Q7: 水务行业工控网络安全怎么做？

Q7: 水务行业工控网络安全怎么做？

A: 水务行业工控安全防护需覆盖水厂 SCADA 系统和管网监控系统：

1. SCADA 系统防护：水厂 SCADA 系统（含 PLC 控制器、RTU、HMI 操作站）是安全防护核心。在 SCADA 服务器与 PLC/RTU 之间部署工控防火墙，对 Modbus TCP 或 DNP3 协议通信实施白名单控制。
2. 网络分区：将水厂网络划分为生产控制区（SCADA 和 PLC 网络）和辅助管理区（办公、视频监控、安防系统等）。区间部署防火墙隔离，禁止辅助管理区直接访问控制设备。
3. 远程监控安全：水务系统通常需要在调度中心远程监控多个水厂和泵站，远程通信通道需部署加密认证装置，对远动数据进行加密传输。远程访问防火墙限制可访问的设备和操作范围。
4. 管网监控安全：管网中的 RTU 设备分布广泛，通信环境复杂。在 RTU 通信汇聚点部署工控防火墙或安全网关，保护远程终端的通信安全。
5. 终端防护：对 SCADA 操作站部署终端白名单安全软件，防止恶意软件影响监控系统的正常运行。
6. 安全审计：部署工控安全审计系统，记录水厂和管网的全部通信行为和操作记录，满足等保合规的日志留存要求。

水务系统涉及城市供水安全，通常定为等保三级，需满足等保 2.0 全部要求。