近日，北京信安世纪科技股份有限公司（以下简称“信安世纪”）贵州省水库工业控制系统密码应用案例凭借行业典型性和方案先进性，成功入选 “工业互联网安全”方向“2022安全样板工程”。

　　2018年，国家发布关于金融和重要领域的密码应用工作规划相关政策文件，在文件中对水利行业密码应用的建设提出了要求。水利部办公厅发布的《2020年水利网信工作要点》文件中要求，落实、持续推进三峡水利枢纽、南水北调工程等重要水利基础设施和国家水资源管理系统等重要信息系统的密码应用。

　　贵州省水库是贵州省重要的水利工程，也是国家级民生重点项目，作为水库关键的业务系统，其工业控制系统的数据保护是重中之重。信安世纪通过深入分析该水库业务系统信息安全的现状，发现存在如下痛点：

　　用户身份难鉴别：业务系统采用传统账号口令登录方式，用户口令易遭到恶意破解，用户身份安全难以得到保障。

　　数据传输未加密：水库应用系统与水投集团间数据传输未进行密码保护，易造成数据的泄露和篡改。

　　数据存储隐患高：数据库及存储中数据文件易被窃取、损坏或修改，存在数据泄露风险。

　　实施过程

　　根据国家相关法律、法规及技术标准，结合了水利行业信息化发展趋势，兼顾了当前该水库业务系统商用密码应用需求，信安世纪为贵州水库的业务系统建设了统一管理、配置合理、安全可控的商用密码应用平台，构建了从前端采集单元到水库分支节点、分支节点到中心端的全流程数据安全防护密码应用解决方案，保证了水库业务系统身份安全、数据传输安全、数据存储安全。

　　该方案综合采用SSL加密、数字证书、签名验签、动态密码等成熟的密码技术，实现了工业采集端数据的加密、水库工业控制系统本地机房管理端与服务器端数据传输加密，采集端设备接入水库中心机房、水库管理公司接入水投集团、系统用户登录应用系统的身份鉴别，以及数据库业务数据的安全存储以及系统所有设备的统一运维管理。

　　图 1 贵州省水库密码应用拓扑图

　　实施效果

　　1. 身份安全性验证

　　信安世纪通过动态密码、动态令牌、数字证书技术等为整体业务流程构建了双因素认证登录方案，实现了针对用户、运维人员以及采集端设备接入水库中心机房、水库管理公司接入水投集团、系统用户登录应用系统的身份鉴别，保证身份的真实性与唯一性。

　　2.工业数据采集端的数据加密保护

　　工业采集端通过加密模块与后台密钥管理系统相结合，并通过数字信封技术及HMAC-SM3技术，实现工业采集重要数据在传输过程中的机密性及完整性。

　　3.水库中心机房与水投集团之间数据传输加密

　　水库工业控制系统本地机房管理端与服务器端通信采用信安世纪SSL客户端与SSL应用网关完成通道的加密，保证通信双方数据的机密性、完整性及身份的真实性，为水情、工情、墒情的数据传输提供了安全保障。

　　4.数据存储安全

　　业务系统在对重要数据进行存储时，通过对关键业务数据进行加密，将密文存储至数据库中，实现对各业务系统关键数据、用户信息数据、审计数据、应用配置数据等的完整性及机密性保护。

　　5.工控系统统一运维管理

　　该水库工业控制系统所有设备通过SSL VPN技术建立安全的信息传输通道，实现统一、集中的安全运维管理；当运维人员从外部访问内部运维区域时，采用数字证书技术对运维人员进行身份鉴别，实现通信数据完整性、保密性。

　　随着智慧水利建设的推进，水利领域的网络安全建设也上升到新高度。作为信息安全专业企业，信安世纪将积极响应国家水利建设相关政策，深入研究行业信息化安全建设需求，运用信息安全技术手段，保障智慧水利的高质量发展，为国家水治理体系和治理能力的现代化提供强有力的安全支撑。