你所不知道的工業控制系統安全有多嚴重

工業控制系統信息安全大事件

據權威工業安全事件信息庫RISI統計，截止到2011年10月，全球已發生200餘起針對工業控制系統的攻擊事件。

2001年後，通用開發標準與網際網路技術的廣泛使用，使針對工業控制系統(ICS)的病毒、木馬等攻擊行為大幅度增長，結果導致整體控制系統的故障，甚至惡性安全事故，對人員、設備和環境造成嚴重的後果。

比如伊朗核電站的震網病毒事件，給全球工業界控制系統的信息安全問題敲響了警鐘。

工控系統信息安全的需求變得更加迫切。

我國工控領域的安全可靠性問題突出，工控系統的複雜化、IT化和通用化加劇了系統的安全隱患，潛在的更大威脅是我國工控產業綜合競爭力不強，嵌入式軟體、總線協議、工控軟體等核心技術受制於國外，缺乏自主的通信安全、信息安全、安全可靠性測試等標準。

工信部發布《關於加強工業控制系統信息安全管理的通知》，要求加強與國計民生緊密相關的多個重點領域內工業控制系統信息安全管理。

事實告訴我們，只有做到居安思危、未雨綢繆，才能保證工業控制系統健康穩定地運行。

• 2007年，攻擊者入侵加拿大一個水利SCADA控制系統，破壞了取水調度的控制計算機

• 2008年，攻擊者入侵波蘭某城市地鐵系統，通過電視遙控器改變軌道扳道器，致四節車廂脫軌

• 2010年，西門子首次監測到專門攻擊該公司工業控制系統的Stuxnet病毒，也稱為震網病毒

• 2010年，伊朗政府宣布布希爾核電站員工電腦感染Stuxnet病毒，嚴重威脅核反應堆安全運營

• 2011年，黑客入侵數據採集與監控系統，使美國伊利諾州城市供水系統的供水泵遭到破壞

• 2011年，微軟警告稱最新發現的「Duqu」病毒可從工業控制系統製造商收集情報數據

• 2012年，兩座美國電廠遭USB病毒攻擊，感染了每個工廠的工控系統，可被竊取數據

• 2012年，發現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業的敏感信息。
  
  

我國同樣遭受著工業控制系統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統分別感染Conficker病毒，都造成控制系統伺服器與控制器通訊不同程度地中斷。

2011年9月29日，工信部特編制下發《關於加強工業控制系統信息安全管理的通知（工信部協[2011]451號）》文件。

明確指出工業控制系統信息安全面臨著嚴峻的形勢，要求切實加強工業控制系統信息安全管理。

信息安全成為企業的焦點

如果以前不確定，那麼參加了信息安全會議之後，現在你應該足以相信，社會上確實有這樣一些人，他們不但沒有為所做的壞事對公司或個人造成傷害而愧疚，甚至幸災樂禍。

在信息安全的話題上，我們不得不要預防對工業控制和自動化系統的威脅。

關鍵的工業流程和基礎設施，諸如石油、化工、電力、交通、通信等，這些關係到國計民生的重要地方，隨時都面臨著安全威脅。

霍尼韋爾(Honeywell)收購美特利康(Matrikon)就明確顯示了過程控制供應商和他們的用戶正在面臨這樣的威脅。

請不要忘記發生在工業控制系統中最知名的攻擊：「震網」蠕蟲通過外圍設備U盤，侵入控制網絡，更改PLC中的程序和數據，對伊朗的核設施造成了嚴重的破壞。

蓄意的攻擊和意外的事故，輕者會造成設備的停機，重者會造成人員傷亡和環境破壞的後果。

例如：聯合化工子公司山東新泰聯合化工有限公司在2011年11月19日所發生的安全事故，導致該子公司全面進入停產狀態。

已有14人死亡，5人受傷。

2011年日本福島核能電廠發生的核輻射事故，漏出的放射量是遭到原子彈轟炸時廣島的一百六十八倍。

我們還可以列舉很多這樣的例子，但對於普通公眾，不一定意識到問題的嚴重性。

網絡攻擊可能來自多種原因;黑客，職業罪犯，遭公司解僱或對公司不滿而離開的員工，企圖傷害公司信譽或盜竊公司機密的競爭對手。

攻擊有時候是明顯的，你能發現某些地方出了問題，有時候是隱秘的，如某人潛入一台控制器、PC或通信設備中，偷聽會話，竊取數據，甚至進行破壞操作。

這種威脅比千年蟲的威脅要大的多，因為Y2K的背後沒有犯罪和政治動機。

IEC從2009年起發布IEC62443標準，標準的標題是：工業通信網絡-網絡和系統的信息安全(Industrialcommunicationnetworks–Networkandsystemsecurity)。

該標準為系列標準，有些部分已經完成發布，有些部分編寫工作正在進行，今後會不斷推出。

流程工業將是第一批採用這些標準的行業。

據保守的估計，對大型分布式控制系統（DCS）實施信息安全比可編程控制器（PLC）系統要容易得多，因為它們多數部署在大型廠內，且DCS系統的設計安裝要依據最佳工程實踐，有一致性的標準和驗收流程。

而多數安裝在工廠的PLC系統，則沒有統一的設計、規劃、實施和驗收，因為購買金額相對較小，安裝和調試的管理相對簡單粗狂，因此留下諸多隱患。

為了防止網絡攻擊，信息安全項目需要一種有效和切實可行的機制，包括人員、規程和技術。

我們不能指望多數製造商很快就對他們的自動化系統實施網絡信息安全項目。

對信息安全的理解和從成功的案例中學習也需要時間。

重要的是我們不能有僥倖的想法，總認為網絡信息安全的問題不可能在我這裡出現。

我們需要積極地面對當前的形勢，認真研究和討論IEC62443標準，檢查工廠的自動化系統，對工廠整體的運行情況進行評估，發現可能存在的隱含漏洞，和你的團隊一起討論信息安全策略和解決方案，這不僅能提高工廠運行的效率，而且隨時防止有一天可能出現的網絡攻擊，保護工廠的資產、人員和環境。

黑客如何攻擊工控系統網絡

網絡攻擊的基本步驟和方法同樣適用於工業控制系統網絡；不過，由於工業控制系統網絡使用專門的系統和協議，其攻擊步驟和方法也有一定的差異性。

1、信息搜集

工業控制系統的網絡、協議和系統都比較特殊，攻擊者要搜集到相關信息並不容易，他們通常會從企業的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業供應商所提供產品的協議規範等入手。

遺憾的是，搜集這些信息變得越來越容易。

如搜尋引擎SHODAN，可以根據埠、協議、國家和其他條件搜索與網際網路關聯的所有設備。

任何使用HTTP、FTP、SSH或Telnet協議的伺服器、網絡交換機、路由器或其他網絡設備都可以被它檢索到，進而輕易找到應用SCADA協議的設備。

雖然很難置辦整個控制系統來實施逆向工程，但攻擊者可以通過各種公開或地下渠道了解控制系統相關設備的漏洞和後門。

2、網絡掃描

利用網絡掃描可以通過埠、協議等信息快速定位SCADA和DCS系統。

例如，如果掃描出某設備的502埠使用的是Modbus協議，那麼可以推斷，與該設備連接的很可能是HMI系統或某些監管工作站。

值得注意的是，很多工業控制系統的網絡協議對時延非常敏感，如果硬掃描，很可能導致整個網絡癱瘓。

所以，如果攻擊者只是想中斷系統服務，那麼，只要進行簡單的網絡掃描就可以達到目的；或者，若掃描發現，實時協議只受到防火牆的保護，那麼只憑基本的黑客技術，實施DOS攻擊就可以奏效。

如果攻擊者另有圖謀，那就只能採取軟掃描方式，以避免系統崩潰。

目標系統定位之後，再根據工業控制系統網絡協議的特點進行後續掃描，就可以獲取相關設備信息。

如：可以根據乙太網/IP流量識別出關鍵基礎設施保護（CIP）設備及屬性；可以根據DNP3響應結果發現DNP3的從屬地址；可以通過截取EtherCAT幀信息或SERCOSⅢ主站數據電報得到所有隸屬設備及其時間同步信息。

3、帳戶破解

很多工業控制系統是基於Windows的，那些專門破解Windows帳戶信息的方法和工具也可以應用到工業控制系統上。

尤其是運行在WindowsOLE和DCOM上的OPC系統，只要通過主機認證就可以全面控制OPC環境。

如果無法獲得底層協議認證，也可以通過枚舉方式破解控制系統內其他用戶和角色。

如HMI用戶、ICCP伺服器憑據(雙向表)、主節點地址（任何主/從工業協議）、以往資料庫認證信息等。

進入HMI，就可以直接控制HMI管理的進程，並竊取信息；進入ICCP伺服器，就可以竊取或操縱控制中心之間的傳輸數據。

所以說，從功能上將物理設備和邏輯設備全部隔離到安全區域是非常重要的。

NIST800-82(工業控制系統安全防護指南)還建議採用帳戶複合認證方式。

有了物理和數字的雙重保護，帳戶就很難破解；也就是說，即使知道了某個用戶名或某個密碼，也很難通過帳戶認證。

4、實施攻擊

正如前面所述，一次簡單的網絡掃描就可以破壞工業控制系統網絡。

因為工業控制系統網絡協議非常敏感，信息流稍有變化，協議就會失效。

所以，攻擊者利用硬掃描來破壞系統，利用軟掃描來偵測信息。

另外，也可以通過防火牆實施網絡掃描，因為通過防火牆的開放埠進行分組交換更加容易。

一旦掃描通過，黑客就可偽裝合法通訊，對控制網絡實施DOS攻擊。

如果攻擊目的是侵入網絡或者潛伏網絡，我們以「震網」（Stuxnet）為例，了解黑客可能會應用的滲透技術。

「震網」是一種專門針對工業控制系統的、基於Windows平台的蠕蟲病毒，它具有多種掃描和滲透機制，能自我複製，傳播能力強，極具隱身性。

入侵網絡後，「震網」會根據不同環境做出不同反應，如在「企業環境」，它會尋找目標HMI，然後入侵HMI；在「工業環境」，它會感染HMI，尋找目標PLCs，然後將惡意代碼植入其中；在「運行環境」，它會利用PLC尋找某個帶特定參數運行的IEDs，然後植入代碼，進行破壞活動。

簡單來說，「震網」的攻擊手段可以總結為：以常見的黑客技術發動初次攻擊；入侵SCADA和DCS後，利用其資源再侵入其他工業控制系統；對「非路由」系統（如有PLCs和IEDs中組成的總線），它也可以進行感染，並滲透進更深層的工業生產過程中。

工業控制系統網絡安全防護的九大誤區

近年來，由於能源需求持續增長、管理模式不斷變化以及對信息通訊技術（ICT）的廣泛應用，工業控制系統正在經受一場快速而深刻的變革。

原本相對簡單、相對獨立的工控系統正在向自動化、信息化和網絡化發展。

雖然工業控制系統的網絡安全問題已經引起很多國家和權威機構的高度重視，但是對相關企業和從業者來說，仍是一個很新的領域，工作上還存在著很多誤區。

誤區一：工業控制系統（ICS）是與外界隔離的

實際上，基礎設施領域不僅包括生產和控制系統，還包括市場分析、財務計劃等信息管理系統。

生產系統與管理系統的互聯已經成為ICS的基本架構，與外界完全隔離幾乎不可能。

另外，維護用的移動設備或移動電腦也會打破系統與外界的隔離，打開網絡安全風險之門。

事實證明，不管多嚴格的隔離措施也會有隱患發生。

2003年Davis-Besse核電站被Slammer蠕蟲病毒侵入；2006年13家Daimler-Chrysler汽車企業因感染Zotob蠕蟲病毒被迫停工；2008年有超過千萬台的設備，包括所謂隔離了的設備，受到Conficker蠕蟲病毒的攻擊。

即使在太空也不能做到完全隔離：2008年美國宇航局證實其國際太空站筆記本電腦遭到病毒入侵。

2010年震驚世界的伊朗震網病毒。

誤區二：沒有人會襲擊我們

上個世紀，雖然有些零星事件發生，公眾對ICS網絡安全問題並沒有足夠認識。

直到2000年澳大利亞MaroochyShire排水系統受攻擊事件報導之後，人們才意識到ICS系統一旦受襲擊有可能造成嚴重後果。

該次事件中，由於數據採集和監控系統（SCADA）受到攻擊，導致800,000升污水直接排放到環境中。

另外，ICS系統並不是堅不可摧。

2006年以來，美國計算機應急響應小組對外公布的ICS系統安全漏洞越來越多。

2009底其資料庫顯示的24條SCADA相關漏洞都是已經預警的，而且，主流黑客工具如MetasploitFramework中已經集成有其中一些漏洞的攻擊方法。

越來越多的跡象表明，ICS系統已經受到黑客、政治對手、不滿的員工或犯罪組織等各類攻擊者的目標關注。

誤區三：黑客不懂我們的協議/系統，系統非常安全

實際上，工業環境中已廣泛使用商業標準件（COTS）和IT技術；除開某些特殊環境，大部分通訊採用的是乙太網和TCP/IP協議；ICS、監控站以及嵌入式設備的作業系統也多以Microsoft和Linux為主。

其中，Microsoft已通過智能能源參考架構（SERA）打進電力行業，意圖將微軟技術安插到未來智能電網架構的核心中。

那些特殊環境採用的內部協議其實也有公開的文檔可查。

典型的電力系統通訊協議定義在IEC和IEEE標準中都可以找到。

象Modbus這些工業協議，不僅可以輕易找到詳細說明，其內容也早已被黑客圈子熟知。

另外，由於ICS設備功能簡單、設計規範，只需少許計算機知識和耐心就可以完成其逆向工程，何況大部分的工業協議都不具備安全防護特徵。

甚至某些應急工具都可以自動完成逆向工程。

即使經過加密處理的協議也可以實施逆向工程。

例如，GSM手機全球系統、繳費終端及汽車點火裝置的射頻信號、DVD反複製保護機制，他們都採用專門的加密技術，但最終都被破解。

誤區四：ICS系統不需要防病毒軟體或有防病毒軟體就可以了；我們的防火牆會自動提供保護等

認為ICS系統不需要防病毒和誤區一（系統是隔離的）和誤區三（黑客不了解系統）有關。

實際上，除了Window平台易受攻擊，Unix/Linux都有過病毒或跨平台病毒攻擊的經歷。

Proof-of-concept病毒則是專門針對SCADA和AMI系統的。

所以對ICS系統，防病毒軟體不可或缺，並且需要定時更新。

那麼，有了防病毒軟體是否就高枕無憂了？雖然有效管理的防病毒措施可以抵禦大部分已知的惡意軟體，但對更隱蔽或鮮為人知的病毒的防禦還遠遠不夠。

而且，防病毒軟體本身也有弱點存在。

從最近一次安全會議得知，在對目前使用最多的7個防病毒軟體進行防病毒能力挑戰時，有6個可以在2分鐘內被攻破。

另外，雖然防火牆也是應用最廣泛的安全策略之一，但其發揮效用的前提是必須正確設置了防火牆的安全規則。

即使智能型防火牆，也需要自定義安全規則。

研究表明，由於設置規則比較複雜，目前80%的防火牆都沒有正確配置，都沒有真正起到安全防護的作用。

誤區五：網絡安全事件不會影響系統運行

事實證明，ICS系統遭受攻擊後不僅可能影響運行，還可能導致嚴重後果。

前面提到的澳大利亞MaroochyShire排水系統受攻擊事件就是一例；2003年Davis-Besse核電站因Slammer蠕蟲病毒入侵導致系統計算機停機6小時以上；2007年美國愛達荷國家實驗室一台為13.8KV網格測試台供電的柴油發電機因網絡攻擊而被毀；2008年Hatch核電廠一工程師在數據採集伺服器上測試軟體更新時，在其不知情的情況下，測試值被供應商軟體同步設置到生產系統上，結果導致反應堆自動停機事故。

另外，攻擊者也會想法設法接近ICS設備，如將攜有惡意軟體的U盤以禮相送；或是向收集到的目標企業工作人員郵寄地址發送電子郵件，一旦郵件內連結被打開，惡意軟體就會下載到工作站。

攻擊者聲稱，通過這些惡意軟體，他們可以全面控制工作站和SCADA系統。

誤區六：ICS組件不需要特別的安全防護，供應商會保證產品的安全性

人們能夠理解ICS系統核心組件（如資料庫、應用軟體、伺服器等）安全性的重要，但常常會忽視ICS系統外圍組件（如傳感器、傳動器、智能電子設備、可編程邏輯控制器、智能儀表、遠程終端設備等）的安全防護。

其實這些外圍設備很多都內置有與區域網相聯的網絡接口，採用的也是TCP/IP協議。

這些設備運行時可能還有一些調試命令，如telnet和FTP等，未及時屏蔽。

這種情況在網絡伺服器上也很常見。

網絡伺服器一般隱含有一項特殊功能，即允許用戶通過定位某個網址重新啟動遠程終端設備（RTU）。

用戶通常以為供應商會對他們產品的缺陷和安全性了如指掌，實際上供應商對他們產品的認識僅限於產品所能提供的功能方面，而且對出現的安全問題也做不到快速響應。

2008年研究人員發現ICS特有的數據通訊協議（WonderwareSuitlink）存在漏洞後，立即聯繫了供應商Wonderware，但是Wonderware1個月後才開始回應；等到Wonderware認識到產品缺陷，並知會Suitlink用戶相關補救措施時，已是三個月以後的事了。

這件事讓很多供應商開始關注自己產品的安全性，但對大部分供應商來說，還是任重道遠。

誤區七：ICS系統的接入點容易控制

ICS系統存在很多未知或已知但不安全的接入點，如維護用的手提電腦可以直接和ICS網絡聯接、可不經過防火牆的接入點、遠程支持和維護接入點、ICS設備和非ICS設備的連接點、ICS網絡設備中的可接入埠等。

實際上，ICS系統的所有者並不知曉有多少個接入點存在以及有多少個接入點正在使用，也不知道個人可以通過這種方式訪問ICS系統。

誤區八：系統安全可以一次性解決或是可以等到項目結束再解決

以前，ICS系統功能簡單，外部環境穩定，現場維護設備也非智能型，所以，針對某一問題的解決方案可以維持很長一段時間不變。

然而，現在的ICS系統功能複雜，外部環境經常變化，現場維護設備也需要定期更新和維護。

不僅ICS系統和現場維護設備需要安全防護，其管理和維護工作也需要安全防護，而且是動態管理的安全防護，即一旦有新的威脅或漏洞產生，就要及時採取安全措施。

近些年，雖然ICS項目建設開始關注系統安全，但是由於工期較長，通常在最後階段才開始考慮安全防護問題，但此時不僅實施不易，而且成本頗高。

因為需求變更越晚或漏洞發現越遲，更改或彌補的費用越高。

誤區九：單向通信100%安全

某些情況下，極重要的ICS系統允許以單向通訊方式與其他安全區域聯接。

但是，這種聯接方式是很不嚴密的，其安全程度高低取決於單向通信的實現方式。

方式一為限制發起方方式，即通信只能由某一方發起，然後雙方可以互相通信；方式二為限制負載流方式，即在方式一基礎上，對方只能發送控制信號，不能發送數據或應用信息；方式三最嚴格，僅允許一方發送信息，不允許另一方發送任何信息。

方式一採用基本防火牆就能實現，方式二需要進行信息包檢測，方式三需要採用特殊設備實現。

通常認為，將前兩種方式結合起來將是最安全的防護措施。

但是，即使它們可以提供很強的安全保護，網絡攻擊還是有可能發生。

因為控制和信號信息允許進入受保護區域，經過設備編譯後，惡意代碼就有可能得到運行。

所以，單向通信並不能提供100%的安全保護。