城市水务工控系统分析与“1+4”多重信息安全防护

城市水务工控系统分析与“1+4"多重信息安全防护

摘要

随着国家信息化建设的推进，城市水务系统数字化、信息化水平不断提

高，其原来封闭的网络环境也逐步开放，带来了一定的信息安全问题，严重影

响城市用水。城市水务系统中原水、供水、排水及管网工控系统缺少安全设

计，导致系统抵御外界网络攻击的能力不足。工控系统“1+4”多重工控信息安

全防护体系实现城市水务工控网络安全可知、可视、可管、可控，有效提升城

市水务工控网络安全水平。

关键词：城市水务系统；工控系统；安全防护；网络安全

目录

摘要..............................................................................I

目录..............................................................................1

导语..............................................................................2

1.引言..........................................................................2

2.城市水务工控系统架构及风险..................................................3

2.1.城市水务工控网络架构.....................................................3

2.2.行业网络安全现状及风险...................5

2.3.城市水务工控安全必要性..................6

3.城市水务“十”多重工控信息安全防护系统设计.....................................7

3.1.“1+4”多重工控信息安全防护系统结构......................................7

3.2.工控安全防护系统载体.....................7

3.3.“1+4”多重工控信息安全防护系统的技术引擎库..............................8

3.4.系统的智能化防护技术....................9

4.工控安全防护体系应用部署...................................................10

5.智慧水务简介................................................................11

6.智慧水务安全挑战分析.......................................................12

6.1.通信协议风险.............................12

6.2.工业设备风险.............................12

6.3.操作系统风险.............................12

6.4.安全策略和管理流程风险.................................................12

6.5.感染病毒风险..............................13

第1页共15页

6.6.安全监管风险............................................................13

7.智慧水务安全应对措施.........................................................13

7.1,全环节态势感知..........................................................13

7.2.白名单主动防护.........................................................14

7.3.多边界纵深防御.........................................................14

7.3.1.安全分区规划........................................................14

7.3.2.办公网与工业网边界防护.............................................14

7.3.3.各网络区域之间边界防护.............................................15

7.4.全流量安全审计.........................................................15

8.结语..........................................................................15

导语

2020年5月28口，以色列国家网络安全负责人公开承认，该国4月份挫

败了对其水务系统的大规模网络攻击。此次针对以色列中部供水设施的攻击不

是为了经济利益，而是具有国家背景的黑客组织攻击，目标是控制用于供水网

络阀门的PLC（可编程逻辑控制器），是对以色列及其国家安全攻击的一部分，

目的是“引发人道灾难”。

此次事件再次引起对供水设施遭受攻击和入侵的重视，美国国土安全部的

统计显示：早在201s年.针对水务系统的网络攻击事件,就已经排入前二

名，仅次于关键制造和能源行业。针对关键基础设施的首个网络攻击事件不是

2010年伊朗震网病毒，而是2000年澳大利亚昆士兰州恶意控制污水控制系统

的网络攻击。

频发网络安全事件表明，网络威胁已经向城市水务系统领域渗透，把水务

工业控制系统作为攻击目标，为城市水务系统敲响了安全警钟。

工控系统“1+4”多重工控信息安全防护体系可实现城市水务工控网络安全

可知、可视、可管、可控，有效提升城市水务工控网络安全水平。

1.引言

城市水务行业与人民生活息息相关，是公用事业中最重要的基础设施产业

之一，是提高城市化水平和人居环境质量的重要标志。城市水务主要职能是提

供居民用水、工业供水、排水和污水处理服务，涉及自来水厂、工业供水厂和

第2页共15页

污水处理厂等。城市水务行业所涉及的流程如图1所示。

I****LJ,奇，产L*4慎,L“安太1产HJn*43txL-GTL.<>*•»«L_Jbi««

।，卜«痔门(京KiK>jUC&-X惧4)j<(!«♦>j<PllfeWMtKg)|I,iflRVM)j:-)[

1-------；T：-----11…'

(*«

图1城市水务流程

随着信息化在各个行业应用的普及，采用现代化的技术和管理手段来进行

水务管理、运营、应急及服务，以更加精细和动态的方式管理水务系统的整个

生产、管理和服务流程，从而达到“智慧”的状态。城市水务行业中的自来水

厂、污水处理厂、工业供水厂及管网的工控系统也逐渐由信息孤岛向万物互联

的方向延伸，越来越多的网络协议、通用软硬件被应用到传统城市水务工控系

统中，在提高运行效率的同时也带来了信息安全隐患。工控网络安全攻防时刻

存在，每个城市的基础设施也是敌对势力和黑客的战场和练兵场，严重影响城

市的正常运行。

通过在水厂工控系统中逐级部署安全方案，形成一个中心四重防护(安全

管理中心，安全区域边界，安全通信网络，安全计算环境，控制器防护)的安

全保障，构建“1+4”多重工控信息安全防护体系，以厂级安全运维中心为指挥

中枢，将四重防御体系有机结合、统一管理，实现城市水务工控网络安全可

知、可视、可管、可控的总体目标，保障城巾.用水安全。

2.城市水务工控系统架构及风险

2.1.城市水务工控网络架构

城市水务系统主要分为自来水厂、污水处理厂和工业供水厂，分别对自来

水、污水和工业用水进行生产与处理。水厂通过部署工控系统对水务设备进行

控制管理，架构上形成控制层与现场设备层分离的管控模式

(1)自来水厂：原水经过沉淀、消毒、过滤等工艺流程的处理，完成自来水

整个生产过程，水质符合一般生活用水要求。大部分水厂设备由PLC控制器进

行控制，数据来源于工控系统，现场网络层使用交换机形成环网，典型自来水

厂网络结构拓扑图如图2所示。

第3页共15页

图4典型污水处理厂网络拓扑图

通过对当前典型自来水厂、工业供水厂和污水处理厂工控网络拓扑的研究

与分析，其网络结构大体相似，存在较多共性，根据IEC62443-1-1工控模型

可以抽象概括为5个层次：

(1)现场设备层：包括水厂里水处理设备；

(2)设备控制层：主要是PLC控制器，对水处理设备进行控制与信息采

集；

(3)过程监控层：通过人机界而，实时数据等自动控制生产过程；

(4)生产管理层：通过服务器、工作站、数据服务器对所有控制器进行管理

与控制；

(5)企业资源层：企业管理系统，一般架设在公网。

典型水厂网络拓扑图如图5所示。

2.2.行业网络安全现状及风险

我国水务企业在信息安全生产上建设还处于起步阶段，城市水务行业缺乏

第5页共15页

完善的信息安全规范制度。从业人员安全意识淡薄，高端技术人才匮乏，没有

形成完善的突发信息安全事件应急响应机制。

除了缺乏相关的管理制度外，目前各个水厂、水库及管网也存在工业控制

系统建设时间较久，工业控制器及主机系统均较为老旧，信息安全防护水平偏

低，防护措施不到位等行业普遍问题，且控制层与现场设备层之间数据交互大

多采用私有协议，缺乏安全性考虑。

通过对水厂网络安全现状的分析调研，在系统各个层次还普遍存在如下问

题：

(1)设备控制层：对PLC设备的网络访问没有控制策略，使广播风暴、恶

意代码传播、网络攻击等变得更容易，且缺少控制器组态备份，一旦遭受数据

破坏，无法进行数据恢复；

(2)过程监控层：厂区整个控制网络为统一网段，极易收到广播风暴、恶意

代码的传播和网络攻击。无网络审计功能，在网络安全事件发生后无法进行溯

源；

(3)生产管理层：服务器、工作站、工控系统的登录口令无复杂度校验和定

期更换机制，存在口令被恶意用户暴力破解的可能。工控系统无日志审计功

能，无法对用户的重要行为进行审计；厂级运维中心缺少对设备状态、安全审

计、恶意代码等安全事项集中管理：

(4)企业资源层：部分系统部署在外网，外界网络攻击、病毒等威胁容易通

过网络边界侵入内网。因此，急需加大城市水务工控系统信息安全方面的投

入，全面提升水务工控系统各个层次的信息安全防护水平。

2.3.城市水务工控安全必要性

工业控制系统是所有工业系统、重大装备和基础设施的“大脑”，是城市中

枢神经，城市基础设施工控安全关系到国家安全、经济发展和社会稳定。城市

水务系统作为重要的城市基础设施，影响着居民和工业生产用水，关系重大，

一旦遭到网络攻击，将会直接影响人民日常生活和社会稳定运行，建立城市级

水务工控系统的网络信息安全体系已刻不容缓。

针对上述城市水务行业中各类水厂工控系统普遍存在的安全风险及国家对

工控系统安全防护要求，提出水务行业工控安全解决方案，在系统不同层次部

第6页共15页

署相应的网络安全产品，配置必要的网络安全策略，构建“一个中心四重防护”

的“1+4”多重工控信息安全防护体系，实现行业工控系统网络安全统一标准、

统一建设、统一管理。

3.城市水务“+〃多重工控信息安全防护系统设计

城市水务行业“1+4”多重工控信息安全防护系统，遵循可视性、协同性、

智慧中枢、深度防御、主动防护、动态调整的原则，搭建厂级网络安全管理中

心及四重安全防护设备，实现自来水厂、工业供水厂、污水处理厂工控网络安

全可知、可视、可管、可控。

3.1.“1+4〃多重工控信息安全防护系统结构

城市水务工控网络安全防护系统主要采用一个中心四重防护的多重防护部

署模式，建设一个厂级安全运维管理中心以及安全区域边界、安全通信网络、

安全计算环境、控制器防护四重防护架构，并根据设备控制层、过程监控层、

生产管理层的功能和业务特点采用相适配的安全防护策略，达到多重工控防

护，保证水厂网络安全。部署模式如图6所示。

企业资源层

LW安全陷力与信息交换系统

（安全M城边界）

（安仝*是中网络安全态势感知系猊工控运推审il系扰

过柠盟控层

工业防火堵1.控安全审计与入位构测系统

（叟全・像内络）

设需控制层

把飘妙防护系统世制出完整性检源与饮发系统

图6水厂工控网络多重安全系统部署模式图

3.2.工控安全防护系统载体

为实现城市水务工控网络安全防护系统的功能，需要引入一系列安全软硬

件进行全方位、分层次防护，涉及的安全产品有厂级安全运维中心、工业安全

隔离与信息交换系统、工业防火墙、工业主机安全防护系统、控制器防护系

统、工控安全审计与入侵检测系统、工控运维审计系统、控制器完整性检测与

恢复系统等。

第7页共15页

在现场控制层、过程监控层、生产管理层、企业资源层部署相应的安全产

品，实现附加在设备、控制、网络、应用、数据等基础架构之上的安全能力。

通过层次化防护系统使城市水务工控系统网络安全可控、日常运维可管、

工控行为可知、业务安全可信、安全威胁可防、攻击事件可溯、安全态势可

视，以支撑城市水务行业中各个水厂、管网、泵站等流程的工控系统安全应用

实践，使水务工控安全呈现如下特点：

(1)构建工控网络安全防护体系的所有产品、组件自身安全可控；

(2)工控网络安全防护体系的日常运维自主管控；

(3)符合国家网络安全相关法律、法规、政策及行业标准，并具有一定前瞻

性；

(4)能够针对城市水务工控系统内的安全风险进行评估与排查，对安全威胁

进行检测、保护、预警与响应处置，尽可能减少风险与损失；

(5)针对发生的攻击事件可以审计与追溯，以防再次发生；

(6)能够实现企业的安全状态全面呈现，安全风险与威胁趋势可预测；

(7)控制器组态可备份与无损恢复，保证控制器正常运行。

3.3.〃1+4”多重工控信息安全防护系统的技术引擎库

“1+4”多重工控信息安全防护系统包含五大技术引擎库以支撑整个体系的

功能，分别为信息采集&发送，深度流量检测&工控协议解析，实时&智能分析

引擎，安全运维和知识库，如图7所示。

图7城市水务工控网络安全防护系统功能结构图

信息采集&发送：主要实现工控数据的采集与发送。一是，支持无损流量

采集技术，核心交换机流量通过镜像口采集进行安全审计；二是，通过定制化

的软硬件实现高性能转发，做到低时延；三是，支持主机信息采集；四是，支

第8页共15页

持资产探测技术，结合知识库，探测网络中的工业控制器、控制主机、网络设

备等资产的详情。

深度流量检测&工控协议解析：主要对数据进行细粒度的提取和分析。

是，支持协议深度解析技术。除了深度解析多种传统协议外，还支持解析多种

工控协议，包含Modbus、ENIP、FINS、S7coMM等，解析的细粒度可达操作

的功能码、地址、数值类型和数值；二是，支持深度流量检测技术，监测并记

录资产流量、协议流量、接口流量以及会话的连接状态、异常中断、异常重

连、异常报文、工控停机、阈值超限等；三是，支持威胁深度匹配技术，结合

知识库检测网络中的扫描探测、病毒、恶意代码、高危远程链接等威胁；四

是，实现资产自动识别。

实时&智能分析引擎：为数据报文的告警与阻断提供决策，是实现“监测”

与“防护”功能的核心。一是，通过主机安全监控技术实现主机风险预测，监测

并防止威胁操作；二是，支持工控组态监测与恢复。对工控组态信息进行特征

分析与智能搜索技术，对偏离基线的工控组态进行告警并支持组态恢复；三

是，支持交互特征分析技术和主体识别技术，将资产信息及其通信关系分析，

并整合风险事件，全息展现资产画像；四是，支持智能学习技术，自动生成用

户策略、资产通信关系策略、操作功能码策略、组态文件基线等。

安全运维：实现数据清洗、分析、可视化以及态势感知°一是，支持事件

关联分析和攻击链分析技术；二是，支持策略管理与协同，根据监测到的异常

通信、非法外链等事件生成防护策略并下发至防护产品，形成“监测一响应一

防护，，管理链；三是，支持机器学习技术建立工控业务基线。

知识库：包含恶意代码特征库、僵木蠕特征库、恶意IP/URL库、漏洞

库、资产库、协议库等。根据最新的工业威胁情报，进行实时知识库研发和更

新。

3.4.系统的智能化防护技术

根据国家等保2.0要求以及现代化工控安全理念，水厂工控安全融合了智

能化主动防护策略：

(1)利用基于机器行为训练的误差修正算法，根据工控系统网络通信信息模

式库和行为特征进行业务行为训练；

第9页共15页

(2)采用基于规则树的推理引擎，利用推理算法和冲突消解机制，较优地解

决规则推理机制和规则条件匹配的效率问题；

(3)采用主被动双重检验的组态工程重建和监测技术，实时测量、收集控制

器健康状况数据；

(4)采用基于机器学习的进化基线检测技术，对各项数据进行深度学习，建

立起始多节点复合基线，并学习当前工控网络特点，调整基线；

(5)采用基于周期性的无损报文精简存储技术；

(6)基于工艺指令组合智能识别的控制器防护技术，利用业务流程模型和基

于规则树的规则推理引擎，高效匹配工控策略规则，实现业务处理的低时延、

可预测；

(7)使用控制器完整性监测与恢复系统，采用特有的安全监测算法，对设备

的运行状态、数据状态等控制器健康状态进行实时监测，并支持控制器控制代

码、硬件配置、原始参数等关键数据进行备份与恢复；

(8)采用工控系统通信主体交互特征分析与提取技术，建立较为全面的工控

系统资产库，分析和识别系统类型、关键组件构成、网络结构并分析通信主体

间的交互特征；

(9)采用基于交互特征的工控通信主体识别技术，通过主动扫描和被动监控

相结合的T控通信主体识别方法以及策略自学习高准确度进行主体识别.

4.工控安全防护体系应用部署

通过对城市水务工控系统网络安全测评，在管理中心及通信网络、区域边

界、计算环境、控制器等区域进行安全系统部署：

(1)在水厂工控系统的过程监控层与生产管理层之间部署工业防火墙，在网

给边界处部署工业安全隔离与信息交换系统，从物理层面实现网络隔离；

(2)在水厂工控系统的流量核心节点，部署工控安全审计系统，实现资产关

系校验、网络流量审计、入侵检测和异常行为告警；

(3)在水厂工控系统生产管理层的各个工控主机、服务器、接口机等设备安

装工业主机安全防护系统进行安全加固；

(4)在水厂工控系统重点PLC控制器交换节点处，部署控制器完整性监测

与恢复系统。在各个水厂工控系统的设备控制层的重点控制器前，部署控制器

第10页共15页

防护系统，对工控协议进行深度检测，高性能地实现对控制器的防护;

(5)在逻辑上将使用者与目标设备分离，建立“人一一主账号授权一一从账

号”的模式，在水厂内部署工控运维审计系统，建立针对维护人员的“主账号一

—登录一一访问操作一一退出”的全过程完整审计管理。

整体部署方案如图8所示。

(财产也一■七■.，——%.

图8典型水厂工控安全产品部署示意拓扑图

5.智慧水务简介

智慧水务利用新一代信息技术.通过传感器技术、网络和移动系统与水务

信息系统的结合，构建成智能感知、智能仿真、智能诊断、智能预警、智能调

度、智能处置、智能控制和智能服务全方位的水务管理系统。“智慧水务”是

智慧城市建设的重要组成部分，旨在提升水务管理和服务的水平，为城市的发

展提供更好的支撑，有效提升城市智慧建设和宜居能力。

城市供水安全直接关系着人们的生命安全，是构建经济繁荣、政治稳定的

现代化城市的重要基础。伴随着智慧水务的建设，城市供水系统网络安全问题

日益突出。

网络安全已上升到国家安全战略高度，习近平总书记在中央网络安全和信

息化领导小组第一次会议中明确阐述了网络安全对于国家的重要性。2017年6

月1日《中华人民共和国网络安全法》正式颁布实施，明确指出针对城市水务

公共服务等关键信息基础设施，在网络安全等级保护制度的基础上，实行重点

保护。网络安全是智慧水务健康、长久发展的重要保障。

第11页共15页

6.智慧水务安全挑战分析

智慧水务通过数采仪、无线网络、水质水压表等在线监测设备实时感知城

市水务系统的运行状态，并采用可视化的方式有机整合水务管理部门与水务设

施，形成“城市水务物联网”，并可将海量水务信息进行及时分析与处理，并做

出相应的处理结果辅助决策建议，以更加精细和动态的方式管理水务系统的整

个生产、管理和服务流程，从而达到“智慧”的状态。

智慧水务建设必然会打通生产运行体系、服务营销体系、决策支持体系、

综合管理体系等城市水务环节，实现水务企业所有相关信息（水务管网基础数

据、水务管网运营数据、水务用户信息、水务系统实时监测数据、采样点水质

数据、热线信息、管线工程等）在网络上的互相流转与共享，从而实现真正意

义上的水务信息的完全共享，最终实现城市水务行业的智慧运作。而这也就意

味着城市水务赖以运行的工业控制网络会直接与管理网、互联网连通，面临极

大的安全风险。

6.1.通信协议风险

自动化和信息化的高度融合和物联网的发展使得ModBus协议、ProfiBus

协议、OPC协议等工业协议广泛应用于城市水务工业控制网络，协议的公开性

导致极易遭受攻击，而传统防火墙往往无法发现和防范出现的安全问题。

6.2.工业设备风险

国内水务企业工业控制系统大量采用进口工业控制设备，而这些设备普遍

存在漏洞，可利用漏洞进行脚本攻击改变操作指令，进而影响生产正常进行。

6.3.操作系统风险

城市水务工业控制系统的工业主机基本上都足Windows平台，为保证过

程控制系统的相对独立性，同时考虑到系统的稳定运行，通常不会对操作系统

安装任何补丁，存在很大的安全隐患。

6.4.安全策略和管理流程风险

追求可用性而牺牲安全性，是水务工业控制系统存在的普遍现象，缺乏完

整有效的安全策略与管理流程也带来了一定的威胁。例如移动存储介质包括笔

记本电脑、U盘等设备的随意使用和不严格的访问控制策略。

第12页共15页

6.5.感染病毒风险

为了保证工控应用软件的可用性，许多工业主机通常不会安装杀毒软件，

因为杀毒软件会造成工控应用软件运行出现异常，而且工业主机紧张的资源配

置也不能满足杀毒软件的运行需求，但是工控环境的数据交互会导致病毒进入

工业主机，近两年频繁的勒索病毒攻击也正是因此而起。

6.6.安全监管风险

城市水务工业控制网络普通缺乏工业安全审计设备和安全日志统计分析手

段，无法实现对工业控制网络的可感知与可控制。

7.智慧水务安全应对措施

城市水务是国家关键基础设施的重要组成部分，关系着广大人民群众的生

命安全，必然会面临国内外黑客组织的重点关注和攻击。近年来，全球发生的

多起针对水务行业工业控制系统的攻击事件给人们敲响了警钟。如何应对水务

行业的工业控制系统网络安全风险，是智慧水务建设过程中必须考虑和解决的

现实问题。

智慧水务安全防护应贯穿采水、净水、供水、排水等环节，综合采用纵深

防御、大数据分析、协议深度解析、智能感知、态势监控等新技术新手段，形

成贴合水务行业实际情况的应对措施。

7.1.全环节态势感知

针对智慧水务工业控制网络中安全防护手段众多、安全信息杂乱、安全态

势不可见的现状，建议以水务企业为主体，建设涵盖其下属水源厂、净水厂、

泵站、管网等生产设施、覆盖采水、净水、给水、供水、排水等全环节的工控

安全态势感知平台，实现对企业下属企业全方位、全天候的网络安全态势感

知，及时发现各类网络安全风险以及非法访问事件，实现工业信息安全的闭环

管理，全面提高水务企业工业安全防护的整体水平。

智慧水务工控安全态势感知平台引入大数据威胁情报分析技术，综合底层

海量数据采集及威胁情报分析能力，形成安全防护手段统筹协调、资源信息全

面监控、态势分析高度集中、运营数据智能分析实时预警、态势呈现可见可控

的综合监控中心，采用被动扫描方式^现资产脆弱性识别和分析，实时主动感

第13页共15页

知潜在的网络安全风险，形成高价值、高可见、高实时的战略性威胁情报，及

时发现安全威胁、评估安全风险，按照风险、威胁、事件等构建态势要素及态

势模型，从计算环境、网络边界、业务流程等维度实现对智慧水务工业控制网

络全网安全态势感知的可视化。

7.2.白名单主动防护

智慧水务工业控制系统主机存在运行资源有限、操作系统老旧、补丁难以

及时更新、无法部署杀毒软件等现实情况，建议采用应用程序白名单技术建立

主动防护机制，形成以白名单技术为基础、应用程序数据智能采集分析、恶意

代码识别阻断、移动设备安全管控的主机安全防护体系，通过大数据采集和分

析，智能学习并自动生成工业主机操作系统及工业应用软件正常行为模式的白

名单基线，仅允许必要的系统进程及工业应用软件运行，主动抵御已知