城市污水處理廠控制系統存在以下安全風險：

1) 不同區域之間缺少必要的隔離措施，網絡接入缺少防護、認證，存在非法接入或錯誤接入的可能。由於缺乏邊界訪問控制，工控網絡極易被侵入，且受到攻擊後無法追蹤溯源.

2) 數據通信無加密認證機制，監控層與控制層之間的通信採用標準的工控協議，如 Modbus TCP、ProfiNet、Ethernet IP、ControlNet 等，監控層與管理層之間的通信採用 OPC 協議。實時運行時，系統維護、組態操作缺乏認證、完整性、審計方面的控制，容易遭受 DoS、IP-Spoofing 等攻擊。

3) 工控系統中存在各種安全漏洞，包括操作系統、工業軟件、控制器^[2]、網絡設備等都可能存在漏洞，且大部分漏洞不能及時修復，帶來了極大安全威脅。

4) 控制系統普遍存在着未設置口令、默認口令、弱口令、共享口令等問題，使攻擊者極易滲透至內部網絡，執行任何操作，後果不堪設想。

5) 缺乏安全日誌，對已有安全日誌缺乏監控、審計，無法實現對整個工控系統安全的可感知與可控制。

城市污水處理廠控制系統安全解決方案遵循以下設計依據：

《 GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》

《GB/T 25070-2010 信息安全技術 信息系統等級保護安全設計技術要求》

《信息安全技術 網絡安全等級保護基本要求 第 5 部分：工業控制系統安全擴展要求》

《信息安全技術 網絡安全等級保護測評要求 第 5 部分：工業控制系統安全擴展要求》

《信息安全技術 網絡安全等級保護安全設計技術要求 第 5 部分：工業控制系統安全擴展要求》

《工業控制系統信息安全防護指南》

《GB/T 26333-2010 工業控制網絡安全風險評估規範》

充分考慮到城市污水處理廠控制系統的業務連續性和工業特性，並且結合上述設計依據，以及針對城市污水處理廠控制系統的相關技術要求，形成如下安全解決方案：

1) 邊界安全防護：污水處理廠控制系統與水務集團調度系統之間的通信需要實施邊界防護措施，採用身份認證、訪問控制、數據加密等技術，保護控制網與管理信息網之間的邊界，阻止來自管理信息網的安全威脅。

2) 主機加固防護：中央控制室監控系統中的歷史數據服務器、工程師站、操作員站均進行主機安全加固，採用白名單技術，不在列表中的應用軟件、腳本、U 盤文件都不允許執行，防止惡意代碼通過應用軟件、腳本文件、U 盤威脅主機安全。

3) 橫向區域隔離：各個 PLC 控制站之間採取區域隔離措施，保護工控網絡內部不同安全區域的邊界，阻止來自該安全區域外的安全威脅。

4) 控制數據加密：通過實現監控層上位機與 PLC 系統的身份認證，完成關鍵指令的解密和驗證，確保上位機接入及操作指令下發的完整性和保密性。

5) 安全監控審計：在中央監控系統核心交換機中採用旁路監控的方式，監控並記錄系統運行過程中企業層與監控層之間、監控層與控制層之間的一切操作行為，對偏離基線異常操作行為進行告警上報，為事故追溯、責任劃分提供證據。

6) 工控漏洞管理：建立工控安全漏洞管理系統，多渠道全方位多級採集漏洞信息，採用動態、閉環漏洞規則情報策略管理流程，使漏洞能及時得到修復。

7) 統一安全管理：實現對污水處理廠全網中各安全設備、系統及主機的統一配置、全面監控、實時告警、流量分析等，降低運維成本，提高安全事件響應效率。