综合防御+等保合规，安全建设就得这么“水灵灵”地搞~

一水带一域，一脉系千秋

华夏水系纵横交错四通八达

千年前大禹治水，以人力挽狂澜

如今的智慧水利，借科技引川流

随着数字化相关技术的涌现

 “治水”正走向“智水”

这一转变的背后是无数水利工作者利用各类传感器、网络通信和数据分析等技术手段，构建起的集预报预警、工程调度、河道演进、精细模拟、风险研判于一体的智慧水利系统。无声指引着水流有序奔涌、纵横驰骋，满足农业灌溉、城市供水、生态补水等多元需求。

在福建省龙岩市，汀江、梅江、赣江三大水系交汇，水流数据瞬息万变。某县通过与天融信紧密协作，构建高效能、智能化的网络安全综合防御体系，进一步加固水利系统安全建设，守护一方水土的生活航道。

根据该县水利系统现行结构，天融信依据《信息安全技术 网络安全等级保护基本要求》，对系统物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全运维管理等方面进行设计，助力客户全面满足等保建设标准，同时打造以信息设施为承载、信息服务为支撑、信息安全为保障的智慧水利安全框架，实现对外部攻击及内部非法操作的预警防御和应急响应，为日常水利业务工作提供安全支撑。

固边界：隔绝威胁

该县水利系统，为实现文旅综合服务平台与终端用户间的信息交互开放互联网边界，但却未设置访问控制措施，存在非法访问等严重的安全隐患。

依据等级保护二级区域边界要求，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；应在关键网络节点处监视网络攻击行为。

天融信在互联网边界以及政务网边界部署下一代防火墙，对重要区域实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，执行严格访问控制。同时实时监测安全域边界，精准识别边界处的各类入侵行为并及时予以有效阻断，将安全威胁隔绝于系统之外。

强防御：查杀病毒

通过对水利系统进行安全分析与扫描，水利设施相关主机病毒入侵风险较高，处于重要位置的主机如（操作员站、工程师站）未设置恶意代码防护机制，杀毒软件存在未安装、未更新等问题，系统安全计算环境控制点防御较为薄弱。

等级保护二级安全计算环境控制点中，要求应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

天融信在水利体系各类终端部署终端威胁防御系统，实现对终端入侵和病毒行为的识别与阻断，通过模拟真实系统环境对病毒进行实时监控和动态分析，实现对未知病毒、变形病毒、勒索病毒等病毒的精准查杀。

增审计：防止外泄

当地水利系统数据库建设包含基础数据库、业务数据库、专题数据库以及系统定义的元数据库等，存储了大量河道地形、断面、坐标、居民个人信息等涉及民生安全、国家安全的重要数据和核心数据，一旦泄露将造成巨大损失。

依据等级保护二级计算环境要求，应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。天融信通过部署数据库审计系统，实时检测综合数据库资产，对各类操作行为和安全事件进行严格审计，有效防止核心数据库中敏感数据泄露风险。

加管理：精准管控

该县水利系统的各个节点网络设备、安全设备、操作系统、数据库的日志信息缺少统一管理与集中分析，无法回顾并梳理出有价值的安全线索与潜在风险预警，当遭遇网络攻击或系统故障时，难以及时整合各方面信息进行综合研判，极大地延长了故障排查与风险应对的时间窗口。

依据等级保护二级安全管理中心要求，应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求，应开启操作系统、网络设备、安全设备自身的审计模块。

天融信部署日志审计系统与堡垒机，将网络设备、安全设备、操作系统、数据库的日志信息集中汇总，同时在系统运维人员和网络、主机、数据库、应用等信息资产之间搭建唯一入口和统一交互界面，针对系统中关键软硬件设备运维的行为进行管控及审计，解决本地日志信息恶意删除无法找回记录等问题。

智慧水利，安全先行。水利部印发的《关于大力推进智慧水利建设的指导意见》《智慧水利建设顶层设计》 《“十四五”智慧水利建设规划》等系列重要文件，明确提出全面部署智慧水利建设，并将数字孪生流域、数字孪生水利工程建设作为构建智慧水利体系，实现“四预”的核心和关键。

作为中国网络安全建设的中坚力量，天融信积极响应国家战略方针，持续深化技术创新和战略布局，以提供更全面、更高效的产品、服务以及解决方案，推动水利客户安全水平提升，驱动水利行业高质量发展。

*文中部分素材来源于网络