智慧水务安全挑战与应对措施

2020年5月28日，以色列国家网络安全负责人公开承认，该国4月份挫败了对其供水系统的大规模网络攻击。此次针对以色列中部供水设施的攻击不是为了经济利益，而是具有国家背景的黑客组织攻击，目标是控制用于供水网络阀门的PLC（可编程逻辑控制器），是对以色列及其国家安全攻击的一部分，目的是“引发人道灾难”。

此次事件再次引起对供水设施遭受攻击和入侵的重视，美国国土安全部的统计显示：早在2015年，针对供水系统的网络攻击事件，就已经排入前三名，仅次于关键制造和能源行业。针对关键基础设施的首个网络攻击事件不是2010年伊朗震网病毒，而是2000年澳大利亚昆士兰州恶意控制污水控制系统的网络攻击。

频发网络安全事件表明，网络威胁已经向城市供水系统领域渗透，把水务工业控制系统作为攻击目标，为城市供水系统敲响了安全警钟。

一、智慧水务简介

智慧水务利用新一代信息技术，通过传感器技术、网络和移动系统与水务信息系统的结合，构建成智能感知、智能仿真、智能诊断、智能预警、智能调度、智能处置、智能控制和智能服务全方位的水务管理系统。“智慧水务”是智慧城市建设的重要组成部分，旨在提升水务管理和服务的水平，为城市的发展提供更好的支撑，有效提升城市智慧建设和宜居能力。

城市供水安全直接关系着人们的生命安全，是构建经济繁荣、政治稳定的现代化城市的重要基础。伴随着智慧水务的建设，城市供水系统网络安全问题日益突出。

网络安全已上升到国家安全战略高度，习近平总书记在中央网络安全和信息化领导小组第一次会议中明确阐述了网络安全对于国家的重要性。2017年6月1日《中华人民共和国网络安全法》正式颁布实施，明确指出针对城市水务公共服务等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。网络安全是智慧水务健康、长久发展的重要保障。

二、智慧水务安全挑战分析

智慧水务通过数采仪、无线网络、水质水压表等在线监测设备实时感知城市供排水系统的运行状态，并采用可视化的方式有机整合水务管理部门与供排水设施，形成"城市水务物联网"，并可将海量水务信息进行及时分析与处理，并做出相应的处理结果辅助决策建议，以更加精细和动态的方式管理水务系统的整个生产、管理和服务流程，从而达到"智慧"的状态。

智慧水务建设必然会打通生产运行体系、服务营销体系、决策支持体系、综合管理体系等城市水务环节，实现水务企业所有相关信息（水务管网基础数据、水务管网运营数据、水务用户信息、水务系统实时监测数据、采样点水质数据、热线信息、管线工程等）在网络上的互相流转与共享，从而实现真正意义上的水务信息的完全共享，最终实现城市水务行业的智慧运作。而这也就意味着城市水务赖以运行的工业控制网络会直接与管理网、互联网连通，面临极大的安全风险。

（一）通信协议风险

自动化和信息化的高度融合和物联网的发展使得ModBus协议、ProfiBus协议、OPC协议等工业协议广泛应用于城市水务工业控制网络，协议的公开性导致极易遭受攻击，而传统防火墙往往无法发现和防范出现的安全问题。

（二）工业设备风险

国内水务企业工业控制系统大量采用进口工业控制设备，而这些设备普遍存在漏洞，可利用漏洞进行脚本攻击改变操作指令，进而影响生产正常进行。

（三）操作系统风险

城市水务工业控制系统的工业主机基本上都是Windows平台，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常不会对操作系统安装任何补丁，存在很大的安全隐患。

（四）安全策略和管理流程风险

追求可用性而牺牲安全性，是水务工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也带来了一定的威胁。例如移动存储介质包括笔记本电脑、U盘等设备的随意使用和不严格的访问控制策略。

（五）感染病毒风险

为了保证工控应用软件的可用性，许多工业主机通常不会安装杀毒软件，因为杀毒软件会造成工控应用软件运行出现异常，而且工业主机紧张的资源配置也不能满足杀毒软件的运行需求，但是工控环境的数据交互会导致病毒进入工业主机，近两年频繁的勒索病毒攻击也正是因此而起。

（六）安全监管风险

城市水务工业控制网络普通缺乏工业安全审计设备和安全日志统计分析手段，无法实现对工业控制网络的可感知与可控制。

三、智慧水务安全应对措施

城市水务是国家关键基础设施的重要组成部分，关系着广大人民群众的生命安全，必然会面临国内外黑客组织的重点关注和攻击。近年来，全球发生的多起针对水务行业工业控制系统的攻击事件给人们敲响了警钟。如何应对水务行业的工业控制系统网络安全风险，是智慧水务建设过程中必须考虑和解决的现实问题。

智慧水务安全防护应贯穿采水、净水、供水、排水等环节，综合采用纵深防御、大数据分析、协议深度解析、智能感知、态势监控等新技术新手段，形成贴合水务行业实际情况的应对措施。

（一）全环节态势感知

针对智慧水务工业控制网络中安全防护手段众多、安全信息杂乱、安全态势不可见的现状，建议以水务企业为主体，建设涵盖其下属水源厂、净水厂、泵站、管网等生产设施、覆盖采水、净水、给水、供水、排水等全环节的工控安全态势感知平台，实现对企业下属企业全方位、全天候的网络安全态势感知，及时发现各类网络安全风险以及非法访问事件，实现工业信息安全的闭环管理，全面提高水务企业工业安全防护的整体水平。

智慧水务工控安全态势感知平台引入大数据威胁情报分析技术，综合底层海量数据采集及威胁情报分析能力，形成安全防护手段统筹协调、资源信息全面监控、态势分析高度集中、运营数据智能分析实时预警、态势呈现可见可控的综合监控中心，采用被动扫描方式實现资产脆弱性识别和分析，实时主动感知潜在的网络安全风险，形成高价值、高可见、高实时的战略性威胁情报，及时发现安全威胁、评估安全风险，按照风险、威胁、事件等构建态势要素及态势模型，从计算环境、网络边界、业务流程等维度实现对智慧水务工业控制网络全网安全态势感知的可视化。

（二）白名单主动防护

智慧水务工业控制系统主机存在运行资源有限、操作系统老旧、补丁难以及时更新、无法部署杀毒软件等现实情况，建议采用应用程序白名单技术建立主动防护机制，形成以白名单技术为基础、应用程序数据智能采集分析、恶意代码识别阻断、移动设备安全管控的主机安全防护体系，通过大数据采集和分析，智能学习并自动生成工业主机操作系统及工业应用软件正常行为模式的白名单基线，仅允许必要的系统进程及工业应用软件运行，主动抵御已知未知安全风险，实现对工业主机设备的全面安全加固，进行病毒防护、阻止恶意软件攻击、禁止非授权程序运行等。

（三）多边界纵深防御

智慧水务网络边界主要存在于办公网、工业控制网络、互联网的内部以及这些网络之间。目前办公网与互联网之间安全防护措施相对比较完善，但是工业控制网络内部及与其他网络之间普遍缺乏安全防护措施，存在很大的安全隐患。

为了保证智慧水务工业控制网络的安全，建议对办公网、工业控制网络、互联网进行合理安全区划分，并对工业控制网络进行细致区域划分，根据网络情况及工业控制设备实际情况选择合适的工业安全防护设备进行针对性安全保护，构建多边界纵深防御体系。

1. 安全分区规划

根据网络实际情况进行梳理，将与生产管理监控相关的设备剥离出来，形成独立的管理层网络，然后再将工业控制网络按照功能属性进行网络区域划分，各网络区域内部再根据不同工艺流程或生产任务进行安全域划分，形成更为细致合理的安全区域。

2. 办公网与工业网边界防护

通过在办公网与工业网络边界部署工业安全防护设备，并严格配置安全策略实现网络之间数据安全交换，实现了办公网与工业网之间的纵向隔离防护，确保办公网与工业网之间不会互相影响。

3. 各网络区域之间边界防护

通过在各网络区域入口部署工业安全防护设备，实现对工业专有协議深度解析，建立网络通讯“白环境”，阻止区域间的越权访问以及病毒、蠕虫的扩散和入侵，将危险源控制在有限范围内，有效防止安全威胁在区域之间串扰。

（四）全流量安全审计

针对智慧水务工业控制网络中专用工业协议多、生产网络运行情况缺乏监控、安全风险难以及时预警的现状，建议建立以工业协议深度解析为基础、“持续监测数据联动”为核心理念、实时监测分析告警的网络安全审计机制，对智慧水务工业控制网络中的所有层面进行全面持续的监控，通过全面的数据感知和分析，建立智慧水务安全数据库，并结合威胁情报，实现对已知威胁、高级威胁、APT攻击的有效预防、发现、防御和过程回溯。

通过安全审计实时监测智慧水务工业控制网络中针对工业协议的恶意攻击、误操作、违规行为、非法设备接入以及蠕虫、病毒等恶意软件的传播，及时告警并联动态势感知平台动态调整安全防护措施，避免发生安全事件。

四、结语

智慧水务的建设刚刚起步，网络安全问题造成的危害还未充分暴露，尚未引起足够重视。另外，随着新技术不断应用到智慧水务建设中，各种新的安全风险应运而生，智慧水务的网络安全保障建设任重道远，需要从顶层规划、制度、标准、管理和技术防护等方面全面思考，才能保障智慧水务又好又快发展。

作者单位：中孚信息北京研究院