720万升泄洪背后:水利边界防护的安全幻局与工控零信任体系建设思路

2026-07-10 来源:长扬科技

智慧水利全面提速,数字孪生流域、远程无人值守泵站、云端闸门调度全面普及,水利工控系统彻底告别封闭单机运行时代,全域联网、远程运维成为行业常态。但数字化红利释放的同时,看不见的网络攻击暗流,正持续威胁关乎国计民生的水利关键信息基础设施安全。


一场无需高端黑客技术、无需高危漏洞的入门级网络攻击,就让境外水坝失控泄洪720万升,为国内万千水利站点敲响警钟:沿用数十年的边界防火墙防护模式,早已成为不堪一击的安全幻局。



警钟长鸣:一场低成本攻击,暴露水利安全致命短板


2025年4月7日,挪威Risevatnet水坝遭网络攻击,泄洪闸在无调度指令、无系统告警的情况下自动全开,4小时累计泄洪720万升,直至人工巡检才发现设备失控,所幸未造成人员伤亡与重大财产损失。


image.png

可这场看似无实际灾情的攻击,却震动了全球关键信息基础设施网安行业。事发3天后,境外黑客组织公开认领攻击行为,同步放出完整后台操控录屏;同年8月,当地官方安全机构正式定论:本次攻击属于国家级混合威慑行动,是针对性的基础设施网络能力测试。


最值得所有水利网安从业者警醒的是:本次攻击全程零高端漏洞、零特种木马、零复杂渗透手段,黑客仅凭三步极简操作,就彻底接管水利核心工控设备:


  • 公网裸奔探测:运维人员为简化远程调试流程,直接将水坝工控HMI管控界面暴露公网,无任何网络隔离,全球任意IP均可直接访问登录入口;


  • 弱密码一键爆破:设备沿用出厂默认弱口令,未开启二次身份核验,黑客通过基础字典爆破,直接获取最高管理员权限;


  • 高危指令无阻拦下发:系统无操作时段、访问IP、操作行为校验机制,黑客登录后可直接一键全开闸门,高危物理操作全程无拦截、无告警。


挪威国家安全局事后明确点评:这不是一场国家级高端网络攻击,而是一场本该被基础安全策略直接拦截的低级入侵。事实上,挪威水坝事件从来都不是个例。全球工业网安机构数据显示,2020-2024年,水利、能源两大民生关键基础设施网络攻击年复合增长率突破40%,水利行业攻击增速稳居行业前三。仅2024年,全球公开可查的水利工控攻击事件就超过30起,覆盖水库大坝、灌区泵站、城乡供水全场景,攻击目的涵盖勒索牟利、地缘政治威慑、基础设施破坏等多种类型。


复盘众多水利工控攻击案例不难发现:70%以上的入侵突破口,都不是难以修复的系统高危漏洞,而是行业长期忽视的基础运维安全陋习:公网端口随意映射、设备默认弱口令长期不修改、内网无权限隔离、设备操作无行为审计等,其根源正是水利行业沿用数十年的边界防护思维。


过往水利工控以防火墙划分内外网边界,默认外网危险、内网安全,守住出口即可高枕无忧。但数字化浪潮下,水利站点分散部署、远程运维刚需暴涨、全域数据互通成为常态,网络边界早已模糊破碎,攻击者可通过物理接入、端口暴露、VPN劫持等多种方式绕开防火墙,直抵核心设备。国内大量无人值守灌区、偏远水库、乡镇泵站普遍存在类似隐患,同类失控风险近在咫尺。


深度拆解:传统边界防护,三大致命漏洞无法修复


当前国内绝大多数中小型水利站点,仍沿用“边界严防死守、内网完全放任”的防护架构,仅适配早期封闭离线的工控环境,完全无法应对当下智慧水利的联网场景,核心缺陷集中在三方面:


1. 三类低成本绕后攻击,轻松击穿边界防线


边界防火墙只能拦截外网主动入侵流量,对于绕开边界、直接进入内网的攻击行为,完全无能为力,水利行业高发三类绕后攻击,门槛极低、危害极大:


  • 物理内网接入攻击(行业最高发风险):野外站点无人常驻、安防薄弱,攻击者无需专业攻防技术,仅需现场接入内网交换机即可直达工控核心,攻击流量不经过出口防火墙,边界防护彻底失效。


  • 公网端口暴露攻击(本次挪威事故核心诱因):基层运维为便捷采取远程调试,私自将PLC调试端口、HMI界面映射至公网。2024年行业测绘数据显示,国内公网暴露水利工控设备超2000台,6成以上存在弱口令、未授权访问高危漏洞,攻击者可批量检索并快速接管。


  • 合法运维通道劫持攻击:VPN作为远程运维标准通道,普遍存在账号共用、密码常年不更新、终端无绑定等管理漏洞。账号泄露或运维终端中毒后,攻击者可凭借合法身份穿透防火墙,边界系统无法甄别通道背后的真实操作者,形成天然安全盲区。


2. 内网零防御:边界一旦失守,全网彻底沦陷


传统防护体系全程默认内网可信,边界突破后无任何二次防御能力,源于三大错误信任假设:


  • 默认信任所有内网设备:内网无任何网段隔离与访问限制,设备之间可随意扫描、互相访问。单点设备被攻破,攻击者可横向渗透全网所有泵站、闸门控制器,一网沦陷;


  • 默认信任密码正确的操作人员:全站仅依靠单一密码核验身份,无设备指纹、访问时段、访问IP二次校验。密码泄露即可拥有最高权限,且行业普遍采用超级管理员统一账号,一次泄露即可掌控全站所有水利设备;


  • 默认信任所有内网操作行为:无操作行为基线、无异常指令审计,闸门全开、紧急停机等高危操作无任何预警。挪威水坝异常泄洪持续4小时才被人工发现,而国内偏远站点巡检周期可达数天,攻击滞后发现带来的损失将成倍扩大。


3. 时代性困境:网络边界彻底消失,传统防护彻底失效


过去水利工控系统物理隔离、全程现场运维,清晰的内外网边界让防火墙可以发挥价值。如今数字孪生流域建设打通全域数据,远程运维、移动端监控、跨区域调度全面普及,网络边界彻底碎片化、模糊化,单一边界防护如同平原上的马其诺防线,攻击者绝不会从设防的正面进攻。


更关键的是,水利工控攻击具备物理伤害不可逆性:异常开闸会引发农田漫灌、粮食减产;汛期误关闸门会诱发河道溃堤风险;泵站无故停机直接影响城乡民生供水,网络安全问题直接转化为公共安全事故。


合规倒逼:政策红线收紧,水利安全架构升级成刚性要求


当前我国水利关键信息基础设施的安全监管体系已全面落地,政策要求持续向纵深防御升级,传统单一边界防护模式已触碰合规红线。


《关键信息基础设施安全保护条例》明确将水库大坝、灌区泵站、城乡供水系统纳入关基范畴,强制要求落实身份鉴别、访问控制、全流程审计等安全措施,严禁以单一边界防火墙替代全链路安全管控。等保2.0工控扩展要求进一步细化标准,明确工业控制系统需完成网络分段隔离、最小权限管控与异常行为监测,对远程运维通道、设备身份核验提出强制合规要求。


与此同时,《“十四五”水利科技创新规划》《智慧水利建设顶层设计》均将网络安全列为智慧水利核心底座,提出在数字孪生流域、无人值守站点等场景中,需摒弃“内网默认可信”的惯性思维,构建动态持续验证的安全架构,适配全域联网、跨域调度的新型业务形态。


政策导向已从“被动合规”转向“主动防御”,传统防护方案既无法抵御现实网络攻击,也无法满足监管标准,水利安全体系重构已从行业可选升级变为刚性必选任务。


破局核心:以工控零信任重构水利安全底层逻辑


传统边界防护体系崩盘的核心根源,在于无条件信任内网、信任合法通道、信任内网人员。想要彻底解决绕后入侵、内网横向渗透、高危操作失控等行业痛点,必须从底层重构安全逻辑,而工控零信任就是适配智慧水利场景的最优解。


基于对水利等关基行业需求的深刻理解以及零信任领域多年的技术积累,长扬科技摒弃了传统边界防护的思维定式,以“永不信任、始终验证、最小权限、持续评估”为核心原则打造了零信任产品体系,从底层架构重构企业数字安全边界,为企业提供覆盖全场景、全链路的安全防护能力。


该体系以IAM(身份与访问管理)为基石,遵循SDP软件定义边界设计理念,严格对标国家标准体系架构,从云、管、边、端四维一体构建动态纵深防御系统,将安全校验下沉至每一次登录、每一次访问、每一条控制指令。无论访问流量来自内网还是外网,无论操作主体是人员还是设备,均需通过身份、设备、环境、行为四大维度的持续动态核验,形成全链路防护闭环,精准适配智慧水利全域联网、跨域调度的业务特性。


image.png长扬科技零信任产品体系架构


针对水利行业传统安全防护边界模糊、身份认证弱、数据全生命周期防护不足等问题,长扬科技通过研究专属身份可信体系、动态访问控制、数据全流程加密技术,将安全运维能力转化为企业独有的高附加值工控零信任安全服务产品。


  • 行业专属统一身份可信体系:整合人员、设备、应用的多维度身份认证因子,实现人、机、物的全主体统一身份管理,兼容行业领域相关安全标准,解决传统身份认证单一、仿冒接入风险高的问题。


  • 动态自适应访问控制:基于业务场景、终端状态、网络环境等上下文参数实时计算信任评分,动态调整访问权限,落实最小权限原则,解决传统静态权限管控僵化、越权访问风险大的问题。


  • 数据全生命周期加密防护:针对行业、企业核心数据、重要数据、一般数据等非涉密数据,实现采集、传输、存储、使用全流程国密级加密,解决数据泄露、篡改的风险。


围绕水利工控场景的典型攻击路径与核心安全短板,长扬科技零信任产品体系通过四大核心能力,全方位封堵攻击路径:


1. 资产隐身:内网接入也无法探测设备


针对物理接入内网扫描探测的风险,通过零信任网关实现全部工控资产网络隐身。所有闸门PLC、泵站控制器、HMI监控终端全部隐藏在网关后方,默认阻断一切未授权网络探测请求。


即便攻击者现场接入内网,也无法扫描到任何设备IP与端口,内网呈现空白状态,彻底断绝前期探测、密码爆破的攻击前置条件。网络访问逻辑从传统“连通即可访问”,升级为“身份可信才可访问”,从源头消灭内网攻击面。


2. 多维动态核验:拿到密码也无法登录系统


彻底告别单一密码认证模式,搭建人员+设备+环境三位一体核验体系,补齐弱口令带来的身份漏洞:


  • 人员身份核验:强制开启双因子认证,密码搭配UKey硬件密钥,适配野外无网络运维场景;

  • 终端设备核验:绑定运维设备唯一指纹,陌生电脑、手机即便拥有正确账号密码,也会直接拦截;

  • 访问环境核验:划定合法运维IP与工作时段,非工作时间、非办公网段的访问请求自动拒绝。


多重校验叠加后,即便攻击者盗取运维账号、物理接入内网,依旧无法登录工控后台,彻底解决账号泄露、弱口令爆破带来的安全危机。


3. 网络微分段+最小权限:单点沦陷也无法全网扩散


一方面通过网络微分段,将水利内网按照业务功能切割为独立安全域,划分闸门控制域、泵站控制域、数据采集域、运维监控域,域间默认隔离,仅开放业务必需的最小通信权限,杜绝内网横向移动。即便某一台监控终端被攻破,也无法跨域入侵核心控制PLC设备。


另一方面落实岗位最小权限,拆分统一超级管理员账号:巡检人员仅可查看数据,无设备操控权限;普通运维人员仅可小幅调节闸门开度,无法执行全开、全关高危操作;所有高危物理操作必须双人线上复核,单人无法下发致命控制指令,从权限层面杜绝单点失控风险。


4. 全时序行为监测:异常操作秒级自动拦截


区别于传统防护一次登录、全程放行的模式,实现全访问周期持续监测。依托站点历史运行数据,搭建水利专属业务行为基线,规范闸门调节幅度、运维访问时间、指令操作频率。一旦出现非工作时间开闸、闸门一键全开、连续大幅调参等异常行为,系统无需人工干预,即可秒级自动阻断当前会话并同步上报告警,将事故发现时长从传统数小时、数天,压缩至毫秒级,彻底解决水利无人值守站点异常发现滞后的痛点。


落地指南:水利行业零信任四步平滑部署方案


很多水利运维单位存在顾虑:水利老旧设备多、野外网络差、汛期不能停机调试,零信任改造是否会影响现有业务运行?针对水利工控生产优先、零停机、老旧设备兼容三大刚需,长扬科技零信任支持无代理旁路部署,无需改动原有工控系统、无需停产调试,四步即可完成全域安全升级。


1. 收敛网络入口,统一运维访问通道


拆除所有工控设备公网IP与端口映射,关闭私自开放的外网访问通道,统一以工业零信任网关作为唯一远程运维入口。网关原生兼容Modbus、IEC 60870-5-104等水利专属工控协议,指令转发零延迟,完全不影响汛期应急调度响应速度,从源头消除公网裸奔攻击风险。


2. 搭建统一身份体系,完成权限基线梳理内网分区隔离


搭建全站统一运维身份体系,实现人、终端、账号一一绑定,清理存量弱口令与共享账号。全站强制双因子认证,高危操作强制执行双人审批流程,彻底解决账号混用、权限过大、单一密码失守全盘失控的行业通病。


3. 内网分区隔离,细化指令级访问管控


按照水利业务场景细分内网安全分区,精细化管控域间访问权限,管控粒度下沉至单条工控指令。禁止非必要跨域访问,拦截非法参数写入、设备强制启停等高危指令,把攻击风险锁死在单一安全域内,避免全域沦陷。


4. 部署行为审计体系,构建主动防御闭环


搭建全站运维行为审计台账,所有登录记录、设备操作、指令下发全程留痕可溯源。依托业务基线实现异常自动告警、高危指令自动阻断,形成事前权限管控、事中实时拦截、事后溯源审计的完整安全闭环。


结语:护航智慧水利长远发展


当前,我国智慧水利建设正处于全面提速的关键阶段,其安全直接关系防洪安全、粮食安全与城乡供水安全,是民生保障的第一道防线。挪威Risevatnet水坝的泄洪事故,是智慧水利转型期的一次全球性安全警示:当水利工控系统从封闭离线走向全域互联,沿用数十年的边界防护逻辑已无法适配全新的业务形态,安全体系的底层重构,是行业数字化进程中无法回避的核心命题。摒弃传统边界防护的惯性思维,以零信任理念搭建全域覆盖、动态校验的纵深防御体系,既是智慧水利高质量发展的必然要求,也是守护民生水安全的核心支撑。


未来,长扬科技将持续深耕关键信息基础设施安全赛道,以技术创新驱动工控安全体系迭代升级,深度融入智慧水利建设的整体布局,为筑牢水利领域网络安全屏障保驾护航,守护国计民生的水安全底线。




ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质