“数字孪生水利”网络安全体系设计

背景

国家“十四五” 规划纲要明确提出“构建智慧水利体系，以流域为单元提升水情测报和智能调度能力”。2021年12月23日，水利部召开推进数字孪生流域建设工作会议，要求大力推进数字孪生流域建设，并部署各流域管理机构、地方水利部门和有关工程管理单位先行先试。至此，以数字孪生流域、数字孪生水网、数字孪生工程为核心的数字孪生水利建设框架体系基本形成。

“没有网络安全，就没有国家安全”等一系列新论断，为水利行业开展网络安全工作指明了方向，提供了根本遵循。数字孪生水利网络安全工程建设要加强水利网络安全纵深防御、态势感知、监测预警、风险评估、事件处置能力，强化重要数据安全监管，确保水利网络安全和数据安全。因此，无论是为了符合网络安全国家战略、法律法规要求，还是满足数字孪生水利建设发展需求，网络安全体系都必须进一步加强。本文通过数字孪生水利网络安全体系设计工作，以期为水利行业网络安全体系规划、设计和建设提供借鉴参考。

想要进一步了解网络安全，可以扫描下方二维码

 

1        水利行业网络安全现状总结

2022年是数字孪生水利建设的开局之年，以提高数字孪生水利网络安全保障水平和防护能力为落脚点，坚决守住不发生重大网络安全事故为底线，为实现水利行业“需求牵引、应用至上、数字赋能、提升能力”的十六字要求，落实数字化、网络化、智能化赋能水利发展开展了一系列的网络安全保障建设工作。

1.1          安全管理方面

加强了数据安全管理工作，启动水利行业数据安全保护工作，印发水利数据安全责任人名录，并结合水利业务数据特点出台《水利数据分类分级指南（试行）》《水利数据安全管理办法（试行）》，指导水利行业开展数据分类分级，认定重要数据并形成行业重要数据目录。

1.2          安全技术应用方面

业务网络安全防护中，有97家省级以上水利部门采用了数字证书（CA）身份认证。业务应用系统中省级以上水利部门的1874个应用系统有943个完成等级保护定级，其中三级系统211个、二级系统590个；816个系统完成等级保护测评，687个系统完成等级保护整改；117个系统采用了商用密码保护，信息系统安全得到重视，防护能力明显提升。

大型水利工程网络安全防护中，省级以上水利部门建有控制系统243个，103个完成了等级保护定级，建设了17个工控网络安全监测分析和安全态势感知预警及联动处置系统。水利工程控制系统成为水利网络安全工作重点领域。

2           体系框架设计

2.1         设计目标

根据数字孪生水利建设发展战略及信息化规划目标，通过分阶段的网络安全建设，逐步实现整体网络安全保障达到先进水平，实现 “掌控动态、感知威胁、实时预警、快速响应”的“113+”网络安全总体目标。

打造“1”套安全监督机制。打造数字孪生水利网络安全监督长效机制，深入落实网络安全责任，将各级水利行业主管部门网络安全责任落实情况纳入内部考核体系，将网络安全组织保障、安全防护、网络安全威胁治理、应急保障等重点工作纳入考核。

建设“1”个安全监测与分析平台。建设覆盖数字孪生水利感知网、信息网和水利云的网络安全态势感知和监测预警平台，实现对水利行业全天候、全方位的态势感知和监测预警，指导各级水利部门开展准确、有效的网络安全风险防范工作。

构建“3”个安全体系。建设具备“管理可控、制度健全、落实有力、持续改进”的网络安全管理体系；“技术可信、结构合理、完整有效、快速响应”的网络安全技术体系；“运行可靠、感知及时、防护得当、风险可控”的网络安全运营体系，实现网络安全全生命周期防护。通过网络安全体系建设强化顶层网络安全设计，落实组织职责及岗位职责，建立有效的网络安全管理制度及管理流程，增强抵御网络攻击事件的能力以及安全风险的运营管控能力，满足国家相关法律、法规和建设网络强国的战略需求。

“+”个重大安全专项任务

紧密结合数字孪生水利业务发展，集中力量建设一批国家重点关注的、水利行业紧迫需要的网络安全重大专项示范工程。加强跨区域、跨单位、跨部门的协同创新，建立能够调动各方面资源的高效组织管理架构，形成职责清晰、分工合理、相互支持、通心协力的管理机制，从而凝聚网络安全优势资源，做好重大专项实施工作，为数字孪生水利网络安全的发展提供持续性的支撑和引领。

2.2         设计蓝图

网络安全和信息化是一体之两翼、驱动之双轮，结合数字孪生水利网络安全工作，构建以业务为驱动力、以数据为核心的网络安全战略。根据网络安全目标，提出了规划蓝图的总体框架，如下图所示。

图 1 规划总体框架

数字孪生水利涵盖流域、水网、工程三大领域，涉及大量关键基础设施，一旦发生网络安全事件关系国家安全和国民经济命脉。以“整体的、动态的、开放的、相对的、共同的”网络安全观为指导，从整体全局角度对数字孪生水利网络安全进行考虑，从传统静态分散防护向动态防护转变，借鉴行业内的先进防护经验，在防护成本和价值产出取得平衡实现相对安全，依靠各级水行政主管部门共同努力，加强安全意识，实现共同安全。

3        打造一套安全监督机制

通过打造一套网络安全监督机制，强化网络安全监督检查，定期对数字孪生水利进行管理和技术的安全检测评估，掌握风险漏洞情况，并对在安全保护中履责不力的单位和个人进行责任追究。配合协助公安机关、网信管理部门、上级单位等部门组织开展的网络安全监督检查。

水利各级部门的网络安全工作实行年度考核。年初明确考核工作思路，制定下发考核要点，细化任务进度和工作措施。同时，加强培训交流，详细解读考核要求，开展经验分享。年中组织开展考核工作实地检查，及时发现问题和薄弱环节，明确整改要求和落实措施，推动问题尽快解决。年底制定评分模板，量化细化考核指标，确保打分客观、准确，真实反映各水利行业部门网络安全工作落实情况。

针对网络安全人员所承担工作的实际效果及贡献或价值，应用科学的定性和定量的方法，进行核定、评价与评估。各部门对负责网络安全的工作人员从岗位职责，工作目标等方面进行考察，对绩效进行识别，确定绩效目标，然后对绩效目标进行分解、分类，包括信息系统的等级保护工作开展情况、商用密码应用评估工作开展情况、安全事件的处置情况、日常运维工作的情况等。对工作表现突出的网络安全人员予以物质及精神鼓励。通过工作考核专项，对各水利行业部门每年的网络安全工作进行检查督导。

4        建设一个安全监测与分析平台

数字孪生水利网络安全监测与分析预警平台，实现对数字孪生水利全天候、全方位的态势感知和监测预警，指导各级水利部门开展准确、有效的网络安全风险防范工作。构建数字孪生水利整体态势感知、风险监测、通报预警、应急处置、安全防范于一体的网络安全监测与分析体系。通过采集主机、数据库、应用系统、安全设备等运行所产生的日志信息建立日志分析模型，对所采集的日志信息进行全维度、跨设备、细粒度的关联分析和数据挖掘，发现可能的违规操作、入侵行为、系统中断、非授权访问、设备和系统运行异常等网络安全事件，提供事件预警和安全态势呈现。平台架构如下图所示：

图 2 安全监测与分析平台架构

5       构建三个安全体系

通过构建三个网络安全保障体系实现数字孪生水利网络安全建设管理可控、技术可信、运营可靠，保障水利关键信息基础设施安全、稳定、可靠地运行。

5.1         安全管理体系设计

安全管理体系建设工作围绕网络安全发展战略及目标，优化现有的安全管理组织架构，细化各级水利部门的网络安全分工职责，强化岗位能力和责任，对组织进行安全管理，实现网络安全管理工作的制度化、规范化、协同化。对数字孪生水利全生命周期进行网络安全规范管理。通过管理要素之间的紧密关联，深入至数字孪生水利系统生命周期的每一个阶段；安全管理体系通过完善组织机制、完善规章制度、梳理岗位职责和权限、建立信息系统全生命周期安全管理机制、强化问题和隐患整改、开展网络安全符合性管理等方面，从而达到保障数字孪生水利网络安全“管理可控”的目的，确保网络安全得到全方位保证，满足安全合规要求。网络安全管理体系如下图所示：

图 3网络安全管理体系框架

5.2         安全技术体系设计

按照网络安全体系设计蓝图，数字孪生水利的安全技术体系的核心目标是保障数字孪生水利的安全、可靠、稳定运行，保护数字孪生水利网络信息系统中存储的大量水利资源、水利工程敏感信息，从系统规划、系统设计、系统建设和系统运维角度进行全方位、全过程安全防护。

安全技术体系建设根据国家法律法规和行业标准，通过基础安全防护、安全监测与分析、密码应用支撑和数据安全层面结合数字孪生水利的行业特性、业务特点开展安全建设，对水利感知网、水利信息网、水利云统一安全防护。实现对信息基础设施、应用系统、数字孪生平台的安全防护措施进行查漏补缺，应用暴露面收敛、入侵防范、网络隔离、恶意代码防范、安全审计、密码技术、数据防护等技术措施，对数字孪生水利运用的“云大物移”新技术安全进行研究，构建水利行业完善、先进的技术体系，以实现对数字孪生水利网络安全和信息化工作的关键基础支撑。

图 4 网络安全技术框架

安全技术体系框架参考《信息安全技术 网络安全等级保护基本要求》《信息安全技术 信息系统安全保障评估框架》《信息安全技术 关键信息基础设施安全保护要求》《信息安全技术 信息系统密码应用基本要求》等标准作为基础防护依据，有效形成符合数字孪生水利业务现状的“统一标准”技术架构；同时借鉴《云计算关键领域安全指南》《工业控制系统（ICS）安全指南》《信息安全技术 物联网安全参考模型及通用要求》《系统信息安全要求和信息系统保障等级》（IEC62443-3-3）等新技术标准体系，科学有效地指导数字孪生水利建设逐步对新技术展开落地应用，最终形成“技术可信”的安全防护。

5.3         安全运营体系设计

数字孪生水利网络安全运营体系的建设，采用PDCA模型框架，将其融入到具体的网络安全工作活动中，持续改进提升，形成从动态预防、运行防护到监测预警、响应处置的网络安全戴明环工作模型，最终实现“运行可靠”的安全目标。

图 5 安全运行体系框架

动态预防阶段建立风险评估体系，结合数字孪生水利实际情况，系统地识别信息资产，以及各类信息资产所面临的风险，并确定风险控制措施，对风险实施有效控制，将风险降低到可以接受的水平之内，保护资产的机密性、完整性和可用性。

运行防护阶段建立安全运维保障体系，开展安全服务，覆盖日常安全运维工作，对防护工作进行补充检查，进一步强化防护措施。

监测预警阶段建立监测预警子体系，结合态势感知平台实时监测日常运行过程中威胁和漏洞情况，对各级水利部门开展预警和通报工作，对安全趋势进行分析及总结，把握数字孪生水利整体安全情况。

响应处置阶段建立应急响应体系与容灾备份体系，将应急演练工作常态化，同时加强数据的容灾备份工作，保障运行安全。

6            “+”重大安全专项任务

6.1         等级保护合规专项

根据业务应用系统的重要性进行定级工作，并向公安部门进行备案。按照网络安全等级保护级别的不同，采取相应的保护措施，对定级为三级的业务应用系统每年进行一次等级保护测评工作，二级信息系统每两年进行一次等级保护测评工作。从物理和环境、网络和通信、设备和计算、应用和数据等层面，分析和检测存在的安全技术风险。从安全策略和管理制度、安全机构和人员、安全建设、安全运维等角度，分析网络安全管理方面的问题和风险。

6.2         国产化安全改造专项

坚持自主可控、保障网络安全已经提升至国家战略层面。为积极响应国家政策要求，开展国产化安全改造的研究和应用工作，通过先行先试、探索开拓，以推动和促进国产软硬件与数字孪生水利业务的加速融合。

在网络安全产品选型部署方面，采用国内厂商的安全产品，逐步替换国外网络安全产品，保障数字孪生水利网络安全。

组织相关国产化软硬件厂商对国产化改造建设相关产品技术进行适配、调整和优化；对照国产基础软硬件的要求，对业务应用软件进行优化，确保业务应用软件能够在国产软硬件上稳定可靠运行。

启动国产化改造建设试点工作，按照“先易后难、稳步实施”的方针，制定不同的实施方案，选择数据量相对较小、且系统用户数量适中的数字孪生水利单位开展试点工作，集中发现问题予以优化，调优验证后，最后在涉及面较广、数据量较大、风险较高的数字孪生水利单位进行推广实施，以此将国产化软硬件的替代风险降低到最小。

7           结语

网络安全体系设计的最终目的是为数字孪生水利业务的开展提供支持和保障。因此，本设计充分考虑到业务及信息化发展的需求，在安全性和业务开展的便利性之间找到平衡点。同时，从全局防护角度出发，实施整体安全保障，形成统一的安全防护标准，解决分散防护短板。同时，在整体安全保障框架下，按照轻重缓急分年度、分阶段、分步骤有序实施，优先解决网络安全工作中的紧迫问题，开展可快速见效的有关工作，逐步建立完善的网络安全保障体系。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取