本期導(dǎo)讀：

伊朗*爾核電站開車之際為何1/5的離心機報廢？

烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)為何突然30座變電站下線，使得超過23萬名居民陷入無電可用的困境？

你的工控系統(tǒng)是在“裸奔”嗎？拿什么手段防御入侵？

引言

5月12日，一個名為WNCRYPT“永恒之藍”的勒索病毒悄然爆發(fā)，并在短短時間內(nèi)迅速感染了超過150個國家和地區(qū)的計算機系統(tǒng)，此次在范圍內(nèi)爆發(fā)的WNCRYPT“永恒之藍”勒索病毒事件不僅感染了醫(yī)療系統(tǒng)、快遞公司、學(xué)校、銀行、jingcha局等，還感染了很多大型石油石化公司。

隨著信息化的推動和工業(yè)化進程的加速，計算機和網(wǎng)絡(luò)技術(shù)越來越多地應(yīng)用于工業(yè)控制系統(tǒng)，為工業(yè)生成帶來極大推動的同時，也帶來了工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))安全性的問題。據(jù)機構(gòu)統(tǒng)計，截至2017年底，發(fā)生了1000余起針對工控系統(tǒng)的攻擊事件。工控系統(tǒng)是現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的核心，包括過程控制、數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)、程序邏輯控制以及其他控制系統(tǒng)等，廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域，是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。而工業(yè)控制系統(tǒng)的安全，更關(guān)系到國家的戰(zhàn)略安全。

如何保證工業(yè)控制系統(tǒng)的安全，已引起國家相關(guān)部門的高度重視，企業(yè)應(yīng)充分認識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實加強工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。

世界兩大工業(yè)控制系統(tǒng)(ICS)事件回顧！

事件一：世界ICS入侵*事件伊朗“震網(wǎng)”病毒事件

2011年2月，伊朗突然宣布暫時卸載首座核電站——*爾核電站的核燃料，西方國家也悄悄對伊朗核計劃進展預(yù)測進行了重大修改。但就在幾個月前，美國和以色列還在警告，伊朗只需一年就能擁有快速制造hewuqi的能力。為什么會突然出現(xiàn)如此重大變化？因為*爾核電站遭到“震網(wǎng)”病毒攻擊，1/5的離心機報廢。自2010年8月該核電站啟用后就發(fā)生連串故障，伊朗政府表面聲稱是天熱所致，但真正原因卻是核電站遭病毒攻擊。一種名為“震網(wǎng)”（Stuxnet）的蠕蟲病毒，侵入了伊朗工廠企業(yè)甚至進入西門子為核電站設(shè)計的工業(yè)控制軟件，并可奪取對一系列核心生產(chǎn)設(shè)備尤其是核電設(shè)備的關(guān)鍵控制權(quán)。

“震網(wǎng)”包含復(fù)雜的惡意代碼，是一種典型的計算機病毒，能自我復(fù)制，并將副本通過網(wǎng)絡(luò)傳輸，任何一臺個人電腦只要和染毒電腦相連，自動傳播給其他與之相連的電腦，Z后造成大量網(wǎng)絡(luò)流量的連鎖效應(yīng)，導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓。“震網(wǎng)”主要通過U盤和局域網(wǎng)進行傳播，是*個利用Windows“零日漏洞”，專門針對工業(yè)控制系統(tǒng)發(fā)動攻擊的惡意軟件，能夠攻擊石油運輸管道、發(fā)電廠、大型通信設(shè)施、機場等多種工業(yè)和民用基礎(chǔ)設(shè)施，被稱為“網(wǎng)絡(luò)daodan”。

“震網(wǎng)”無須通過互聯(lián)網(wǎng)便可傳播，只要目標計算機使用微軟系統(tǒng)，“震網(wǎng)”便會偽裝RealTek與JMicron兩大公司的數(shù)字簽名，順利繞過安全檢測，自動找尋及攻擊工業(yè)控制系統(tǒng)軟件，以控制設(shè)施冷卻系統(tǒng)或渦輪機運作，甚至讓設(shè)備失控自毀，而工作人員卻毫不知情。由此，“震網(wǎng)”成為*個專門攻擊物理世界基礎(chǔ)設(shè)施的蠕蟲病毒?？梢哉f，“震網(wǎng)”也是有史以來Z的蠕蟲病毒，是*超級網(wǎng)絡(luò)武器

事件二：烏克蘭電網(wǎng)攻擊事件

2015年12月23號下午3：30，烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)的居民們結(jié)束了一天的工作，陸續(xù)走向通往溫暖家中的寒冷街道。而在負責(zé)當(dāng)?shù)仉娏?yīng)的Prykarpattyaoblenergo控制中心，運維人員也即將完成自己的當(dāng)次輪班。但就在這一切順利推進的同時，平靜被打破了，一 位當(dāng)值人員在整理桌上文件時，突然發(fā)現(xiàn)自己的計算機屏幕上的光標開始四處游移。

他看到光標指向負責(zé)當(dāng)?shù)刈冸娬緮嗦菲鞯膶?dǎo)航按鈕，點擊對話框并選擇斷開斷路器——這項操作將使得整座變電站全面下線。接下來，屏幕上出現(xiàn)了確認窗口以復(fù)核上述操作，這位運維人員目瞪口呆地看著光標移動到框體之內(nèi)并點擊了確定。這時他已經(jīng)可以肯定，城外的某處區(qū)域內(nèi)數(shù)以千計的居民將因此陷入黑暗與寒冷當(dāng)中。

這位運維人員立刻抓起鼠標，試圖奪回對光標的控制權(quán)——但他的反應(yīng)似乎還是慢了一點。光標隨后朝著另一個斷路器控制按鈕移動，而設(shè)備亦突然將他從控制面板中登出。雖然他反復(fù)嘗試重復(fù)登錄，但攻擊者變更了他的密碼內(nèi)容，使其無法順利完成驗證。這時候，他能做的只有無奈地盯著屏幕，眼睜睜地看著設(shè)備中的惡意幽靈斷開一個又一個斷路器，Z終導(dǎo)致約30座變電站下線。然而攻擊者并沒有就這樣停下腳步。此次攻擊還影響到另外兩座配電中心，這意味著遭遇下線的變電站數(shù)量幾乎翻了一倍，使得超過23萬名居民陷入無電可用的困境。不僅如此，其亦無法從總計三座電力供應(yīng)中心的兩座處獲取備用電力，這意味著運維人員自身也被停電引發(fā)的黑暗所籠罩。

作為有史以來*得到確認的電力設(shè)施攻擊行動，此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網(wǎng)絡(luò)并發(fā)動功能測試攻擊的機會主義者；根據(jù)相關(guān)廣泛調(diào)查得出的結(jié)論，這群惡意人士擁有高超的技術(shù)水平及藏身策略。他們已經(jīng)拿出幾個月時間對攻擊細節(jié)進行精心策劃，包括首先偵察并研究網(wǎng)絡(luò)條件、獲取運維人員登錄憑證，而后發(fā)動這次嚴密編排下的同步攻擊活動。

無論如何，此次攻擊成功影響到了烏克蘭的發(fā)電設(shè)施，并給各國的諸多配電中心帶來值得借鑒的重要啟示，無論停電事故的真正意圖是什么，這都是有史以來*次針對電力網(wǎng)絡(luò)開展的攻擊行為。

當(dāng)運維人員當(dāng)時可能根本不知道屏幕上四處亂動的光標究竟意味著什么，但如今*的運維人員都得到了一項明確的警告——目前這種攻擊持續(xù)時間不長且危害并不嚴重，但下一次可就不一定了。

你的工控系統(tǒng)不是在“裸奔”，作為儀表人你拿什么阻擋？

什么是工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)(ICS)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括SCADA、DCS、PLC、RTU、IED以及接口技術(shù)等。

目前ICS主要面臨以下風(fēng)險

ICS風(fēng)險的主要根源

• 漏洞隱蔽性和嚴重性;

• 采用的硬件、軟件和通信協(xié)議。

• 安全重視不夠、連接無序、數(shù)據(jù)保護和應(yīng)急管理不足;設(shè)計上考慮到封閉性、主要以傳統(tǒng)安全為主。

• 默認配置、連接、組網(wǎng)、采購升級無序;主要基于工業(yè)應(yīng)用的場景和執(zhí)行效率。

工控平臺的脆弱性

• 平臺本身的安全漏洞問題;

• 殺毒軟件安裝及升級更新問題;

• 大量默認配置和默認口令;

• 平臺和通用平臺漏洞。

工控網(wǎng)絡(luò)的脆弱性

TCP/IP等通用協(xié)議與開發(fā)標準引入工業(yè)控制系統(tǒng)，特別是物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新興技術(shù)，使得理論上的物理隔離網(wǎng)絡(luò)正因為需求和業(yè)務(wù)模式的改變而不再切實可行。傳統(tǒng)的威脅同樣會在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。

• 邊界安全策略缺失;

• 系統(tǒng)安全防御機制缺失;

• 管理制度缺失或不完善;

• 網(wǎng)絡(luò)配置規(guī)范缺失;

• 監(jiān)控與應(yīng)急響應(yīng)機制缺失;

• 網(wǎng)絡(luò)通信(無線接入+撥號網(wǎng)絡(luò))保障機制缺失;

• 基礎(chǔ)設(shè)施可用性保障機制缺失。

安全管理、標準和人才的脆弱性

缺乏完整有效安全管理、標準和資金投入是當(dāng)前我國工業(yè)控制系統(tǒng)的難題之一。其次，過多的強調(diào)網(wǎng)絡(luò)邊界的防護、內(nèi)部環(huán)境的封閉，讓內(nèi)部安全管理變得混亂。另外，既了解工控系統(tǒng)原理和業(yè)務(wù)操作又懂信息安全的人才少之又少，為混亂的工控安全管理埋下了伏筆。Z后，內(nèi)網(wǎng)審計、監(jiān)控、準入、認證、終端管理等缺失也是造成工控系統(tǒng)安全威脅的重要原因。如：使用U盤、光盤導(dǎo)致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監(jiān)控和審計等問題。

工業(yè)控制系統(tǒng)信息安全規(guī)范

2016年12月27日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》

2016年10月17日，工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》

2016年10月13日，《GB/T 33009 工業(yè)自動化儀表和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS)》發(fā)布

美國《工業(yè)控制系統(tǒng)安全指南》也對ICS系統(tǒng)安全防護作出了指導(dǎo)意見。

如何做好工控安全防護工作

一、安全軟件選擇與管理

（一）在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。

（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

二、配置和補丁管理

（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。

（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

（三）密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

三、 邊界安全防護

（一）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。

（二）通過工業(yè)控制網(wǎng)絡(luò)邊界防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

（三）通過工業(yè)防火墻、網(wǎng)閘等防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進行邏輯隔離安全防護。

四、物理和環(huán)境安全防護

（一）對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。

（二）拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機外設(shè)安全管理技術(shù)手段實施嚴格訪問控制。

五、身份認證

（一）在工業(yè)主機登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認證。

（二）合理分類設(shè)置賬戶權(quán)限，以Z小特權(quán)原則分配賬戶權(quán)限。

（三）強化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。

（四）加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

六、遠程訪問安全

（一）原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、net等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。

（二）確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

（三）確需遠程維護的，采用虛擬網(wǎng)絡(luò)（VPN）等遠程接入方式進行。

（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。

七、安全監(jiān)測和應(yīng)急預(yù)案演練

（一）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。

（二）在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設(shè)備，限制違法操作。

（三）制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。

（四）定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練，必要時對應(yīng)急響應(yīng)預(yù)案進行修

訂。

八、資產(chǎn)安全

（一）建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置規(guī)則。

（二）對關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進行冗余配置。

九、數(shù)據(jù)安全

（一）對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理。

（二）定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

（三）對測試數(shù)據(jù)進行保護。

十、供應(yīng)鏈管理

（一）在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維或評估等服務(wù)商時，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。

（二）以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。

十一、落實責(zé)任

通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實工控安全責(zé)任制，部署工控安全防護措施。

結(jié)束語

工控系統(tǒng)安全是關(guān)系國計民生的重大戰(zhàn)略問題，在當(dāng)前新形勢下，如何對工控系統(tǒng)進行防護，防止來自內(nèi)部、外部的安全威脅和惡意攻擊，是信息安全領(lǐng)域面臨的重大挑戰(zhàn)，我們儀表人首先要解決好安全認識問題，這一點是工控安全的難點和重點問題，其次在夯實網(wǎng)絡(luò)安全基礎(chǔ)方面，“做好等級保護、風(fēng)險評估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作，完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機制”。