#信服智创#【项目案例】水务集团等保项目

        水务集团等保建设是我们目前重要的一项任务，梳理出主要的问题点如下：

        络架构扁平化，逻辑隔离形同虚设：由于建设时间较早，核心交换机缺乏明确的区域划分，控制网、业务网与办公网虽分别设置段，但ACL策略极其宽泛。生产核心控制网甚至在物理层面直接接入办公核心交换机，一旦办公网终端被攻陷，极易横向扩散至工控系统，造成水压失控或水质参数篡改。

        安全设备老化，无法形成闭环防御：现场仅有一台传统状态防火墙用于出口，且规则库长期未更新，不具备入侵防御（IPS）和防病毒（AV）模块；终端（含工控机）无恶意代码防护，无法检测新型勒索病毒。

        缺乏统一的安全感知与态势监控：没有专门的日志审计系统，海量安全日志被直接废弃。当出现网络攻击或违规操作时，无法进行事中监测与事后溯源，导致运维团队常年处于“瞎子摸象”状态的情况。         

        我们以“安全可视、持续检测、协同防御、多级联动”为核心设计理念，依托深信服成熟水务行业方案模型，部署了如下安全体系：

         1.网络纵深防御（下一代防火墙AF） ：在水厂数据中心出口部署深信服下一代防火墙AF，开启入侵防御IPS、防病毒AV、僵尸网络C2防御等模块化安全能力，结合联动封锁策略，构筑外防攻击、内防扩散的高性能边界。

          2.终端侧加固（终端安全检测平台EDR） ：在业务服务器及工控上位机上部署轻量化EDR客户端，利用其全貌资产清点、微隔离及勒索病毒实时拦截技术，杜绝由U盘或运维终端带入的恶意程序感染核心生产系统。

          3.全网态势感知与协同联动（安全感知平台SIP） ：部署深信服安全感知平台SIP，对接AF、EDR、AC及数据库审计组件日志。通过其大数据智能分析模型，生成全域安全态势大屏，实现“攻击源头取证-横向扩散轨迹呈现-一键封堵联动”的全流程自动化闭环。

           4.全网准入与审计检测（全网行为管理AC） ：在办公网部署AC终控全局，对入网人员进行身份识别和精细化的上网权限控制，监测非法外联和数据泄密风险。

            5.生产网工控安全专项加固（工控防火墙及审计） ：在生产控制网关键节点串联部署具备工业协议DPI解析能力的工控安全网关，学习SCADA指令白名单基线，阻断一切非法的参数篡改和设备启停指令。整体架构遵循“一个中心、三重防护”的纵深防御体系，全面满足等保三级合规要求