一、工控系統已成為網(wǎng)絡(luò )空間安全的重要戰場(chǎng)

2010年，伊朗發(fā)生了震驚世人的“震網(wǎng)”（Stuxnet）事件，“震網(wǎng)”計算機病毒攻擊了伊朗納坦茲鈾濃縮基地和布什爾核電站使用的西門(mén)子PCS7控制系統，破壞了大量鈾濃縮離心機和布什爾核電站發(fā)電機組，導致伊朗核計劃至少被延遲2年。

事件表明，網(wǎng)絡(luò )空間的安全威脅已從傳統的互聯(lián)網(wǎng)、計算機等虛擬空間迅速延伸擴展至物理世界的工業(yè)控制系統。即“計算機病毒”可以在不破壞工控系統本身的情況下，通過(guò)操控工業(yè)控制系統，引發(fā)生產(chǎn)中斷、管道泄漏、環(huán)境污染、裝備損毀，甚至可以引發(fā)災難事故，導致社會(huì )動(dòng)蕩，國家安全就會(huì )受到極大威脅。工控系統已成為網(wǎng)絡(luò )空間安全越來(lái)越重要的新戰場(chǎng)。人們?yōu)閰^別于傳統虛擬空間的病毒，把“震網(wǎng)”稱(chēng)為“超級巡航導彈”、“軟件原子彈”，等等。

自“震網(wǎng)”事件之后，針對工控系統攻擊的這種“軟件原子彈”威脅越來(lái)越多、離我們也越來(lái)越近，甚至原先我們認為物理隔離的工控系統也未能幸免：

(1）如2015年12月，被認為使用專(zhuān)網(wǎng)的烏克蘭伊萬(wàn)諾-弗蘭科夫斯克地區電力監控系統遭到“BlackEnergy”惡意代碼的攻擊。烏克蘭新聞媒體TSN報道稱(chēng)：“至少有三個(gè)電力區域被攻擊，導致了數小時(shí)的停電事故”；“攻擊者入侵了監控管理系統，超過(guò)一半的地區和部分伊萬(wàn)諾-弗蘭科夫斯克地區斷電幾個(gè)小時(shí)?！盞yivoblenergo 電力公司發(fā)布公告稱(chēng)：“公司因遭到入侵，導致7 個(gè)110KV 的變電站和23 個(gè)35KV 的變電站出現故障，導致80000 用戶(hù)斷電?！?br style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; overflow-wrap: break-word !important;"/>

(2）2017年6月12日，一款針對電力變電站系統進(jìn)行惡意攻擊的工控網(wǎng)絡(luò )攻擊武器Industroyer被發(fā)現對烏克蘭電網(wǎng)發(fā)起了攻擊。與 BlackEnergy不同的是，Industroyer據稱(chēng)沒(méi)有利用任何漏洞，而是利用電力系統自身的工控協(xié)議，直接控制斷路器，導致變電站斷電。

(3）2017年12月，一種針對施耐德電氣公司的Triconex安全儀表系統控制器（SIS，Safety Instrument System）的惡意軟件TRITON被發(fā)現。TRITON據稱(chēng)能修改安全儀表系統（SIS）的表決機制，從而使安全保護功能失效。

此外，由于工控系統在操作人員的界面軟件使用了微軟操作系統，因此針對互聯(lián)網(wǎng)、計算機操作系統攻擊的病毒（如勒索病毒W(wǎng)annaCry）對工控系統也多多少少產(chǎn)生了一些影響。

二、我國對工控系統網(wǎng)絡(luò )安全給予了前所未有的高度重視

自2010年震網(wǎng)事件發(fā)生后，我國從中央、各級部門(mén)，到各大企業(yè)對工業(yè)控制系統網(wǎng)絡(luò )安全給予了前所未有的高度重視:

由此可見(jiàn)，我國已建立起了覆蓋從國家層面、法律、職能機構再到科研、標準、產(chǎn)業(yè)和企業(yè)等所有層面的工控安全體系，足見(jiàn)對工控安全的重視程度。

三、工控系統面臨的安全威脅仍很?chē)谰?/strong>

當前，隨著(zhù)“兩化融合”的不斷深入，我國電力系統、石油煉化、水利、城市與軌道交通、輸油管線(xiàn)、國防裝備、以及其他公用工程仍在大量使用的國外控制系統，很難做到與互聯(lián)網(wǎng)物理隔離；工控系統的維護、維修也仍然由這些工控系統的生產(chǎn)廠(chǎng)商所承擔，因此面臨的安全形勢依然嚴峻：

(1）來(lái)自網(wǎng)絡(luò )的遠程攻擊，如通過(guò)互聯(lián)網(wǎng)、企業(yè)內部網(wǎng)、無(wú)線(xiàn)網(wǎng)，黑客和攻擊者就可以遠程對工控系統實(shí)施攻擊；

(2）通過(guò)移動(dòng)介質(zhì)的帶入攻擊，如移動(dòng)硬盤(pán)、U盤(pán)、光盤(pán)、移動(dòng)終端等；

(3）預埋代碼的潛伏式攻擊，典型的途徑有工程實(shí)施時(shí)的預埋、通過(guò)備品備件的預埋、通過(guò)維修維護帶入的預埋。

四、工控系統安全的主要威脅是有組織的專(zhuān)業(yè)化攻擊

從技術(shù)上看，工控系統所面臨的網(wǎng)絡(luò )安全威脅來(lái)自于兩個(gè)方面：一個(gè)是傳統的網(wǎng)絡(luò )安全威脅，即利用操作系統、應用軟件的漏洞發(fā)起的攻擊威脅。這類(lèi)威脅主要是針對計算機所使用的計算機操作系統和應用軟件（如辦公軟件、網(wǎng)站軟件等）的漏洞，獲取計算機操作權限，或竊取隱私或敏感信息。

另一個(gè)更重要的安全威脅來(lái)源于對工控系統及其所控制的生產(chǎn)裝置、生產(chǎn)工藝非常熟悉的有組織的攻擊。從公開(kāi)的資料可以發(fā)現，“震網(wǎng)”雖然利用了操作系統的漏洞，但這些漏洞只是被用于“震網(wǎng)”代碼的傳播，其核心代碼卻是利用了西門(mén)子PCS7控制系統和核設施的特性，而發(fā)起惡意操控，同時(shí)向操作人員界面軟件發(fā)送欺騙數據。

由此可見(jiàn)，針對工控系統核心部件攻擊的“黑客”除了要具有一般的計算機操作系統和軟件知識外，更利用了工控系統本身的軟件硬件特性和通信協(xié)議、操作指令和基礎設施生產(chǎn)裝置的弱點(diǎn)，導致一般的互聯(lián)網(wǎng)安全技術(shù)人員難以發(fā)現，即具有“高專(zhuān)業(yè)性、高隱蔽性、高復雜性、難以被發(fā)現、難以被跟蹤”（即“三高兩難”）特性。

五、工控系統安全保護挑戰比一般信息系統大很多

從2010年的“震網(wǎng)”事件至今的近9年多時(shí)間里，我國在實(shí)施工控系統網(wǎng)絡(luò )安全各項工作的同時(shí)，也遇到了與互聯(lián)網(wǎng)安全、信息系統安全完全不同的困難和挑戰，主要表現為以下幾個(gè)方面：

(1）對工控安全的理解，更多還停留在互聯(lián)網(wǎng)安全和協(xié)議層面

與互聯(lián)網(wǎng)系統、信息系統相比，工控系統大多是由傳感器、控制裝置、執行機構等多環(huán)節構成的閉環(huán)系統，其監控軟件也是供操作員進(jìn)行工況監視和簡(jiǎn)單的操作，工控協(xié)議用于傳輸生產(chǎn)過(guò)程中的數據。因此，工控系統的網(wǎng)絡(luò )安全需要從以上所有要素以及生產(chǎn)裝置本身進(jìn)行綜合的考慮。

(2）對工控安全惡意代碼攻擊原理和機制的了解有限

如今，各種公開(kāi)報道、微博等各種社交媒體文件，以及許多文章、報告對工控安全事件的報道較多、技術(shù)性分析較少；對工控安全網(wǎng)絡(luò )部分威脅的渲染較多，對工控內部的威脅分析較少；對操作系統“漏洞”介紹較多，對工控系統自身軟硬件漏洞分析較少；對操作系統、郵件等的漏洞利用介紹較多，對于工控惡意代碼“長(cháng)什么樣，什么時(shí)候來(lái)，什么時(shí)候觸發(fā)，如何觸發(fā)，什么時(shí)候離開(kāi)”等技術(shù)問(wèn)題，研究較少，導致工控安全工作的開(kāi)展難以深入。

(3）當前工控安全防護措施和產(chǎn)品的有效性有待檢驗

當前，無(wú)論是針對工控系統的安全等級保護測評、安全評估、安全檢測、安全檢查，還是各種工控安全產(chǎn)品，雖然形式多樣，但其有效性還遠未得到用戶(hù)的認可，尤其是針對工控系統終端設備面臨的安全威脅，“對錯了癥、下錯了藥”的問(wèn)題至今還未真正得到解決。

(4）工控安全的標準難以在工控系統終端落地

當前，關(guān)于工控安全的標準已有很多，如IEC 62443國際標準（美國國際自動(dòng)化協(xié)會(huì )ISA的ISA 99）、美國NIST發(fā)布的SP-800.53，以及我國的等保2.0標準GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》等。但在實(shí)施過(guò)程中，面對運行中的工控系統（尤其是其核心部件的控制器）時(shí)，還會(huì )遇到“碰不得、摸不得”的尷尬。

(5）工控安全的實(shí)施難以得到工控設備生產(chǎn)廠(chǎng)商的配合

工控系統不同于互聯(lián)網(wǎng)系統、信息系統，不僅要保證生產(chǎn)過(guò)程按工藝設計要求運行在預定的工況，同時(shí)還要避免安全事故的發(fā)生。換言之，工控系統的生產(chǎn)廠(chǎng)商、集成廠(chǎng)商不僅要對生產(chǎn)過(guò)程的連續性、可靠性負責，還需要對生產(chǎn)的安全負責。這是傳統信息安全廠(chǎng)商和安全產(chǎn)品難以做到的。

六、工控系統安全需要注意避免的幾個(gè)誤區

如上所述，工控系統的網(wǎng)絡(luò )安全需要圍繞控制系統本身與生產(chǎn)裝置安全開(kāi)展，在實(shí)踐中，要注意避免以下幾個(gè)誤區：

(1) 過(guò)于強調基于漏洞掃描的安全防護

如前所述，工控系統設計開(kāi)發(fā)工程師關(guān)注的是如何使產(chǎn)品更可靠、可用性更高，所開(kāi)發(fā)的控制算法如何使被控對象更穩定、對外界干擾的魯棒性更高，對網(wǎng)絡(luò )安全關(guān)注較少，因此其軟件、硬件都存在著(zhù)這樣或那樣的漏洞。

然而，目前市場(chǎng)流通的漏洞掃描產(chǎn)品僅僅能發(fā)現引發(fā)工控系統溢出、宕機的漏洞，而像“震網(wǎng)”、Industroyer、TRITON那樣所能利用的漏洞，通過(guò)傳統的手段還難以發(fā)現。

(2）過(guò)于強調補丁升級管理

眾所周知，由于工控系統的軟件硬件之間的耦合非常緊密，使用了大量非私有的協(xié)議、技術(shù)和功能模塊，一旦沒(méi)有經(jīng)過(guò)嚴格測試而給系統打補丁或者版本更新，輕則導致藍屏、重則導致這些組態(tài)監控軟件不再可用；而工控系統的重啟是一個(gè)極其復雜的過(guò)程，一旦不慎，極易導致生產(chǎn)中斷、或因生產(chǎn)設備工藝不匹配而導致裝置損毀。

因此，對于一些重要、尤其是核心基礎設施的工控系統，打補丁、軟件版本更新必須慎之又慎！

(3）過(guò)于依賴(lài)工控系統的隔離安全

如前所述，隨著(zhù)“兩化融合”的不斷推進(jìn)，生產(chǎn)系統與管理系統的互聯(lián)已經(jīng)成為工控系統的基本架構，與外界完全隔離幾乎不可能。另外，維護用的移動(dòng)設備或移動(dòng)電腦、備品備件，都可能成為代碼帶入的工具?！罢鹁W(wǎng)”據說(shuō)就是利用U盤(pán)帶入的。

(4）過(guò)于高估工業(yè)防火墻等傳統防護產(chǎn)品的作用

從目前工控系統的實(shí)際來(lái)看，工控系統除了它支持的私有協(xié)議和公開(kāi)專(zhuān)用協(xié)議之外，其他所有的協(xié)議都會(huì )被過(guò)濾，不會(huì )被處理。換言之，工控系統一般都具備了一般防火墻的能力。從這個(gè)意義上看，目前市場(chǎng)上所謂的工業(yè)防火墻，也僅僅起到應付檢查的自我安慰作用。

(5) 過(guò)于依賴(lài)單向通信隔離裝置

如上所述，針對工控系統的攻擊途徑有多種，有通過(guò)網(wǎng)絡(luò )遠程實(shí)施的，有通過(guò)無(wú)線(xiàn)接入的，更有通過(guò)移動(dòng)介質(zhì)、工程實(shí)施與維保預埋、備品備件預埋等途徑，單向通信隔離裝置也只能起到一部分作用。

七、工業(yè)系統的網(wǎng)絡(luò )安全保護必須覆蓋工控系統本身、生產(chǎn)工藝與操作流程等所有方面

從具體實(shí)踐來(lái)講，對工控系統的網(wǎng)絡(luò )安全防護和保護需要從以下幾個(gè)層面綜合考慮：

第一層，對工控系統的網(wǎng)絡(luò )安全防護和保護，需要覆蓋工控系統軟件、硬件和網(wǎng)絡(luò )等所有部件。

第二層，對工控系統的網(wǎng)絡(luò )安全防護和保護，需要結合生產(chǎn)工藝與操作流程而開(kāi)展。

第三層，針對工控系統的網(wǎng)絡(luò )安全防護和保護，還必須覆蓋工控系統的設計、生產(chǎn)、調試、工程實(shí)施、維修、運行維護等全生命周期的所有環(huán)節。

工控系統的網(wǎng)絡(luò )安全防護和保護是一個(gè)極其復雜的系統工程，需要回歸控制系統的初心、回歸控制系統的本質(zhì)，從工控系統的軟件、硬件、網(wǎng)絡(luò )以及生產(chǎn)工藝、生產(chǎn)流程、生產(chǎn)裝置等多方面同時(shí)著(zhù)手，才能真正有效的對國家重要基礎設施安全進(jìn)行保護。

來(lái)源：工控參考