【能源人都在看，點選右上角加‘關注’】

北極星水處理網訊：【摘要】本文首先概述了 工業控制系統 網路安全問題的原因、典型網路安全事件及影響，國內外水務網路安全的實踐和探索。其次從攻擊對手、典型手段、攻擊技戰術三個視角認識智慧水務ICS的網路安全威脅，最後從培育安全意識、加強基礎結構安全、構建動態防禦體系、強化實戰對抗能力、重視供應鏈安全、建設網路 安全文化 六個方面進行深入思考。

引言

智慧水務是依託大資料、雲計算、 物聯網 等新一代資訊科技，具備智慧化感知、診斷、預警、排程、處置、控制等能力的水務管理系統。智慧水務作為智慧城市建設的重要組成部分，實現“互聯互通、態勢感知、科學決策、智慧管理”是其重要發展目標。工業控制系統（ICS）是智慧水務的關鍵信基礎設施，是實現水務自動化、網路化、智慧化的基礎構件。文獻［1］指出，水務行業數字化面臨監管挑戰、技術挑戰以及組織挑戰，而其中的主要技術障礙之一就是網路安全。美國、英國、澳大利亞等發達國家對水務網路安全的建設非常重視，相繼出臺發展路線圖、安全戰略、最佳實踐等，凸顯了水務作為國家關鍵資訊基礎設施的極端重要性。近年來不斷披露的針對水務行業的網路安全事件，給智慧水務建設的網路安全敲響了警鐘。

一、智慧水務中的ICS安全挑戰

1.1 ICS應用概述

工業控制系統（ICS）在水務部門不僅用於監控水源、監控水處理過程、控制管道中的壓力和流量以及供應成品的水，而且執行資料記錄、報警和診斷功能，保障大型、複雜的水務過程系統的持續運營。典型的水務ICS應用場景，如圖1，從水庫、中央控制站、水處理廠、泵站到終端使用者，其包括帶有一個或多個主機的中央控制站、本地處理器、儀表和操作裝置。這些元件利用大量控制迴路、人機介面（HMI）以及一系列網路協議構建的遠端診斷和維護工具來協同工作。元件之間使用傳統的有線或無線的近程和遠端通訊，比如利用Internet和公用電話網路。

中央控制站是ICS的大腦，它充當主控單元，而位於遠端現場的本地處理器通常充當從屬單元。中央控制站的複雜程度隨供水系統的大小和位置而變化。例如，大型的城市供水和廢水處理系統可能會使用現代過程控制系統來監視和控制其供水網路、主要的處理廠和廢水收集系統。

HMI是操作人員與系統或過程的互動平臺，它向操作員、管理員、業務夥伴和其他授權使用者顯示過程狀態資訊、歷史資訊、報告和其他資訊，其位置、平臺和介面可能會有很大不同。例如，HMI可以是中央控制站中的專用平臺，無線區域網（LAN）上的行動式計算機或連線到Internet的任何系統上的瀏覽器。

本地處理器（例如PLC，遠端終端單元（RTU）和智慧電子裝置（IED））對過程儀表和操作裝置進行自動控制。這些裝置獲取資料，與其他裝置通訊，並執行本地監視、處理和控制。處理器配有用於感應或計量的輸入通道，控制、指示或警報的輸出通道和一個通訊埠。

水務系統維持可靠的儲水、處理和供應，實現最佳的過程控制，需要一系列的測量點。這些儀器儀表可透過線上或離線的方式測量氯、溶解氧、顏色/濁度、電導率、PH值、壓力、液位、流速和其他關鍵要素。

1.2 網路安全問題的引入

ICS在水務行業的重要性不言而喻。傳統ICS面臨的網路威脅在這裡都會出現，只是在水務這類公共事業型別的關鍵資訊基礎設施，其網路安全風險相對具備一定的特殊性。一旦發生網路安全事件，可能導致的後果會更加嚴重，比如水務公司甚至政府信譽的損失、可能的公民健康的損害、環境汙染、大面積停服造成的生活癱瘓甚至恐慌，等等。初步梳理智慧水務網路安全的威脅因素不外乎如下幾類：

ICS設計缺陷；傳統ICS系統協議專用、計算資源受限、可靠性要求高、使用壽命較長等特點，其在設計之初就缺乏通訊保護、資料加密等安全考量。2020年1月，工業安全公司PAS對典型行業所屬的10000多個工業終端進行深度分析，發現其眾多ICS都存在設計缺陷和弱點，總量超過380000，平均每個終端就有38個。

更加開放的環境；傳統的ICS處於一個相對隔離的環境下，協議、軟體、硬體都屬於專用。隨著標準化的商用軟體、硬體的使用，IT側應用與 OT 側應用融合加快。這不僅使大量OT側裝置間接透過IT側應用暴露，而且有一些裝置直接暴露於公網之上。攻擊面增加既成事實，更有專家預測，透過OT側實施對IT的攻擊即將成為現實。

泛在的網路連線；雲計算應用普及，IoT快速發展，5G應用落地，網路無處不在、無時不在，形成一個人、物、事的複雜系統。智慧終端、智慧裝置隨時隨地接入企業網路，傳統邊界模糊甚至不復存在，ICS暴露的攻擊面進一步擴大。

系統複雜性的增加；伴隨連線泛在網路的，則是系統複雜程度的激增。這種複雜性體現在多個方面，人員繁雜；使用者方、開發方、裝置供應方各類角色交織。系統種類繁雜；ICS、IoT、企業IT系統形成分層架構；裝置種類繁雜；資訊訪問利用複雜；

供應鏈的限制；ICS的整個生命週期，涉及軟體、硬體、服務等各種供應商，況且大部分控制裝置依賴進口，他們的裝置、元件可能存在潛在的漏洞，甚至存在惡意的人為設定的後門或惡意軟體，這種風險將持續存在。

新技術應用的風險；雲計算、大資料、物聯網、5G技術的落地應用，也會將其本身存在的弱點引入到智慧水務系統，從而加劇整個系統面臨的網路安全風險。

1.3 典型安全事件

近年來，發生地水務領域的網路安全事件也層出不窮。文獻［3］對近20年來所有已披露、已記錄的惡意網路安全事件進行了梳理分析，選擇了15起相對詳細且經過驗證的水務行業網路安全事件。資訊來源包括政府組織釋出的報告、科研論文、受影響的公用事業公司的內部報告，以及報道與相關官方代表進行訪談的媒體報道。這些事件造成的後果包括資料洩露、拒絕服務、經濟損失、控制操縱、環境汙染等，而且事發的被攻擊點也多發生在OT側。參見表1。

1.4 國外智慧水務網路安全的研究探索

美國水資訊共享和分析中心（WaterISAC或中心）2019年7月釋出了其《水和廢水公用事業的十五個網路安全基礎知識》［4］，列舉了公用事業以減少其遭受網路攻擊的脆弱性的最佳實踐措施，從加強物理防護和技術監控到社會計劃和工作場所策略等，提供了更深入的計劃和更廣泛的覆蓋範圍。這些最佳實踐將為水資源部門開發或更新必要的風險認知、網路彈性評估以及應急響應計劃提供指導。

澳大利亞總審計長辦公室2019年5月釋出的《水務基礎設施控制系統安全》［5］從國家水利和水務資源概況、控制系統應用及安全、網路安全的主體責任、控制系統的網路安全標準實踐、審計的職責分析了當前水務行業網路安全形勢，並針對性提出了四點建議，一是透過採取一種綜合全面的方法將網路安全融入整個公司和控制系統環境；二是明確控制系統安全治理的角色和職責；三是詳細識別控制系統各個層級資產的安全漏洞和風險；四是根據控制系統的領先行業安全標準，設計、構建並維護與風險相稱的安全架構。

美國政府水務協調委員會（WGCC）2017年5月釋出的《水務部門網路安全和彈性路線圖》［6］闡明水務部門的行業和政府的優先事項，以管理和降低風險；為WGCC（政府水務協調委員會，由環境保護署和國土安全部出任正副主席）、WSCC（水務部門協調委員會，市政、本地機構、水務部門組成）和安全合作伙伴制定可行的路線圖，以在短期（兩年內）和中期（五年內）提高水務部門的安全性和網路彈性；指導部門合作伙伴開發新產品和服務並制定預算；建立共識，共同倡導部門優先事項，同時認識到部門合作伙伴的制度約束和不同的責任；鼓勵所有主要利益相關者廣泛參與，以加強公私合作伙伴關係並降低整個水務部門的風險。

英國環境、食品與鄉村事務部2017年3月釋出的《水務部門網路安全戰略2017-2021》［7］，描繪了其未來五年的發展藍圖。2021年水務行業的發展願景是安全、高效和充滿信心，能夠應對不斷演進的網路威脅。

國內針對智慧水務網路安全，特別是針對其中的控制系統安全的研究文獻［8］［9］［10］［11］並不太多，現有的關注點還大多停留在IT側，真正關注OT側安全風險的還較少。特別是，在敵情認知、威脅對抗以及體系化應對IT和OT側網路安全威脅等方面還存在不小差距。

二、智慧水務ICS威脅認知

2.1 攻擊對手

ICS可能的攻擊者，包括普通的駭客、網路犯罪組織、國家背景的組織，這些攻擊者可能是外部的，也可能是系統內部人員，我們統稱其為威脅行為體。不同的威脅行為體其擁有的資源、技術能力各不相同，對其攻擊能力進行分級有助於威脅認知。

文獻［3］對15起水務網路安全事件的分析顯示，來自外部的網路攻擊略多於內部攻擊，涉及的攻擊組織有指令碼小子、犯罪團伙、國家背景的組織。詳情參見表2。

網路空間中所存在的網路威脅往往非常複雜，從業餘愛好者到高度組織化、高水平實體的多層級網空威脅行為體，不一而足。國內知名安全企業安天科技將威脅行為體劃分為七個不同的等級，有助於我們認識當下威脅行為體的技戰術水平和綜合能力。參見圖2。

2.2 典型攻擊手段

以色列知名工控安全廠商WaterFall於2019年底釋出了其專題研究報告《針對ICS的網路攻擊20強》［12］，目的是對工業網路進行一致性的網路風險評估提供基礎，並將這些風險更清晰地傳達給業務決策者。Top 20的攻擊代表著不同級別的網路和工程複雜度以及不同程度的不良物理後果。

2.3 ICS攻擊技術、戰術和過程（TTPs）

對於IT側網路威脅的認知，國內外網路安全企業和研究機構持續探索，由早期的攻殺鏈模型，到近兩年廣為業界認可的ATT@CK框架以及NSA的威脅框架，對安全防禦者、行業監管者和終端使用者理解和認識網路空間威脅提供了很好的視角和工具。而對於OT側的威脅認知，MITRE公司在2020年1月份也推出了其框架，分別從資產型別、攻擊組織、惡意軟體、攻擊技術、戰術、攻擊ICS的哪些層級這六個方面給出了詳細的分解，業已成為認識和描述針對ICS網路攻擊的標準。詳細參見表4。

該框架將攻擊活動細分為初始突破、命令執行、持久潛伏、防禦規避、內部偵察、橫向移動、資訊收集、命令與控制、損害近程控制、抑制響應功能、後果影響這11類戰術和81項技術，特別突出了具備OT側特性的損害過程控制、抑制響應功能兩類戰術，這也是與IT側完全不同的戰術。

三、智慧水務ICS網路安全的思考

當前，工業領域正面臨第四次革命的重大機遇和挑戰，國內眾多工業企業面臨傳統資訊保安問題風險（資產不清、系統老舊、加固缺失、內防不足、意識不強）和新技術應用產生的新型安全風險（“雲大物移智”的風險、資料洩露、供應鏈安全）的雙重考驗，網路安全已成為工業革命成功的重大戰略保障。水務行業作為國家關鍵信基礎設施的重要組成部分，在加速推進信化程序中必須高度重視其網路安全建設。

3.1 持續強化網路安全意識

工業領域網路安全的發展目前仍然是以事件驅動、合規驅動為主，離技術驅動，甚至內生的業務驅動還有很大的差距，在這一點上國內的工業領域更為明顯。水務行業相比其它國計民生的關鍵行業，對網路安全的關注度還不高。對水務工業控制系統面臨的網路安全威脅、可能的來源、後果及影響，認識不清，重視不夠，依然存在盲目的“好人假定”和“物理隔離”誤區，甚至“我不是攻擊目標”的僥倖心理。相關企業從上到下網路安全意識的提高，得益於一些重大安全事件的警示和壓力。

3.2 夯實基礎結構安全根基

目前ICS存在的主要問題中，作業系統老舊、明文口令橫行、遠端訪問過度、網路隔離不足、反AV自動更新不力，均屬於網路安全滑動標尺模型（由知名研究機構SANS提出，是國內能力型安全廠商認可的公共安全模型）中基礎結構安全的內容，也是其反覆強調需要持續的安全監控以使資產、威脅、風險可見的原因。即在工業領域，資產、配置、漏洞、補丁的有效管理，是工業網路資訊系統可管理的基礎，也成為工業網路可防禦的堅實基礎。最基礎的，最重要的，往往成了最容易被忽視的地方。2019年12月1日，網路安全 等級保護 制度2。0標準正式實施。等級保護新標準將雲計算、移動互聯、物聯網、工業控制系統等納入要求範圍，其合法要求、體系建設、等級防護的特徵也成為推動水務資訊系統基礎結構安全能力的剛性要求。

3.3 構築動態綜合防禦體系

網路安全是動態的而不是靜止的，威脅來源在不斷變化，攻擊的技術手段也在不斷演進，過去在工業領域沒有想到的、沒有出現過的，現在都有了活生生的案例。OT與IT的深度融合，不僅僅是流程、技術、管理的融合，更重要的是觀念、團隊的融合，使得網路安全問題全程貫穿，而網路安全作為IT&OT融合的前提，必須得到可靠保證。因此，樹立動態、綜合的網路安全防禦理念成為必須選項，必須用系統思維構建以基礎結構安全、積極防禦、態勢感知、威脅情報為核心的防禦體系。

3.4 堅持實戰導向的對抗思維

美國愛達荷國家實驗室（INL）和國土安全部高階網格戰略家Andy Bochman表示：“如果你是基礎設施提供商，你將成為目標。一旦你成為攻擊目標，你必將被攻陷”。這充分表明，關鍵資訊基礎設施已成為當前網路攻防對抗的主戰場。關鍵資訊基礎設施需要實戰化、體系化、常態化的安全防護業已成為共識。基於網路攻防對抗不宣而戰、無平戰之分的特點，在構建防禦體系和安全運營過程中必須堅持“場景想定、能力較量、看見對手”的持續對抗思維。ICS防禦體系的有效性最終要靠高能力攻擊組織的能力來檢驗。而在這種攻擊發生之前，能否感知預警，發生之後能否抗得住過得去，都需要用我們持續以實戰的理念、方法和手段來先行檢驗。當高能力的國家級網路威脅行為體將對關鍵基礎設施的攻擊，作為外交對抗和軍事衝突之間的低成本對抗選項時，這種隱憂更為緊迫。

3.5 高度重視水務ICS的供應鏈安全

水務關鍵基礎設施的執行高度依賴ICT系統，ICT供應鏈風險直接影響金融、交通、能源、國防直至國家安全。ICT全球化的特點，使得ICT供應鏈成為產品供應鏈與服務供應鏈的綜合體，更是與物流、資訊流和資金流融為一體。毫無疑問，為ICS所有方/運營方提供任何產品、服務的供應商，都天然成為ICS供應鏈的關鍵環節，也必然成為威脅行為體的攻擊目標。還有一點需要強調的是，各類安全廠商在參與構建ICS防禦體系中，亦然成為ICS運營方的供應鏈中重要的一環，確保其不能成為供應鏈的薄弱點或攻擊入口點。

3.6 大力培育網路安全文化

網路安全文化是人們對網路安全的認識、信仰、態度、規範和價值觀，以及這些知識在與資訊科技互動中的表現方式。它反映了一種理解，即組織的行為取決於員工的共同信仰、價值觀和行為，包括他們對網路安全的態度。網路安全文化是組織文化的重要組成部分。水務行業在推動網路安全防禦體系（技術、管理、控制）的過程中，相關監管方、安全能力供給方、使用者方都是組織網路安全文化的參與者、推動者、建設者。在當前網路安全等級保護制度實施、網路安全責任納入領導考核指標的背景下，水務部門作為自身網路安全文化的主體責任方，不僅需要積極推動網路安全能力體系建設的責任意識和擔當，而且需要克服主動暴露、勇於披露問題和安全事件的心理障礙和文化障礙，從而形成持續攻防對抗中防禦方的體系化優勢。

原標題：原創 | 智慧水務工業控制系統的網路安全威脅認知及思考

免責宣告：以上內容轉載自北極星環保網，所發內容不代表本平臺立場。

全國能源資訊平臺聯絡電話：010-65367702，郵箱：hz@people-energy。com。cn，地址：北京市朝陽區金臺西路2號人民日報社