第二章  水利水电工程数字孪生安全施工管理技术手段



              域，在网络边界实施严格的隔离防护措施，实现网络访问权限的最小化，收缩网
              络攻击面；建立多层次的网络安全防御纵深，在一层防护措施失陷的情况下仍有
              下一层级的防护，在下一层级措施失效的情况下还有措施予以补救，从而控制网

              络安全事件的影响范围。
                  从连接方式和业务场景的角度，根据数字孪生水利工程中的物联网、移动互
              联网、广域网等不同的连接方式，以及生产控制区、管理信息区、数据中心区、

              水利业务专网、互联网应用等业务应用场景的不同，对相同或相似的连接方式进
              行整合，收敛应用服务及接口的协议类型，统筹进行网络安全防护的部署，使网
              络边界进一步清晰。同时，也便于网络安全设备设施的部署和管理。

                  从网络安全接入的角度，对于内网终端用户的接入，建立终端准入机制是保
              障数字孪生水利工程网络安全的重要屏障。通过终端准入机制，可以实现终端安
              全的检查，对终端的补丁进行升级管理，对终端运行的应用程序进行控制，在发
              生网络安全攻击时，可以准确定位受影响终端。对远程接入的终端，使用 VPN

              或零信任技术对终端进行管理，实现用户身份的认证和安全连接。可以设立单独
              的安全接入区，用于统一管理远程接入。

                  （二）物联网安全防护
                  数字孪生水利工程物联网的安全防护包括物联网终端基础安全、物联网安全
              接入平台和物联网安全管理平台，在这３个层级上建设从端到边再到云的物联网
              安全体系。

                  1. 物联网终端基础安全
                  在终端侧采用固件分析、安全测评相结合的手段，通过供应链管控体系明确

              物联网设备进入数字孪生水利工程的安全标准。根据设备的硬件特征，对进入数
              字孪生水利工程的物联网设备建立唯一的标识，对接入设备进行合法性验证，建
              立物联网资产、固件、漏洞的关联关系。对于水利关键信息基础设施使用的物联
              网设备，可以要求供应商在硬件设计和软件开发时，增加相应的安全模块。在项

              目实施中，采用了基于驱动层安全监控技术，采用自学习的网络进程安全防护策
              略，监控网络、进程和文件等类型数据，包含系统控制的动作指令和读写的状态，

              建立进程、网络、文件关系分析模型，对终端内部数据的关系和完整性进行安全
              防护。


                                                                                      91