2010年“震網(wǎng)”病毒事件破壞了伊朗核設施，震驚全球。這標志著(zhù)網(wǎng)絡(luò )攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關(guān)鍵系統的“硬摧毀”階段。應對高級持續性威脅(AdvancedPersistent Threat, APT)攻擊已成為確保國家關(guān)鍵基礎設施安全、保障國家安全的核心問(wèn)題。根據APT攻擊的威脅形式，工業(yè)控制系統面臨的安全問(wèn)題主要包括以下幾個(gè)方面：

（1）控制器和操作站之間無(wú)隔離防護。PLC、RTU等現場(chǎng)設備非常脆弱，易受攻擊而導致崩潰。

（2）DCS系統和上層數采網(wǎng)絡(luò )之間無(wú)隔離防護。WINDOWS平臺的控制系統工作站感染病毒和傳播危害極大，目前缺乏用于工業(yè)協(xié)議的防火墻。

（3）APC和其它網(wǎng)絡(luò )無(wú)安全防護。APC經(jīng)常和外界接觸，易受感染。

（4）OPC server無(wú)操作權限記錄。不同的用戶(hù)對OPC數據項的添加、瀏覽、讀/寫(xiě)等操作設定不同的權限，目前做不到深入檢查。

（5）網(wǎng)絡(luò )事件無(wú)法追蹤記錄。對網(wǎng)絡(luò )故障進(jìn)行快速診斷，記錄、存儲、分析為減少事故帶來(lái)的損失和加強日后的事件管理帶來(lái)很大的方便。

為什么APT攻擊能夠成功威脅到工業(yè)控制系統？

首先，工業(yè)控制系統的安全策略與管理流程不完善。主要表現為：缺乏工業(yè)控制系統的安全培訓與意識培養、缺乏安全架構與設計、缺乏安全審計、缺乏業(yè)務(wù)連續性與災難恢復計劃等安全策略文檔與管理支持。

其次，工業(yè)控制系統的系統平臺存在安全隱患。主要表現為：（1）操作系統存在漏洞；（2）硬件平臺存在隱患；（3）防病毒體系不健全。

最后，工業(yè)控制網(wǎng)絡(luò )存在脆弱性。主要體現在：

（1）網(wǎng)絡(luò )配置的脆弱性表現為有缺陷的網(wǎng)絡(luò )安全架構、口令傳輸未加密等；

（2）網(wǎng)絡(luò )硬件的脆弱性表現為未保護的物理端口、關(guān)鍵網(wǎng)絡(luò )缺乏冗余備份等；

（3）網(wǎng)絡(luò )邊界的脆弱性表現為未定義安全邊界、控制網(wǎng)絡(luò )傳輸而非控制網(wǎng)絡(luò )流量等；

（4） 網(wǎng)絡(luò )通信的脆弱性表現為未標志出關(guān)鍵監控與控制路徑，通信缺乏完整性檢查等。

根據上述分析，排除安全策略、防護缺陷等外在因素，工業(yè)控制系統自身的漏洞是帶來(lái)嚴重安全隱患的根本原因，而工控設備作為工業(yè)控制系統的關(guān)鍵基礎設施，它的漏洞問(wèn)題不容忽視。

下面，以液位控制系統為例說(shuō)明工業(yè)病毒如何利用工業(yè)漏洞進(jìn)行攻擊。液位控制系統演示平臺模擬了煉油、化工生產(chǎn)工藝中液體凈化中液位控制過(guò)程。此演示平臺針對上位機軟件的漏洞，模擬“Stuxnet”病毒攻擊的效果，使底層凈化罐設備液位失控，而上位機監控畫(huà)面仍然顯示正常。其中上位機軟件的漏洞信息如表1所示。

漏洞簡(jiǎn)介：KingView中存在基于堆的緩沖區溢出漏洞，該漏洞源于對用戶(hù)提供的輸入未經(jīng)正確驗證。攻擊者可利用該漏洞在運行應用程序的用戶(hù)上下文中執行任意代碼，攻擊失敗可能導致拒絕服務(wù)。KingView
6.53.2010.18018版本中存在該漏洞，其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長(cháng)請求執行任意代碼。

表1　SCADA系統漏洞信息

當系統正常運行未受到攻擊時(shí)，運行狀態(tài)如圖1所示。

圖1　系統正常運行的狀態(tài)

當上位機插入帶有病毒的U盤(pán)后，上位機系統感染工業(yè)病毒，液位控制系統無(wú)法正常運行，病毒感染后的系統運行狀態(tài)如圖2所示。

圖2　病毒感染后的系統狀態(tài)

從以上的例子可以得出結論：由于KingView中存在基于堆的緩沖區溢出漏洞，病毒利用該漏洞執行惡意操作，使得上位機HMI顯示與實(shí)際不符，即當液位控制系統出現液位已經(jīng)超過(guò)警戒線(xiàn)時(shí)，不能及時(shí)排出罐中液體，并且該漏洞的存在可使中控室中的HMI仍然顯示正常，因此在工作人員無(wú)法察覺(jué)的情況下，造成一定經(jīng)濟損失，嚴重時(shí)，可導致重大事故。

如圖3所示，當將中科工業(yè)防火墻置于PLC與上位機HMI之間，并再次插入帶有病毒的U盤(pán)時(shí)，可以觀(guān)察到，上位機界面顯示正常，并且執行系統并未發(fā)生任何故障。

圖3　中科工業(yè)防火墻的防護效果

中科工業(yè)防火墻SIA-IF1000-02TX基于工業(yè)級設計，面向工控協(xié)議的應用數據深度解析與檢測，具有良好的防護效果。其結構如圖4所示，技術(shù)參數如表2所示，產(chǎn)品特點(diǎn)如下：

表2 SIA-IF1000-02TX技術(shù)參數

·基于“區域”與“管道”的安全防護模型；

·工業(yè)級設計低功耗無(wú)風(fēng)扇，工業(yè)級防腐設計，導軌式安裝；

·面向工控協(xié)議的應用數據深度防御；

·兼容所有PLC、HMI、RTU等工業(yè)控制設備；

·基于規則策略的訪(fǎng)問(wèn)控制和Syslog的實(shí)時(shí)報警技術(shù)；

·通過(guò)管控軟件應用安全的通信方式進(jìn)行組態(tài)；

·電源采用12VDC電壓冗余供電，提高硬件可靠性；

·多模式運行包括直通、管控和自學(xué)習模式。

圖4　中科工業(yè)防火墻的結構

圖5　天然氣長(cháng)輸管道 SCADA系統中工業(yè)防火墻的部署

中科工業(yè)防火墻的典型部署結構如圖5所示。中科工業(yè)防火墻分別位于管理層與控制層之間和控制層內部，分別用于OPC解析與防護和Modbus解析與防護。位于管理層與控制層之間的中科工業(yè)防火墻可以起到分區隔離，避免病毒擴散的目的。位于控制層內部的中科工業(yè)防火墻可以起到保護控制器，阻止對控制器的任何非法訪(fǎng)問(wèn)及控制的目的。

作者簡(jiǎn)介

尚文利（1974-），黑龍江北安人，副研究員，博士，碩士研究生導師，現為中國科學(xué)院沈陽(yáng)自動(dòng)化研究所副研究員，主要研究方向為計算智能與機器學(xué)習、智能檢測與故障診斷、工業(yè)控制系統信息安全。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》