劉青友

寧波市水務(wù)環(huán)境集團(tuán)智慧水務(wù)運(yùn)營(yíng)中心 

城市水務(wù)工控網(wǎng)絡(luò)安全大家都知道很重要，基本要做到“萬(wàn)無(wú)一失”，因?yàn)?ldquo;一失萬(wàn)無(wú)”，但是在實(shí)際操作層面上很多人感覺(jué)無(wú)從下手，只會(huì)干著急，表現(xiàn)在護(hù)網(wǎng)行為期間就去“拔網(wǎng)線”，這種掩耳盜鈴的做法是錯(cuò)誤的，護(hù)網(wǎng)是公安幫我們找問(wèn)題，“拔網(wǎng)線”其實(shí)就是拒絕公安幫我們找問(wèn)題，面對(duì)黑客，你能即時(shí)“拔網(wǎng)線”了么？在這里我對(duì)四個(gè)層面來(lái)進(jìn)行工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，即“人手不足的問(wèn)題、怎么建的問(wèn)題、怎么管理的問(wèn)題、出了問(wèn)題怎么快速處理”，做到對(duì)網(wǎng)絡(luò)安全真正的有底、放心。

工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的目標(biāo)主要就兩點(diǎn)，“對(duì)內(nèi)安全管理、對(duì)外安全防護(hù)”。對(duì)內(nèi)的就是要求我們自已能看得清、防得住、管得勞、可恢復(fù)、查得準(zhǔn)，對(duì)外就是做到黑客“看不見、攻不進(jìn)、拿不走、毀不掉、抓得住”，最終實(shí)現(xiàn)內(nèi)部安全與外部安全的技術(shù)措施相結(jié)合。

如何做到內(nèi)部“看得清”，這就要求我們對(duì)工控系統(tǒng)網(wǎng)絡(luò)資產(chǎn)進(jìn)行充分識(shí)別、清查，比如說(shuō)：網(wǎng)絡(luò)內(nèi)是否存在啞資產(chǎn)？有沒(méi)有人新接入網(wǎng)絡(luò)？網(wǎng)絡(luò)邊界在哪？這是在整個(gè)安全建設(shè)要點(diǎn)中要做的第一步。

另外我們還需要基于看得清這個(gè)點(diǎn)去做到如何讓黑客“看不見”，那就是需要通過(guò)相應(yīng)技術(shù)手段；如端口最小化、服務(wù)禁止訪問(wèn)、業(yè)務(wù)通信精細(xì)化策略等，讓外部人員想入侵但卻無(wú)法找到路徑。相應(yīng)技術(shù)措施對(duì)應(yīng)的設(shè)備有邊界的網(wǎng)閘、防火墻，可通過(guò)這些設(shè)備來(lái)實(shí)現(xiàn)對(duì)外服務(wù)/端口最小化，主機(jī)的加固可以做到對(duì)一些不必要的服務(wù)和端口進(jìn)行關(guān)閉，專項(xiàng)的隔離裝置可以將資產(chǎn)的通信標(biāo)識(shí)進(jìn)行隱匿。

做到“看得清”、“看不見”，其實(shí)是成本最低一種最有效的做法，大部分也是一次性工作，卻是大家最容易忽視的工作，如果切實(shí)做到了“看得清”、“看不見”，你的工控系統(tǒng)網(wǎng)絡(luò)安全水平就跑贏了國(guó)內(nèi)99%工控系統(tǒng)網(wǎng)絡(luò)安全水平，基本上不用擔(dān)心會(huì)被黑客入侵。工控系統(tǒng)無(wú)須對(duì)互聯(lián)網(wǎng)服務(wù)，客戶群基本上是內(nèi)部員工，所以允許訪問(wèn)的“白名單”是確定，因此相對(duì)辦公網(wǎng)的網(wǎng)絡(luò)安全，“看得清”和“看不見”更容易做到。

在實(shí)現(xiàn)“看得清與看不見”的之后，“攻不進(jìn)與防得住”也很重要。安全建設(shè)怎么才能讓外部的攻擊進(jìn)不來(lái)，并且怎么防止內(nèi)部突破。當(dāng)前從整個(gè)網(wǎng)絡(luò)攻擊態(tài)勢(shì)來(lái)看，由邊界攻擊入侵和利用系統(tǒng)內(nèi)部弱密碼、遠(yuǎn)程桌面等手段入侵的概率在水務(wù)層面是比較突出的。由此我們需要做的事情分兩步：一如何讓外部攻擊進(jìn)不來(lái)，就在與辦公網(wǎng)的邊界防護(hù)上做文章，工控系統(tǒng)的數(shù)據(jù)要上傳到辦公網(wǎng)上，這個(gè)業(yè)務(wù)需求不可避免，那我們就在這個(gè)邊界上設(shè)置單向網(wǎng)閘，只允許工控網(wǎng)的數(shù)據(jù)上傳到辦公網(wǎng)指定的服務(wù)器，不允許辦公網(wǎng)的任何數(shù)據(jù)反傳到工控網(wǎng)。二如何防止內(nèi)部突破，管理手段上可采用強(qiáng)口令、遠(yuǎn)程桌面禁用等，技術(shù)手段上可采用對(duì)主機(jī)進(jìn)程的管控，拒絕惡意代碼的運(yùn)行。三是要做到讓內(nèi)部攻擊不會(huì)縱向擴(kuò)散到PLC控制網(wǎng)，這就需要在工控管理網(wǎng)和PLC控制網(wǎng)之間設(shè)置內(nèi)部防火墻，并且在管理網(wǎng)計(jì)算機(jī)和服務(wù)器上安裝主機(jī)衛(wèi)士防止惡意進(jìn)程。四是對(duì)針對(duì)PLC指令和組態(tài)程序篡改做進(jìn)一步防護(hù)，安裝PLC防護(hù)器。四層防護(hù)如同四道鐵桶，切實(shí)做到“攻不進(jìn)與防得住”，若考慮到預(yù)算不足，可以按“一、二、三、四”的順序來(lái)逐步投資。

前面我們說(shuō)的“看得清與看不見、攻不進(jìn)與防得住”，都是建立在網(wǎng)絡(luò)攻擊前期階段的一些措施，也相當(dāng)于水務(wù)網(wǎng)絡(luò)安全的第一道防護(hù)屏障，那這里我們可以設(shè)想如果第一屏障被突破后，接下我們我們能夠做些什么，那就是我們講的“管得牢與拿不走”，如果黑客真進(jìn)來(lái)了，那我們還是要采取一系列的管控措施（如運(yùn)維審計(jì)賬號(hào)授權(quán)、違規(guī)外聯(lián)的準(zhǔn)入控制、數(shù)據(jù)的拷貝等操作識(shí)別），對(duì)其攻擊以及數(shù)據(jù)拷貝等惡意行為進(jìn)行監(jiān)控?cái)r截。比如：水務(wù)常見的第三方運(yùn)維，不法分子可以利用運(yùn)維通道進(jìn)入內(nèi)部從而進(jìn)行各種操作，包括現(xiàn)場(chǎng)運(yùn)維操作，筆記本的隨意接入網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備的隨意接入。這一系列的高危行為，我們可以通過(guò)建設(shè)運(yùn)維審計(jì)、準(zhǔn)入、主機(jī)管控等設(shè)備進(jìn)行防護(hù)，起到“管得牢與拿不走”的效果。

我們知道針對(duì)水務(wù)的網(wǎng)絡(luò)攻擊真正有影響后果的是在控制層面，尤其是對(duì)工控PLC的攻擊，如：篡改PLC程序，嚴(yán)重的可能導(dǎo)致物理設(shè)備的損毀。這也是我們常說(shuō)工控網(wǎng)絡(luò)攻擊與傳統(tǒng)網(wǎng)絡(luò)攻擊的最大差別所在，所以我們?cè)诎踩�建設(shè)過(guò)程中應(yīng)當(dāng)要關(guān)注到怎么才能阻止并及時(shí)發(fā)現(xiàn)黑客的這種毀滅性破壞操作，這里就涉及到對(duì)PLC組態(tài)程序備份管理和恢復(fù)，通過(guò)對(duì)關(guān)鍵程序的監(jiān)測(cè)能夠在第一時(shí)間發(fā)現(xiàn)程序是否被修改，修改的內(nèi)容是什么。并基于快速恢復(fù)的技術(shù)手段及時(shí)的進(jìn)行恢復(fù)操作。避免造成設(shè)備的損傷。

在經(jīng)過(guò)前面講的一系列技術(shù)和管理措施，但最后工控系統(tǒng)還是被破壞了，怎么辦？這就需要有溯源能力，這個(gè)無(wú)論是在平時(shí)的網(wǎng)絡(luò)安全防護(hù)過(guò)程中，還是HW行動(dòng)中，都是在網(wǎng)絡(luò)安全建設(shè)中必須要具備的能力，“抓得住，查得準(zhǔn)”怎么抓，怎么查?

首先我們從入侵角度來(lái)看，黑客攻入進(jìn)來(lái)必然會(huì)留下痕跡，但很多時(shí)候黑客在入侵之后會(huì)做一個(gè)操作，那就是痕跡清理，它會(huì)刪除各類操作日志，這樣對(duì)于我們后續(xù)的溯源工作是帶來(lái)比較大的挑戰(zhàn)，反過(guò)來(lái)我們也沒(méi)有辦法及時(shí)發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)的脆弱性問(wèn)題。

前面一開始我們講了幾個(gè)核心問(wèn)題挑戰(zhàn)，其中就有“怎么建，套標(biāo)準(zhǔn)”的問(wèn)題，在這里我們主要強(qiáng)調(diào)大多水務(wù)人員在網(wǎng)絡(luò)安全建設(shè)時(shí)容易產(chǎn)生的一個(gè)誤區(qū)，認(rèn)為等保測(cè)評(píng)通過(guò)的證書拿到后，就可以高枕無(wú)憂了，首先我們要知道等保是有一個(gè)體系化流程的，需要經(jīng)過(guò)常態(tài)化檢查問(wèn)題-整改問(wèn)題-復(fù)查問(wèn)題，常規(guī)檢查整改每月要求1次，重大安保前單獨(dú)1次，而且檢查單位和整改單位要求是不能為同一家，所以拿到等保測(cè)評(píng)證書，并不完全意味著網(wǎng)絡(luò)安全建設(shè)的結(jié)束，持續(xù)的安全管理必不可少。

以上說(shuō)的這些內(nèi)容在寧波水務(wù)這邊我們是親身經(jīng)歷過(guò)的，包括整個(gè)安全建設(shè)理念都是基于水務(wù)業(yè)務(wù)安全角度出發(fā)。

首先寧波水務(wù)這次整體安全建設(shè)，我們是以建設(shè)寧波水務(wù)集團(tuán)為統(tǒng)一安全運(yùn)營(yíng)中心，管控下面各水司及各廠的整體安全。這里我們采取了三級(jí)架構(gòu)；集團(tuán)-公司-廠級(jí)，構(gòu)建起安全協(xié)同處置體系，平時(shí)在運(yùn)維過(guò)程中，像集團(tuán)這邊基本就是安排一個(gè)人進(jìn)行日常監(jiān)測(cè)就足夠了，告警可以通過(guò)態(tài)勢(shì)感知清楚看到，是哪個(gè)廠，哪個(gè)設(shè)備，我們也會(huì)賦能到下面各個(gè)廠去處理相關(guān)安全事件，廠商也會(huì)在運(yùn)行過(guò)程中提供周期性的運(yùn)維，包括應(yīng)急支持，所以這套安全協(xié)同處置體系，給我們寧波水務(wù)集團(tuán)充分解決了人的問(wèn)題，管理的問(wèn)題，網(wǎng)絡(luò)安全能力不足的問(wèn)題。

落實(shí)到各個(gè)廠的安全建設(shè)，其實(shí)就是我們前面講的兩大核心目標(biāo)，采用管理和技術(shù)措施的相結(jié)合，在各節(jié)點(diǎn)該部署什么設(shè)備，采取什么策略，都有明確的要求。

整個(gè)項(xiàng)目在后期建設(shè)完，我們也寧波市公安的協(xié)調(diào)組織下，對(duì)安全建設(shè)的內(nèi)容進(jìn)行過(guò)實(shí)網(wǎng)攻防測(cè)試，不管是從內(nèi)部還是外部，攻擊的手段和路徑都能夠被安全設(shè)備發(fā)現(xiàn)出來(lái)，真正做到了“看不見”“看得清”“防得住”“攻不進(jìn)”“管得牢”“拿不走”“可恢復(fù)”“毀不掉”“查得準(zhǔn)”“抓得住”。

在安全建設(shè)的同時(shí)我們也考慮到人員能力提升這塊的問(wèn)題，同時(shí)也在本次建設(shè)項(xiàng)目當(dāng)中開展過(guò)多次相關(guān)安全技術(shù)培訓(xùn)及演練，包括設(shè)備的使用、基礎(chǔ)問(wèn)題的解決，安全意識(shí)水平的提高，日常操作行為的規(guī)范，目的就是為了更好的降低因“人”的脆弱性帶來(lái)的安全風(fēng)險(xiǎn)。

我們說(shuō)網(wǎng)絡(luò)安全不應(yīng)該是一成不變的，只有我們做的越完善，考慮的點(diǎn)越多，安全防護(hù)等級(jí)才能越高，所謂對(duì)癥下藥，所以我們建立常態(tài)化實(shí)網(wǎng)攻擊測(cè)試演練，一方面為發(fā)現(xiàn)問(wèn)題后續(xù)我們能夠有針對(duì)性的去防護(hù)，另一方面旨在對(duì)寧波水務(wù)集團(tuán)網(wǎng)絡(luò)安全應(yīng)急處置能力的驗(yàn)證。最后總結(jié)一下：工控系統(tǒng)的網(wǎng)絡(luò)安全是完全可控的，不一定要投入大量的人力、財(cái)力，80%以上的工作是一次性的，謝謝大家聆聽。