摘要：隨著(zhù)自來(lái)水廠(chǎng)自動(dòng)化水平的不斷提高，數字化、信息化技術(shù)的應用，自來(lái)水廠(chǎng)控制系統的安全風(fēng)險問(wèn)題日益突出。要有效防范風(fēng)險，首先應分析清楚自來(lái)水廠(chǎng)控制系統存在的安全風(fēng)險。

關(guān)鍵詞：自來(lái)水廠(chǎng)；控制系統；安全風(fēng)險

Abstract: With the continuous improvement of automation level in water plant and the application of digital and information technology, the safety risk issue of water plant control system becomes more and more serious. In order to prevent the risk effectively，the safety risk of the control system in water plant should be analyzed at first.

Key words: Water plant; Control system; Safety risk

1　引言

隨著(zhù)自來(lái)水廠(chǎng)自動(dòng)化水平的不斷提高，以及數字化、信息化技術(shù)的廣泛應用，自來(lái)水廠(chǎng)控制系統的安全風(fēng)險問(wèn)題日益突出。

2　自來(lái)水廠(chǎng)控制系統簡(jiǎn)述

自來(lái)水處理廠(chǎng)的自動(dòng)化生產(chǎn)，主要是指使用工業(yè)控制系統檢測現場(chǎng)水質(zhì)狀況、控制工藝設備運行（如加藥設備、水泵機組、閥門(mén)、電氣柜等），實(shí)現對現場(chǎng)實(shí)時(shí)數據采集與上傳，工藝電控設備的順序、條件、計時(shí)、計數控制、PID調節控制等功能，并按照工藝要求依次完成混凝反應、沉淀處理、過(guò)濾處理、濾后消毒、加壓供水等環(huán)節，最終將純凈衛生的自來(lái)水可靠地送入千家萬(wàn)戶(hù)的過(guò)程。

3　自來(lái)水廠(chǎng)控制系統網(wǎng)絡(luò )特點(diǎn)

自來(lái)水廠(chǎng)工業(yè)控制網(wǎng)絡(luò )有不同于IT網(wǎng)絡(luò )的很多特點(diǎn)，這些特點(diǎn)造成工業(yè)控制網(wǎng)絡(luò )安全防護的理念與IT網(wǎng)絡(luò )防護理念并不相同，具體體現以下幾方面。

3.1　網(wǎng)絡(luò )協(xié)議不同

工業(yè)控制網(wǎng)絡(luò )采用工業(yè)控制特有的協(xié)議，Modbus、DNP3、PROFINET以及多種私有協(xié)議，很多工業(yè)控制協(xié)議設計上并未考慮安全性，協(xié)議本身的通信不能有效驗證，從而給工業(yè)控制網(wǎng)絡(luò )帶來(lái)嚴重威脅。

3.2　設備廠(chǎng)商不同

工業(yè)控制網(wǎng)絡(luò )中多采用Siemens、Emerson、RockwellAutomation、Schneider Electric、GE等國外廠(chǎng)商的設備，這些設備中存在多種高危漏洞或后門(mén)，給系統安全帶來(lái)人為的嚴重威脅。

3.3　工業(yè)病毒傳播

工業(yè)控制網(wǎng)絡(luò )中缺少有效的病毒控制手段，一旦某個(gè)工業(yè)控制設備受到病毒感染，將迅速蔓延到其它控制設備，產(chǎn)生破壞作用或竊取工業(yè)數據，從而給工業(yè)控制網(wǎng)絡(luò )安全帶來(lái)嚴重威脅。

3.4　無(wú)線(xiàn)網(wǎng)絡(luò )接入

Wi-Fi技術(shù)等無(wú)線(xiàn)技術(shù)的普遍應用，在給工業(yè)生產(chǎn)帶來(lái)便利的同時(shí)，也帶來(lái)了安全威脅，工業(yè)控制網(wǎng)絡(luò )中固有的生產(chǎn)要求使其缺少有效的認證和控制機制，一旦通過(guò)無(wú)線(xiàn)接入，將使得整個(gè)系統暴露在非安全環(huán)境之下，給系統的安全性帶來(lái)重大隱患。

4　自來(lái)水廠(chǎng)控制系統面臨的安全風(fēng)險

4.1　系統軟件升級困難

工業(yè)控制設備廠(chǎng)商會(huì )定期發(fā)布工業(yè)控制軟件補丁，用于解決工業(yè)控制系統中的問(wèn)題，但工業(yè)控制網(wǎng)絡(luò )以穩定性為基礎，頻繁升級補丁軟件，給系統的穩定性帶來(lái)嚴重威脅，升級失敗或出錯將造成整個(gè)系統的不可用，給工業(yè)生產(chǎn)帶來(lái)巨大的損失。

4.2　網(wǎng)絡(luò )時(shí)延要求高

與傳統互聯(lián)網(wǎng)不同，工業(yè)控制系統中，對控制信號的傳輸時(shí)延和傳輸可靠性要求非常高，數據必須在固定的時(shí)間內可靠到達目標系統，數據丟失、延遲、亂序傳輸等都將給控制系統帶來(lái)嚴重的問(wèn)題。

4.3　病毒控制手段缺乏

工業(yè)控制網(wǎng)絡(luò )中很多控制設備單元都是封閉的系統，無(wú)法通過(guò)病毒軟件進(jìn)行病毒清理，同時(shí)缺少病毒在控制網(wǎng)絡(luò )中傳播的控制手段，一旦感染病毒將傳播到整個(gè)工業(yè)控制網(wǎng)絡(luò )，將給工業(yè)生產(chǎn)帶來(lái)嚴重影響。

4.4　工業(yè)控制協(xié)議多樣

工業(yè)控制網(wǎng)絡(luò )中存在多種控制協(xié)議，其中有大量的公有協(xié)議和私有協(xié)議，分布在網(wǎng)絡(luò )分層模型的多個(gè)層級，針對工業(yè)控制網(wǎng)絡(luò )的攻擊和病毒，承載在工業(yè)控制協(xié)議之上，需要采用深度DPI技術(shù)對工業(yè)控制網(wǎng)絡(luò )的安全威脅進(jìn)行識別和有效控制。

4.5　設備的多樣性

工業(yè)控制網(wǎng)絡(luò )的設備多種多樣，每種設備都具有各自的特點(diǎn)，設備的安全等級參差不齊，給工業(yè)控制系統安全防護帶來(lái)很大困難。

4.6　行業(yè)工藝的多樣性

每個(gè)自來(lái)水廠(chǎng)都有多個(gè)工藝生產(chǎn)過(guò)程，組網(wǎng)連接及工藝設備都有一定的差異，工藝的多樣性給工業(yè)控制系統安全帶來(lái)隱患。

5　自來(lái)水廠(chǎng)控制系統漏洞分析

5.1　工業(yè)控制系統的漏洞

控制網(wǎng)絡(luò )中在運行的電腦很少或沒(méi)有機會(huì )安裝全天候病毒防護或更新版本。另外，控制器的設計都以?xún)?yōu)化實(shí)時(shí)的I/O功能為主，而并不提供加強的網(wǎng)絡(luò )連接安全防護功能。由于PLC等控制系統缺乏安全性設計，所以PLC系統都是非常容易受到攻擊的對象，一般的黑客初學(xué)者能很容易地獲取入侵這些系統的工具。并且當前國家基礎實(shí)施控制系統基本上被國外廠(chǎng)商壟斷，設備都存在漏洞和固件后門(mén)。核心技術(shù)受制于人，增加了諸多不可控因素。就系統面臨的風(fēng)險可以暫時(shí)定位來(lái)自網(wǎng)絡(luò )的風(fēng)險和來(lái)自主機的風(fēng)險，具體可以從通信協(xié)議漏洞、操作系統漏洞、安全策略和管理流程漏洞、防病毒軟件漏洞、應用軟件漏洞、多個(gè)網(wǎng)絡(luò )接口接入點(diǎn)、疏漏的網(wǎng)絡(luò )分割設計等方面進(jìn)行分析。

5.2　通信協(xié)議漏洞

兩化融合（企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò )）和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如，OPC Classic協(xié)議（OPC DA、OPC HAD和OPCA&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò )安全問(wèn)題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT防火墻來(lái)確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統的安全性和可靠性給工程師帶來(lái)了極大的挑戰。

本項目中涉及的下位機控制器為Schneider Electric的PLC，上位機監控軟件為Siemens WinCC組態(tài)軟件，其通訊方式必然采用通用的工業(yè)通信協(xié)議。傳統IT防火墻基于原目的地址加端口的防護策略，不能深度檢測建立在應用層上的數據內容，故基于工業(yè)通信協(xié)議能夠進(jìn)行深度分析控制的工業(yè)防火墻的使用勢在必行。參考標準：《NISTSP800-82工業(yè)控制系統安全指南》表3-12網(wǎng)絡(luò )通信方面的脆弱性。

5.3　操作系統漏洞

本項目控制系統的工程師站、操作站、HMI都是基于Windows平臺的，為保證過(guò)程控制系統的相對獨立性，同時(shí)考慮到系統的穩定運行，通?，F場(chǎng)工程師在系統開(kāi)車(chē)后不會(huì )對Windows平臺安裝任何補丁。但存在的問(wèn)題是，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

5.4　防病毒軟件漏洞

為了保證工控應用軟件的可用性，通常水處理相關(guān)工控系統操作站不允許安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性，原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是，其病毒庫需要不定期地經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后，導致每年都會(huì )爆發(fā)大規模的病毒攻擊，特別是新病毒。

5.5　應用軟件漏洞

由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問(wèn)題；另外當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會(huì )利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如自來(lái)水處理廠(chǎng)以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，后果將不堪設想。

5.6　多個(gè)網(wǎng)絡(luò )接口接入點(diǎn)

自來(lái)水生產(chǎn)供給行業(yè)最大的安全隱患在于自來(lái)水的輸、配送管網(wǎng)線(xiàn)路鋪設范圍廣，通常采用大量的GPRS無(wú)線(xiàn)通訊方式進(jìn)行管網(wǎng)狀況的數據傳輸，傳輸的數據不加密，傳輸的報文容易被截獲，從而給非法入侵提供了可乘之機。

其次，自來(lái)水廠(chǎng)多采用成套系統，生產(chǎn)設備與控制系統配套使用，嚴重依賴(lài)國外的產(chǎn)品與技術(shù)，部分控制系統存在安全漏洞與固有后門(mén)。

在多個(gè)網(wǎng)絡(luò )事件中，原因都是源于對多個(gè)網(wǎng)絡(luò )端口進(jìn)入點(diǎn)疏于防護，包括USB鑰匙、維修連接、筆記本電腦、非法連接等。

5.7　網(wǎng)絡(luò )分割設計的缺失

實(shí)際應用中的許多控制網(wǎng)絡(luò )都是“敞開(kāi)的”，不同的子系統之間都沒(méi)有有效的隔離，尤其是基于OPC、ModBus、Profibus等通訊的工業(yè)控制網(wǎng)絡(luò )，從而造成安全故障通過(guò)網(wǎng)絡(luò )迅速蔓延。

6　結語(yǔ)

自來(lái)水廠(chǎng)控制系統存在安全漏洞，面臨安全風(fēng)險，僅依靠防火墻等傳統互聯(lián)網(wǎng)安全設備無(wú)法滿(mǎn)足工業(yè)控制安全防護要求，工業(yè)控制安全防護需要針對工業(yè)控制系統專(zhuān)有的安全防護解決方案。

參考文獻：

[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統信息安全技術(shù)[M]. 北京：國防工業(yè)出版社, 2014, 5.

[2] 工業(yè)和信息化部. 工業(yè)控制系統信息安全防護指南[Z]. 2016.

作者簡(jiǎn)介：

楊　超（1972-），女，天津人，高級工程師，本科，現就職于中國市政工程華北設計研究總院有限公司，主要從事給水、排水工程自動(dòng)化系統的設計與研究。

劉　杰（1971-），男，山東萊州人，教授級高工，本科，現任中國市政工程華北設計研究總院有限公司第一設計研究院副總工程師，主要從事電氣工程及自動(dòng)化方面的設計研究工作。

摘自《自動(dòng)化博覽》2019年1月刊