1　引言

隨著(zhù)工業(yè)信息化的快速發(fā)展，涉及國計民生的電力、交通、市政、化工、關(guān)鍵制造業(yè)等行業(yè)的工業(yè)控制系統（以下簡(jiǎn)稱(chēng)工控系統），因其重要性及其重視功能實(shí)現而缺乏足夠安全性考慮所造成的自身安全缺陷，使其面臨著(zhù)來(lái)自各種黑客組織或敵對勢力日益嚴峻的網(wǎng)絡(luò )威脅^[1][2]。我們的研究表明：伊朗核電站的“震網(wǎng)病毒”事件之后，信息網(wǎng)絡(luò )及系統相關(guān)的高風(fēng)險安全漏洞正在逐漸被雪藏^[3]。我們認為造成這種現象的最大可能是：大量高風(fēng)險未公開(kāi)的漏洞通過(guò)地下經(jīng)濟被出賣(mài)，或被某些國家/組織高價(jià)收購，目的是利用其開(kāi)發(fā)0-day攻擊或高級持久威脅（Advanced Persistent Threat ，APT）的攻擊技術(shù)，為未來(lái)可能的網(wǎng)絡(luò )對抗做準備^[1]。2010年以來(lái)一系列的APT攻擊事件表明，利用0-day漏洞或“水坑”模式的新型攻擊正成為網(wǎng)絡(luò )空間安全防護的新挑戰^[1]。而工控系統因其對于國家的重要性，將極可能使其成為未來(lái)網(wǎng)絡(luò )戰的重要攻擊目標，除了伊朗核電站的“震網(wǎng)病毒”事件之外，最近公開(kāi)的“蜻蜓組織”^[4]利用Havex惡意代碼^[5][6][7]攻擊歐美上千家能源企業(yè)等工控系統領(lǐng)域頻發(fā)的安全事件也在進(jìn)一步證實(shí)這種推斷。

不管攻擊者的目的是出于經(jīng)濟目的（如南美某國電網(wǎng)被攻擊者敲詐勒索^[8]）、意識形態(tài)的紛爭（如“燕子行動(dòng)”^[9]），甚至是國家間網(wǎng)絡(luò )戰對抗的需要（如“震網(wǎng)事件”、“蜻蜓組織攻擊事件^[4]”），我們都必須深入研究工控系統的安全性及其可能遭受到的各種威脅，加強行業(yè)用戶(hù)的信息安全意識培訓，進(jìn)行工控系統的信息安全狀況調查及系統脆弱性評估與整改，并在此基礎上提供切實(shí)有效的信息安全防護措施，以確保這些關(guān)系國計民生的工控系統的安全運營(yíng)。

本文將在前期研究的基礎^[1][2][10]上，對體現工控系統自身脆弱性的公開(kāi)漏洞情況進(jìn)行統計分析，并結合近期典型工控安全攻擊事件，分析工控系統當前所面臨的安全威脅態(tài)勢及應對策略。

2　工控系統的脆弱性分析

截止到2014年6月，我們以綠盟科技安全漏洞庫收錄的工控系統相關(guān)漏洞為基礎，參考美國CVE[11]、ICS-CERT以及中國國家信息安全漏洞共享平臺所發(fā)布的漏洞信息[12] [13]，整理出了549個(gè)與工控系統相關(guān)的公開(kāi)漏洞。本節將重點(diǎn)分析公開(kāi)工控漏洞的統計特征和變化趨勢，主要涉及漏洞的總體變化趨勢、漏洞的嚴重程度、漏洞所影響的工控系統類(lèi)型、漏洞的危害等幾個(gè)方面。

2.1　公開(kāi)漏洞數總體上保持快速增長(cháng)的趨勢

圖1　工控漏洞的年度變化趨勢

圖1給出了當前所收集工控漏洞年度增量的變化趨勢，在2011年之前，公開(kāi)披露的工業(yè)控制系統相關(guān)漏洞數量相當少，但在2011年出現快速增長(cháng)，這可能是因為2010年的Stuxnet蠕蟲(chóng)事件之后，人們對工業(yè)控制系統安全問(wèn)題持續關(guān)注以及工業(yè)控制系統廠(chǎng)商分析解決歷史遺留安全問(wèn)題所造成的。隨著(zhù)各方面對工業(yè)控制系統的安全日益重視，工業(yè)控制系統的相關(guān)公開(kāi)漏洞數量仍將保持一個(gè)快速增長(cháng)的總體趨勢。

2.2　工控系統漏洞涉及廠(chǎng)商依然以國際廠(chǎng)商為主

圖2給出了公開(kāi)漏洞涉及主要工控系統廠(chǎng)商的統計分析情況。分析結果表明，公開(kāi)漏洞所涉及的工控系統廠(chǎng)商仍然是以國際著(zhù)名廠(chǎng)商為主，西門(mén)子（Siemens）、施耐德電氣（Schneider）、研華科技（Advantech）、通用電氣（GE）與羅克韋爾自動(dòng)化（Rockwell Automation）占據漏洞數排行榜的前五名。用戶(hù)調研結果表明，這些國際著(zhù)名工控系統廠(chǎng)商的產(chǎn)品在國內市場(chǎng)上占據優(yōu)勢地位，甚至某些產(chǎn)品在某些行業(yè)處于明顯的壟斷地位。這種情況必然會(huì )造成這些廠(chǎng)商的產(chǎn)品倍受系統攻防雙方的重視和關(guān)注，而且也比較容易獲得研究分析用戶(hù)的產(chǎn)品，這很可能就是公開(kāi)漏洞涉及到的工控系統廠(chǎng)商總是以國際廠(chǎng)商為主的主要原因。由于漏洞數量與產(chǎn)品自身的安全性、復雜度、受研究者關(guān)注程度以及工控系統廠(chǎng)商對自身系統安全性的自檢力度都有關(guān)系，所以我們并不能簡(jiǎn)單地認為公開(kāi)漏洞數量越多的廠(chǎng)商產(chǎn)品越不安全^[10]。但是卻可以通過(guò)該信息評估用戶(hù)工控系統所存在的安全脆弱性狀況，并據此進(jìn)行系統的安全加固、調整安全防護策略，來(lái)增強系統的整體安全防護能力。

圖2　公開(kāi)漏洞涉及的工控系統廠(chǎng)商（ Top10）

圖3給出了2014年上半年新增漏洞涉及工控廠(chǎng)商的情況，其中西門(mén)子以新增25個(gè)公開(kāi)漏洞，占比39%依然位居首位，研華科技則以新增10個(gè)公開(kāi)漏洞，占比15.4%而升據第二。施耐德電氣則以半年新增4個(gè)漏洞（占比6%）依然位列三甲之內。但需要注意的是，與圖2的總體情況相比仍有不小的變化：

（1）日本橫河電機株式會(huì )社(YOKOGAWA)首次進(jìn)入我們的關(guān)注視野，就以半年新增4個(gè)漏洞，與施耐德電氣并列2014半年度新增漏洞的第三名。日本橫河電機作為工控行業(yè)的著(zhù)名跨國公司之一，其集散型控制系統（DCS）、PLC等工控產(chǎn)品在國內石油、化工等大型工廠(chǎng)生產(chǎn)過(guò)程有著(zhù)較為廣泛的應用，自然也會(huì )受到重點(diǎn)關(guān)注。

（2）排名第四、第五的Cogent、Ecava則是兩家專(zhuān)業(yè)的工控軟件廠(chǎng)商，表明除了著(zhù)名國際廠(chǎng)商之外，在工控軟件某個(gè)子領(lǐng)域內相對領(lǐng)先的企業(yè)也日益受到關(guān)注。

2.3　工控系統存在嚴重的安全隱患及攻擊威脅

本文在分析這些漏洞的嚴重性時(shí)，將主要根據CVE的CVSS評估值來(lái)判斷，并劃分為高、中、低三種情況。圖4表明，2014年的新增漏洞中“高?！甭┒矗–VSS值范圍7.0~10.0）超過(guò)一半（51%），且基本上都是嚴重性程度為“中”以上（CVSS值大于等于4.0）的漏洞。

圖3　2014年新增工控漏洞涉及的主要廠(chǎng)商

圖4　2014年新增漏洞按嚴重程度的分類(lèi)分析

這些漏洞可導致的主要攻擊威脅的統計分析如圖5所示：其中，拒絕服務(wù)類(lèi)漏洞占比最高（約33%），這對強調業(yè)務(wù)連續性的工控系統來(lái)說(shuō)不是一個(gè)好消息。位居其次的是緩沖區溢出類(lèi)漏洞，其占比也高達20%，這類(lèi)漏洞較多則可能是因為工控系統在軟件開(kāi)發(fā)階段缺乏嚴格的編程規范及要求。同樣，可導致信息泄露、遠程控制及權限提升類(lèi)的工控漏洞也是攻擊者最為關(guān)注的，利用這些漏洞可以竊取制造企業(yè)的設計圖紙、生產(chǎn)計劃、工藝流程等敏感信息，甚至能獲得工控系統的控制權，干擾、破壞工控業(yè)務(wù)的正常生產(chǎn)或運營(yíng)活動(dòng)。

顯然，這些漏洞可能造成的主要威脅情況也可以從側面說(shuō)明當前工控系統安全所應關(guān)注的主要安全問(wèn)題。

圖5　2014年新增漏洞的威脅分類(lèi)分析（ TOP 5）

2.4　與 SCADA/HMI相關(guān)的漏洞為主，占比超過(guò) 40%

圖6給出2014年新增漏洞按產(chǎn)品相關(guān)分類(lèi)的情況，其中，與SCADA/HMI相關(guān)的漏洞為主，其占比超過(guò)40%；PLC相關(guān)的漏洞以近30%的占比緊隨其后。而集散控制系統（DCS）及OPC相關(guān)的漏洞也各占將近10%的份額。這表明攻、防雙方都可能把主要精力放在工控系統的控制設備或工業(yè)控制管理軟件系統的安全性分析上了。當然，工控系統的網(wǎng)絡(luò )設備（網(wǎng)絡(luò )交換機）及工業(yè)網(wǎng)絡(luò )管理軟件的安全性也受到了一定的關(guān)注。

圖6　2014年新增漏洞涉及的工控產(chǎn)品

3　工控系統面臨的信息安全威脅

3.1　工控信息安全事件增長(cháng)快速，能源行業(yè)易受攻擊

近年來(lái)，工業(yè)控制系統相關(guān)的信息安全事件正在呈快速增長(cháng)的趨勢（如圖7）。2013年度內處理的信息安全事件就達256件[13]，而這些事件又多分布在能源、關(guān)鍵制造業(yè)、市政、交通等涉及國計民生的關(guān)鍵基礎行業(yè)（如圖8）；其中以電力為主的能源行業(yè)相關(guān)的信息安全事件高達151件，接近全年信息安全事件的三分之二。這與能源行業(yè)對于現實(shí)社會(huì )的重要性及其工控系統的自動(dòng)化程度、信息化程度較高有相當的關(guān)系。

圖7　ICS-CERT歷年公布工控信息安全事件的統計分析

圖8　2013年工控信息安全事件涉及的重要行業(yè)（ ICS-CERT）

3.2　APT已成為針對工控系統的主要攻擊方式

自2010年APT出現在公眾視野之后，業(yè)內已經(jīng)陸續報道了數十起APT攻擊事件，其中不乏針對工控系統的攻擊事件[1]。自Stuxnet、Flame、Duqu這些著(zhù)名的攻擊手段之后，2014年6月25日ICS-CERT在題為“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02[5]中，通報了一種類(lèi)似震網(wǎng)病毒（Stuxnet）的專(zhuān)門(mén)針對工控系統攻擊的新惡意代碼。安全廠(chǎng)商F-Secure首先發(fā)現了這種惡意代碼并將其作為后門(mén)命名為W32/Havex.A，F-Secure稱(chēng)它是一種通用的遠程訪(fǎng)問(wèn)木馬（RAT,即Remote Access Trojan）。

圖9　Havex的攻擊原理

根據ICS-CERT、F-secure、Symentec等多家安全公司的研究表明[5~7]：Havex多被用于從事工業(yè)間諜活動(dòng)，其主要攻擊對象是歐洲的許多使用和開(kāi)發(fā)工業(yè)應用程序和機械設備的公司。而且網(wǎng)絡(luò )攻擊者傳播Havex惡意軟件方式有多種：除了利用工具包、釣魚(yú)郵件、垃圾郵件、重定向到受感染的Web網(wǎng)站等傳統感染方式外，還采用了“水坑式”攻擊方式，即通過(guò)滲透到目標軟件公司的Web站點(diǎn)，并等待目標安裝那些合法APP的感染惡意代碼的版本。ICS-CERT的安全通告稱(chēng)當前至少已發(fā)現3個(gè)著(zhù)名的工業(yè)控制系統提供商的Web網(wǎng)站已受到該惡意代碼的感染。

F-Secure聲稱(chēng)他們已收集和分析了Havex RAT的88個(gè)變種，并認為Havex及其變種多通過(guò)利用OPC標準被用來(lái)從目標網(wǎng)絡(luò )和機器獲取權限并搜集大量數據 [6][7]（如圖9）。但攻擊者應該不僅僅是對這些目標公司的系統信息感興趣，而必然會(huì )對獲取那些目標公司所屬的ICS或SCADA系統的控制權更感興趣。

3.3　黑客組織是工控系統所面臨的最大安全威脅

在2014年1月，網(wǎng)絡(luò )安全公司CrowdStrike曾披露了一項被稱(chēng)為“Energetic Bear”的網(wǎng)絡(luò )間諜活動(dòng)，在這項活動(dòng)中黑客們可能試圖滲透歐洲、美國和亞洲能源公司的計算機網(wǎng)絡(luò )。據CrowStrke稱(chēng)，那些網(wǎng)絡(luò )攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，該公司懷疑Havex RAT有可能以某種方式被俄羅斯黑客連接，或者由俄羅斯政府資助實(shí)施。

賽門(mén)鐵克在其研究報告中聲稱(chēng)黑客組織Energetic Bear（也被稱(chēng)為“Dragonfly”[4]）１，使用一種復雜的網(wǎng)絡(luò )武器Havex，在18個(gè)月的時(shí)間里影響了幾乎84個(gè)國家，并使1000多家歐洲和北美能源公司受損；而且大多數受害者機構基本上都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭等國家。顯然，“蜻蜓組織”有能力造成多個(gè)歐洲國家的能源供應中斷，具有極大的社會(huì )危害性。

賽門(mén)鐵克、F-secure、CrowdStrike等多家安全公司[4][6]在研究后基本認為：蜻蜓黑客組織的主要目標是實(shí)施間諜活動(dòng)，而且它似乎是有資源、有規模、有組織的，甚至懷疑在它最近的攻擊活動(dòng)背后有政府的參與。Stuxnet、Flame、Duqu、Havex之后，隨著(zhù)攻擊者對工控系統研究的進(jìn)一步深入，針對工控系統攻擊的惡意代碼仍將會(huì )層出不窮，而且還可能在發(fā)起攻擊活動(dòng)的黑客組織背后更多地體現國家、政治組織或經(jīng)濟組織的意志。因而，面對攻擊技術(shù)與手段日益先進(jìn)、復雜、成熟的針對工控系統進(jìn)行攻擊的黑客組織，工控系統所面臨的安全威脅也將日益嚴峻。

4　工控系統信息安全的檢測及防護

面對來(lái)自黑客、敵對組織日益嚴峻的網(wǎng)絡(luò )安全威脅，工業(yè)控制系統的安全性正日益受到我國的高度重視，并已從政策、標準、技術(shù)、解決方案等多個(gè)方面進(jìn)行了積極應對：工業(yè)控制系統相關(guān)的信息安全標準正在制訂過(guò)程中，電力、石化、制造、煙草等多個(gè)行業(yè)，已在國家主管部門(mén)的指導下進(jìn)行安全檢查、整改[15][16][17]。而安全檢查與整改中最重要的就是工控系統自身脆弱性的監測與發(fā)現，只有及時(shí)發(fā)現工控系統存在的漏洞及所面臨的安全威脅，才能進(jìn)一步執行相應的安全加固及防護工作。

4.1　工控系統的脆弱性檢測

工控系統與傳統信息系統的較大差異性以及安全需求的不同[2]，使得很難直接采用傳統的適用于IT信息系統的漏洞掃描器，而是必須需要支持相應工控協(xié)議、能識別工控系統及其應用管理軟件并能夠檢測其漏洞及配置隱患的專(zhuān)業(yè)工控漏洞掃描器，而且為保證系統的安全運行，多數情況下不允許對在線(xiàn)系統進(jìn)行掃描檢測，只能在工控設備上線(xiàn)前或維護期間進(jìn)行系統的漏洞掃描。

此外，由于工控系統及業(yè)務(wù)系統的異構性、行業(yè)性的特點(diǎn)明顯，安全廠(chǎng)商也難以推出通用性的工控系統漏洞掃描類(lèi)的產(chǎn)品。

1蜻蜓組織是一個(gè)至少自 2011年起便開(kāi)始活躍的東歐黑客團體。該組織最初的攻擊目標是美國和加拿大的國防和航空企業(yè)，但從 2013年開(kāi)始將主要目標轉向許多國家的石油管道運營(yíng)商、發(fā)電企業(yè)和其他能源工控設備提供商；即以那些使用工控系統來(lái)管理電、水、油、氣和數據系統的機構為新的攻擊目標。

為了更好地實(shí)現工控系統的信息安全檢查與評估工作，工控系統的脆弱性檢測與評估工作，需要安全行業(yè)、工控行業(yè)的主管部門(mén)、廠(chǎng)商與科研機構盡早建立多方合作機制，并促進(jìn)建立國家或行業(yè)級的漏洞信息分享平臺。綠盟科技目前已成功研發(fā)出“工業(yè)控制系統漏洞掃描系統”[14]，并在部分客戶(hù)環(huán)境中進(jìn)行了試用驗證，預期2014年9月正式發(fā)布上市。該產(chǎn)品的及時(shí)推出有助于各重點(diǎn)行業(yè)的安全檢查與整改工作。

4.2　針對 APT攻擊的檢測與防護

針對APT逐步滲透攻擊的特點(diǎn)，技術(shù)報告《工業(yè)控制系統的安全研究與實(shí)踐》[1]中提出一個(gè)針對工控系統APT攻擊的檢測與防護方案，針對APT攻擊的每個(gè)階段討論了相應的應對策略：（1）做好網(wǎng)站漏洞、掛馬檢測及安全防護，全方位抵御水坑攻擊；（2）提高員工安全意識、部署入侵防范系統，防范社會(huì )工程攻擊，阻斷C&C通道；（3）加強對工控系統組件中的漏洞及后門(mén)監測并提供針對性的安全防護；（4）異常行為的檢測與審計，識別發(fā)現業(yè)務(wù)中可能存在的異常流量與異常操作行為。

鑒于工控系統業(yè)務(wù)場(chǎng)景比較穩定、操作行為比較規范的實(shí)際情況，在實(shí)施異常行為審計的同時(shí)，也可以考慮引入基于白環(huán)境的異常監測模型，對工控系統中的異常操作行為進(jìn)行實(shí)時(shí)檢測與發(fā)現。

5　結語(yǔ)

本文基于對近期公開(kāi)的工控系統相關(guān)漏洞及安全事件的統計分析的基礎上，主要討論工控系統自身的脆弱性以及所面臨的安全威脅發(fā)展態(tài)勢，提出了針對工控安全威脅的檢測與防護建議；并呼吁建立主管部門(mén)、用戶(hù)、工控廠(chǎng)商、安全廠(chǎng)商以及科研機構等參與的多方合作機制，實(shí)現優(yōu)勢互補，共同促進(jìn)工控信息安全行業(yè)的快速發(fā)展。

作者簡(jiǎn)介

李鴻培，博士，高級工程師，現就職于北京神州綠盟信息安全科技股份有限公司，主要研究方向涉及網(wǎng)絡(luò )安全、可信網(wǎng)絡(luò )體系架構、安全信息智能處理技術(shù)及工業(yè)控制系統信息安全研究等。

參考文獻

[1]李鴻培,忽朝儉,王曉鵬.工業(yè)控制系統的安全研究與實(shí)踐[R].綠盟科技,2014,3.

[2]李鴻培,于旸,忽朝儉,曹嘉.工業(yè)控制系統及其安全性研究[R].綠盟科技. 2013,6.

[3]鮑旭華,李鴻培.2012上半年NSFOCUS安全威脅態(tài)勢報告[R]，綠盟科技. 2012,8.

[4]ICSFocused Malware Alert(ICS-ALERT-14-176-02A)[EB]，http://ics-cert.us-cert.gov/alerts/ICS-
ALERT-14-176-02A.

[5]Havex：類(lèi)似Stuxnet的惡意軟件襲擊歐洲SCADA系統[EB]. http://www.freebuf.com/news/37861.html.

[6]FireEye：發(fā)現SCADA間諜軟件Havex的最新變種[EB]. http://www.freebuf.com/news/38954.html.

[7]南美某國電網(wǎng)被攻擊，攻擊者進(jìn)行敲詐勒索[EB]. http://www.e-works.net.cn/report/fs/fs.html .

[8]2013年度全球重、特大網(wǎng)絡(luò )安全事件回顧[EB]. http://www.hackdig.com/?12/hack-7727.htm.

[9]李鴻培,王曉鵬.2014綠盟科技工控系統安全態(tài)勢報告[R].綠盟科技. 2014,9.

[10]CVE.http://www.cve.mitre.org/.

[11]CNVD. http://www.cnvd.org.cn/.

[12]ICS-CERT Monthly Monitor Newsletters. ICS-MM201404. http://ics-cert.us-cert.gov/monitors/ICS-MM201404.

[13]綠盟工控漏洞掃描系統白皮書(shū)[Z].

[14]工信部.關(guān)于加強工業(yè)控制系統信息安全管理的通知.

[15]電監會(huì ).電力工控信息安全專(zhuān)項監管工作方案.

[16]國家煙草局.工業(yè)企業(yè)生產(chǎn)區與管理區網(wǎng)絡(luò )互聯(lián)安全規范[Z].

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》