第二章  水利水电工程数字孪生安全施工管理技术手段



                  （五）云计算安全防护
                  云计算环境内会有大量不同安全等级的资产，需要对不同的资产、应用类型
              进行安全域划分。合理划分云计算环境内不同的安全域，是保障云计算安全和正
              常运维的基础工作。将数字孪生水利工程划分为水利业务域、水利管理域、数据

              库域等不同的安全域，在不同安全域间采用访问控制、病毒检测、攻击行为防御、
              协议类型限制等策略，保护各安全域间的内网安全。
                  云平台基础环境安全检查方面，在云平台部署完成后，需要对云平台的基础
              环境进行安全检查，具体包括安全扫描、基线检查等工作，确保云平台的基础安全。
                  在云平台边界防护方面，在云出口处部署抗 DDoS 系统和防火墙。抗 DDoS

              系统可有效防护来自互联网的各种 DDoS 攻击，防护类型包括 CC、SYNflood、
              UDPflood、DNSQueryFlood 以及所有 DDoS 攻击方式，保障云平台出口免遭各
              类大流量攻击的流量资源挤占，防护云内各类系统应用免于遭受拒绝服务攻击。

              防火墙可以对网络中的各类异常行为、网络攻击、协议攻击、应用攻击等行为进
              行识别、防御以及第一层网络访问控制，保护云内网络与系统安全。
                  在访问控制方面，部署安全网关，对云边界进行各类会话、服务的访问控制，
              其能够对 FTP、HTTP、P2P 应用、IM 以及 VoIP 语音数据等应用进行识别，并

              根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、
              流量统计、流量控制和阻断等，有效控制访问云中应用的会话类型。对云内的一
              些高保密性在线应用系统在维护或者日常使用中，需要采用数据安全传输策略，
              加密保护通信会话数据。在云出口处需要采用 VPN 网关，满足各类云内系统访

              问、维护等会话加密需求，保障会话的机密性、完整性、抗抵赖性。采用 IDS 类
              产品对网络出口中的各类异常应用进行检测和告警，或采用 IPS 产品攻击进行有
              效防御。
                  在云计算安全管理方面，应通过云堡垒机进行日常运维工作，为云内部运维

              提供完全的审计信息，通过账号管理、身份认证、资源授权、实时监控、操作还
              原、自定义策略、日志等操作增强审计信息的粒度。通过云日志审计系统，采集
              各类日志，进行集中存储、分析、安全风险审计，实现所监控的信息资产的实时
              监控、快速检索与分析。

                  （六）移动安全防护
                  在应对移动安全中的终端安全、接入安全和应用安全等几个主要风险时，终


                                                                                      95