智慧水务工业控制系统的网络安全威胁认知及思考

【摘要】本文首先概述了工业控制系统网络安全问题的原因、典型网络安全事件及影响，国内外水务网络安全的实践和探索。其次从攻击对手、典型手段、攻击技战术三个视角认识智慧水务ICS的网络安全威胁，最后从培育安全意识、加强基础结构安全、构建动态防御体系、强化实战对抗能力、重视供应链安全、建设网络安全文化六个方面进行深入思考。

引言

智慧水务是依托大数据、云计算、物联网等新一代信息技术，具备智能化感知、诊断、预警、调度、处置、控制等能力的水务管理系统。智慧水务作为智慧城市建设的重要组成部分，实现“互联互通、态势感知、科学决策、智能管理”是其重要发展目标。工业控制系统（ICS）是智慧水务的关键信基础设施，是实现水务自动化、网络化、智能化的基础构件。文献[1]指出，水务行业数字化面临监管挑战、技术挑战以及组织挑战，而其中的主要技术障碍之一就是网络安全。美国、英国、澳大利亚等发达国家对水务网络安全的建设非常重视，相继出台发展路线图、安全战略、最佳实践等，凸显了水务作为国家关键信息基础设施的极端重要性。近年来不断披露的针对水务行业的网络安全事件，给智慧水务建设的网络安全敲响了警钟。

一、智慧水务中的ICS安全挑战

1.1 ICS应用概述

工业控制系统（ICS）在水务部门不仅用于监控水源、监控水处理过程、控制管道中的压力和流量以及供应成品的水，而且执行数据记录、报警和诊断功能，保障大型、复杂的水务过程系统的持续运营。典型的水务ICS应用场景，如图1，从水库、中央控制站、水处理厂、泵站到终端用户，其包括带有一个或多个主机的中央控制站、本地处理器、仪表和操作设备。这些组件利用大量控制回路、人机界面（HMI）以及一系列网络协议构建的远程诊断和维护工具来协同工作。组件之间使用传统的有线或无线的近程和远程通信，比如利用Internet和公用电话网络。

中央控制站是ICS的大脑，它充当主控单元，而位于远程现场的本地处理器通常充当从属单元。中央控制站的复杂程度随供水系统的大小和位置而变化。例如，大型的城市供水和废水处理系统可能会使用现代过程控制系统来监视和控制其供水网络、主要的处理厂和废水收集系统。

HMI是操作人员与系统或过程的交互平台，它向操作员、管理员、业务伙伴和其他授权用户显示过程状态信息、历史信息、报告和其他信息，其位置、平台和界面可能会有很大不同。例如，HMI可以是中央控制站中的专用平台，无线局域网（LAN）上的便携式计算机或连接到Internet的任何系统上的浏览器。

本地处理器（例如PLC，远程终端单元（RTU）和智能电子设备（IED））对过程仪表和操作设备进行自动控制。这些设备获取数据，与其他设备通信，并执行本地监视、处理和控制。处理器配有用于感应或计量的输入通道，控制、指示或警报的输出通道和一个通信端口。

水务系统维持可靠的储水、处理和供应，实现最佳的过程控制，需要一系列的测量点。这些仪器仪表可通过在线或离线的方式测量氯、溶解氧、颜色/浊度、电导率、PH值、压力、液位、流速和其他关键要素。

1.2 网络安全问题的引入

ICS在水务行业的重要性不言而喻。传统ICS面临的网络威胁在这里都会出现，只是在水务这类公共事业类型的关键信息基础设施，其网络安全风险相对具备一定的特殊性。一旦发生网络安全事件，可能导致的后果会更加严重，比如水务公司甚至政府信誉的损失、可能的公民健康的损害、环境污染、大面积停服造成的生活瘫痪甚至恐慌，等等。初步梳理智慧水务网络安全的威胁因素不外乎如下几类：

ICS设计缺陷；传统ICS系统协议专用、计算资源受限、可靠性要求高、使用寿命较长等特点，其在设计之初就缺乏通信保护、数据加密等安全考量。2020年1月，工业安全公司PAS对典型行业所属的10000多个工业终端进行深度分析，发现其众多ICS都存在设计缺陷和弱点，总量超过380000，平均每个终端就有38个。

更加开放的环境；传统的ICS处于一个相对隔离的环境下，协议、软件、硬件都属于专用。随着标准化的商用软件、硬件的使用，IT侧应用与OT侧应用融合加快。这不仅使大量OT侧设备间接通过IT侧应用暴露，而且有一些设备直接暴露于公网之上。攻击面增加既成事实，更有专家预测，通过OT侧实施对IT的攻击即将成为现实。

泛在的网络连接；云计算应用普及，IoT快速发展，5G应用落地，网络无处不在、无时不在，形成一个人、物、事的复杂系统。智能终端、智能设备随时随地接入企业网络，传统边界模糊甚至不复存在，ICS暴露的攻击面进一步扩大。

系统复杂性的增加；伴随连接泛在网络的，则是系统复杂程度的激增。这种复杂性体现在多个方面，人员繁杂；用户方、开发方、设备供应方各类角色交织。系统种类繁杂；ICS、IoT、企业IT系统形成分层架构；设备种类繁杂；信息访问利用复杂；

供应链的限制；ICS的整个生命周期，涉及软件、硬件、服务等各种供应商，况且大部分控制设备依赖进口，他们的设备、组件可能存在潜在的漏洞，甚至存在恶意的人为设置的后门或恶意软件，这种风险将持续存在。

新技术应用的风险；云计算、大数据、物联网、5G技术的落地应用，也会将其本身存在的弱点引入到智慧水务系统，从而加剧整个系统面临的网络安全风险。

1.3 典型安全事件

近年来，发生地水务领域的网络安全事件也层出不穷。文献[3]对近20年来所有已披露、已记录的恶意网络安全事件进行了梳理分析，选择了15起相对详细且经过验证的水务行业网络安全事件。信息来源包括政府组织发布的报告、科研论文、受影响的公用事业公司的内部报告，以及报道与相关官方代表进行访谈的媒体报道。这些事件造成的后果包括数据泄露、拒绝服务、经济损失、控制操纵、环境污染等，而且事发的被攻击点也多发生在OT侧。参见表1。

1.4 国外智慧水务网络安全的研究探索

美国水信息共享和分析中心（WaterISAC或中心）2019年7月发布了其《水和废水公用事业的十五个网络安全基础知识》[4]，列举了公用事业以减少其遭受网络攻击的脆弱性的最佳实践措施，从加强物理防护和技术监控到社会计划和工作场所策略等，提供了更深入的计划和更广泛的覆盖范围。这些最佳实践将为水资源部门开发或更新必要的风险认知、网络弹性评估以及应急响应计划提供指导。

澳大利亚总审计长办公室2019年5月发布的《水务基础设施控制系统安全》[5]从国家水利和水务资源概况、控制系统应用及安全、网络安全的主体责任、控制系统的网络安全标准实践、审计的职责分析了当前水务行业网络安全形势，并针对性提出了四点建议，一是通过采取一种综合全面的方法将网络安全融入整个公司和控制系统环境；二是明确控制系统安全治理的角色和职责；三是详细识别控制系统各个层级资产的安全漏洞和风险；四是根据控制系统的领先行业安全标准，设计、构建并维护与风险相称的安全架构。

美国政府水务协调委员会（WGCC）2017年5月发布的《水务部门网络安全和弹性路线图》[6]阐明水务部门的行业和政府的优先事项，以管理和降低风险；为WGCC（政府水务协调委员会，由环境保护署和国土安全部出任正副主席）、WSCC（水务部门协调委员会，市政、本地机构、水务部门组成）和安全合作伙伴制定可行的路线图，以在短期（两年内）和中期（五年内）提高水务部门的安全性和网络弹性；指导部门合作伙伴开发新产品和服务并制定预算；建立共识，共同倡导部门优先事项，同时认识到部门合作伙伴的制度约束和不同的责任；鼓励所有主要利益相关者广泛参与，以加强公私合作伙伴关系并降低整个水务部门的风险。

英国环境、食品与乡村事务部2017年3月发布的《水务部门网络安全战略2017-2021》[7]，描绘了其未来五年的发展蓝图。2021年水务行业的发展愿景是安全、高效和充满信心，能够应对不断演进的网络威胁。

国内针对智慧水务网络安全，特别是针对其中的控制系统安全的研究文献[8][9][10][11]并不太多，现有的关注点还大多停留在IT侧，真正关注OT侧安全风险的还较少。特别是，在敌情认知、威胁对抗以及体系化应对IT和OT侧网络安全威胁等方面还存在不小差距。

二、智慧水务ICS威胁认知

2.1 攻击对手

ICS可能的攻击者，包括普通的黑客、网络犯罪组织、国家背景的组织，这些攻击者可能是外部的，也可能是系统内部人员，我们统称其为威胁行为体。不同的威胁行为体其拥有的资源、技术能力各不相同，对其攻击能力进行分级有助于威胁认知。

文献[3]对15起水务网络安全事件的分析显示，来自外部的网络攻击略多于内部攻击，涉及的攻击组织有脚本小子、犯罪团伙、国家背景的组织。详情参见表2。

网络空间中所存在的网络威胁往往非常复杂，从业余爱好者到高度组织化、高水平实体的多层级网空威胁行为体，不一而足。国内知名安全企业安天科技将威胁行为体划分为七个不同的等级，有助于我们认识当下威胁行为体的技战术水平和综合能力。参见图2。

2.2 典型攻击手段

以色列知名工控安全厂商WaterFall于2019年底发布了其专题研究报告《针对ICS的网络攻击20强》[12]，目的是对工业网络进行一致性的网络风险评估提供基础，并将这些风险更清晰地传达给业务决策者。Top 20的攻击代表着不同级别的网络和工程复杂度以及不同程度的不良物理后果。

2.3 ICS攻击技术、战术和过程（TTPs）

对于IT侧网络威胁的认知，国内外网络安全企业和研究机构持续探索，由早期的攻杀链模型，到近两年广为业界认可的ATT@CK框架以及NSA的威胁框架，对安全防御者、行业监管者和最终用户理解和认识网络空间威胁提供了很好的视角和工具。而对于OT侧的威胁认知，MITRE公司在2020年1月份也推出了其框架，分别从资产类型、攻击组织、恶意软件、攻击技术、战术、攻击ICS的哪些层级这六个方面给出了详细的分解，业已成为认识和描述针对ICS网络攻击的标准。详细参见表4。

该框架将攻击活动细分为初始突破、命令执行、持久潜伏、防御规避、内部侦察、横向移动、信息收集、命令与控制、损害近程控制、抑制响应功能、后果影响这11类战术和81项技术，特别突出了具备OT侧特性的损害过程控制、抑制响应功能两类战术，这也是与IT侧完全不同的战术。

三、智慧水务ICS网络安全的思考

当前，工业领域正面临第四次革命的重大机遇和挑战，国内众多工业企业面临传统信息安全问题风险（资产不清、系统老旧、加固缺失、内防不足、意识不强）和新技术应用产生的新型安全风险（“云大物移智”的风险、数据泄露、供应链安全）的双重考验，网络安全已成为工业革命成功的重大战略保障。水务行业作为国家关键信基础设施的重要组成部分，在加速推进信化进程中必须高度重视其网络安全建设。

3.1 持续强化网络安全意识

工业领域网络安全的发展目前仍然是以事件驱动、合规驱动为主，离技术驱动，甚至内生的业务驱动还有很大的差距，在这一点上国内的工业领域更为明显。水务行业相比其它国计民生的关键行业，对网络安全的关注度还不高。对水务工业控制系统面临的网络安全威胁、可能的来源、后果及影响，认识不清，重视不够，依然存在盲目的“好人假定”和“物理隔离”误区，甚至“我不是攻击目标”的侥幸心理。相关企业从上到下网络安全意识的提高，得益于一些重大安全事件的警示和压力。

3.2 夯实基础结构安全根基

目前ICS存在的主要问题中，操作系统老旧、明文口令横行、远程访问过度、网络隔离不足、反AV自动更新不力，均属于网络安全滑动标尺模型（由知名研究机构SANS提出，是国内能力型安全厂商认可的公共安全模型）中基础结构安全的内容，也是其反复强调需要持续的安全监控以使资产、威胁、风险可见的原因。即在工业领域，资产、配置、漏洞、补丁的有效管理，是工业网络信息系统可管理的基础，也成为工业网络可防御的坚实基础。最基础的，最重要的，往往成了最容易被忽视的地方。2019年12月1日，网络安全等级保护制度2.0标准正式实施。等级保护新标准将云计算、移动互联、物联网、工业控制系统等纳入要求范围，其合法要求、体系建设、等级防护的特征也成为推动水务信息系统基础结构安全能力的刚性要求。

3.3 构筑动态综合防御体系

网络安全是动态的而不是静止的，威胁来源在不断变化，攻击的技术手段也在不断演进，过去在工业领域没有想到的、没有出现过的，现在都有了活生生的案例。OT与IT的深度融合，不仅仅是流程、技术、管理的融合，更重要的是观念、团队的融合，使得网络安全问题全程贯穿，而网络安全作为IT&OT融合的前提，必须得到可靠保证。因此，树立动态、综合的网络安全防御理念成为必须选项，必须用系统思维构建以基础结构安全、积极防御、态势感知、威胁情报为核心的防御体系。

3.4 坚持实战导向的对抗思维

美国爱达荷国家实验室（INL）和国土安全部高级网格战略家Andy Bochman表示：“如果你是基础设施提供商，你将成为目标。一旦你成为攻击目标，你必将被攻陷”。这充分表明，关键信息基础设施已成为当前网络攻防对抗的主战场。关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点，在构建防御体系和安全运营过程中必须坚持“场景想定、能力较量、看见对手”的持续对抗思维。ICS防御体系的有效性最终要靠高能力攻击组织的能力来检验。而在这种攻击发生之前，能否感知预警，发生之后能否抗得住过得去，都需要用我们持续以实战的理念、方法和手段来先行检验。当高能力的国家级网络威胁行为体将对关键基础设施的攻击，作为外交对抗和军事冲突之间的低成本对抗选项时，这种隐忧更为紧迫。

3.5 高度重视水务ICS的供应链安全

水务关键基础设施的运行高度依赖ICT系统，ICT供应链风险直接影响金融、交通、能源、国防直至国家安全。ICT全球化的特点，使得ICT供应链成为产品供应链与服务供应链的综合体，更是与物流、信息流和资金流融为一体。毫无疑问，为ICS所有方/运营方提供任何产品、服务的供应商，都天然成为ICS供应链的关键环节，也必然成为威胁行为体的攻击目标。还有一点需要强调的是，各类安全厂商在参与构建ICS防御体系中，亦然成为ICS运营方的供应链中重要的一环，确保其不能成为供应链的薄弱点或攻击入口点。

3.6 大力培育网络安全文化

网络安全文化是人们对网络安全的认识、信仰、态度、规范和价值观，以及这些知识在与信息技术交互中的表现方式。它反映了一种理解，即组织的行为取决于员工的共同信仰、价值观和行为，包括他们对网络安全的态度。网络安全文化是组织文化的重要组成部分。水务行业在推动网络安全防御体系（技术、管理、控制）的过程中，相关监管方、安全能力供给方、用户方都是组织网络安全文化的参与者、推动者、建设者。在当前网络安全等级保护制度实施、网络安全责任纳入领导考核指标的背景下，水务部门作为自身网络安全文化的主体责任方，不仅需要积极推动网络安全能力体系建设的责任意识和担当，而且需要克服主动暴露、勇于披露问题和安全事件的心理障碍和文化障碍，从而形成持续攻防对抗中防御方的体系化优势。