本期導讀：

伊朗*爾核電站開車之際為何1/5的離心機報廢？

烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線，使得超過23萬名居民陷入無電可用的困境？

你的工控系統是在“裸奔”嗎？拿什么手段防御入侵？

引言

5月12日，一個名為WNCRYPT“永恒之藍”的勒索病毒悄然爆發，并在短短時間內迅速感染了超過150個國家和地區的計算機系統，此次在范圍內爆發的WNCRYPT“永恒之藍”勒索病毒事件不僅感染了醫療系統、快遞公司、學校、銀行、jingcha局等，還感染了很多大型石油石化公司。

隨著信息化的推動和工業化進程的加速，計算機和網絡技術越來越多地應用于工業控制系統，為工業生成帶來極大推動的同時，也帶來了工業控制系統(簡稱工控系統)安全性的問題。據機構統計，截至2017年底，發生了1000余起針對工控系統的攻擊事件。工控系統是現代工業基礎設施的核心，包括過程控制、數據采集系統、分布式控制系統、程序邏輯控制以及其他控制系統等，廣泛應用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域，是國家關鍵基礎設施的重要組成部分。而工業控制系統的安全，更關系到國家的戰略安全。

如何保證工業控制系統的安全，已引起國家相關部門的高度重視，企業應充分認識工業控制系統信息安全的重要性和緊迫性，切實加強工業控制系統信息安全管理，以保障工業生產運行安全、國家經濟安全和人民生命財產安全。

世界兩大工業控制系統(ICS)事件回顧！

事件一：世界ICS入侵*事件伊朗“震網”病毒事件

2011年2月，伊朗突然宣布暫時卸載首座核電站——*爾核電站的核燃料，西方國家也悄悄對伊朗核計劃進展預測進行了重大修改。但就在幾個月前，美國和以色列還在警告，伊朗只需一年就能擁有快速制造hewuqi的能力。為什么會突然出現如此重大變化？因為*爾核電站遭到“震網”病毒攻擊，1/5的離心機報廢。自2010年8月該核電站啟用后就發生連串故障，伊朗政府表面聲稱是天熱所致，但真正原因卻是核電站遭病毒攻擊。一種名為“震網”（Stuxnet）的蠕蟲病毒，侵入了伊朗工廠企業甚至進入西門子為核電站設計的工業控制軟件，并可奪取對一系列核心生產設備尤其是核電設備的關鍵控制權。

“震網”包含復雜的惡意代碼，是一種典型的計算機病毒，能自我復制，并將副本通過網絡傳輸，任何一臺個人電腦只要和染毒電腦相連，自動傳播給其他與之相連的電腦，Z后造成大量網絡流量的連鎖效應，導致整個網絡系統癱瘓。“震網”主要通過U盤和局域網進行傳播，是*個利用Windows“零日漏洞”，專門針對工業控制系統發動攻擊的惡意軟件，能夠攻擊石油運輸管道、發電廠、大型通信設施、機場等多種工業和民用基礎設施，被稱為“網絡daodan”。

“震網”無須通過互聯網便可傳播，只要目標計算機使用微軟系統，“震網”便會偽裝RealTek與JMicron兩大公司的數字簽名，順利繞過安全檢測，自動找尋及攻擊工業控制系統軟件，以控制設施冷卻系統或渦輪機運作，甚至讓設備失控自毀，而工作人員卻毫不知情。由此，“震網”成為*個專門攻擊物理世界基礎設施的蠕蟲病毒?？梢哉f，“震網”也是有史以來Z的蠕蟲病毒，是*超級網絡武器

事件二：烏克蘭電網攻擊事件

2015年12月23號下午3：30，烏克蘭西部伊萬諾-弗蘭科夫斯克地區的居民們結束了一天的工作，陸續走向通往溫暖家中的寒冷街道。而在負責當地電力供應的Prykarpattyaoblenergo控制中心，運維人員也即將完成自己的當次輪班。但就在這一切順利推進的同時，平靜被打破了，一 位當值人員在整理桌上文件時，突然發現自己的計算機屏幕上的光標開始四處游移。

他看到光標指向負責當地變電站斷路器的導航按鈕，點擊對話框并選擇斷開斷路器——這項操作將使得整座變電站全面下線。接下來，屏幕上出現了確認窗口以復核上述操作，這位運維人員目瞪口呆地看著光標移動到框體之內并點擊了確定。這時他已經可以肯定，城外的某處區域內數以千計的居民將因此陷入黑暗與寒冷當中。

這位運維人員立刻抓起鼠標，試圖奪回對光標的控制權——但他的反應似乎還是慢了一點。光標隨后朝著另一個斷路器控制按鈕移動，而設備亦突然將他從控制面板中登出。雖然他反復嘗試重復登錄，但攻擊者變更了他的密碼內容，使其無法順利完成驗證。這時候，他能做的只有無奈地盯著屏幕，眼睜睜地看著設備中的惡意幽靈斷開一個又一個斷路器，Z終導致約30座變電站下線。然而攻擊者并沒有就這樣停下腳步。此次攻擊還影響到另外兩座配電中心，這意味著遭遇下線的變電站數量幾乎翻了一倍，使得超過23萬名居民陷入無電可用的困境。不僅如此，其亦無法從總計三座電力供應中心的兩座處獲取備用電力，這意味著運維人員自身也被停電引發的黑暗所籠罩。

作為有史以來*得到確認的電力設施攻擊行動，此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網絡并發動功能測試攻擊的機會主義者；根據相關廣泛調查得出的結論，這群惡意人士擁有高超的技術水平及藏身策略。他們已經拿出幾個月時間對攻擊細節進行精心策劃，包括首先偵察并研究網絡條件、獲取運維人員登錄憑證，而后發動這次嚴密編排下的同步攻擊活動。

無論如何，此次攻擊成功影響到了烏克蘭的發電設施，并給各國的諸多配電中心帶來值得借鑒的重要啟示，無論停電事故的真正意圖是什么，這都是有史以來*次針對電力網絡開展的攻擊行為。

當運維人員當時可能根本不知道屏幕上四處亂動的光標究竟意味著什么，但如今*的運維人員都得到了一項明確的警告——目前這種攻擊持續時間不長且危害并不嚴重，但下一次可就不一定了。

你的工控系統不是在“裸奔”，作為儀表人你拿什么阻擋？

什么是工業控制系統

工業控制系統(ICS)是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。其核心組件包括SCADA、DCS、PLC、RTU、IED以及接口技術等。

目前ICS主要面臨以下風險

ICS風險的主要根源

• 漏洞隱蔽性和嚴重性;

• 采用的硬件、軟件和通信協議。

• 安全重視不夠、連接無序、數據保護和應急管理不足;設計上考慮到封閉性、主要以傳統安全為主。

• 默認配置、連接、組網、采購升級無序;主要基于工業應用的場景和執行效率。

工控平臺的脆弱性

• 平臺本身的安全漏洞問題;

• 殺毒軟件安裝及升級更新問題;

• 大量默認配置和默認口令;

• 平臺和通用平臺漏洞。

工控網絡的脆弱性

TCP/IP等通用協議與開發標準引入工業控制系統，特別是物聯網、云計算、移動互聯網等新興技術，使得理論上的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。傳統的威脅同樣會在工業網絡中重現。

• 邊界安全策略缺失;

• 系統安全防御機制缺失;

• 管理制度缺失或不完善;

• 網絡配置規范缺失;

• 監控與應急響應機制缺失;

• 網絡通信(無線接入+撥號網絡)保障機制缺失;

• 基礎設施可用性保障機制缺失。

安全管理、標準和人才的脆弱性

缺乏完整有效安全管理、標準和資金投入是當前我國工業控制系統的難題之一。其次，過多的強調網絡邊界的防護、內部環境的封閉，讓內部安全管理變得混亂。另外，既了解工控系統原理和業務操作又懂信息安全的人才少之又少，為混亂的工控安全管理埋下了伏筆。Z后，內網審計、監控、準入、認證、終端管理等缺失也是造成工控系統安全威脅的重要原因。如：使用U盤、光盤導致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監控和審計等問題。

工業控制系統信息安全規范

2016年12月27日，國家互聯網信息辦公室發布《國家網絡空間安全戰略》

2016年10月17日，工業和信息化部發布《工業控制系統信息安全防護指南》

2016年10月13日，《GB/T 33009 工業自動化儀表和控制系統網絡安全 集散控制系統(DCS)》發布

美國《工業控制系統安全指南》也對ICS系統安全防護作出了指導意見。

如何做好工控安全防護工作

一、安全軟件選擇與管理

（一）在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經過工業企業自身授權和安全評估的軟件運行。

（二）建立防病毒和惡意軟件入侵管理機制，對工業控制系統及臨時接入的設備采取病毒查殺等安全預防措施。

二、配置和補丁管理

（一）做好工業控制網絡、工業主機和工業控制設備的安全配置，建立工業控制系統配置清單，定期進行配置審計。

（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

（三）密切關注重大工控安全漏洞及其補丁發布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

三、 邊界安全防護

（一）分離工業控制系統的開發、測試和生產環境。

（二）通過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護，禁止沒有防護的工業控制網絡與互聯網連接。

（三）通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。

四、物理和環境安全防護

（一）對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。

（二）拆除或封閉工業主機上不必要的USB、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

五、身份認證

（一）在工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程中使用身份認證管理。對于關鍵設備、系統和平臺的訪問采用多因素認證。

（二）合理分類設置賬戶權限，以Z小特權原則分配賬戶權限。

（三）強化工業控制設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。

（四）加強對身份認證證書信息保護力度，禁止在不同系統和網絡環境下共享。

六、遠程訪問安全

（一）原則上嚴格禁止工業控制系統面向互聯網開通HTTP、FTP、net等高風險通用網絡服務。

（二）確需遠程訪問的，采用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

（三）確需遠程維護的，采用虛擬網絡（VPN）等遠程接入方式進行。

（四）保留工業控制系統的相關訪問日志，并對操作過程進行安全審計。

七、安全監測和應急預案演練

（一）在工業控制網絡部署網絡安全監測設備，及時發現、報告并處理網絡攻擊或異常行為。

（二）在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備，限制違法操作。

（三）制定工控安全事件應急響應預案，當遭受安全威脅導致工業控制系統出現異常或故障時，應立即采取緊急防護措施，防止事態擴大，并逐級報送直至屬地省級工業和信息化主管部門，同時注意保護現場，以便進行調查取證。

（四）定期對工業控制系統的應急響應預案進行演練，必要時對應急響應預案進行修

訂。

八、資產安全

（一）建設工業控制系統資產清單，明確資產責任人，以及資產使用及處置規則。

（二）對關鍵主機設備、網絡設備、控制組件等進行冗余配置。

九、數據安全

（一）對靜態存儲和動態傳輸過程中的重要工業數據進行保護，根據風險評估結果對數據信息進行分級分類管理。

（二）定期備份關鍵業務數據。

（三）對測試數據進行保護。

十、供應鏈管理

（一）在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時，優先考慮具備工控安全防護經驗的企事業單位，以合同等方式明確服務商應承擔的信息安全責任和義務。

（二）以保密協議的方式要求服務商做好保密工作，防范敏感信息外泄。

十一、落實責任

通過建立工控安全管理機制、成立信息安全協調小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。

結束語

工控系統安全是關系國計民生的重大戰略問題，在當前新形勢下，如何對工控系統進行防護，防止來自內部、外部的安全威脅和惡意攻擊，是信息安全領域面臨的重大挑戰，我們儀表人首先要解決好安全認識問題，這一點是工控安全的難點和重點問題，其次在夯實網絡安全基礎方面，“做好等級保護、風險評估、漏洞發現等基礎性工作，完善網絡安全監測預警和網絡安全重大事件應急處置機制”。