工业控制系统（ICS）是智慧水务的关键信基础设施？

北极星水处理网讯：【摘要】本文首先总结了工控系统网络安全问题的成因、典型网络安全事件及影响，以及国内外水网络安全的实践与探索。其次，从攻击对手、典型手段、攻击技战术等角度了解智慧水务ICS的网络安全威胁。网络安全文化六个方面的深入思考。

介绍

智慧水务是依托大数据、云计算、物联网等新一代信息技术，具有智能感知、诊断、预警、调度、处置和控制能力的水管理系统。作为智慧城市建设的重要组成部分，实现“互联互通、态势感知、科学决策、智能管理”是智慧水务的重要发展目标。工控系统（ICS）是智慧水务的关键信息基础设施工业控制计算机好中吗?，是实现水务自动化、网络化、智能化的基础组件。参考文献[1]指出，水务行业数字化面临监管挑战、技术挑战和组织挑战，而主要的技术壁垒之一是网络安全。美国、英国、澳大利亚等发达国家高度重视水网安全建设。近年来，针对水务行业的网络安全事件不断披露，为智慧水务建设的网络安全敲响了警钟。

一、智慧水体中的 ICS 安全挑战

1.1 ICS 应用概述

水务行业的工业控制系统 (ICS) 不仅用于监测水源、监测水处理过程、控制管道中的压力和流量、为成品供水，还执行数据记录、报警和诊断功能，以保障大型复杂的水处理系统持续运行。典型的水 ICS 应用场景，如图 1 所示，范围从水库、中央控制站、水处理厂、泵站到最终用户，其中包括具有一个或多个主机、本地处理器、仪器仪表和操作设备的中央控制站。这些组件使用大量控制回路、人机界面 (HMI) 以及使用一系列网络协议构建的远程诊断和维护工具协同工作。

中央控制站是 ICS 的大脑并充当主单元，而位于远程站点的本地处理器通常充当从单元。中央控制站的复杂性因供水系统的大小和位置而异。例如，大型城市供水和废水处理系统可能使用现代过程控制系统来监控其供水网络、主要处理厂和废水收集系统。

HMI 是操作员与系统或流程的交互平台。它向操作员、管理员、业务合作伙伴和其他授权用户显示过程状态信息、历史信息、报告和其他信息。它的位置、平台和界面可能会有很大的不同。例如，HMI 可以是中央控制站中的专用平台、无线局域网 (LAN) 上的笔记本电脑或连接到 Internet 的任何系统上的浏览器。

PLC、远程终端单元 (RTU) 和智能电子设备 (IED) 等本地处理器提供过程仪表和操作设备的自动控制。这些设备获取数据，与其他设备通信，并执行本地监视、处理和控制。该处理器配备有用于传感或计量的输入通道、用于控制、指示或警报的输出通道以及一个通信端口。

水系统保持可靠的水储存、处理和供应，以实现最佳过程控制，需要一系列测量点。这些仪器在线或离线测量氯、溶解氧、颜色/浊度、电导率、pH、压力、液位、流速和其他关键元素。

1.2 网络安全问题介绍

ICS 在水行业的重要性怎么强调都不为过。传统ICS所面临​​的网络威胁会出现在这里，但在水务等公用事业的关键信息基础设施中，网络安全风险相对具体。一旦发生网络安全事件，可能造成的后果将更加严重，如水公司乃至政府的名誉受损、市民健康可能受到损害、环境污染、生活瘫痪甚至因大规模服务而引发恐慌暂停等。智慧水网安全威胁因素初步分为以下几类：

ICS 设计缺陷；传统ICS系统具有协议专用、计算资源有限、可靠性要求高、使用寿命长等特点。在设计之初，它们缺乏通信保护和数据加密等安全考虑。2020年1月，工业安全公司PAS对10000多个属于典型行业的工业终端进行了深入分析，发现其许多ICS存在设计缺陷和弱点，总数超过380,000个，平均38个每个终端。

更开放的环境；传统的ICS处于相对孤立的环境中，协议、软件、硬件都是专用的。借助标准化的商用软硬件，加速IT端应用与OT端应用的融合。这不仅通过 IT 端应用间接暴露了大量 OT 端设备，而且还将部分设备直接暴露在公网中。攻击面的增加是既成事实工业控制计算机好中吗?，专家预测，通过OT端对IT的攻击即将成为现实。

无处不在的网络连接；云计算应用普及，物联网快速发展，5G应用落地，网络无处不在，无处不在，形成了人、物、物的复杂系统。智能终端和智能设备可以随时随地接入企业网络。传统边界模糊甚至消失，ICS暴露的攻击面进一步扩大。

系统的复杂性增加；随着泛在网络的连接，系统的复杂性增加。这种复杂性体现在很多方面，人员复杂；用户、开发人员和设备供应商的角色是相互交织的。各类系统；ICS、IoT、企业IT系统形成分层架构；各类设备；复杂的信息访问和利用；

供应链约束；ICS的整个生命周期涉及到各种软件、硬件、服务等供应商，而且控制设备大部分依赖进口，其设备和部件可能存在潜在漏洞，甚至存在人为或恶意软件设置的恶意后门，这种风险将持续存在。

新技术应用的风险；云计算、大数据、物联网、5G技术的应用，也会将自身的弱点引入智慧水务系统，从而加剧整个系统面临的网络安全风险。

1.3 典型安全事件

近年来，水务领域的网络安全事件也层出不穷。参考文献[3]梳理分析了近20年来所有已披露和记录的恶意网络安全事件，选取了15起水行业中比较详细、经过验证的网络安全事件。信息来源包括政府组织发布的报告、科学论文、受影响公用事业公司的内部报告以及采访相关官方代表的媒体报道。这些事件的后果包括数据泄露、拒绝服务、经济损失、控制操纵、环境污染等，而且事件的大部分被攻击点都发生在OT端。见表 1。

1.4国外智慧水网安全研究与探索

美国水资源信息共享与分析中心（WaterISAC 或中心）于 2019 年 7 月发布了其 15 个供水和废水公用事业网络安全基础 [4]，列出了公用事业以减少其对网络攻击的脆弱性 性最佳实践措施，包括增强物理保护和技术监测社会计划和工作场所战略，提供更深入的规划和更广泛的覆盖范围。这些最佳实践将指导水部门制定或更新必要的风险认知、网络弹性评估和应急响应计划。

澳大利亚审计长办公室于 2019 年 5 月发布的《水利基础设施控制系统安全》[5] 包括国家水资源和水资源概述、控制系统的应用和安全、网络的主要职责安全，控制系统的网络安全标准实践，审计的职责分析了当前水行业的网络安全形势，并提出了四点有针对性的建议。一是采取综合方法将网络安全整合到整个公司和控制系统环境中；二是明确控制系统安全治理。角色和责任；三是详细识别控制系统各级资产的安全漏洞和风险；

美国政府水协调委员会 (WGCC) 于 2017 年 5 月发布的水行业网络安全和弹性路线图[6] 阐明了水行业管理和降低风险的行业和政府优先事项；为 WGCC（政府水资源协调）委员会，EPA 和 DHS 担任主席和副主席）、WSCC（水部门协调委员会，由市政当局、地方机构、水务当局组成）和安全合作伙伴制定一个可操作的简短路线图（在两个年）和中期（五年内）提高水行业的安全性和网络弹性；指导行业合作伙伴开发新产品和服务并制定预算；建立共识并共同倡导部门优先事项，同时承认机构限制和部门合作伙伴的不同责任；鼓励所有主要利益相关者广泛参与，以加强公私伙伴关系并降低整个水部门的风险。

英国环境、食品和农村事务部于 2017 年 3 月发布了《2017-2021 年水务部门网络安全战略》[7]，描绘了其未来五年的发展蓝图。2021 年水行业的愿景是安全、高效和自信地应对不断演变的网络威胁。

国内关于智能水网安全，尤其是控制系统安全的研究文献不多[8][9][10][11]。现有的关注点大多在 IT 端，而真正关注 OT 端的安全风险较少。尤其是在敌情感知、威胁对抗、IT和OT端网络安全威胁的系统应对等方面还存在较大差距。

二、Smart Water ICS 威胁感知

2.1 攻击对手

ICS 的可能攻击者包括普通黑客、网络犯罪组织和具有国家背景的组织。这些攻击者可能是外部或系统内部人员。我们统称为威胁行为者。不同的威胁行为者拥有不同的资源和技术能力，对其攻击能力进行分级有助于威胁感知。

对参考文献[3]中15起水网安全事件的分析表明，外网攻击略多于内网攻击，涉及的攻击组织包括脚本小子、犯罪团伙和具有国家背景的组织。详见表 2。

网络空间中存在的网络威胁通常非常复杂，从业余爱好者到高度组织化的高级实体的多层网络威胁参与者。国内知名安全公司安天科技将威胁行为者划分为七个不同的层次，帮助我们了解当前威胁行为者的技战术水平和综合能力。请参见图 2。

2.2 典型的攻击方式

2019年底，以色列知名工控安全厂商WaterFall发布了专题研究报告《针对ICS的20大网络攻击》[12]，旨在为持续的网络风险提供依据评估工业网络并更明确地定义这些风险。与业务决策者沟通。排名前 20 位的攻击代表了不同程度的网络和工程复杂性以及不同程度的不良物理后果。

2.3 ICS 攻击技术、策略和程序 (TTP)

对于IT端网络威胁的认知，国内外网络安全公司和研究机构不断探索，从早期的攻杀链模型到业界广泛认可的ATT@CK框架和NSA威胁框架在过去的两年里。它为监管机构、行业监管机构和最终用户了解和识别网络空间中的威胁提供了良好的视角和工具。至于OT端的威胁感知，MITRE也于2020年1月推出了框架，包括资产类型、攻击组织、恶意软件、攻击技术、战术、攻击ICS的级别等六个方面。详细的细分已成为识别和描述针对 ICS 的网络攻击的标准。详见表 4。

该框架将攻击活动细分为 11 个战术类别：初始突破、命令执行、持续潜伏、防御性规避、内部侦察、横向移动、信息收集、指挥和控制、损害短程控制、抑制响应功能和后果影响， 81 该技术特别突出了具有OT端特征的损害过程控制和响应功能抑制两类策略，这也是与IT端完全不同的策略。

三、对智慧水务ICS网络安全的思考

当前，工业领域正面临第四次革命的重大机遇和挑战。国内很多工业企业都面临着传统信息安全问题（资产不清晰、系统陈旧、加固不足、内防不足、意识薄弱）和新技术应用的风险。由于新的安全风险（“云、大物、移动智能”风险、数据泄露、供应链安全）的双重考验，网络安全成为工业革命成功的重大战略保障。水务行业作为国家重点信息基础设施的重要组成部分，在加快信息化进程的过程中，必须高度重视网络安全建设。

3.1 持续强化网络安全意识

工业领域网络安全的发展仍主要由事件和合规驱动。技术驱动甚至内生业务驱动之间还有很大的差距。这一点在国内工业领域更为明显。与其他国计民生重点行业相比，水务行业对网络安全的重视程度并不高。水务行业控制系统面临的网络安全威胁、可能来源、后果和影响尚不明确，未引起足够重视。仍然存在盲目的“好人假设”和“身体隔离”的误解，甚至“我不是攻击的目标”。心理学。

3.2 夯实基础设施安全基础

目前ICS存在的主要问题中，老旧的操作系统、猖獗的明文密码、过多的远程访问、网络隔离不足、防AV自动更新不力等，都属于网络安全滑动尺度模型（由知名人士提出研究机构SANS，国内能力模型）。安全厂商认可的公共安全模型中基础设施安全的内容）也是其反复强调需要持续安全监控以使资产、威胁和风险可见的原因。也就是说，在工业领域，资产、配置、漏洞、补丁的有效管理是工业网络信息系统管理的基础，也成为工业网络防御的坚实基础。最基本的，最重要的，往往是最容易被忽视的地方。2019年12月1日，网络安全等级保护体系2.0标准正式实施。分级保护新标准将云计算、移动互联网、物联网、工业控制系统等纳入要求范围，其法律要求、制度建设、分级保护特性也成为推进安全的硬性要求。水信息系统基础设施的能力。

3.3 构建动态综合防御体系

网络安全是动态的而不是静态的。威胁的来源在不断变化，攻击的技术手段也在不断发展。过去在工业领域从未想到或出现过的事情的现场案例。OT与IT的深度融合，不仅仅是流程、技术、管理的融合，更重要的是理念和团队的融合，让网络安全问题贯穿全流程。作为IT&OT融合的先决条件，网络安全必须得到可靠保障。因此，建立动态、全面的网络安全防御理念已成为必须，必须以系统思维构建以基础设施安全、主动防御、态势感知、威胁情报为核心的防御体系。

3.4 坚持以战斗为导向的对抗思维

“如果你是基础设施提供商，你就会成为攻击目标，”爱达荷国家实验室 (INL) 和国土安全部的高级电网策略师 Andy Bochman 说。“一旦你成为目标，你就会受到损害。” 这充分说明，关键信息基础设施已成为当前网络攻防对抗的主战场。关键信息基础设施需要切实、系统、规范的安全保护已成为共识。基于网络攻防对抗不宣战、不和平的特点，要坚持“情景情景、能力比拼、看对手”的持续对抗思维 在构建防御系统和安全行动的过程中。ICS 防御系统的有效性最终取决于高容量攻击组织的能力。在这样的攻击发生之前，我们能否感知到预警，发生后是否能够承受，都需要用我们在实战中继续使用的理念、方法和手段进行检验。当高能力的国家级网络威胁行为者对关键基础设施的攻击被用作外交对抗和军事冲突之间的低成本对抗选择时，这种担忧就更加紧迫。而它发生后我们能否承受得住，都需要用我们在实战中继续使用的理念、方法和手段来检验。当高能力的国家级网络威胁行为者对关键基础设施的攻击被用作外交对抗和军事冲突之间的低成本对抗选择时，这种担忧就更加紧迫。而它发生后我们能否承受得住，都需要用我们在实战中继续使用的理念、方法和手段来检验。当高能力的国家级网络威胁行为者对关键基础设施的攻击被用作外交对抗和军事冲突之间的低成本对抗选择时，这种担忧就更加紧迫。

3.5 高度重视水ICS的供应链安全

关键水利基础设施的运行高度依赖ICT系统，ICT供应链风险直接影响金融、交通、能源、国防乃至国家安全。ICT全球化的特点使ICT供应链成为产品供应链和服务供应链的综合体，更加融合了物流、信息流和资金流。毫无疑问，向 ICS 所有者/运营商提供任何产品或服务的供应商，自然是 ICS 供应链中的关键环节，不可避免地会成为攻击者的目标。还有一点需要强调的是，当各种安全厂商参与到ICS防御系统的建设中，也成为了ICS运营商供应链的重要组成部分，

3.6 大力培育网络安全文化

网络安全文化是人们对网络安全的认知、信念、态度、规范和价值观，以及这些知识如何体现在他们与信息技术的交互中。它反映了一种理解，即组织的行为取决于其员工的共同信念、价值观和行为，包括他们对网络安全的态度。网络安全文化是组织文化的重要组成部分。在推进水务行业网络安全防御体系（技术、管理和控制）的过程中，相关监管者、安全能力提供者和用户都是组织网络安全文化的参与者、推动者和建设者。