智慧水務安全的最大挑戰竟然是TA？

2020年5月，以色列國家網絡安全負責人表示，國家供水系統的大規模網絡攻擊。此次針對中部供水設施的攻擊，是具有國家背景的黑客組織攻擊，目標是控制用于供水網絡閥門的plc（可編程邏輯控制器），目的是“引發人道災難”。此類事情屢見不鮮，網絡威脅已經向城市供水系統領域滲透，把水務工業控制系統作為攻擊目標，為城市供水系統敲響了安全警鐘。

在我國，網絡安全已上升到國家安全戰略高度，習近平總書記在中央網絡安全和信息化領導小組第一次會議中明確闡述了網絡安全對于國家的重要性。2017年6月1日《中華人民共和國網絡安全法》正式頒布實施，明確指出針對城市水務公共服務等關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。網絡安全是智慧水務健康、長久發展的重要保障。

供水系統六大安全風險

（一）通信協議風險

自動化和信息化的高度融合和物聯網的發展使得modbus協議、profibus協議、opc協議等工業協議廣泛應用于城市水務工業控制網絡，協議的公開性導致極易遭受攻擊，而傳統防火墻往往無法發現和防范出現的安全問題。

（二）工業設備風險

國內水務企業工業控制系統大量采用進口工業控制設備，而這些設備普遍存在漏洞，可利用漏洞進行腳本攻擊改變操作指令，進而影響生產正常進行。

（三）操作系統風險

城市水務工業控制系統的工業主機基本上都是windows平臺，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常不會對操作系統安裝任何補丁，存在很大的安全隱患。

（四）安全策略和管理流程風險

追求可用性而犧牲安全性，是水務工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也帶來了一定的威脅。例如移動存儲介質包括筆記本電腦、u盤等設備的隨意使用和不嚴格的訪問控制策略。

（五）感染病毒風險

為了保證工控應用軟件的可用性，許多工業主機通常不會安裝殺毒軟件，因為殺毒軟件會造成工控應用軟件運行出現異常，而且工業主機緊張的資源配置也不能滿足殺毒軟件的運行需求，但是工控環境的數據交互會導致病毒進入工業主機，近兩年頻繁的勒索病毒攻擊也正是因此而起。

（六）安全監管風險

城市水務工業控制網絡普通缺乏工業安全審計設備和安全日志統計分析手段，無法實現對工業控制網絡的可感知與可控制。

智慧水務的應對措施

（一）全環節態勢感知

針對智慧水務工業控制網絡中安全防護手段眾多、安全信息雜亂、安全態勢不可見的現狀，建議以水務企業為主體，建設涵蓋其下屬水源廠、凈水廠、泵站、管網等生產設施、覆蓋采水、凈水、給水、供水、排水等全環節的工控安全態勢感知平臺，及時發現各類網絡安全風險以及非法訪問事件，實現工業信息安全的閉環管理，全面提高水務企業工業安全防護的整體水平。

（二）白名單主動防護

智慧水務工業控制系統主機存在運行資源有限、操作系統老舊、補丁難以及時更新、無法部署殺毒軟件等現實情況，建議采用應用程序白名單技術建立主動防護機制，形成以白名單技術為基礎、應用程序數據智能采集分析、惡意代碼識別阻斷、移動設備安全管控的主機安全防護體系，通過大數據采集和分析，智能學習并自動生成工業主機操作系統及工業應用軟件正常行為模式的白名單基線，僅允許必要的系統進程及工業應用軟件運行，主動抵御已知未知安全風險，實現對工業主機設備的全面安全加固，進行病毒防護、阻止惡意軟件攻擊、禁止非授權程序運行等。

（三）多邊界縱深防御

為了保證智慧水務工業控制網絡的安全，建議對辦公網、工業控制網絡、互聯網進行合理安全區劃分，并對工業控制網絡進行細致區域劃分，根據網絡情況及工業控制設備實際情況選擇合適的工業安全防護設備進行針對性安全保護，構建多邊界縱深防御體系。