作者:張振山 範德昌
2021/1/13 15:57:33 我要投稿北極星水處理網訊:2020年5月28日,以色列國家網絡安全負責人公開承認,該國4月份挫敗了對其供水系統的大規模網絡攻擊。此次針對以色列中部供水設施的攻擊不是為了經濟利益,而是具有國家背景的黑客組織攻擊,目標是控制用於供水網絡閥門的PLC(可編程邏輯控制器),是對以色列及其國家安全攻擊的一部分,目的是「引發人道災難」。
此次事件再次引起對供水設施遭受攻擊和入侵的重視,美國國土安全部的統計顯示:早在2015年,針對供水系統的網絡攻擊事件,就已經排入前三名,僅次於關鍵製造和能源行業。針對關鍵基礎設施的首個網絡攻擊事件不是2010年伊朗震網病毒,而是2000年澳大利亞昆士蘭州惡意控制汙水控制系統的網絡攻擊。
頻發網絡安全事件表明,網絡威脅已經向城市供水系統領域滲透,把水務工業控制系統作為攻擊目標,為城市供水系統敲響了安全警鐘。
一、智慧水務簡介
智慧水務利用新一代信息技術,通過傳感器技術、網絡和移動系統與水務信息系統的結合,構建成智能感知、智能仿真、智能診斷、智能預警、智能調度、智能處置、智能控制和智能服務全方位的水務管理系統。「智慧水務」是智慧城市建設的重要組成部分,旨在提升水務管理和服務的水平,為城市的發展提供更好的支撐,有效提升城市智慧建設和宜居能力。
城市供水安全直接關係著人們的生命安全,是構建經濟繁榮、政治穩定的現代化城市的重要基礎。伴隨著智慧水務的建設,城市供水系統網絡安全問題日益突出。
網絡安全已上升到國家安全戰略高度,習近平總書記在中央網絡安全和信息化領導小組第一次會議中明確闡述了網絡安全對於國家的重要性。2017年6月1日《中華人民共和國網絡安全法》正式頒布實施,明確指出針對城市水務公共服務等關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。網絡安全是智慧水務健康、長久發展的重要保障。
二、智慧水務安全挑戰分析
智慧水務通過數採儀、無線網絡、水質水壓表等在線監測設備實時感知城市供排水系統的運行狀態,並採用可視化的方式有機整合水務管理部門與供排水設施,形成"城市水務物聯網",並可將海量水務信息進行及時分析與處理,並做出相應的處理結果輔助決策建議,以更加精細和動態的方式管理水務系統的整個生產、管理和服務流程,從而達到"智慧"的狀態。
智慧水務建設必然會打通生產運行體系、服務營銷體系、決策支持體系、綜合管理體系等城市水務環節,實現水務企業所有相關信息(水務管網基礎數據、水務管網運營數據、水務用戶信息、水務系統實時監測數據、採樣點水質數據、熱線信息、管線工程等)在網絡上的互相流轉與共享,從而實現真正意義上的水務信息的完全共享,最終實現城市水務行業的智慧運作。而這也就意味著城市水務賴以運行的工業控制網絡會直接與管理網、網際網路連通,面臨極大的安全風險。
(一)通信協議風險
自動化和信息化的高度融合和物聯網的發展使得ModBus協議、ProfiBus協議、OPC協議等工業協議廣泛應用於城市水務工業控制網絡,協議的公開性導致極易遭受攻擊,而傳統防火牆往往無法發現和防範出現的安全問題。
(二)工業設備風險
國內水務企業工業控制系統大量採用進口工業控制設備,而這些設備普遍存在漏洞,可利用漏洞進行腳本攻擊改變操作指令,進而影響生產正常進行。
(三)作業系統風險
城市水務工業控制系統的工業主機基本上都是Windows平臺,為保證過程控制系統的相對獨立性,同時考慮到系統的穩定運行,通常不會對作業系統安裝任何補丁,存在很大的安全隱患。
(四)安全策略和管理流程風險
追求可用性而犧牲安全性,是水務工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程也帶來了一定的威脅。例如移動存儲介質包括筆記本電腦、U盤等設備的隨意使用和不嚴格的訪問控制策略。
(五)感染病毒風險
為了保證工控應用軟體的可用性,許多工業主機通常不會安裝殺毒軟體,因為殺毒軟體會造成工控應用軟體運行出現異常,而且工業主機緊張的資源配置也不能滿足殺毒軟體的運行需求,但是工控環境的數據交互會導致病毒進入工業主機,近兩年頻繁的勒索病毒攻擊也正是因此而起。
(六)安全監管風險
城市水務工業控制網絡普通缺乏工業安全審計設備和安全日誌統計分析手段,無法實現對工業控制網絡的可感知與可控制。
三、智慧水務安全應對措施
城市水務是國家關鍵基礎設施的重要組成部分,關係著廣大人民群眾的生命安全,必然會面臨國內外黑客組織的重點關注和攻擊。近年來,全球發生的多起針對水務行業工業控制系統的攻擊事件給人們敲響了警鐘。如何應對水務行業的工業控制系統網絡安全風險,是智慧水務建設過程中必須考慮和解決的現實問題。
智慧水務安全防護應貫穿採水、淨水、供水、排水等環節,綜合採用縱深防禦、大數據分析、協議深度解析、智能感知、態勢監控等新技術新手段,形成貼合水務行業實際情況的應對措施。
(一)全環節態勢感知
針對智慧水務工業控制網絡中安全防護手段眾多、安全信息雜亂、安全態勢不可見的現狀,建議以水務企業為主體,建設涵蓋其下屬水源廠、淨水廠、泵站、管網等生產設施、覆蓋採水、淨水、給水、供水、排水等全環節的工控安全態勢感知平臺,實現對企業下屬企業全方位、全天候的網絡安全態勢感知,及時發現各類網絡安全風險以及非法訪問事件,實現工業信息安全的閉環管理,全面提高水務企業工業安全防護的整體水平。
智慧水務工控安全態勢感知平臺引入大數據威脅情報分析技術,綜合底層海量數據採集及威脅情報分析能力,形成安全防護手段統籌協調、資源信息全面監控、態勢分析高度集中、運營數據智能分析實時預警、態勢呈現可見可控的綜合監控中心,採用被動掃描方式實現資產脆弱性識別和分析,實時主動感知潛在的網絡安全風險,形成高價值、高可見、高實時的戰略性威脅情報,及時發現安全威脅、評估安全風險,按照風險、威脅、事件等構建態勢要素及態勢模型,從計算環境、網絡邊界、業務流程等維度實現對智慧水務工業控制網絡全網安全態勢感知的可視化。
(二)白名單主動防護
智慧水務工業控制系統主機存在運行資源有限、作業系統老舊、補丁難以及時更新、無法部署殺毒軟體等現實情況,建議採用應用程式白名單技術建立主動防護機制,形成以白名單技術為基礎、應用程式數據智能採集分析、惡意代碼識別阻斷、行動裝置安全管控的主機安全防護體系,通過大數據採集和分析,智能學習並自動生成工業主機作業系統及工業應用軟體正常行為模式的白名單基線,僅允許必要的系統進程及工業應用軟體運行,主動抵禦已知未知安全風險,實現對工業主機設備的全面安全加固,進行病毒防護、阻止惡意軟體攻擊、禁止非授權程序運行等。
(三)多邊界縱深防禦
智慧水務網絡邊界主要存在於辦公網、工業控制網絡、網際網路的內部以及這些網絡之間。目前辦公網與網際網路之間安全防護措施相對比較完善,但是工業控制網絡內部及與其他網絡之間普遍缺乏安全防護措施,存在很大的安全隱患。
為了保證智慧水務工業控制網絡的安全,建議對辦公網、工業控制網絡、網際網路進行合理安全區劃分,並對工業控制網絡進行細緻區域劃分,根據網絡情況及工業控制設備實際情況選擇合適的工業安全防護設備進行針對性安全保護,構建多邊界縱深防禦體系。
1. 安全分區規劃
根據網絡實際情況進行梳理,將與生產管理監控相關的設備剝離出來,形成獨立的管理層網絡,然後再將工業控制網絡按照功能屬性進行網絡區域劃分,各網絡區域內部再根據不同工藝流程或生產任務進行安全域劃分,形成更為細緻合理的安全區域。
2. 辦公網與工業網邊界防護
通過在辦公網與工業網絡邊界部署工業安全防護設備,並嚴格配置安全策略實現網絡之間數據安全交換,實現了辦公網與工業網之間的縱向隔離防護,確保辦公網與工業網之間不會互相影響。
3. 各網絡區域之間邊界防護
通過在各網絡區域入口部署工業安全防護設備,實現對工業專有協議深度解析,建立網絡通訊「白環境」,阻止區域間的越權訪問以及病毒、蠕蟲的擴散和入侵,將危險源控制在有限範圍內,有效防止安全威脅在區域之間串擾。
(四)全流量安全審計
針對智慧水務工業控制網絡中專用工業協議多、生產網絡運行情況缺乏監控、安全風險難以及時預警的現狀,建議建立以工業協議深度解析為基礎、「持續監測數據聯動」為核心理念、實時監測分析告警的網絡安全審計機制,對智慧水務工業控制網絡中的所有層面進行全面持續的監控,通過全面的數據感知和分析,建立智慧水務安全資料庫,並結合威脅情報,實現對已知威脅、高級威脅、APT攻擊的有效預防、發現、防禦和過程回溯。
通過安全審計實時監測智慧水務工業控制網絡中針對工業協議的惡意攻擊、誤操作、違規行為、非法設備接入以及蠕蟲、病毒等惡意軟體的傳播,及時告警並聯動態勢感知平臺動態調整安全防護措施,避免發生安全事件。
四、結語
智慧水務的建設剛剛起步,網絡安全問題造成的危害還未充分暴露,尚未引起足夠重視。另外,隨著新技術不斷應用到智慧水務建設中,各種新的安全風險應運而生,智慧水務的網絡安全保障建設任重道遠,需要從頂層規劃、制度、標準、管理和技術防護等方面全面思考,才能保障智慧水務又好又快發展。
作者單位:中孚信息北京研究院
投稿聯繫:0335-3030550 郵箱:huanbaowang#bjxmail.com(請將#換成@)
北極星環保網聲明:此資訊系轉載自北極星環保網合作媒體或網際網路其它網站,北極星環保網登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述。文章內容僅供參考。