伴隨著工業(yè)化與信息化的融合，市政相關(guān)的工業(yè)控制系統(tǒng) (自來水、污水處理、燃?xì)廨斔偷?的重要性日益重要，并日益成為網(wǎng)絡(luò)攻擊者的目標(biāo)。近年來國內(nèi)外均出現(xiàn)了不少相關(guān)的入侵攻擊事件，如下表所示：

國外典型的市政系統(tǒng)安全事件

國內(nèi)典型的市政工業(yè)控制系統(tǒng)安全事件

因?yàn)槭姓I(yè)控制系統(tǒng)涉及自來水調(diào)度管理與控制、污水處理、燃?xì)馍踔两煌ü芾淼榷鄠€(gè)領(lǐng)域，本章因篇幅所限，僅以自動化程度較高的自來水廠工業(yè)控制系統(tǒng)為例來討論其安全性。#p#

自來水廠工業(yè)控制系統(tǒng)的安全性分析

自來水廠的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)相對簡單 (如圖 5.1 所示)， 主要分為生產(chǎn)調(diào)度中心和現(xiàn)場控制區(qū)兩個(gè)部分。 其中， 生產(chǎn)調(diào)度中心的 SCADA 系統(tǒng)， 通過租用運(yùn)營商通信線路與水廠的現(xiàn)場控制系統(tǒng)進(jìn)行連接，以實(shí)現(xiàn)對遠(yuǎn)端 PLC 系統(tǒng)的控制。用于實(shí)時(shí)監(jiān)測飲用水生產(chǎn)過程中的水質(zhì)狀態(tài)如余氯量、溫度、濁度、PH 值等狀態(tài)信息，監(jiān)測各機(jī)泵的運(yùn)行狀態(tài)并通過遠(yuǎn)端PLC 控制水泵的啟停及閥門的開關(guān)。上位機(jī)采用組態(tài)軟件實(shí)時(shí)顯示各儀表狀態(tài)、水質(zhì)狀態(tài)、同時(shí)操作員通過上位機(jī)遠(yuǎn)程控制水泵、閥門。遠(yuǎn)端的控制指令通過控件加密的方式在遠(yuǎn)端進(jìn)行加密，現(xiàn)場的水處理控制系統(tǒng)通過控件解密的方式還原控制指令，再對相關(guān) PLC 進(jìn)行控制。如圖 5.1 所示：

市政自來水廠的工業(yè)控制系統(tǒng)架構(gòu)圖

由上圖描述可知，現(xiàn)場網(wǎng)絡(luò)中的 PLC 及各種傳感器由位于過程控制與監(jiān)控網(wǎng)絡(luò)中SCADA 系統(tǒng)進(jìn)行遠(yuǎn)程控制。雖然許多系統(tǒng)在建設(shè)時(shí)考慮到了系統(tǒng)間遠(yuǎn)程通信的安全，并采用了專用加密鏈路，但這僅能保證傳感器上傳的生產(chǎn)過程的各種狀態(tài)信息以及下發(fā)的系統(tǒng)控制指令的完整性和機(jī)密性，并不能保證這些數(shù)據(jù)的真實(shí)可信性。因?yàn)楣粽咴谇秩脒^程控制/監(jiān)控網(wǎng)絡(luò)后，就可能獲得 SCADA 系統(tǒng)的控制權(quán)，自然就可以遠(yuǎn)程發(fā)出一些符合工業(yè)控制協(xié)議的操作命令給 PLC 執(zhí)行相應(yīng)的操作，但這些操作自然是違規(guī)的。同樣也可以篡改傳感器數(shù)據(jù)，使系統(tǒng)操作員無法通過上位機(jī)檢測到真實(shí)的生產(chǎn)狀態(tài)數(shù)據(jù)，就可能造成自來水生產(chǎn)的質(zhì)量問題等等。

同時(shí)， 因自來水廠的生產(chǎn)系統(tǒng)相對封閉，操作管理人員普遍沒有相應(yīng)的信息安全意識。很少有相關(guān)單位制訂明確的書面信息安全管理制度和操作規(guī)范，即使有也很少能夠得到真正的執(zhí)行。同時(shí)因缺乏專業(yè)的信息安全意識培訓(xùn)，對行業(yè)相關(guān)的系統(tǒng)漏洞及威脅情報(bào)信息了解很少。很多單位甚至沒有對系統(tǒng)做過安全風(fēng)險(xiǎn)評估，不了解系統(tǒng)的真實(shí)安全狀況：是否存在嚴(yán)重的系統(tǒng)漏洞?是否存在不安全的對外網(wǎng)絡(luò)鏈接?是否存在移動介質(zhì)的違規(guī)使用?是否存在違規(guī)操作?在監(jiān)控網(wǎng)絡(luò)中是否安裝有防病毒/木馬軟件?在監(jiān)控網(wǎng)絡(luò)對外的授權(quán)網(wǎng)絡(luò)鏈路上是否有防火墻等安全防護(hù)設(shè)備? 甚至有些單位存在生產(chǎn)系統(tǒng)與辦公網(wǎng)直接連通，在辦公室直接訪問監(jiān)控網(wǎng)絡(luò)查詢相關(guān)數(shù)據(jù)的情況，而且 U 盤、智能手機(jī)也在普遍使用，這就為外部惡意代碼進(jìn)入系統(tǒng)干擾生產(chǎn)系統(tǒng)地正常運(yùn)行提供了可能。

據(jù)我們的調(diào)研分析， 目前該行業(yè)存在的主要問題是：人員安全意識不強(qiáng)，缺乏明確的安全管理制度及人員意識培訓(xùn);缺乏系統(tǒng)有效的安全防護(hù)體系規(guī)劃和安全風(fēng)險(xiǎn)評估機(jī)制;缺乏系統(tǒng)操作人員的角色定位、授權(quán)流程及操作規(guī)程(可能會帶來越權(quán)或非授權(quán)操作的威脅);缺乏相應(yīng)的操作行為審計(jì)機(jī)制;缺乏系統(tǒng)數(shù)據(jù)備份(可能會因系統(tǒng)故障丟失重要數(shù)據(jù))等。

綜合上述，防范非授權(quán)的違規(guī)操作與惡意代碼威脅以及健全安全管理制度、提升行業(yè)人員的安全意識將是該行業(yè)亟待解決主要問題。#p#

虛擬攻擊場景分析

某地一個(gè)自來水廠，負(fù)責(zé)為方圓 20 公里以內(nèi)區(qū)域的企事業(yè)單位和居民供水。A 在自來水公司工作多年，對于自來水的控制系統(tǒng)非常熟悉。最近由于與新任領(lǐng)導(dǎo)關(guān)系緊張，工作上一直不順心，漲工資、升職更是沒份，因此想通過制造自來水控制系統(tǒng)事故，報(bào)復(fù)一下新領(lǐng)導(dǎo)。雖然自來水公司對控制系統(tǒng)的運(yùn)維有管理規(guī)定，但是運(yùn)維人員為了工作便利還是經(jīng)常使用普通移動介質(zhì)，并且使用操作員工作站為手機(jī)充電的情況也非常普遍。

A 實(shí)施攻擊的過程如下圖：

虛擬攻擊過程示意圖 

1) 通過周密計(jì)劃后，在一次例行維護(hù)中， A 假裝使用操作員工作站為手機(jī)充電，實(shí)際上是通過手機(jī)向操作員工作站注入經(jīng)過精心準(zhǔn)備的惡意程序，惡意程序通過緩沖區(qū)溢出取得控制系統(tǒng)程序的 ROOT 權(quán)限。

2) 正常情況下，控制中心只接收自來水廠發(fā)送的狀態(tài)變化信息，所有的控制指令的下發(fā)都是由自來水廠本地完成的。但控制中心具備下發(fā)功能，此功能只有系統(tǒng)管理員有權(quán)限啟動。惡意程序在取得系統(tǒng)管理員權(quán)限后，在預(yù)先設(shè)定用水高峰啟動控制進(jìn)程。

3) 通過修改水處理過程中投放的各種過濾劑配比度， 來影響自來水的質(zhì)量， 因?yàn)樗畯S的水質(zhì)監(jiān)測系統(tǒng)在發(fā)現(xiàn)水質(zhì)情況超過預(yù)先設(shè)定的安全限度后會進(jìn)行報(bào)警，在設(shè)定的程序中，為了第一時(shí)間減少水問題引起的安全事故，通常會在監(jiān)測到水質(zhì)出現(xiàn)問題時(shí)，會立即啟動緊急閉閘，因緊急閉閘導(dǎo)致部分區(qū)域出現(xiàn)用水中斷，引起相關(guān)企業(yè)的經(jīng)濟(jì)損失。

A 選定惡意程序的執(zhí)行時(shí)間是自己的非當(dāng)值時(shí)間，并且惡意程序在下發(fā)控制指令，并監(jiān)測到已經(jīng)完成相關(guān)的操作后，自動關(guān)閉了控制通道。自來水公司通過現(xiàn)有的技術(shù)力量無法定位出產(chǎn)生問題的具體原因，但事故已經(jīng)發(fā)生，只能定性為一起安全責(zé)任事故，當(dāng)值人員和新進(jìn)的領(lǐng)導(dǎo)都受到處罰，新進(jìn)領(lǐng)導(dǎo)承擔(dān)管理責(zé)任，被調(diào)離此崗位。