网闸在水务工控系统的应用案例：构筑水务网络的安全防线

一、 项目背景

某大型水务集团（以深圳水务集团为参照）负责城市居民生活用水和工业用水的供应、污水处理及防汛排涝等关键任务。其核心生产系统包括水源地监控站、自来水厂制水系统、加压泵站、污水处理厂SCADA系统以及城市管网监测系统。

随着“智慧水务”的发展，水务集团需要将生产控制层（工控网络）与管理信息层（办公网络）进行数据交互，以实现：

• 远程监控与调度：管理人员在办公网即可实时查看水压、流量、水质等数据。

• 生产数据上报：将制水耗电量、供水量等数据上传至集团ERP系统进行分析。

• 故障预警与联动：快速将工控系统的报警信息发送至运维人员的手机或办公电脑。

然而，这种互联互通也带来了严峻的安全挑战。工控系统一旦直接暴露在互联网或办公网中，极易遭受病毒、勒索软件（如WannaCry）、黑客攻击以及来自内部人员的误操作，可能导致水处理流程被篡改、供水泵站异常停机、水质数据被污染，甚至引发城市供水危机。

二、 解决方案：工业网闸的部署

为解决上述风险，该水务集团决定采用工业网闸作为其工控网络安全防护的核心设备，构筑一道“物理隔离”下的“数据安全桥梁”。

1. 核心设备：工业网闸

• 功能定位：网闸采用“2+1”的系统架构（内网主机、外网主机+专用隔离硬件），通过基于物理开关的“摆渡”机制，实现数据的单向或双向可控传输，从根本上切断TCP/IP等网络协议，杜绝基于网络的攻击穿透。

2. 部署方案

在水务集团的网络架构中，关键位置部署了网闸：

• 位置A：生产控制区与管理信息区的边界

  (下图直观展示了网闸在水务网络中的核心部署位置：)

• 部署方式：在工控网络（内网）与办公网络（外网）之间串联部署一台双向网闸。

• 核心作用：这是最重要的部署点，用于两个网络区域之间的所有数据交换。

• 位置B：特定业务系统的前端（可选）

• 在视频监控系统前部署视频网闸，防止通过摄像头入侵工控网。

• 在需要远程维护的设备前部署运维网闸，为第三方技术人员提供安全的临时访问通道。

三、 网闸的具体应用与数据交换策略

网闸并非简单地“阻断”，而是执行精细化的“摆渡”策略。以下是其在水务系统中的典型数据流设计：

四、 应用成效

部署工业网闸后，该水务集团取得了显著的安全和运营效益：

1. 实现了本质安全：即使在办公网遭受勒索软件攻击的情况下，由于网闸的物理隔离特性，攻击也无法蔓延到工控网络，保障了供水业务的连续性和安全性。

2. 满足了合规要求：完全符合《网络安全法》、《关键信息基础设施安全保护条例》以及《工业控制系统信息安全防护指南》中对网络分区隔离的要求。

3. 提升了运维效率：管理人员可以安全、实时地掌握生产数据，实现了基于数据的科学调度和决策。运维人员能第一时间接收报警，快速响应。

4. 保障了数据完整性：通过严格的数据过滤和校验机制，确保了上传至管理信息系统数据的真实性和可靠性，为大数据分析和智慧水务建设奠定了坚实基础。

五、 总结与展望

本案例表明，在水务工控系统中，工业网闸已从“可选项”变为“必选项”。它是在必须进行数据交换的业务场景下，实现安全与效率平衡的最佳实践。

未来，随着水务系统与云计算、物联网的深度融合，网闸技术也将向更智能化、高性能方向发展，例如：

• 深度融合入侵检测技术，实现对高级持续性威胁的感知。

• 支持更多工业协议深度解析，提供更精细化的访问控制。

• 满足更高吞吐量需求，以应对智慧水务带来的海量数据交换。

通过持续优化安全架构，网闸将继续作为守护城市“生命线”不可或缺的网络安全基石。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。