《今日自動(dòng)化》  上海工業(yè)自動(dòng)化儀表研究院/繆學(xué)勤

   眾所周知，2010年6月伊朗布什爾核電廠(chǎng)遭到“Stuxnet（震網(wǎng)）”病毒的攻擊，該病毒利用Windows操作系統漏洞，透過(guò)USB傳播，專(zhuān)門(mén)攻擊西門(mén)子公司設計制造的供水、發(fā)電等基礎設施的工業(yè)控制系統。經(jīng)過(guò)大量數據的分析研究發(fā)現，“震網(wǎng)”蠕蟲(chóng)病毒能夠尋找目標設施的控制系統，并且只有在指定配置的工業(yè)控制系統中才會(huì )被激活，從而控制被攻擊核電設施的冷卻系統或渦輪機的運作，最嚴重情況，病毒能控制關(guān)鍵過(guò)程并開(kāi)啟一連串執行程序，可讓設施失控，最終導致整個(gè)系統自我毀滅。因為這種Stuxnet病毒的目標是攻擊核電站，所以被形容為全球首個(gè)“計算機超級武器”或“網(wǎng)絡(luò )炸彈”。受“Stuxnet”病毒的影響，同年8月，伊朗布什爾核電廠(chǎng)啟用后發(fā)生了一連串的故障。但由于發(fā)現早，并及時(shí)采取措施，沒(méi)有造成嚴重后果。但是，“震網(wǎng)”病毒事件，已充分反映出工業(yè)控制系統信息安全面臨著(zhù)嚴峻的形勢。

   伊朗遭遇第二輪網(wǎng)絡(luò )戰病毒攻擊

   最近，多家國際計算機病毒防控機構先后發(fā)出警告，他們發(fā)現一種威力強大的網(wǎng)絡(luò )病毒“火焰”(Flame)正在中東地區大范圍傳播。其中，伊朗受病毒影響最嚴重。新型網(wǎng)絡(luò )病毒的目的是收集伊朗石油行業(yè)工廠(chǎng)企業(yè)關(guān)鍵信息，以配合正在對伊朗進(jìn)行的石油戰。

   研究表明，“火焰”病毒利用“視窗”操作系統漏洞侵入,可借助局域網(wǎng)絡(luò )、打印網(wǎng)絡(luò )和USB接口等傳播。這一病毒呈現木馬病毒和蠕蟲(chóng)病毒的部分特征, 不會(huì )中斷終端系統,其目的只是收集情報。它實(shí)際是一個(gè)工具包，當計算機感染最初的“火焰”病毒后，計算機就會(huì )被安裝特定的任務(wù)模塊。這些特定的任務(wù)模塊可捕捉鍵盤(pán)敲擊、竊取密碼、刪除硬盤(pán)數據、自動(dòng)截取屏幕信息、激活語(yǔ)音系統竊聽(tīng)網(wǎng)絡(luò )電話(huà)和聊天內容，甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的內容。然后再將竊取到的這些資料發(fā)送給遠程操控該病毒的服務(wù)器。病毒編寫(xiě)者借助北美、歐洲和亞洲等地區大約80個(gè)服務(wù)器操控病毒，一旦完成搜集數據任務(wù)，這些病毒還可自行毀滅，不留蹤跡。以復雜程度和功能效力衡量,新現身的“火焰”病毒超過(guò)已知的任何一種計算機病毒。“火焰”是危險的間諜工具，可以用于攻擊關(guān)鍵的基礎設施。盡管伊朗宣布病毒被發(fā)現并得到有效遏制，但是早在今年4月，火焰病毒就竊取了伊朗石油行業(yè)工廠(chǎng)企業(yè)系統的大量信息，石油出口貢獻伊朗財政收入的80%，對經(jīng)濟起至關(guān)重要作用。

   防患未然，早日建立縱深防御體系

   為了確保國家經(jīng)濟安全，加強工業(yè)控制系統信息安全，工信部于2011年9月下發(fā)了（工信部協(xié)〔2011〕451號）《關(guān)于加強工業(yè)控制系統信息安全管理的通知》。通知指出工業(yè)控制系統廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設備的運行，一旦工業(yè)控制系統信息安全出現漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，病毒、木馬等威脅正在向工業(yè)控制系統擴散，工業(yè)控制系統信息安全問(wèn)題日益突出。

   為了提高工業(yè)控制系統及其工業(yè)通信網(wǎng)絡(luò )的信息安全性，國際電工委員會(huì )從技術(shù)和管理兩個(gè)方面制定了IEC 62443 “用于工業(yè)過(guò)程測量和控制的網(wǎng)絡(luò )與系統信息安全”國際標準，標準規定工業(yè)控制系統分成5層，每層都要采取信息安全防護措施，以構成多層分布式縱深防御體系架構，如圖1所示。從圖中看出，在第5（企業(yè)）層，工廠(chǎng)企業(yè)防火墻用于保護整個(gè)企業(yè)防御Internet的安全威脅；在第3/4 (監控) 層，管理層到控制系統的具有DMZ隔離區的防火墻用于保護整個(gè)控制系統；在第1/2（現場(chǎng)設備）層，分布式安全組件則用于保護諸如PLC或DCS等關(guān)鍵設備。

   根據上述信息安全標準的概念，德國菲尼克斯電氣公司研發(fā)了FL MGUARD工業(yè)信息安全組件，該組件可以使用在這種分布式架構中，它們保護部分系統網(wǎng)絡(luò )、每一個(gè)生產(chǎn)單元或一個(gè)單獨的自動(dòng)化設備。FL MGUARD平臺是一個(gè)獨立的系統，該平臺可以直接集成到連接至工業(yè)網(wǎng)絡(luò )的工業(yè)計算機，若有需要，也可以PCI卡的形式完成集成。工業(yè)信息安全組件基于硬件的安全協(xié)議的實(shí)現既不需要修改計算機的配置，也不需要定期進(jìn)行軟件升級，相對于被保護系統所使用的處理機和操作系統，它是完全獨立的系統，絕不會(huì )對系統產(chǎn)生負面影響。

   由于采用的分布式安全系統架構是為每個(gè)工業(yè)系統的中央計算機、控制計算機或生產(chǎn)機器人分配一個(gè)其自身的工業(yè)信息安全組件，因而它具有獨立的安全等級，并特地配置了訪(fǎng)問(wèn)權和其它方面的中央管理功能。工業(yè)信息安全組件使用被其保護的計算機相同的IP地址，因而它不會(huì )被入侵者識別，使它很難被發(fā)現，從而避免了隨之而來(lái)的攻擊。同時(shí)，該組件配置了基于Kaspersky Lab技術(shù)的病毒掃描器，用于監視數據源以識別協(xié)議中的病毒（如HTTP、SMTP和FTP），使得工業(yè)自動(dòng)化系統能夠全面防御DOS、DDOS以及網(wǎng)絡(luò )病毒的攻擊。

   目前，一些國家正在進(jìn)行進(jìn)攻性和防御性?xún)煞N網(wǎng)絡(luò )戰爭系統的研究。我國應當防患未然，從戰略高度考慮，按照國際標準嚴格要求工廠(chǎng)企業(yè)在信息安全建設之初，即根據業(yè)務(wù)發(fā)展的需要，明確風(fēng)險狀況與安全需求、確立企業(yè)信息安全架構的藍圖及建設路線(xiàn)圖，根據實(shí)際情況和需要選擇相應的安全功能組件。從技術(shù)上實(shí)施系統的安全防護，工廠(chǎng)企業(yè)應設置多道安全防線(xiàn)，提高系統的入侵檢測能力、事件反應能力和快速恢復能力，形成綜合的、立體的網(wǎng)絡(luò )安全技術(shù)防護體系，使得重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全走向縱深防御階段。