工業(yè)控制系統(tǒng)信息安全大事件

據(jù)權威工業(yè)安全事件信息庫RISI統(tǒng)計，截止到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001年后，通用開發(fā)標準與互聯(lián)網(wǎng)技術的廣泛使用，使針對工業(yè)控制系統(tǒng)（ICS）的病毒、木馬等攻擊行為大幅度增長，結果導致整體控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設備和環(huán)境造成嚴重的后果。比如伊朗核電站的震網(wǎng)病毒事件，給全球工業(yè)界控制系統(tǒng)的信息安全問題敲響了警鐘。工控系統(tǒng)信息安全的需求變得更加迫切。

我國工控領域的安全可靠性問題突出，工控系統(tǒng)的復雜化、IT化和通用化加劇了系統(tǒng)的安全隱患，潛在的更大威脅是我國工控產業(yè)綜合競爭力不強，嵌入式軟件、總線協(xié)議、工控軟件等核心技術受制于國外，缺乏自主的通信安全、信息安全、安全可靠性測試等標準。工信部發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強與國計民生緊密相關的多個重點領域內工業(yè)控制系統(tǒng)信息安全管理。事實告訴我們，只有做到居安思危、未雨綢繆，才能保證工業(yè)控制系統(tǒng)健康穩(wěn)定地運行。

·2007年，攻擊者入侵加拿大一個水利SCADA控制系統(tǒng)，破壞了取水調度的控制計算機

·2008年，攻擊者入侵波蘭某城市地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，致四節(jié)車廂脫軌

·2010年，西門子首次監(jiān)測到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒，也稱為震網(wǎng)病毒

·2010年，伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒，嚴重威脅核反應堆安全運營

·2011年，黑客入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)，使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞

·2011年，微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報數(shù)據(jù)

·2012年，兩座美國電廠遭USB病毒攻擊，感染了每個工廠的工控系統(tǒng)，可被竊取數(shù)據(jù)

·2012年，發(fā)現(xiàn)攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息。

我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker病毒，都造成控制系統(tǒng)服務器與控制器通訊不同程度地中斷。

2011年9月29日，工信部特編制下發(fā)《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)［2011］451號）》文件。明確指出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢，要求切實加強工業(yè)控制系統(tǒng)信息安全管理。

信息安全成為企業(yè)的焦點

如果以前不確定，那么參加了信息安全會議之后，現(xiàn)在你應該足以相信，社會上確實有這樣一些人，他們不但沒有為所做的壞事對公司或個人造成傷害而愧疚，甚至幸災樂禍。在信息安全的話題上，我們不得不要預防對工業(yè)控制和自動化系統(tǒng)的威脅。

關鍵的工業(yè)流程和基礎設施，諸如石油、化工、電力、交通、通信等，這些關系到國計民生的重要地方，隨時都面臨著安全威脅?；裟犴f爾（Honeywell）收購美特利康（Matrikon）就明確顯示了過程控制供應商和他們的用戶正在面臨這樣的威脅。請不要忘記發(fā)生在工業(yè)控制系統(tǒng)中最知名的攻擊：“震網(wǎng)”蠕蟲通過外圍設備U盤，侵入控制網(wǎng)絡，更改PLC中的程序和數(shù)據(jù)，對伊朗的核設施造成了嚴重的破壞。

蓄意的攻擊和意外的事故，輕者會造成設備的停機，重者會造成人員傷亡和環(huán)境破壞的后果。例如：聯(lián)合化工子公司山東新泰聯(lián)合化工有限公司在2011年11月19日所發(fā)生的安全事故，導致該子公司全面進入停產狀態(tài)。已有14人死亡，5人受傷。2011年日本福島核能電廠發(fā)生的核輻射事故，漏出的放射量是遭到原子彈轟炸時廣島的一百六十八倍。我們還可以列舉很多這樣的例子，但對于普通公眾，不一定意識到問題的嚴重性。

網(wǎng)絡攻擊可能來自多種原因；黑客，職業(yè)罪犯，遭公司解雇或對公司不滿而離開的員工，企圖傷害公司信譽或盜竊公司機密的競爭對手。攻擊有時候是明顯的，你能發(fā)現(xiàn)某些地方出了問題，有時候是隱秘的，如某人潛入一臺控制器、PC或通信設備中，偷聽會話，竊取數(shù)據(jù)，甚至進行破壞操作。這種威脅比千年蟲的威脅要大的多，因為Y2K的背后沒有犯罪和政治動機。

IEC從2009年起發(fā)布IEC62443標準，標準的標題是：工業(yè)通信網(wǎng)絡－網(wǎng)絡和系統(tǒng)的信息安全（Industrialcommunicationnetworks–Networkandsystemsecurity）。該標準為系列標準，有些部分已經(jīng)完成發(fā)布，有些部分編寫工作正在進行，今后會不斷推出。流程工業(yè)將是第一批采用這些標準的行業(yè)。據(jù)保守的估計，對大型分布式控制系統(tǒng)（DCS）實施信息安全比可編程控制器（PLC）系統(tǒng)要容易得多，因為它們多數(shù)部署在大型廠內，且DCS系統(tǒng)的設計安裝要依據(jù)最佳工程實踐，有一致性的標準和驗收流程。而多數(shù)安裝在工廠的PLC系統(tǒng)，則沒有統(tǒng)一的設計、規(guī)劃、實施和驗收，因為購買金額相對較小，安裝和調試的管理相對簡單粗狂，因此留下諸多隱患。

為了防止網(wǎng)絡攻擊，信息安全項目需要一種有效和切實可行的機制，包括人員、規(guī)程和技術。我們不能指望多數(shù)制造商很快就對他們的自動化系統(tǒng)實施網(wǎng)絡信息安全項目。對信息安全的理解和從成功的案例中學習也需要時間。重要的是我們不能有僥幸的想法，總認為網(wǎng)絡信息安全的問題不可能在我這里出現(xiàn)。我們需要積極地面對當前的形勢，認真研究和討論IEC62443標準，檢查工廠的自動化系統(tǒng)，對工廠整體的運行情況進行評估，發(fā)現(xiàn)可能存在的隱含漏洞，和你的團隊一起討論信息安全策略和解決方案，這不僅能提高工廠運行的效率，而且隨時防止有一天可能出現(xiàn)的網(wǎng)絡攻擊，保護工廠的資產、人員和環(huán)境。

黑客如何攻擊工控系統(tǒng)網(wǎng)絡

網(wǎng)絡攻擊的基本步驟和方法同樣適用于工業(yè)控制系統(tǒng)網(wǎng)絡；不過，由于工業(yè)控制系統(tǒng)網(wǎng)絡使用專門的系統(tǒng)和協(xié)議，其攻擊步驟和方法也有一定的差異性。

1、信息搜集

工業(yè)控制系統(tǒng)的網(wǎng)絡、協(xié)議和系統(tǒng)都比較特殊，攻擊者要搜集到相關信息并不容易，他們通常會從企業(yè)的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業(yè)供應商所提供產品的協(xié)議規(guī)范等入手。

遺憾的是，搜集這些信息變得越來越容易。如搜索引擎SHODAN，可以根據(jù)端口、協(xié)議、國家和其他條件搜索與互聯(lián)網(wǎng)關聯(lián)的所有設備。任何使用HTTP、FTP、SSH或Telnet協(xié)議的服務器、網(wǎng)絡交換機、路由器或其他網(wǎng)絡設備都可以被它檢索到，進而輕易找到應用SCADA協(xié)議的設備。雖然很難置辦整個控制系統(tǒng)來實施逆向工程，但攻擊者可以通過各種公開或地下渠道了解控制系統(tǒng)相關設備的漏洞和后門。

2、網(wǎng)絡掃描

利用網(wǎng)絡掃描可以通過端口、協(xié)議等信息快速定位SCADA和DCS系統(tǒng)。例如，如果掃描出某設備的502端口使用的是Modbus協(xié)議，那么可以推斷，與該設備連接的很可能是HMI系統(tǒng)或某些監(jiān)管工作站。

值得注意的是，很多工業(yè)控制系統(tǒng)的網(wǎng)絡協(xié)議對時延非常敏感，如果硬掃描，很可能導致整個網(wǎng)絡癱瘓。所以，如果攻擊者只是想中斷系統(tǒng)服務，那么，只要進行簡單的網(wǎng)絡掃描就可以達到目的；或者，若掃描發(fā)現(xiàn)，實時協(xié)議只受到防火墻的保護，那么只憑基本的黑客技術，實施DOS攻擊就可以奏效。如果攻擊者另有圖謀，那就只能采取軟掃描方式，以避免系統(tǒng)崩潰。

目標系統(tǒng)定位之后，再根據(jù)工業(yè)控制系統(tǒng)網(wǎng)絡協(xié)議的特點進行后續(xù)掃描，就可以獲取相關設備信息。如：可以根據(jù)以太網(wǎng)／IP流量識別出關鍵基礎設施保護（CIP）設備及屬性；可以根據(jù)DNP3響應結果發(fā)現(xiàn)DNP3的從屬地址；可以通過截取EtherCAT幀信息或SERCOSⅢ主站數(shù)據(jù)電報得到所有隸屬設備及其時間同步信息。

3、賬戶破解

很多工業(yè)控制系統(tǒng)是基于Windows的，那些專門破解Windows賬戶信息的方法和工具也可以應用到工業(yè)控制系統(tǒng)上。尤其是運行在WindowsOLE和DCOM上的OPC系統(tǒng)，只要通過主機認證就可以全面控制OPC環(huán)境。如果無法獲得底層協(xié)議認證，也可以通過枚舉方式破解控制系統(tǒng)內其他用戶和角色。如HMI用戶、ICCP服務器憑據(jù)（雙向表）、主節(jié)點地址（任何主／從工業(yè)協(xié)議）、以往數(shù)據(jù)庫認證信息等。

進入HMI，就可以直接控制HMI管理的進程，并竊取信息；進入ICCP服務器，就可以竊取或操縱控制中心之間的傳輸數(shù)據(jù)。所以說，從功能上將物理設備和邏輯設備全部隔離到安全區(qū)域是非常重要的。NIST800－82（工業(yè)控制系統(tǒng)安全防護指南）還建議采用賬戶復合認證方式。有了物理和數(shù)字的雙重保護，賬戶就很難破解；也就是說，即使知道了某個用戶名或某個密碼，也很難通過賬戶認證。

4、實施攻擊

正如前面所述，一次簡單的網(wǎng)絡掃描就可以破壞工業(yè)控制系統(tǒng)網(wǎng)絡。因為工業(yè)控制系統(tǒng)網(wǎng)絡協(xié)議非常敏感，信息流稍有變化，協(xié)議就會失效。所以，攻擊者利用硬掃描來破壞系統(tǒng)，利用軟掃描來偵測信息。另外，也可以通過防火墻實施網(wǎng)絡掃描，因為通過防火墻的開放端口進行分組交換更加容易。一旦掃描通過，黑客就可偽裝合法通訊，對控制網(wǎng)絡實施DOS攻擊。

如果攻擊目的是侵入網(wǎng)絡或者潛伏網(wǎng)絡，我們以“震網(wǎng)”（Stuxnet）為例，了解黑客可能會應用的滲透技術?！罢鹁W(wǎng)”是一種專門針對工業(yè)控制系統(tǒng)的、基于Windows平臺的蠕蟲病毒，它具有多種掃描和滲透機制，能自我復制，傳播能力強，極具隱身性。入侵網(wǎng)絡后，“震網(wǎng)”會根據(jù)不同環(huán)境做出不同反應，如在“企業(yè)環(huán)境”，它會尋找目標HMI，然后入侵HMI；在“工業(yè)環(huán)境”，它會感染HMI，尋找目標PLCs，然后將惡意代碼植入其中；在“運行環(huán)境”，它會利用PLC尋找某個帶特定參數(shù)運行的IEDs，然后植入代碼，進行破壞活動。

簡單來說，“震網(wǎng)”的攻擊手段可以總結為：以常見的黑客技術發(fā)動初次攻擊；入侵SCADA和DCS后，利用其資源再侵入其他工業(yè)控制系統(tǒng)；對“非路由”系統(tǒng)（如有PLCs和IEDs中組成的總線），它也可以進行感染，并滲透進更深層的工業(yè)生產過程中。

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護的九大誤區(qū)

近年來，由于能源需求持續(xù)增長、管理模式不斷變化以及對信息通訊技術（ICT）的廣泛應用，工業(yè)控制系統(tǒng)正在經(jīng)受一場快速而深刻的變革。原本相對簡單、相對獨立的工控系統(tǒng)正在向自動化、信息化和網(wǎng)絡化發(fā)展。雖然工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題已經(jīng)引起很多國家和權威機構的高度重視，但是對相關企業(yè)和從業(yè)者來說，仍是一個很新的領域，工作上還存在著很多誤區(qū)。

誤區(qū)一：工業(yè)控制系統(tǒng)（ICS）是與外界隔離的

實際上，基礎設施領域不僅包括生產和控制系統(tǒng)，還包括市場分析、財務計劃等信息管理系統(tǒng)。生產系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構，與外界完全隔離幾乎不可能。另外，維護用的移動設備或移動電腦也會打破系統(tǒng)與外界的隔離，打開網(wǎng)絡安全風險之門。

事實證明，不管多嚴格的隔離措施也會有隱患發(fā)生。2003年Davis－Besse核電站被Slammer蠕蟲病毒侵入；2006年13家Daimler－Chrysler汽車企業(yè)因感染Zotob蠕蟲病毒被迫停工；2008年有超過千萬臺的設備，包括所謂隔離了的設備，受到Conficker蠕蟲病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國宇航局證實其國際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。

誤區(qū)二：沒有人會襲擊我們

上個世紀，雖然有些零星事件發(fā)生，公眾對ICS網(wǎng)絡安全問題并沒有足夠認識。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報道之后，人們才意識到ICS系統(tǒng)一旦受襲擊有可能造成嚴重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)（SCADA）受到攻擊，導致800，000升污水直接排放到環(huán)境中。

另外，ICS系統(tǒng)并不是堅不可摧。2006年以來，美國計算機應急響應小組對外公布的ICS系統(tǒng)安全漏洞越來越多。2009底其數(shù)據(jù)庫顯示的24條SCADA相關漏洞都是已經(jīng)預警的，而且，主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法。

越來越多的跡象表明，ICS系統(tǒng)已經(jīng)受到黑客、政治對手、不滿的員工或犯罪組織等各類攻擊者的目標關注。

誤區(qū)三：黑客不懂我們的協(xié)議／系統(tǒng)，系統(tǒng)非常安全

實際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標準件（COTS）和IT技術；除開某些特殊環(huán)境，大部分通訊采用的是以太網(wǎng)和TCP／IP協(xié)議；ICS、監(jiān)控站以及嵌入式設備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過智能能源參考架構（SERA）打進電力行業(yè)，意圖將微軟技術安插到未來智能電網(wǎng)架構的核心中。

那些特殊環(huán)境采用的內部協(xié)議其實也有公開的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標準中都可以找到。象Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細說明，其內容也早已被黑客圈子熟知。

另外，由于ICS設備功能簡單、設計規(guī)范，只需少許計算機知識和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護特征。甚至某些應急工具都可以自動完成逆向工程。

即使經(jīng)過加密處理的協(xié)議也可以實施逆向工程。例如，GSM手機全球系統(tǒng)、繳費終端及汽車點火裝置的射頻信號、DVD反復制保護機制，他們都采用專門的加密技術，但最終都被破解。

誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我們的防火墻會自動提供保護等

認為ICS系統(tǒng)不需要防病毒和誤區(qū)一（系統(tǒng)是隔離的）和誤區(qū)三（黑客不了解系統(tǒng)）有關。實際上，除了Window平臺易受攻擊，Unix／Linux都有過病毒或跨平臺病毒攻擊的經(jīng)歷。Proof－of－concept病毒則是專門針對SCADA和AMI系統(tǒng)的。所以對ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時更新。

那么，有了防病毒軟件是否就高枕無憂了？雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對更隱蔽或鮮為人知的病毒的防御還遠遠不夠。而且，防病毒軟件本身也有弱點存在。從最近一次安全會議得知，在對目前使用最多的7個防病毒軟件進行防病毒能力挑戰(zhàn)時，有6個可以在2分鐘內被攻破。

另外，雖然防火墻也是應用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設置規(guī)則比較復雜，目前80％的防火墻都沒有正確配置，都沒有真正起到安全防護的作用。

誤區(qū)五：網(wǎng)絡安全事件不會影響系統(tǒng)運行

事實證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運行，還可能導致嚴重后果。前面提到的澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件就是一例；2003年Davis－Besse核電站因Slammer蠕蟲病毒入侵導致系統(tǒng)計算機停機6小時以上；2007年美國愛達荷國家實驗室一臺為13．8KV網(wǎng)格測試臺供電的柴油發(fā)電機因網(wǎng)絡攻擊而被毀；2008年Hatch核電廠一工程師在數(shù)據(jù)采集服務器上測試軟件更新時，在其不知情的情況下，測試值被供應商軟件同步設置到生產系統(tǒng)上，結果導致反應堆自動停機事故。另外，攻擊者也會想法設法接近ICS設備，如將攜有惡意軟件的U盤以禮相送；或是向收集到的目標企業(yè)工作人員郵寄地址發(fā)送電子郵件，一旦郵件內鏈接被打開，惡意軟件就會下載到工作站。攻擊者聲稱，通過這些惡意軟件，他們可以全面控制工作站和SCADA系統(tǒng)。

誤區(qū)六：ICS組件不需要特別的安全防護，供應商會保證產品的安全性

人們能夠理解ICS系統(tǒng)核心組件（如數(shù)據(jù)庫、應用軟件、服務器等）安全性的重要，但常常會忽視ICS系統(tǒng)外圍組件（如傳感器、傳動器、智能電子設備、可編程邏輯控制器、智能儀表、遠程終端設備等）的安全防護。其實這些外圍設備很多都內置有與局域網(wǎng)相聯(lián)的網(wǎng)絡接口，采用的也是TCP／IP協(xié)議。這些設備運行時可能還有一些調試命令，如telnet和FTP等，未及時屏蔽。這種情況在網(wǎng)絡服務器上也很常見。網(wǎng)絡服務器一般隱含有一項特殊功能，即允許用戶通過定位某個網(wǎng)址重新啟動遠程終端設備（RTU）。

用戶通常以為供應商會對他們產品的缺陷和安全性了如指掌，實際上供應商對他們產品的認識僅限于產品所能提供的功能方面，而且對出現(xiàn)的安全問題也做不到快速響應。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通訊協(xié)議（WonderwareSuitlink）存在漏洞后，立即聯(lián)系了供應商Wonderware，但是Wonderware1個月后才開始回應；等到Wonderware認識到產品缺陷，并知會Suitlink用戶相關補救措施時，已是三個月以后的事了。這件事讓很多供應商開始關注自己產品的安全性，但對大部分供應商來說，還是任重道遠。

誤區(qū)七：ICS系統(tǒng)的接入點容易控制

ICS系統(tǒng)存在很多未知或已知但不安全的接入點，如維護用的手提電腦可以直接和ICS網(wǎng)絡聯(lián)接、可不經(jīng)過防火墻的接入點、遠程支持和維護接入點、ICS設備和非ICS設備的連接點、ICS網(wǎng)絡設備中的可接入端口等。實際上，ICS系統(tǒng)的所有者并不知曉有多少個接入點存在以及有多少個接入點正在使用，也不知道個人可以通過這種方式訪問ICS系統(tǒng)。

誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項目結束再解決

以前，ICS系統(tǒng)功能簡單，外部環(huán)境穩(wěn)定，現(xiàn)場維護設備也非智能型，所以，針對某一問題的解決方案可以維持很長一段時間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復雜，外部環(huán)境經(jīng)常變化，現(xiàn)場維護設備也需要定期更新和維護。不僅ICS系統(tǒng)和現(xiàn)場維護設備需要安全防護，其管理和維護工作也需要安全防護，而且是動態(tài)管理的安全防護，即一旦有新的威脅或漏洞產生，就要及時采取安全措施。

近些年，雖然ICS項目建設開始關注系統(tǒng)安全，但是由于工期較長，通常在最后階段才開始考慮安全防護問題，但此時不僅實施不易，而且成本頗高。因為需求變更越晚或漏洞發(fā)現(xiàn)越遲，更改或彌補的費用越高。

誤區(qū)九：單向通信100％安全

某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)域聯(lián)接。但是，這種聯(lián)接方式是很不嚴密的，其安全程度高低取決于單向通信的實現(xiàn)方式。方式一為限制發(fā)起方方式，即通信只能由某一方發(fā)起，然后雙方可以互相通信；方式二為限制負載流方式，即在方式一基礎上，對方只能發(fā)送控制信號，不能發(fā)送數(shù)據(jù)或應用信息；方式三最嚴格，僅允許一方發(fā)送信息，不允許另一方發(fā)送任何信息。方式一采用基本防火墻就能實現(xiàn)，方式二需要進行信息包檢測，方式三需要采用特殊設備實現(xiàn)。通常認為，將前兩種方式結合起來將是最安全的防護措施。但是，即使它們可以提供很強的安全保護，網(wǎng)絡攻擊還是有可能發(fā)生。因為控制和信號信息允許進入受保護區(qū)域，經(jīng)過設備編譯后，惡意代碼就有可能得到運行。所以，單向通信并不能提供100％的安全保護。