这是一个让很多人听完之后觉得背后发凉的真实案例。一个城市的自来水厂,负责为几十万居民提供日常用水,它的中央控制系统如果出了问题,后果是不敢想象的。但就是这么关键的基础设施,它的运行控制界面截图被人发到了公开的技术论坛上,而且那些截图把整个系统的核心技术参数全都暴露了。
这座水厂在某个二三线城市,规模不算特别大,但也是城市供水系统的核心节点之一。水厂采用了一套比较成熟的SCADA系统来监控和控制全厂的运行,包括水源地的水位、各级泵站的运行状态、加氯消毒设备的投加量、进出水管的流量和压力数据、各个关键阀门和闸门的开闭状态等。这套系统是水厂日常运行的神经中枢,操作界面上的每一个数字和图表都直接关系着全城自来水供应的安全和稳定。按照行业惯例和相关法规的要求,这些系统的界面截图、配置参数、网络架构图纸都属于严格保密的管护信息,不应该在非授权的范围内传播。
水厂运维团队里有一个技术人员,平时负责SCADA系统的日常巡检和故障处理。他在工作中经常需要截取系统界面的图片,用来记录运行状态、汇报工作情况、或者和其他同事远程沟通问题。这些截图留存在他的工作电脑上,日积月累存了不少。有一天他在一个面向工控自动化领域的技术社区论坛上浏览帖子,看到一个讨论话题是关于SCADA系统的部署和运维经验的,很多人都在分享自己的工作心得和现场照片。他觉得自己也在这方面有不少经验可以分享,于是就挑了几张自己之前保存的系统运行截图,打算发到论坛上和同行交流。
他当时的想法很简单,觉得就是发个帖子展示一下系统的运行界面,让大家看看他们在用的是哪一套系统、运行效果如何。他甚至在截图之前做了一点处理,把界面上的单位名称和项目编号用画图工具简单地涂掉了一些关键位置。但他和前面那个拓扑图的案例一样,严重低估了自己截图中包含的信息量。被涂掉的只是几个明显的标识性文字,但界面上完整显示的液位数据、流量数值、泵站运行参数、设备型号代码、控制逻辑回路的标签、各监测点的编号和对应的测量范围,所有这些技术细节全都清清楚楚地保留在了截图里。对于一个了解SCADA系统的人来说,这些参数可以直接用来推算水厂的处理能力、运行模式、设备的选型和配置,甚至可以通过反向推理大致判断出系统的脆弱点和可能存在漏洞的位置。
截图发到论坛之后,一开始只是几个同行在下面回复说技术不错、系统很规范之类的话。但没过多久,有一个关注关键基础设施安全的国外研究人员偶然看到了这个帖子。他对这些截图进行了详细的分析,将图中的设备型号和参数数据与公开的漏洞数据库进行了比对,发现其中几款设备的固件版本存在已知的安全漏洞。他还通过截图中的监测点布局和设备特征,大致构建出了这座水厂供水系统的运行结构图。他随即在自己个人网站上发布了一篇分析报告,详细解读了从这些截图中提取出的信息,并指出了该水厂SCADA系统存在的安全风险。这篇文章引起了行业内外的广泛关注,多家媒体报道了这件事,标题起得一个比一个吓人——城市水厂控制界面被曝光,基础设施安全引担忧之类的话铺天盖地。
水厂的上级主管部门看到报道以后高度重视,立刻要求水厂对系统进行全面的安全评估,查找是否存在被远程入侵的路径和风险。运维团队在内部排查的过程中发现问题的根源来自于那个论坛帖子的时候,整个团队的情绪都非常低落。发帖的那位技术人员也在事后受到了内部纪律处分,他反复解释说自己只是技术上想分享经验,完全没有恶意,但造成的后果已经摆在那里了。
从泄密链路来看,第一个环节是水厂对SCADA系统操作界面的截图没有建立有效的管理制度,技术人员随意备份和保存了大量系统截图,这些截图没有被标记为敏感信息也没有受控管理。第二个环节是企业缺乏对员工在外部技术社区发布信息的约束和审核机制,员工可以不经任何审批流程就公开发布涉及核心系统的技术资料。第三个环节是发帖人在做信息脱敏处理时能力不足,用简单的涂改工具抹掉了表面文字但没有处理掉更深层的技术参数和系统特征数据。第四个环节是系统截图在公开发布后传播到了国际安全研究社区的视野中,信息的传播范围完全脱离了原发帖人的控制。
这个案例给所有涉及关键基础设施运营的企业提出了一条非常严肃的警示。供水、供电、供气、交通、通信这些行业使用的工控系统的运行参数、界面截图、设备清单信息,在正常的岗位环境中看起来只是日常工作的普通资料,但在信息安全的世界里,这些内容的价值比很多人想象的要高得多。建议涉及关键基础设施的企业建立严格的系统信息管理制度,对工控系统的任何截图、录屏、操作日志都进行分级保密处理,核心系统的界面截图原则上不允许带出运维区域,更不允许上传到互联网上的任何公开平台。需要对外展示或者技术交流时,必须使用经过安全部门审核的专用演示环境或者模拟界面,而不是拿真实系统的运行截图来做示例。一张真实的SCADA界面截图,对于攻击者来说意味着一个不需要扫描就能直接拿到手的目标清单。几十万人的用水安全,不应该赌在一张截图会不会被发到网上这种事情上。
