文章总结： 本文提出基于数算网安三位一体架构的智慧水务安全基座解决方案，针对水厂智能化改造中工控系统开放化、计算资源不足及网络带宽瓶颈等挑战，结合GB/T22239-2019三级安全要求，构建以边界防护（工业防火墙、网闸）、主机免疫（工控主机卫士）、流量监控和集中管理为核心的安全防线；通过超融合系统提供弹性计算资源与GPU直通能力，并采用工业环网实现高可靠网络通信。方案实现合规适配、智能运维与降本增效，为智慧水务提供一站式基础设施支撑。 综合评分： 82 文章分类： 解决方案,工控安全,网络安全,iot安全,安全建设

数算网安三位一体解决方案，打造水厂智慧水务安全基座

原创

邱文翰 邱文翰

威努特安全网络

2026年5月20日 08:00 北京

在小说阅读器读本章

去阅读

随着城市化进程的加速，城市人口不断增加，对水资源的需求也日益增长。水务行业作为重要的基础设施行业，对于保障人民生活和经济发展具有至关重要的作用。然而，老旧水厂管理效率低下、药剂投料粗放浪费、水质差等问题已严重影响了水务行业对人民生活的保障作用和经济发展的支撑作用。

国务院印发的《“十四五”数字经济发展规划》明确提出推动“智慧水务”的建设，通过数字化技术提升城市供水、排水系统的智能化管理和服务能力；中共中央办公厅、国务院办公厅印发的《关于推进以县城为重要载体的城镇化建设的意见》要求县城加强供水管网智能化改造，推广漏损监测、水质在线感知等技术，保障供水安全；中共中央、国务院印发的《国家水网建设规划纲要》提出推动城乡供水一体化智慧管理，支持数字技术在水网调度、管网监测中的应用。这些政策为智慧水务建设指明了方向，强调了数字化、智能化在水务行业的重要性。

综上，无论从业务发展还是政策导向看，智慧水务都是水务行业的必然趋势。通过数字化技术的应用，可以实现水务数据的贯通高效化、决策可视化和分析智能化，解决水务行业常见的痛点问题，提升水务企业的运营效率和管理水平。

需求分析

随着水厂智能化改造和智慧水务平台的建设，水厂信息化面临一定的挑战：

（1）智慧水务的建设，势必打破水厂工控网原有封闭的孤岛环境，尤其在当前主流智慧水务平台方案中，视频监控、安防设备及大量物联网监测模块会被统一接入与集中管理。因此，需要加强对水厂工业控制系统网络安全的建设，避免因工控系统与外部系统连通而导致的网络攻击。

（2）原有水厂工业控制系统通常仅部署了少量服务器用于承载SCADA系统或其他少量业务系统，不具备支撑新部署智慧水务平台运行的计算能力。同时，随着智慧水务平台的功能不断补充、提升，需要水厂工业控制系统配备具备弹性扩展能力的计算基座；

（3）伴随着智慧水务平台的建设，原有百兆工业骨干网已无法承载快速增长的数据流量与业务负荷，需要对工业控制系统网络进行重新规划，以满足低延迟、高带宽和高可靠性的要求。

建设方案

构建水厂网络安全防线

基于水厂工业控制系统目前的网络现状，同时能满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的第三级安全要求，威努特以“一个中心、三重防护”为总体策略，基于“白环境”的工业控制系统核心防护理念，打造纵深安全防护体系，整体架构如下图所示：

图1 水厂工控系统纵深安全防护体系

边界防护

针对不同水厂用户的安全建设，首先要梳理用户网络结构，根据不同网络属性、业务属性、责任属性等维度，划分不同的网络区域。

如图1所示，可将整体网络划分为工控网和包含智慧水务及办公网的外部网络两部分。其中工控网内部可划分为调度中心、工业环网以及厂外泵站。

明确安全区域后，根据跨区域流量的协议类型、数据量等，选择合适的边界安全防御设备。例如在工控网内部，通过在调控中心与工业环网之间部署工业防火墙，将计算设备与PLC严格隔离，利用工业白名单机制，确保仅可信、必要的工业指令能够正确下达至指定分控子站的PLC中。在厂外泵站边界部署工业防火墙，保证泵站与厂区的区域隔离，避免泵站爆发安全事件影响厂区，同时满足厂区对泵站的远程控制需求。

在工控网与智慧水务平台边界处部署工控安全隔离与信息交换系统（工控网闸），利用工控安全隔离与信息交换系统由内、外网处理单元和数据交换单元（专用隔离芯片）组成的“2+1”结构数据摆渡方式，确保两张网络的“准物理隔离”，确保仅进行必要的生产运行数据由工控网单向上传至智慧水务平台供平台利用。

在智慧水务平台与办公网之间部署第二代防火墙，仅对办公网开放智慧水务平台WEB端HTTP端口，确保一般员工仅能访问业务系统应用页面，防止员工利用暴露的管理端口随意破坏系统，保护关键业务系统的安全性。

主机免疫

在构建水厂工业控制系统边界安全措施后，下一步针对安全攻击受体的工控主机进行进一步加固，提高工控主机自身的安全免疫能力。在工控主机上安装工控主机卫士，利用主机卫士轻量级白名单机制，无需更新病毒库与特征库，即可长期实现对恶意进程的主动防御；同时，工控主机卫士还可以通过对底层驱动的接管，对工控主机外设端口进行管控，避免控制系统因移动存储介质的随意使用感染恶意代码，或引起关键信息的扩散；通过基线管理实现密码复杂度配置、密码历史强制保留、Guest 账户关闭、系统与账户审计开启、默认共享关闭、进程审计等安全加固，最大限度保护主机的安全。

图2 工控主机卫士防护能力全景图

流量监控

针对工业控制系统中关键网络节点，部署工控安全监测与审计系统，以旁路监控镜像流量的方式，实时监测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，使系统具备局域网内东西向流量的安全监测能力。

集中监管

除了做好基本的安全防护外，更重要的是完善安全管理措施，以确保安全技术手段能够实现落地。在调控中心建设安全管理中心，分别部署统一安全管理平台、日志审计与分析系统、安全运维管理系统，满足管理和合规需要。利用统一安全管理平台对安全产品进行集中策略下发和告警管理；利用日志审计与分析系统，实现对工业网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，进行统一的收集、处理和关联分析，帮助管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预；利用安全运维管理系统，通过切断运维终端对工业网络设备或资源的直接访问，采用协议代理的方式，建立基于唯一身份标识的全局实名制账号登录管理，针对运维过程进行留证，确保运维工作的可追溯性。

打造有思维的计算基座

为智慧水务平台配置三台信创服务器（威努特超融合支持海光、鲲鹏、飞腾等主流信创芯片，满足用户对不同技术路线的需求），搭建威努特超融合系统集群，通过软件定义的方式提供池化的计算资源、网络资源以及存储资源，以虚拟化方式承载智慧水务平台和未来的新业务系统。

超融合系统是一种横向扩展的软件集成基础架构云操作系统，包括计算虚拟化、存储虚拟化、网络虚拟化等关键能力。虚拟化软件可对底层资源进行抽象与池化，并动态分配至虚拟机或容器，从而可以为用户提供逻辑上独立的服务器，分别根据不同业务的资源需求独立部署，灵活分配IT资源。

图3 威努特超融合架构图

快速扩容

威努特超融合系统具备对虚拟机资源的弹性伸缩能力，当智慧水务平台某组件虚拟机的CPU、内存使用率持续偏高并触发预设阈值时，系统认为该虚拟机资源无法满足现有业务需要，将自动给虚拟机添加CPU和内存资源，以保障业务系统的正常使用，自动保证系统稳定运行所需的计算资源。在硬件层面上，得益于超融合架构软硬件解耦的架构逻辑，当未来集群资源不足无法满足业务需要时，亦可通过给现有服务器添加硬盘、内存，或增加整机超融合节点服务器的方式，快速扩容集群的计算能力，满足业务需要。

图4 威努特超融合弹性扩容机制

GPU直通、虚拟化能力

当前智慧水务平台融合了图像识别、大数据分析等技术手段，可预见未来智能业务系统将普遍依赖GPU的计算与渲染能力。威努特超融合系统支持GPU卡直通虚拟机和虚拟vGPU虚拟机两种模式，可根据业务系统的实际GPU算力需求，灵活分配GPU资源，实现强大的图形处理能力，满足不同系统的算力需求。

高可靠

威努特超融合系统采用分布式的存储架构和多副本策略确保了业务系统数据的安全性和可靠性。即使某个节点出现故障，数据也不会丢失，且可以迅速恢复业务运行。这种架构还支持多种类型的磁盘（如HDD和SSD），可以根据业务的存储性能需求进行灵活配置，从而提高系统的整体性能。

简便运维

威努特超融合系统提供了高度自动化的运维管理工具，可以针对系统可用性、资源运行状态以及资源池软硬件组件提供智能化健康检查能力，配合主机资源弹性扩容、故障自愈、节点资源自动均衡等功能，降低水厂运维对专业技术人员的过度依赖，使运维人员从繁琐的手动操作中解放出来，提高运维效率。

建立高可靠工业网络

工业环网

水厂工业控制系统每个分控子站，分别部署一台威努特导轨型工业交换机，利用光纤组成千兆或万兆的高可靠工业环网。采用基于IEC62439-2标准的WNT-Ring环网协议，工业环网任意位置发生链路中断时，可在50ms内完成通信恢复，相较于RSTP（快速生成树）秒级的切换时间，极大增加网络恢复速度，实现用户无感知故障恢复。同时威努特工业交换机满足IP40防护等级，能够达到400,000小时以上的平均无故障时间（MTBF），保证设备在工业环境下运行的稳定可靠，确保水厂工业环网长效使用。

图5 威努特工业环网拓扑结构

核心网络

针对机房、调控中心等运行条件相对较好的站点，采用威努特高性能企业级交换机组建核心网络，利用各型号设备不同的转发性能、软件功能及接口特性，满足核心网络多样化建设与性能需求。

图6 威努特企业交换机产品矩阵

网络管理

威努特具备专用网管软件WNT-NSMS，可统一可视化管理威努特工业交换机及企业交换机。支持网络节点配置快速修改、网络负载实时监控及故障智能分析，提升网络运维效率。

图7 威努特WNT-NSMS网络管理软件

建设效果

数算网安，深度融合

以超融合计算基座、工控安全防线、高可靠网络的三位一体架构，构建智慧水务全场景安全基座，实现基础建设“一站式解决方案”。

合规适配，安全可靠

方案综合设计了弹性计算能力、可靠网络能力以及安全防御能力，同时相关产品符合国家、上级部门对于国产化的行动纲领，满足政策要求。

智能运维，降本增效

超融合、安全管理、网络管理平台均配备图形化界面，运维操作可“点选式”完成，大幅降低技术门槛，提升管理效率。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威努特安全网络 邱文翰 邱文翰《数算网安三位一体解决方案，打造水厂智慧水务安全基座》