?一次類似震網的未遂攻擊4月下旬，以色列國家網絡管理局收到了有關水利基礎設施遭到“重大”網絡攻擊的報告。根據該局發表的聲明，這次攻擊包括“對污水處理廠、泵站和下水道的控制系統的攻擊?！痹摼趾粲跛畡展靖幕ヂ摼W口令，確保其控制系統軟件更新，并采取其他網絡衛生措施加強安全。根據該局的說法，這次攻擊沒有成功，而且看起來是有人組織協調的。他們關注的是供水中的氯含量。該局要求水務公司尋找任何可能的中斷，特別是在供水中有關氯使用的問題。無論攻擊者是誰，都利用了一個對被攻擊者來說非常糟糕的時機，全球正在努力應對冠狀病毒藥疫情。伊利諾伊州商務委員會委員、美國國家公用事業監管委員會水務委員會副主席Maria Bocanegra表示：“我認為，即使面對疫情，仍有真正的壞人試圖滲透到關鍵基礎設施中，這真的很不幸?！北M管針對電網的網絡攻擊吸引了大部分注意力，但對供水設施的攻擊通常很少引起媒體報道或公眾關注?？紤]到對供水系統的攻擊可能造成的重大損害，水務公司對網絡安全風險方面的忽視令人驚訝。工業網絡安全公司Dragos的首席威脅分析師Lesley Carhart認為，水務一直是投入資源最少、最能影響生命健康和安全的行業。針對關鍵基礎設施的第一個網絡攻擊事件不是Stuxnet，而是2000年澳大利亞昆士蘭州發生的惡意控制系統網絡攻擊事件。在那起事件中，一位SCADA承包商的員工，向負責供水系統的委員會申請一份工作。在申請失敗之后，該承包商利用安裝在自己的汽車上的盜竊來的無線電設備，并使用一臺可能是被盜的計算機向處理廠的污水處理設備發出無線電指令。這一未經授權的入侵導致800,000升未經處理的污水泄漏到當地的公園和河流以及一家酒店的院子里。然而，在最近的以色列水務攻擊事件中，明顯的目標不是傾倒任何東西，而是提高供水中的氯含量。涉及水處理的工業控制系統，有一個重要的工作是那些將正確比例的化學物質注入供水系統，然后將其分配出去。水中氯含量超標是非常嚴重的情況。這次的未遂攻擊特別針對非常具體的控制系統進行了偽裝，很可能是國家支持的攻擊組織。

　　ICS攻擊需要專業知識和計劃

　　工業控制系統的攻擊需要很長時間才能發動，因為攻擊者必須非常了解這些系統。工業控制系統不僅僅是數字化的，同時也是模擬的和機械的。在通常的工業環境中，包括了PLC [可編程邏輯控制器]，PCS [個人通信系統]和SCADA [監控和數據采集] 等不同種類的組合。對于攻擊者來說，想對工業過程做些什么，那么就必須了解所有這些設備，而不能只懂網絡。以這次攻擊為例，攻擊者試圖操縱氯含量，同時向操作員發出氯含量正常的信號。至少從理論上講，這種攻擊模式已經達到震網的水平。類似 stuxnet 的攻擊，基本上整個攻擊都是圍繞著離心機控制系統展開的，攻擊者所做的很多事情目的是防止操作員看到。假設發生了這種情況，這意味著以色列當局正在警告供水公司檢查其氯含量，因為這些公司的儀器可能會錯誤地顯示氯含量是正?？山邮艿?，而實際上，對系統的網絡攻擊可能會導致過量的氯被注入供水系統中，這將需要了解大量關于控制系統本身的細節。以色列國家網絡管理局認為，水務公司不能對過于依賴數字系統，或給予過高的信任度，并且要制定用物理方式確認系統狀態的操作流程。因為飲用水的重要性不可替代，沒有水，人們就活不下去。

　　供水公司網絡安全資源不足

　　世界各地的供水公司，尤其是美國，估計有7萬家供水，很容易受到攻擊，因為它們通常規模很小，工作人員幾乎沒有網絡安全方面的專業知識，而且IT人員很少，且沒有得到足夠的資源來做好網絡安全。正因為如此，而且由于一開始很少有供水公司檢測攻擊的工具，他們對于背后有雄厚資源支撐的攻擊者來說，是很有吸引力的目標。有數據顯示，攻擊者正在測試新的攻擊方法，利用小型公用事業公司和當地公用事業公司作為試驗場。因為，攻擊這些小型公用事業機構更為容易。

　　美國對供水公司沒有網絡安全的要求

　　與美國的電力行業不同，水務行業在網絡安全方面沒有任何監管要求，盡管有一個水務信息共享和分析中心(WaterISAC)，為水務和廢水行業提供一個全面威脅的安全信息源。然而，WaterISAC發布的指導方針是自愿的，許多自來水公司缺乏資源來執行。美國即將通過的國會立法，2020年《安全社區法案》，該法案旨在加強所有公用事業部門的關鍵基礎設施安全，以應對恐怖主義行為和其他國土安全威脅。它要求建立一個由網絡安全和基礎設施安全局(CISA)開發的安全指導、最佳實踐和其他自愿內容的信息共享交換機制。數世咨詢評：水利設施的網絡安全一直都被忽視，此次攻擊事件對整個行業都是一次警醒。風險意識，不是亡羊補牢，而是未雨綢繆。

　　關鍵詞：工控安全;水利基礎設施