智慧水務安全挑戰(zhàn)與應對措施

張振山 范德昌

2020年5月28日，以色列國家網絡安全負責人公開承認，該國4月份挫敗了對其供水系統(tǒng)的大規(guī)模網絡攻擊。此次針對以色列中部供水設施的攻擊不是為了經濟利益，而是具有國家背景的黑客組織攻擊，目標是控制用于供水網絡閥門的PLC（可編程邏輯控制器），是對以色列及其國家安全攻擊的一部分，目的是“引發(fā)人道災難”。

此次事件再次引起對供水設施遭受攻擊和入侵的重視，美國國土安全部的統(tǒng)計顯示：早在2015年，針對供水系統(tǒng)的網絡攻擊事件，就已經排入前三名，僅次于關鍵制造和能源行業(yè)。針對關鍵基礎設施的首個網絡攻擊事件不是2010年伊朗震網病毒，而是2000年澳大利亞昆士蘭州惡意控制污水控制系統(tǒng)的網絡攻擊。

頻發(fā)網絡安全事件表明，網絡威脅已經向城市供水系統(tǒng)領域滲透，把水務工業(yè)控制系統(tǒng)作為攻擊目標，為城市供水系統(tǒng)敲響了安全警鐘。

智慧水務利用新一代信息技術，通過傳感器技術、網絡和移動系統(tǒng)與水務信息系統(tǒng)的結合，構建成智能感知、智能仿真、智能診斷、智能預警、智能調度、智能處置、智能控制和智能服務全方位的水務管理系統(tǒng)?！爸腔鬯畡铡笔侵腔鄢鞘薪ㄔO的重要組成部分，旨在提升水務管理和服務的水平，為城市的發(fā)展提供更好的支撐，有效提升城市智慧建設和宜居能力。

城市供水安全直接關系著人們的生命安全，是構建經濟繁榮、政治穩(wěn)定的現代化城市的重要基礎。伴隨著智慧水務的建設，城市供水系統(tǒng)網絡安全問題日益突出。

網絡安全已上升到國家安全戰(zhàn)略高度，習近平總書記在中央網絡安全和信息化領導小組第一次會議中明確闡述了網絡安全對于國家的重要性。2017年6月1日《中華人民共和國網絡安全法》正式頒布實施，明確指出針對城市水務公共服務等關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。網絡安全是智慧水務健康、長久發(fā)展的重要保障。

智慧水務通過數采儀、無線網絡、水質水壓表等在線監(jiān)測設備實時感知城市供排水系統(tǒng)的運行狀態(tài)，并采用可視化的方式有機整合水務管理部門與供排水設施，形成"城市水務物聯網"，并可將海量水務信息進行及時分析與處理，并做出相應的處理結果輔助決策建議，以更加精細和動態(tài)的方式管理水務系統(tǒng)的整個生產、管理和服務流程，從而達到"智慧"的狀態(tài)。

智慧水務建設必然會打通生產運行體系、服務營銷體系、決策支持體系、綜合管理體系等城市水務環(huán)節(jié)，實現水務企業(yè)所有相關信息（水務管網基礎數據、水務管網運營數據、水務用戶信息、水務系統(tǒng)實時監(jiān)測數據、采樣點水質數據、熱線信息、管線工程等）在網絡上的互相流轉與共享，從而實現真正意義上的水務信息的完全共享，最終實現城市水務行業(yè)的智慧運作。而這也就意味著城市水務賴以運行的工業(yè)控制網絡會直接與管理網、互聯網連通，面臨極大的安全風險。

（一）通信協議風險

自動化和信息化的高度融合和物聯網的發(fā)展使得ModBus協議、ProfiBus協議、OPC協議等工業(yè)協議廣泛應用于城市水務工業(yè)控制網絡，協議的公開性導致極易遭受攻擊，而傳統(tǒng)防火墻往往無法發(fā)現和防范出現的安全問題。

（二）工業(yè)設備風險

國內水務企業(yè)工業(yè)控制系統(tǒng)大量采用進口工業(yè)控制設備，而這些設備普遍存在漏洞，可利用漏洞進行腳本攻擊改變操作指令，進而影響生產正常進行。

（三）操作系統(tǒng)風險

城市水務工業(yè)控制系統(tǒng)的工業(yè)主機基本上都是Windows平臺，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通常不會對操作系統(tǒng)安裝任何補丁，存在很大的安全隱患。

（四）安全策略和管理流程風險

追求可用性而犧牲安全性，是水務工業(yè)控制系統(tǒng)存在的普遍現象，缺乏完整有效的安全策略與管理流程也帶來了一定的威脅。例如移動存儲介質包括筆記本電腦、U盤等設備的隨意使用和不嚴格的訪問控制策略。

（五）感染病毒風險

為了保證工控應用軟件的可用性，許多工業(yè)主機通常不會安裝殺毒軟件，因為殺毒軟件會造成工控應用軟件運行出現異常，而且工業(yè)主機緊張的資源配置也不能滿足殺毒軟件的運行需求，但是工控環(huán)境的數據交互會導致病毒進入工業(yè)主機，近兩年頻繁的勒索病毒攻擊也正是因此而起。

（六）安全監(jiān)管風險

城市水務工業(yè)控制網絡普通缺乏工業(yè)安全審計設備和安全日志統(tǒng)計分析手段，無法實現對工業(yè)控制網絡的可感知與可控制。

城市水務是國家關鍵基礎設施的重要組成部分，關系著廣大人民群眾的生命安全，必然會面臨國內外黑客組織的重點關注和攻擊。近年來，全球發(fā)生的多起針對水務行業(yè)工業(yè)控制系統(tǒng)的攻擊事件給人們敲響了警鐘。如何應對水務行業(yè)的工業(yè)控制系統(tǒng)網絡安全風險，是智慧水務建設過程中必須考慮和解決的現實問題。

智慧水務安全防護應貫穿采水、凈水、供水、排水等環(huán)節(jié)，綜合采用縱深防御、大數據分析、協議深度解析、智能感知、態(tài)勢監(jiān)控等新技術新手段，形成貼合水務行業(yè)實際情況的應對措施。

（一）全環(huán)節(jié)態(tài)勢感知

針對智慧水務工業(yè)控制網絡中安全防護手段眾多、安全信息雜亂、安全態(tài)勢不可見的現狀，建議以水務企業(yè)為主體，建設涵蓋其下屬水源廠、凈水廠、泵站、管網等生產設施、覆蓋采水、凈水、給水、供水、排水等全環(huán)節(jié)的工控安全態(tài)勢感知平臺，實現對企業(yè)下屬企業(yè)全方位、全天候的網絡安全態(tài)勢感知，及時發(fā)現各類網絡安全風險以及非法訪問事件，實現工業(yè)信息安全的閉環(huán)管理，全面提高水務企業(yè)工業(yè)安全防護的整體水平。

智慧水務工控安全態(tài)勢感知平臺引入大數據威脅情報分析技術，綜合底層海量數據采集及威脅情報分析能力，形成安全防護手段統(tǒng)籌協調、資源信息全面監(jiān)控、態(tài)勢分析高度集中、運營數據智能分析實時預警、態(tài)勢呈現可見可控的綜合監(jiān)控中心，采用被動掃描方式實現資產脆弱性識別和分析，實時主動感知潛在的網絡安全風險，形成高價值、高可見、高實時的戰(zhàn)略性威脅情報，及時發(fā)現安全威脅、評估安全風險，按照風險、威脅、事件等構建態(tài)勢要素及態(tài)勢模型，從計算環(huán)境、網絡邊界、業(yè)務流程等維度實現對智慧水務工業(yè)控制網絡全網安全態(tài)勢感知的可視化。

（二）白名單主動防護

智慧水務工業(yè)控制系統(tǒng)主機存在運行資源有限、操作系統(tǒng)老舊、補丁難以及時更新、無法部署殺毒軟件等現實情況，建議采用應用程序白名單技術建立主動防護機制，形成以白名單技術為基礎、應用程序數據智能采集分析、惡意代碼識別阻斷、移動設備安全管控的主機安全防護體系，通過大數據采集和分析，智能學習并自動生成工業(yè)主機操作系統(tǒng)及工業(yè)應用軟件正常行為模式的白名單基線，僅允許必要的系統(tǒng)進程及工業(yè)應用軟件運行，主動抵御已知未知安全風險，實現對工業(yè)主機設備的全面安全加固，進行病毒防護、阻止惡意軟件攻擊、禁止非授權程序運行等。

（三）多邊界縱深防御

智慧水務網絡邊界主要存在于辦公網、工業(yè)控制網絡、互聯網的內部以及這些網絡之間。目前辦公網與互聯網之間安全防護措施相對比較完善，但是工業(yè)控制網絡內部及與其他網絡之間普遍缺乏安全防護措施，存在很大的安全隱患。

為了保證智慧水務工業(yè)控制網絡的安全，建議對辦公網、工業(yè)控制網絡、互聯網進行合理安全區(qū)劃分，并對工業(yè)控制網絡進行細致區(qū)域劃分，根據網絡情況及工業(yè)控制設備實際情況選擇合適的工業(yè)安全防護設備進行針對性安全保護，構建多邊界縱深防御體系。

1. 安全分區(qū)規(guī)劃

根據網絡實際情況進行梳理，將與生產管理監(jiān)控相關的設備剝離出來，形成獨立的管理層網絡，然后再將工業(yè)控制網絡按照功能屬性進行網絡區(qū)域劃分，各網絡區(qū)域內部再根據不同工藝流程或生產任務進行安全域劃分，形成更為細致合理的安全區(qū)域。

2. 辦公網與工業(yè)網邊界防護

通過在辦公網與工業(yè)網絡邊界部署工業(yè)安全防護設備，并嚴格配置安全策略實現網絡之間數據安全交換，實現了辦公網與工業(yè)網之間的縱向隔離防護，確保辦公網與工業(yè)網之間不會互相影響。

3. 各網絡區(qū)域之間邊界防護

通過在各網絡區(qū)域入口部署工業(yè)安全防護設備，實現對工業(yè)專有協議深度解析，建立網絡通訊“白環(huán)境”，阻止區(qū)域間的越權訪問以及病毒、蠕蟲的擴散和入侵，將危險源控制在有限范圍內，有效防止安全威脅在區(qū)域之間串擾。

（四）全流量安全審計

針對智慧水務工業(yè)控制網絡中專用工業(yè)協議多、生產網絡運行情況缺乏監(jiān)控、安全風險難以及時預警的現狀，建議建立以工業(yè)協議深度解析為基礎、“持續(xù)監(jiān)測數據聯動”為核心理念、實時監(jiān)測分析告警的網絡安全審計機制，對智慧水務工業(yè)控制網絡中的所有層面進行全面持續(xù)的監(jiān)控，通過全面的數據感知和分析，建立智慧水務安全數據庫，并結合威脅情報，實現對已知威脅、高級威脅、APT攻擊的有效預防、發(fā)現、防御和過程回溯。

通過安全審計實時監(jiān)測智慧水務工業(yè)控制網絡中針對工業(yè)協議的惡意攻擊、誤操作、違規(guī)行為、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播，及時告警并聯動態(tài)勢感知平臺動態(tài)調整安全防護措施，避免發(fā)生安全事件。

智慧水務的建設剛剛起步，網絡安全問題造成的危害還未充分暴露，尚未引起足夠重視。另外，隨著新技術不斷應用到智慧水務建設中，各種新的安全風險應運而生，智慧水務的網絡安全保障建設任重道遠，需要從頂層規(guī)劃、制度、標準、管理和技術防護等方面全面思考，才能保障智慧水務又好又快發(fā)展。

作者單位：中孚信息北京研究院