摘要：工業(yè)控制系統的信息化以及自身的漏洞使其面臨著(zhù)嚴重的安全問(wèn)題，尤其是“震網(wǎng)”事件的發(fā)生，標志著(zhù)工業(yè)控制系統的安全問(wèn)題已經(jīng)上升到了國家的戰略安全。本文闡述了工業(yè)控制系統的安全問(wèn)題與工業(yè)漏洞的成因，并以液位控制
系統為例說(shuō)明了工業(yè)病毒如何利用工業(yè)漏洞對關(guān)鍵工控設備進(jìn)行攻擊，最后，介紹了自主研發(fā)的中科工業(yè)防火墻，說(shuō)明了中科工業(yè)防火墻對工業(yè)病毒行為的防御能力。

    關(guān)鍵詞：中科工業(yè)防火墻；工控設備；工業(yè)漏洞；工業(yè)病毒行為

    Abstract: Information technology and its own vulnerabilities in industrial control systems make it face serious security problems. Occurrence of "Stuxnet" event remarks the change from the security problem of industrial control system to the strategic security of a country. This paper describes the existed security problems of industrial control
systems and the causes of industrial vulnerabilities. An example of liquid level control system is introduced to show how industrial virus attacks on key industrial control equipment use industry vulnerability. Finally, the SIA Industrial Firewall is introduced, and defense capability to industrial virus of SIA Industrial Firewall is also illustrated.

    Key words: SIA industrial firewall; Industrial equipment; Industrial vulnerability; Industrial virus behavior 

    2010年“震網(wǎng)”病毒事件破壞了伊朗核設施，震驚全球。這標志著(zhù)網(wǎng)絡(luò )攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關(guān)鍵系統的“硬摧毀”階段。應對高級持續性威脅(Advanced Persistent Threat, APT)攻擊已成為確保國家關(guān)鍵基礎設施安全、保障國家安全的核心問(wèn)題。根據APT攻擊的威脅形式，工業(yè)控制系統面臨的安全問(wèn)題主要包括以下幾個(gè)方面：

     （1）控制器和操作站之間無(wú)隔離防護。PLC、RTU等現場(chǎng)設備非常脆弱，易受攻擊而導致崩潰。

    （2）DCS系統和上層數采網(wǎng)絡(luò )之間無(wú)隔離防護。WINDOWS平臺的控制系統工作站感染病毒和傳播危害極大，目前缺乏用于工業(yè)協(xié)議的防火墻。

    （3）APC和其它網(wǎng)絡(luò )無(wú)安全防護。APC經(jīng)常和外界接觸，易受感染。

    （4）OPC server無(wú)操作權限記錄。不同的用戶(hù)對OPC數據項的添加、瀏覽、讀/寫(xiě)等操作設定不同的權限，目前做不到深入檢查。

    （5）網(wǎng)絡(luò )事件無(wú)法追蹤記錄。對網(wǎng)絡(luò )故障進(jìn)行快速診斷，記錄、存儲、分析為減少事故帶來(lái)的損失和加強日后的事件管理帶來(lái)很大的方便。

    為什么APT攻擊能夠成功威脅到工業(yè)控制系統？

    首先，工業(yè)控制系統的安全策略與管理流程不完善。主要表現為：缺乏工業(yè)控制系統的安全培訓與意識培養、缺乏安全架構與設計、缺乏安全審計、缺乏業(yè)務(wù)連續性與災難恢復計劃等安全策略文檔與管理支持。

    其次，工業(yè)控制系統的系統平臺存在安全隱患。主要表現為：（1）操作系統存在漏洞；（2）硬件平臺存在隱患；（3）防病毒體系不健全。

    最后，工業(yè)控制網(wǎng)絡(luò )存在脆弱性。主要體現在：

     （1）網(wǎng)絡(luò )配置的脆弱性表現為有缺陷的網(wǎng)絡(luò )安全架構、口令傳輸未加密等；（2）網(wǎng)絡(luò )硬件的脆弱性表現為未保護的物理端口、關(guān)鍵網(wǎng)絡(luò )缺乏冗余備份等；（3）網(wǎng)絡(luò )邊界的脆弱性表現為未定義安全邊界、控制網(wǎng)絡(luò )傳輸而非控制網(wǎng)絡(luò )流量等；（4） 網(wǎng)絡(luò )通信的脆弱性表現為未標志出關(guān)鍵監控與控制路徑，通信缺乏完整性檢查等。

    根據上述分析，排除安全策略、防護缺陷等外在因素，工業(yè)控制系統自身的漏洞是帶來(lái)嚴重安全隱患的根本原因，而工控設備作為工業(yè)控制系統的關(guān)鍵基礎設施，它的漏洞問(wèn)題不容忽視。

    下面，以液位控制系統為例說(shuō)明工業(yè)病毒如何利用工業(yè)漏洞進(jìn)行攻擊。液位控制系統演示平臺模擬了煉油、化工生產(chǎn)工藝中液體凈化中液位控制過(guò)程。此演示平臺針對上位機軟件的漏洞，模擬“Stuxnet”病毒攻擊的效果，使底層凈化罐設備液位失控，而上位機監控畫(huà)面仍然顯示正常。其中上位機軟件的漏洞信息如表1所示。
 

    漏洞簡(jiǎn)介：KingView中存在基于堆的緩沖區溢出漏洞，該漏洞源于對用戶(hù)提供的輸入未經(jīng)正確驗證。攻擊者可利用該漏洞在運行應用程序的用戶(hù)上下文中執行任意代碼，攻擊失敗可能導致拒絕服務(wù)。KingView6.53.2010.18018版本中存在該漏洞，其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長(cháng)請求執行任意代碼。

    當系統正常運行未受到攻擊時(shí)，運行狀態(tài)如圖1所示。
 

    當上位機插入帶有病毒的U盤(pán)后，上位機系統感染工業(yè)病毒，液位控制系統無(wú)法正常運行，病毒感染后的系統運行狀態(tài)如圖2所示。
 

    從以上的例子可以得出結論：由于KingView中存在基于堆的緩沖區溢出漏洞，病毒利用該漏洞執行惡意操作，使得上位機HMI顯示與實(shí)際不符，即當液位控制系統出現液位已經(jīng)超過(guò)警戒線(xiàn)時(shí)，不能及時(shí)排出罐中液體，并且該漏洞的存在可使中控室中的HMI仍然顯示正常，因此在工作人員無(wú)法察覺(jué)的情況下，造成一定經(jīng)濟損失，嚴重時(shí)，可導致重大事故。

    如圖3所示，當將中科工業(yè)防火墻置于PLC與上位機HMI之間，并再次插入帶有病毒的U盤(pán)時(shí)，可以觀(guān)察到，上位機界面顯示正常，并且執行系統并未發(fā)生任何故障。
 

    中科工業(yè)防火墻SIA-IF1000-02TX基于工業(yè)級設計，面向工控協(xié)議的應用數據深度解析與檢測，具有良好的防護效果。其結構如圖4所示，技術(shù)參數如表2所示，產(chǎn)品特點(diǎn)如下：
 

    ·基于“區域”與“管道”的安全防護模型；

    ·工業(yè)級設計低功耗無(wú)風(fēng)扇，工業(yè)級防腐設計，導軌式安裝；

    ·面向工控協(xié)議的應用數據深度防御；

    ·兼容所有PLC、HMI、RTU等工業(yè)控制設備；

    ·基于規則策略的訪(fǎng)問(wèn)控制和Syslog的實(shí)時(shí)報警技術(shù)；

    ·通過(guò)管控軟件應用安全的通信方式進(jìn)行組態(tài)；

    ·電源采用12VDC電壓冗余供電，提高硬件可靠性；

    ·多模式運行包括直通、管控和自學(xué)習模式。
 

    中科工業(yè)防火墻的典型部署結構如圖5所示。中科工業(yè)防火墻分別位于管理層與控制層之間和控制層內部，分別用于
OPC解析與防護和Modbus解析與防護。位于管理層與控制層之間的中科工業(yè)防火墻可以起到分區隔離，避免病毒擴散的目的。位于控制層內部的中科工業(yè)防火墻可以起到保護控制器，阻止對控制器的任何非法訪(fǎng)問(wèn)及控制的目的。

 

    作者簡(jiǎn)介

    尚文利（1974-），黑龍江北安人，副研究員，博士，碩士研究生導師，現為中國科學(xué)院沈陽(yáng)自動(dòng)化研究所副研究員，主要研究方向為計算智能與機器學(xué)習、智能檢測與故障診斷、工業(yè)控制系統信息安全。