登录注册
请使用微信扫一扫
关注公众号完成登录
1.2 网络安全问题的引入
ICS在水务行业的重要性不言而喻。传统ICS面临的网络威胁在这里都会出现,只是在水务这类公共事业类型的关键信息基础设施,其网络安全风险相对具备一定的特殊性。一旦发生网络安全事件,可能导致的后果会更加严重,比如水务公司甚至政府信誉的损失、可能的公民健康的损害、环境污染、大面积停服造成的生活瘫痪甚至恐慌,等等。初步梳理智慧水务网络安全的威胁因素不外乎如下几类:
ICS设计缺陷;传统ICS系统协议专用、计算资源受限、可靠性要求高、使用寿命较长等特点,其在设计之初就缺乏通信保护、数据加密等安全考量。2020年1月,工业安全公司PAS对典型行业所属的10000多个工业终端进行深度分析,发现其众多ICS都存在设计缺陷和弱点,总量超过380000,平均每个终端就有38个。
更加开放的环境;传统的ICS处于一个相对隔离的环境下,协议、软件、硬件都属于专用。随着标准化的商用软件、硬件的使用,IT侧应用与OT侧应用融合加快。这不仅使大量OT侧设备间接通过IT侧应用暴露,而且有一些设备直接暴露于公网之上。攻击面增加既成事实,更有专家预测,通过OT侧实施对IT的攻击即将成为现实。
泛在的网络连接;云计算应用普及,IoT快速发展,5G应用落地,网络无处不在、无时不在,形成一个人、物、事的复杂系统。智能终端、智能设备随时随地接入企业网络,传统边界模糊甚至不复存在,ICS暴露的攻击面进一步扩大。
系统复杂性的增加;伴随连接泛在网络的,则是系统复杂程度的激增。这种复杂性体现在多个方面,人员繁杂;用户方、开发方、设备供应方各类角色交织。系统种类繁杂;ICS、IoT、企业IT系统形成分层架构;设备种类繁杂;信息访问利用复杂;
供应链的限制;ICS的整个生命周期,涉及软件、硬件、服务等各种供应商,况且大部分控制设备依赖进口,他们的设备、组件可能存在潜在的漏洞,甚至存在恶意的人为设置的后门或恶意软件,这种风险将持续存在。
新技术应用的风险;云计算、大数据、物联网、5G技术的落地应用,也会将其本身存在的弱点引入到智慧水务系统,从而加剧整个系统面临的网络安全风险。
1.3 典型安全事件
近年来,发生地水务领域的网络安全事件也层出不穷。文献[3]对近20年来所有已披露、已记录的恶意网络安全事件进行了梳理分析,选择了15起相对详细且经过验证的水务行业网络安全事件。信息来源包括政府组织发布的报告、科研论文、受影响的公用事业公司的内部报告,以及报道与相关官方代表进行访谈的媒体报道。这些事件造成的后果包括数据泄露、拒绝服务、经济损失、控制操纵、环境污染等,而且事发的被攻击点也多发生在OT侧。参见表1。
1.4 国外智慧水务网络安全的研究探索
美国水信息共享和分析中心(WaterISAC或中心)2019年7月发布了其《水和废水公用事业的十五个网络安全基础知识》[4],列举了公用事业以减少其遭受网络攻击的脆弱性的最佳实践措施,从加强物理防护和技术监控到社会计划和工作场所策略等,提供了更深入的计划和更广泛的覆盖范围。这些最佳实践将为水资源部门开发或更新必要的风险认知、网络弹性评估以及应急响应计划提供指导。
澳大利亚总审计长办公室2019年5月发布的《水务基础设施控制系统安全》[5]从国家水利和水务资源概况、控制系统应用及安全、网络安全的主体责任、控制系统的网络安全标准实践、审计的职责分析了当前水务行业网络安全形势,并针对性提出了四点建议,一是通过采取一种综合全面的方法将网络安全融入整个公司和控制系统环境;二是明确控制系统安全治理的角色和职责;三是详细识别控制系统各个层级资产的安全漏洞和风险;四是根据控制系统的领先行业安全标准,设计、构建并维护与风险相称的安全架构。
美国政府水务协调委员会(WGCC)2017年5月发布的《水务部门网络安全和弹性路线图》[6]阐明水务部门的行业和政府的优先事项,以管理和降低风险;为WGCC(政府水务协调委员会,由环境保护署和国土安全部出任正副主席)、WSCC(水务部门协调委员会,市政、本地机构、水务部门组成)和安全合作伙伴制定可行的路线图,以在短期(两年内)和中期(五年内)提高水务部门的安全性和网络弹性;指导部门合作伙伴开发新产品和服务并制定预算;建立共识,共同倡导部门优先事项,同时认识到部门合作伙伴的制度约束和不同的责任;鼓励所有主要利益相关者广泛参与,以加强公私合作伙伴关系并降低整个水务部门的风险。
英国环境、食品与乡村事务部2017年3月发布的《水务部门网络安全战略2017-2021》[7],描绘了其未来五年的发展蓝图。2021年水务行业的发展愿景是安全、高效和充满信心,能够应对不断演进的网络威胁。
国内针对智慧水务网络安全,特别是针对其中的控制系统安全的研究文献[8][9][10][11]并不太多,现有的关注点还大多停留在IT侧,真正关注OT侧安全风险的还较少。特别是,在敌情认知、威胁对抗以及体系化应对IT和OT侧网络安全威胁等方面还存在不小差距。
二、智慧水务ICS威胁认知
2.1 攻击对手
ICS可能的攻击者,包括普通的黑客、网络犯罪组织、国家背景的组织,这些攻击者可能是外部的,也可能是系统内部人员,我们统称其为威胁行为体。不同的威胁行为体其拥有的资源、技术能力各不相同,对其攻击能力进行分级有助于威胁认知。
文献[3]对15起水务网络安全事件的分析显示,来自外部的网络攻击略多于内部攻击,涉及的攻击组织有脚本小子、犯罪团伙、国家背景的组织。详情参见表2。
网络空间中所存在的网络威胁往往非常复杂,从业余爱好者到高度组织化、高水平实体的多层级网空威胁行为体,不一而足。国内知名安全企业安天科技将威胁行为体划分为七个不同的等级,有助于我们认识当下威胁行为体的技战术水平和综合能力。参见图2。
2.2 典型攻击手段
以色列知名工控安全厂商WaterFall于2019年底发布了其专题研究报告《针对ICS的网络攻击20强》[12],目的是对工业网络进行一致性的网络风险评估提供基础,并将这些风险更清晰地传达给业务决策者。Top 20的攻击代表着不同级别的网络和工程复杂度以及不同程度的不良物理后果。
2.3 ICS攻击技术、战术和过程(TTPs)
对于IT侧网络威胁的认知,国内外网络安全企业和研究机构持续探索,由早期的攻杀链模型,到近两年广为业界认可的ATT@CK框架以及NSA的威胁框架,对安全防御者、行业监管者和最终用户理解和认识网络空间威胁提供了很好的视角和工具。而对于OT侧的威胁认知,MITRE公司在2020年1月份也推出了其框架,分别从资产类型、攻击组织、恶意软件、攻击技术、战术、攻击ICS的哪些层级这六个方面给出了详细的分解,业已成为认识和描述针对ICS网络攻击的标准。详细参见表4。
该框架将攻击活动细分为初始突破、命令执行、持久潜伏、防御规避、内部侦察、横向移动、信息收集、命令与控制、损害近程控制、抑制响应功能、后果影响这11类战术和81项技术,特别突出了具备OT侧特性的损害过程控制、抑制响应功能两类战术,这也是与IT侧完全不同的战术。
三、智慧水务ICS网络安全的思考
当前,工业领域正面临第四次革命的重大机遇和挑战,国内众多工业企业面临传统信息安全问题风险(资产不清、系统老旧、加固缺失、内防不足、意识不强)和新技术应用产生的新型安全风险(“云大物移智”的风险、数据泄露、供应链安全)的双重考验,网络安全已成为工业革命成功的重大战略保障。水务行业作为国家关键信基础设施的重要组成部分,在加速推进信化进程中必须高度重视其网络安全建设。
3.1 持续强化网络安全意识
工业领域网络安全的发展目前仍然是以事件驱动、合规驱动为主,离技术驱动,甚至内生的业务驱动还有很大的差距,在这一点上国内的工业领域更为明显。水务行业相比其它国计民生的关键行业,对网络安全的关注度还不高。对水务工业控制系统面临的网络安全威胁、可能的来源、后果及影响,认识不清,重视不够,依然存在盲目的“好人假定”和“物理隔离”误区,甚至“我不是攻击目标”的侥幸心理。相关企业从上到下网络安全意识的提高,得益于一些重大安全事件的警示和压力。
3.2 夯实基础结构安全根基
目前ICS存在的主要问题中,操作系统老旧、明文口令横行、远程访问过度、网络隔离不足、反AV自动更新不力,均属于网络安全滑动标尺模型(由知名研究机构SANS提出,是国内能力型安全厂商认可的公共安全模型)中基础结构安全的内容,也是其反复强调需要持续的安全监控以使资产、威胁、风险可见的原因。即在工业领域,资产、配置、漏洞、补丁的有效管理,是工业网络信息系统可管理的基础,也成为工业网络可防御的坚实基础。最基础的,最重要的,往往成了最容易被忽视的地方。2019年12月1日,网络安全等级保护制度2.0标准正式实施。等级保护新标准将云计算、移动互联、物联网、工业控制系统等纳入要求范围,其合法要求、体系建设、等级防护的特征也成为推动水务信息系统基础结构安全能力的刚性要求。
3.3 构筑动态综合防御体系
网络安全是动态的而不是静止的,威胁来源在不断变化,攻击的技术手段也在不断演进,过去在工业领域没有想到的、没有出现过的,现在都有了活生生的案例。OT与IT的深度融合,不仅仅是流程、技术、管理的融合,更重要的是观念、团队的融合,使得网络安全问题全程贯穿,而网络安全作为IT&OT融合的前提,必须得到可靠保证。因此,树立动态、综合的网络安全防御理念成为必须选项,必须用系统思维构建以基础结构安全、积极防御、态势感知、威胁情报为核心的防御体系。
3.4 坚持实战导向的对抗思维
美国爱达荷国家实验室(INL)和国土安全部高级网格战略家Andy Bochman表示:“如果你是基础设施提供商,你将成为目标。一旦你成为攻击目标,你必将被攻陷”。这充分表明,关键信息基础设施已成为当前网络攻防对抗的主战场。关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点,在构建防御体系和安全运营过程中必须坚持“场景想定、能力较量、看见对手”的持续对抗思维。ICS防御体系的有效性最终要靠高能力攻击组织的能力来检验。而在这种攻击发生之前,能否感知预警,发生之后能否抗得住过得去,都需要用我们持续以实战的理念、方法和手段来先行检验。当高能力的国家级网络威胁行为体将对关键基础设施的攻击,作为外交对抗和军事冲突之间的低成本对抗选项时,这种隐忧更为紧迫。
3.5 高度重视水务ICS的供应链安全
水务关键基础设施的运行高度依赖ICT系统,ICT供应链风险直接影响金融、交通、能源、国防直至国家安全。ICT全球化的特点,使得ICT供应链成为产品供应链与服务供应链的综合体,更是与物流、信息流和资金流融为一体。毫无疑问,为ICS所有方/运营方提供任何产品、服务的供应商,都天然成为ICS供应链的关键环节,也必然成为威胁行为体的攻击目标。还有一点需要强调的是,各类安全厂商在参与构建ICS防御体系中,亦然成为ICS运营方的供应链中重要的一环,确保其不能成为供应链的薄弱点或攻击入口点。
3.6 大力培育网络安全文化
网络安全文化是人们对网络安全的认识、信仰、态度、规范和价值观,以及这些知识在与信息技术交互中的表现方式。它反映了一种理解,即组织的行为取决于员工的共同信仰、价值观和行为,包括他们对网络安全的态度。网络安全文化是组织文化的重要组成部分。水务行业在推动网络安全防御体系(技术、管理、控制)的过程中,相关监管方、安全能力供给方、用户方都是组织网络安全文化的参与者、推动者、建设者。在当前网络安全等级保护制度实施、网络安全责任纳入领导考核指标的背景下,水务部门作为自身网络安全文化的主体责任方,不仅需要积极推动网络安全能力体系建设的责任意识和担当,而且需要克服主动暴露、勇于披露问题和安全事件的心理障碍和文化障碍,从而形成持续攻防对抗中防御方的体系化优势。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
各会员单位、有关单位:为贯彻落实《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》,准确把握我国城镇水务行业2035年的发展目标,以及水利部《关于大力推进智慧水利建设的指导意见》、《十四五”期间推进智慧水利建设实施方案》等系列文件,明确了智慧水利建设推进
近日,云南墨江城乡供水一体化及智慧水务项目设计施工总承包EPC中标候选人公示。第一中标候选人:中冶福建投资建设有限公司;第二中标候选人:贵州建工集团第十一建筑工程有限责任公司;第三中标候选人:杭州建工集团有限责任公司。
近日,宁波水表(集团)股份有限公司(简称“宁水集团”)与绵阳水务科技有限公司成功签署“智能水表联合研发生产合作协议”。绵阳市水务(集团)有限公司党委副书记、董事、工会主席田青春,绵阳水务科技有限公司党支部书记、董事长、总经理贾玺,绵阳市水务(集团)有限公司党群工作部部长宋宇翔,绵
12月2日,白银市平川区城区供水改造及智慧化提升工程(智慧水务平台工程)中标结果公示。中国通信建设第二工程局有限公司中标该项目,中标价2847.888732万元。该项目新建供水管网监测系统1套(包括水质检测、压力检测、管网漏损检测等)、智慧水务平台1套(线上营收系统、应急指挥调度平台、大用户远传
近日,辽宁大连复州城镇自来水管网升级改造工程-智慧水务工程招标公告发布。详情如下:复州城镇自来水管网升级改造工程-智慧水务工程(重发公告)1、招标条件复州城镇自来水管网升级改造工程-智慧水务工程已经由辽宁省大连市瓦房店市备案。以瓦发改批【2022】16号批准建设,招标人为瓦房店市复州城镇人民
11月26日,郧西县城关污水处理厂设备更新改造工程总承包EPC招标公告。该项目建设规模:(1)拟采用改良AO+MABR+MBBR工艺组合,提高系统容积负荷。(2)新增2座直径为32m的二沉池(含配水井及污泥泵房),与现有2座二沉池一起共同满足设计水质条件下5万m/d处理规模。(3)构建智慧水务系统,重新铺设光
11月20日,甘肃省水务投资集团有限公司举行甘肃水投智慧水务有限公司揭牌仪式。据了解,该公司由甘肃水务节水科技发展有限责任公司持股60%,三川智慧科技股份有限公司持股40%。智慧水务是甘肃水投集团布局的六大战略板块之一。智慧水务公司的成立,标志着水投集团在智慧水务领域迈出了重要的一步,对于
11月20日,安徽太和县城乡供水一体化项目(配水管网、加压泵站、末端管网及智慧水务工程)中标候选人公示。中标候选人如下:中标候选人:中铁四局集团有限公司、安徽官水建设工程有限公司,投标价格:878765376.58元;中标候选人:中国建筑第七工程局有限公司、太和建信基础建设有限公司,投标价格:87
11月20日,中国铁塔股份有限公司天津市分公司(下简称:天津铁塔)与天津水务集团有限公司(以下简称天津水务集团)签署战略合作协议,天津铁塔党委书记、总经理曲华维,天津水务集团总经理贾庆红出席签约仪式并见证签约,天津铁塔党委委员、副总经理刘春华与天津水务集团党委委员、总经理助理杨建新代表
近日,云南墨江城乡供水一体化及智慧水务项目设计施工总承包EPC招标公告发布。项目总投资为19789.26万元,本次招标规模约为13206.51万元。墨江城乡供水一体化及智慧水务项目设计施工总承包EPC招标范围包含但不限于:本项目范围内全部工程的施工图设计、施工及相关服务,直至竣工验收合格及整体移交、工
近日,内蒙古察哈尔右翼前旗水务一体化改造项目智慧水务工程招标公告发布。本项目对察右前旗新区老旧管网及其配套工程进行改造,其中给水管网16.70km,排水管网改造0.85km,户表改造2.8万户,对团结路、木材线花村加压泵站进行改造,以及对供水生产基础底座进行建设,并引入智慧水务软件系统等,同时对
11月7日,云南景然环境建设股份有限公司发布公告,出于公司整体发展战略需要,现提议注销云南云景水务管理发展有限公司,相关的注销程序及流程,授权总经理依据《中华人民共和国公司法》及《云南云景水务管理发展有限公司章程》等相关规定处理。云南云景水务管理发展有限公司由景然环境与广南县水利水
近日,云南景然环境建设股份有限公司发布公告,出于公司整体发展战略需要,为整合公司业务,降低投资风险,提高管理及运营效率,公司拟注销子公司云南云景水务管理发展有限公司。
近日,深圳市利源水务设计咨询有限公司、清新环境子公司深圳市深水水务咨询有限公司(下称“深水咨询”)、深水咨询全资子公司深圳市深水兆业工程顾问有限公司、深水咨询全资子公司深圳市深水工程造价咨询有限公司联合投标,成功中标深圳市“宝安中心区排涝工程(全过程工程咨询)”项目(下称“项目”
3月7日,贵阳市水务管理局关于垃圾焚烧发电厂协同处置贵阳市生活污水处理厂污泥采购项目(一期)公开招标,预算金额3270.4万元,涉及处置规模日均200吨。贵阳市水务管理局关于垃圾焚烧发电厂协同处置贵阳市生活污水处理厂污泥采购项目(一期)的公开招标公告项目概况垃圾焚烧发电厂协同处置贵阳市生活
为配合青岛市城市更新和城市建设三年攻坚行动,进一步保障城市供水能力,提升城市水环境承载力,青岛市水务管理局2023年积极组织开展了“7+1+1行动”,即推进实施7座污水厂、1座供水厂、1个水库工程共9项水务设施建设。为加快推进各项目实施进展,青岛市水务管理局实行“一项目一清单”,安排专人深入
自2023年1月1日起,方恒业正式接棒郭仕达,出任苏伊士亚洲地区首席执行官,负责苏伊士在亚洲地区的所有业务,包括水务管理、固废资源管理、水务工程和智慧及环境解决方案等。郭仕达将继续留任苏伊士,担任亚洲地区战略顾问,保障集团与主要合作伙伴的关系行稳致远。他在重庆、上海、香港和澳门项目的董
10月25日,由水务集团建设、浙江和达科技公司开发的湖州供水智能化建设项目综合管理数字化平台正式上线。湖州市城市集团党委委员、副总经理徐永平,市建设局党委委员邵立,市大数据局党组成员、总工程师笪猛霄,市数字集团总经理王震,浙江和达科技公司董事长郭军及水务集团领导班子出席平台上线仪式。
8月16日,青岛市崂山区电子政务和大数据中心崂山区智慧水生态项目公开招标公告发布,项目预算金额为1184.5万元。项目以水利水务智慧化为出发点,充分利用前沿技术,实现对水务信息资源进行全面准确实时监测,形成强大的水务物联网,实现智慧感知,并在崂山区水利水务信息化的基础上,依托崂山区城市云
水务作为基础设施建设和民生工程的重要领域在现阶段存在诸多有待提升的点,如何推动水务管理实现便捷、精准、高质量的发展是其重要的改革方向之一。因此,水务智慧化大势所趋。下面简单梳理当下推动智慧水务行业发展的几个关键因素:一、国家宏观政策对水务智能化方面提出了更高要求水务行业作为基础设
1月24日,广东省肇庆市高要区新一轮水质净化设施建设PPP项目智慧水务管理平台开标,中标单位为中建智能技术有限公司,中标价为464.5万元。据悉,中建智能技术有限公司是中国建筑发展有限公司旗下高科技智能技术企业,由中建发展联合国内领先的IT运维管理软件开发商——北京神州泰岳软件股份有限公司共
摘要:针对2×1000MW机组燃煤火力发电厂水务管理要求,对各类供水、用水、排水进行全面规划、综合平衡和优化比较。通过水量平衡设计,提出切实可行的各系统用排水方案,采取多种节水措施,达到一水多用、重复利用,降低全厂耗水指标,实现电厂废水零排放。该工程耗水指标优于国家对电厂节水的有关规定
11月27日,天壕能源(公告,公司拟与北京胤龙科技有限公司(简称“北京胤龙”)共同组建合资公司河南铭耀水务有限公司。合资公司注册资本金7.5亿元,北京胤龙认缴出资4.13亿元,出资形式为股权和货币,即以其持有的河南觉悟科技有限公司(简称“河南觉悟”)100%股权评估作价1.09亿元和货币3.03亿元出资,占
各有关单位:近年来,湖南始终把治水兴水摆在经济社会发展的重要位置,紧扣水利高质量发展主题,连续战胜严重洪旱灾害,提升水资源节约集约利用能力和水平,持续改善水生态环境,群众的获得感、幸福感、安全感不断增强,为全面建设社会主义现代化新湖南提供坚实的水安全保障。深入贯彻落实习近平总书记
近日,西安水务集团规划设计院与上海市政工程设计研究总院(集团)有限公司签署战略合作协议,并举行联合创新工作室揭牌仪式。西安水务集团党委委员、副总经理张国荣,上海市政总院党委书记、董事长张亮分别致辞、见证签约。西安水务集团副总经理张国荣强调,规划设计院与上海市政总院开展战略合作,将
10月9日,合肥市水务环境建设投资有限公司(以下简称“水投公司”)正式移交合肥水务集团有限公司。合肥市国资委党委委员、副主任张庆伟,市水务局党组成员、副局长陈伟,市建投集团、市水务集团主要负责人和相关同志出席会议,水投公司中层及以上管理人员、合肥运营分公司项目负责人参会。市委、市政
10月8日,国中水务发布公告,公司拟使用最高额度不超过人民币5000万元的闲置自有资金进行证券投资,在此额度内资金可以滚动使用,且期限内任一时点的交易金额(含前述投资的收益进行再投资的相关金额)不应超过投资最高额度。投资范围为股票、基金、新股配售或者申购、证券回购。对于投资目的,公告指
日前,聊城市茌平区城乡供水智慧水务建设项目(水表升级改造二期)中标公告发布。公告显示,山东省邮电工程有限公司中标该项目,中标金额:2098.67万元。据了解,在今年1月,聊城市茌平区城乡供水智慧水务建设项目(水表升级改造一期)发布中标公告,中国移动通信集团山东有限公司中标,中标金额:2128
9月19日,中国能建西北区域总部(西北建投)党委副书记、执行总经理孟团国与葛洲坝生态环保公司党委副书记、总经理沈远持座谈,双方围绕生态环保、矿山修复等领域合作进行交流,并达成广泛共识。孟团国对葛洲坝生态环保公司长期以来投入西北市场表示感谢,并简要介绍了中国能建在西北区域的资源优势、
9月10日,中国能建葛洲坝集团党委副书记、总经理、副董事长陈刚与广州市水务投资集团党委副书记、副董事长、总经理吴学伟座谈,就“全水”业务领域全方位、深层次务实合作深入交流,并达成广泛共识。吴学伟对陈刚一行表示欢迎。他介绍说,广州市水务投资集团历经多年转型,发展成为集水务产业的策划、
9月6日,中电环保在接收机构调研时表示,截止2024年半年度末,公司待实施的在手合同金额合计为30.71亿元,其中:水务18.76亿元(含预估运营合同额8.79亿元)、固废处理10.59亿元(含预估运营合同额9.81亿元)、烟气治理1.36亿元。上述项目将根据业主合同要求逐年实施,其中:工程合同额12.11亿元,实施
9月2日,江苏联合水务科技股份有限公司执行总裁刘猛一行赴中建生态环境集团有限公司(以下简称中建生态环境集团)开展座谈交流。双方就进一步深化市场开拓、智慧运营、产品开发应用等领域合作进行深入交流。中建生态环境集团党委书记、董事长华东旗出席会议。华东旗对刘猛一行的到访表示欢迎,并介绍了
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!