管理中心，起到统一的策略配置运维、日志审计、报表分析等作用；将孤立的安全防护手段串联起来，是实现协同联动安全防护效果的指挥中心。

4.5　防护设备部署描述 

（1）在互联网边界部署传统防火墙，实现网络边界访问控制；监控网络边界部署传统防火墙，实现监控网络到业务网络间的访问控制； 

（2）业务网络与工业网络之间部署工业网闸，实现业务网与工控网络的物理隔离； 

（3）在工业网络内部，PLC与后端设备间部署工业审计，实现工控行为的审计记录； 

（4）在PLC与工业网络核心交换机间部署工业防火墙，实现工业协议的访问控制； 

（5）在工业网络工程师站前端部署工业防火墙，实现工业协议的访问控制； 

（6）在工业网络终端上部署工业卫士，实现终端的白名单安全防护； 

（7）工业网络核心交换机上部署工业监管平台，实现工业设备的集中监管； 

（8）在工业网络部署工业安全检查工具，实现工业漏洞等的安全检测。 

4.6　主要防护设备清单（如表1所示） 

表1 主要防护设备清单

本文只粗略介绍了江心洲厂工业防护2.0的大概设计情况，工业防护的设计应根据各自的控制系统平台、配置的设备等不同情况，同时应对不同业主需求，进行不同的配置。随着国家对安全防护的要求越来越严格，工业防护2.0、3.0或以上版本会得到越来越广泛的应用。

（来源：工业安全产业联盟）