第二章  水利水电工程数字孪生安全施工管理技术手段



              使用情况，根据数据的分类分级不同，对数据进行有针对性的安全管理措施，既
              要保证数据的安全性，又要保证数据的有效利用。在汉江流域数字孪生项目建设
              中，对数据集中、预处理和数据汇聚环节进行了系统治理，包括数据采集和数据
              分层、数据整理、数据分级、元数据管理、数据质量管理等数据治理内容。通过

              数据治理将原本零散的数据变成统一规范的主数据，使之满足上层应用和数据共
              享的需求，实现对数据分布和动态变更情况的追踪，提升了数据质量，使数据得
              到了全面的规范化。
                  在数据安全使用方面，项目实施中进行了数字资产盘点，建立了数据资产地

              图，对数据资产实施了细粒度的分类分级管理，同时对数据资产进行扫描探测，
              根据敏感级别对数据进行标记。对运维管理终端的安全状态进行监控，防止运维
              人员违规、越权或恶意进行数据操作。在应用系统开发中，严格控制 API 接口和
              数据层面的底层访问权限，对应用系统的使用人员权限进行动态管理，防止业务

              人员利用管理漏洞对数据进行违规、越权或恶意操作。统一通过数据交换平台与
              外部进行数据交换，防止数据非法泄露。
                  在数据加密和脱敏方面，该项目使用了国产密码技术，建立自动加解密机制。
              应用 SM2 ／ SM3 ／ SM4 国密标准加密算法，对数据提供身份鉴别、隐私保护、

              信息校验、数据防伪等基于密码技术的综合性基础服务，实现数据在服务器端和
              终端之间的透明加解密，防止通过终端泄露数据。建立统一的数据服务平台，实
              现对数据的统一管理和控制，按需提供数据服务，减少敏感原始数据流出，确实
              需要原始数据的，输出脱敏后的数据。对数字孪生底板中的敏感数据，采用脱敏

              技术实现对数值和文本类型的数据脱敏，支持多种脱敏方式，包括不可逆加密、
              区间随机、掩码替换等。支持自动扫描发现敏感信息，实现高效、方便、准确的
              信息脱敏。在系统开发调试环节使用脱敏的数据集，防止开发测试环节的数据泄
              露风险。

                  （四）水利工业控制系统安全防护
                  水利工业控制系统使用 Modbus、OPC、Profinet、Ethernet ／ IP 等工业控制
              协议的同时，也越来越多地采用通用协议、通用硬件和通用软件，并以各种方式
              与互联网等公共网络连接，因此，需要对水利工业控制系统进行安全防护。根据

              水利工业控制系统的特殊性，重点在物理安全、边界安全、主机安全等方面进行
              防护。


                                                                                      93