伴隨著工業化與信息化的融合，市政相關的工業控制系統 (自來水、污水處理、燃氣輸送等)的重要性日益重要，并日益成為網絡攻擊者的目標。近年來國內外均出現了不少相關的入侵攻擊事件，如下表所示：

國外典型的市政系統安全事件

國內典型的市政工業控制系統安全事件

因為市政工業控制系統涉及自來水調度管理與控制、污水處理、燃氣甚至交通管理等多個領域，本章因篇幅所限，僅以自動化程度較高的自來水廠工業控制系統為例來討論其安全性。#p#

自來水廠工業控制系統的安全性分析

自來水廠的工業控制系統的網絡結構相對簡單 (如圖 5.1 所示)， 主要分為生產調度中心和現場控制區兩個部分。 其中， 生產調度中心的 SCADA 系統， 通過租用運營商通信線路與水廠的現場控制系統進行連接，以實現對遠端 PLC 系統的控制。用于實時監測飲用水生產過程中的水質狀態如余氯量、溫度、濁度、PH 值等狀態信息，監測各機泵的運行狀態并通過遠端PLC 控制水泵的啟停及閥門的開關。上位機采用組態軟件實時顯示各儀表狀態、水質狀態、同時操作員通過上位機遠程控制水泵、閥門。遠端的控制指令通過控件加密的方式在遠端進行加密，現場的水處理控制系統通過控件解密的方式還原控制指令，再對相關 PLC 進行控制。如圖 5.1 所示：

市政自來水廠的工業控制系統架構圖

由上圖描述可知，現場網絡中的 PLC 及各種傳感器由位于過程控制與監控網絡中SCADA 系統進行遠程控制。雖然許多系統在建設時考慮到了系統間遠程通信的安全，并采用了專用加密鏈路，但這僅能保證傳感器上傳的生產過程的各種狀態信息以及下發的系統控制指令的完整性和機密性，并不能保證這些數據的真實可信性。因為攻擊者在侵入過程控制/監控網絡后，就可能獲得 SCADA 系統的控制權，自然就可以遠程發出一些符合工業控制協議的操作命令給 PLC 執行相應的操作，但這些操作自然是違規的。同樣也可以篡改傳感器數據，使系統操作員無法通過上位機檢測到真實的生產狀態數據，就可能造成自來水生產的質量問題等等。

同時， 因自來水廠的生產系統相對封閉，操作管理人員普遍沒有相應的信息安全意識。很少有相關單位制訂明確的書面信息安全管理制度和操作規范，即使有也很少能夠得到真正的執行。同時因缺乏專業的信息安全意識培訓，對行業相關的系統漏洞及威脅情報信息了解很少。很多單位甚至沒有對系統做過安全風險評估，不了解系統的真實安全狀況：是否存在嚴重的系統漏洞?是否存在不安全的對外網絡鏈接?是否存在移動介質的違規使用?是否存在違規操作?在監控網絡中是否安裝有防病毒/木馬軟件?在監控網絡對外的授權網絡鏈路上是否有防火墻等安全防護設備? 甚至有些單位存在生產系統與辦公網直接連通，在辦公室直接訪問監控網絡查詢相關數據的情況，而且 U 盤、智能手機也在普遍使用，這就為外部惡意代碼進入系統干擾生產系統地正常運行提供了可能。

據我們的調研分析， 目前該行業存在的主要問題是：人員安全意識不強，缺乏明確的安全管理制度及人員意識培訓;缺乏系統有效的安全防護體系規劃和安全風險評估機制;缺乏系統操作人員的角色定位、授權流程及操作規程(可能會帶來越權或非授權操作的威脅);缺乏相應的操作行為審計機制;缺乏系統數據備份(可能會因系統故障丟失重要數據)等。

綜合上述，防范非授權的違規操作與惡意代碼威脅以及健全安全管理制度、提升行業人員的安全意識將是該行業亟待解決主要問題。#p#

虛擬攻擊場景分析

某地一個自來水廠，負責為方圓 20 公里以內區域的企事業單位和居民供水。A 在自來水公司工作多年，對于自來水的控制系統非常熟悉。最近由于與新任領導關系緊張，工作上一直不順心，漲工資、升職更是沒份，因此想通過制造自來水控制系統事故，報復一下新領導。雖然自來水公司對控制系統的運維有管理規定，但是運維人員為了工作便利還是經常使用普通移動介質，并且使用操作員工作站為手機充電的情況也非常普遍。

A 實施攻擊的過程如下圖：

虛擬攻擊過程示意圖 

1) 通過周密計劃后，在一次例行維護中， A 假裝使用操作員工作站為手機充電，實際上是通過手機向操作員工作站注入經過精心準備的惡意程序，惡意程序通過緩沖區溢出取得控制系統程序的 ROOT 權限。

2) 正常情況下，控制中心只接收自來水廠發送的狀態變化信息，所有的控制指令的下發都是由自來水廠本地完成的。但控制中心具備下發功能，此功能只有系統管理員有權限啟動。惡意程序在取得系統管理員權限后，在預先設定用水高峰啟動控制進程。

3) 通過修改水處理過程中投放的各種過濾劑配比度， 來影響自來水的質量， 因為水廠的水質監測系統在發現水質情況超過預先設定的安全限度后會進行報警，在設定的程序中，為了第一時間減少水問題引起的安全事故，通常會在監測到水質出現問題時，會立即啟動緊急閉閘，因緊急閉閘導致部分區域出現用水中斷，引起相關企業的經濟損失。

A 選定惡意程序的執行時間是自己的非當值時間，并且惡意程序在下發控制指令，并監測到已經完成相關的操作后，自動關閉了控制通道。自來水公司通過現有的技術力量無法定位出產生問題的具體原因，但事故已經發生，只能定性為一起安全責任事故，當值人員和新進的領導都受到處罰，新進領導承擔管理責任，被調離此崗位。