2020年5月，以色列國(guó)家網(wǎng)絡(luò)安全負(fù)責(zé)人表示，國(guó)家供水系統(tǒng)的大規(guī)模網(wǎng)絡(luò)攻擊。此次針對(duì)中部供水設(shè)施的攻擊，是具有國(guó)家背景的黑客組織攻擊，目標(biāo)是控制用于供水網(wǎng)絡(luò)閥門的plc（可編程邏輯控制器.html'>控制器），目的是“引發(fā)人道災(zāi)難”。此類事情屢見(jiàn)不鮮，網(wǎng)絡(luò)威脅已經(jīng)向城市供水系統(tǒng)領(lǐng)域滲透，把水務(wù)工業(yè)控制系統(tǒng)作為攻擊目標(biāo)，為城市供水系統(tǒng)敲響了安全警鐘。

在我國(guó)，網(wǎng)絡(luò)安全已上升到國(guó)家安全戰(zhàn)略高度，習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議中明確闡述了網(wǎng)絡(luò)安全對(duì)于國(guó)家的重要性。2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布實(shí)施，明確指出針對(duì)城市水務(wù)公共服務(wù)等關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。網(wǎng)絡(luò)安全是智慧水務(wù)健康、長(zhǎng)久發(fā)展的重要保障。

供水系統(tǒng)六大安全風(fēng)險(xiǎn)

（一）通信協(xié)議風(fēng)險(xiǎn)

自動(dòng)化和信息化的高度融合和物聯(lián)網(wǎng)的發(fā)展使得modbus協(xié)議、profibus協(xié)議、opc協(xié)議等工業(yè)協(xié)議廣泛應(yīng)用于城市水務(wù)工業(yè)控制網(wǎng)絡(luò)，協(xié)議的公開(kāi)性導(dǎo)致極易遭受攻擊，而傳統(tǒng)防火墻往往無(wú)法發(fā)現(xiàn)和防范出現(xiàn)的安全問(wèn)題。

（二）工業(yè)設(shè)備風(fēng)險(xiǎn)

國(guó)內(nèi)水務(wù)企業(yè)工業(yè)控制系統(tǒng)大量采用進(jìn)口工業(yè)控制設(shè)備，而這些設(shè)備普遍存在漏洞，可利用漏洞進(jìn)行腳本攻擊改變操作指令，進(jìn)而影響生產(chǎn)正常進(jìn)行。

（三）操作系統(tǒng)風(fēng)險(xiǎn)

城市水務(wù)工業(yè)控制系統(tǒng)的工業(yè)主機(jī)基本上都是windows平臺(tái)，為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，通常不會(huì)對(duì)操作系統(tǒng)安裝任何補(bǔ)丁，存在很大的安全隱患。

（四）安全策略和管理流程風(fēng)險(xiǎn)

追求可用性而犧牲安全性，是水務(wù)工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也帶來(lái)了一定的威脅。例如移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、u盤(pán)等設(shè)備的隨意使用和不嚴(yán)格的訪問(wèn)控制策略。

（五）感染病毒風(fēng)險(xiǎn)

為了保證工控應(yīng)用軟件的可用性，許多工業(yè)主機(jī)通常不會(huì)安裝殺毒軟件，因?yàn)闅⒍拒浖?huì)造成工控應(yīng)用軟件運(yùn)行出現(xiàn)異常，而且工業(yè)主機(jī)緊張的資源配置也不能滿足殺毒軟件的運(yùn)行需求，但是工控環(huán)境的數(shù)據(jù)交互會(huì)導(dǎo)致病毒進(jìn)入工業(yè)主機(jī)，近兩年頻繁的勒索病毒攻擊也正是因此而起。

（六）安全監(jiān)管風(fēng)險(xiǎn)

城市水務(wù)工業(yè)控制網(wǎng)絡(luò)普通缺乏工業(yè)安全審計(jì)設(shè)備和安全日志統(tǒng)計(jì)分析手段，無(wú)法實(shí)現(xiàn)對(duì)工業(yè)控制網(wǎng)絡(luò)的可感知與可控制。

智慧水務(wù)的應(yīng)對(duì)措施

（一）全環(huán)節(jié)態(tài)勢(shì)感知

針對(duì)智慧水務(wù)工業(yè)控制網(wǎng)絡(luò)中安全防護(hù)手段眾多、安全信息雜亂、安全態(tài)勢(shì)不可見(jiàn)的現(xiàn)狀，建議以水務(wù)企業(yè)為主體，建設(shè)涵蓋其下屬水源廠、凈水廠、泵站、管網(wǎng)等生產(chǎn)設(shè)施、覆蓋采水、凈水、給水、供水、排水等全環(huán)節(jié)的工控安全態(tài)勢(shì)感知平臺(tái)，及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及非法訪問(wèn)事件，實(shí)現(xiàn)工業(yè)信息安全的閉環(huán)管理，全面提高水務(wù)企業(yè)工業(yè)安全防護(hù)的整體水平。

（二）白名單主動(dòng)防護(hù)

智慧水務(wù)工業(yè)控制系統(tǒng)主機(jī)存在運(yùn)行資源有限、操作系統(tǒng)老舊、補(bǔ)丁難以及時(shí)更新、無(wú)法部署殺毒軟件等現(xiàn)實(shí)情況，建議采用應(yīng)用程序白名單技術(shù)建立主動(dòng)防護(hù)機(jī)制，形成以白名單技術(shù)為基礎(chǔ)、應(yīng)用程序數(shù)據(jù)智能采集分析、惡意代碼識(shí)別阻斷、移動(dòng)設(shè)備安全管控的主機(jī)安全防護(hù)體系，通過(guò)大數(shù)據(jù)采集和分析，智能學(xué)習(xí)并自動(dòng)生成工業(yè)主機(jī)操作系統(tǒng)及工業(yè)應(yīng)用軟件正常行為模式的白名單基線，僅允許必要的系統(tǒng)進(jìn)程及工業(yè)應(yīng)用軟件運(yùn)行，主動(dòng)抵御已知未知安全風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)工業(yè)主機(jī)設(shè)備的全面安全加固，進(jìn)行病毒防護(hù)、阻止惡意軟件攻擊、禁止非授權(quán)程序運(yùn)行等。

（三）多邊界縱深防御

為了保證智慧水務(wù)工業(yè)控制網(wǎng)絡(luò)的安全，建議對(duì)辦公網(wǎng)、工業(yè)控制網(wǎng)絡(luò)、互聯(lián)網(wǎng)進(jìn)行合理安全區(qū)劃分，并對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行細(xì)致區(qū)域劃分，根據(jù)網(wǎng)絡(luò)情況及工業(yè)控制設(shè)備實(shí)際情況選擇合適的工業(yè)安全防護(hù)設(shè)備進(jìn)行針對(duì)性安全保護(hù)，構(gòu)建多邊界縱深防御體系。