2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，震驚全球。這標志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設(shè)施等核心關(guān)鍵系統(tǒng)的“硬摧毀”階段。應(yīng)對高級持續(xù)性威脅(AdvancedPersistent Threat, APT)攻擊已成為確保國家關(guān)鍵基礎(chǔ)設(shè)施安全、保障國家安全的核心問題。根據(jù)APT攻擊的威脅形式，工業(yè)控制系統(tǒng)面臨的安全問題主要包括以下幾個方面：

（1）控制器和操作站之間無隔離防護。PLC、RTU等現(xiàn)場設(shè)備非常脆弱，易受攻擊而導(dǎo)致崩潰。

（2）DCS系統(tǒng)和上層數(shù)采網(wǎng)絡(luò)之間無隔離防護。WINDOWS平臺的控制系統(tǒng)工作站感染病毒和傳播危害極大，目前缺乏用于工業(yè)協(xié)議的防火墻。

（3）APC和其它網(wǎng)絡(luò)無安全防護。APC經(jīng)常和外界接觸，易受感染。

（4）OPC server無操作權(quán)限記錄。不同的用戶對OPC數(shù)據(jù)項的添加、瀏覽、讀/寫等操作設(shè)定不同的權(quán)限，目前做不到深入檢查。

（5）網(wǎng)絡(luò)事件無法追蹤記錄。對網(wǎng)絡(luò)故障進行快速診斷，記錄、存儲、分析為減少事故帶來的損失和加強日后的事件管理帶來很大的方便。

為什么APT攻擊能夠成功威脅到工業(yè)控制系統(tǒng)？

首先，工業(yè)控制系統(tǒng)的安全策略與管理流程不完善。主要表現(xiàn)為：缺乏工業(yè)控制系統(tǒng)的安全培訓(xùn)與意識培養(yǎng)、缺乏安全架構(gòu)與設(shè)計、缺乏安全審計、缺乏業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計劃等安全策略文檔與管理支持。

其次，工業(yè)控制系統(tǒng)的系統(tǒng)平臺存在安全隱患。主要表現(xiàn)為：（1）操作系統(tǒng)存在漏洞；（2）硬件平臺存在隱患；（3）防病毒體系不健全。

最后，工業(yè)控制網(wǎng)絡(luò)存在脆弱性。主要體現(xiàn)在：

（1）網(wǎng)絡(luò)配置的脆弱性表現(xiàn)為有缺陷的網(wǎng)絡(luò)安全架構(gòu)、口令傳輸未加密等；

（2）網(wǎng)絡(luò)硬件的脆弱性表現(xiàn)為未保護的物理端口、關(guān)鍵網(wǎng)絡(luò)缺乏冗余備份等；

（3）網(wǎng)絡(luò)邊界的脆弱性表現(xiàn)為未定義安全邊界、控制網(wǎng)絡(luò)傳輸而非控制網(wǎng)絡(luò)流量等；

（4） 網(wǎng)絡(luò)通信的脆弱性表現(xiàn)為未標志出關(guān)鍵監(jiān)控與控制路徑，通信缺乏完整性檢查等。

根據(jù)上述分析，排除安全策略、防護缺陷等外在因素，工業(yè)控制系統(tǒng)自身的漏洞是帶來嚴重安全隱患的根本原因，而工控設(shè)備作為工業(yè)控制系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施，它的漏洞問題不容忽視。

下面，以液位控制系統(tǒng)為例說明工業(yè)病毒如何利用工業(yè)漏洞進行攻擊。液位控制系統(tǒng)演示平臺模擬了煉油、化工生產(chǎn)工藝中液體凈化中液位控制過程。此演示平臺針對上位機軟件的漏洞，模擬“Stuxnet”病毒攻擊的效果，使底層凈化罐設(shè)備液位失控，而上位機監(jiān)控畫面仍然顯示正常。其中上位機軟件的漏洞信息如表1所示。

漏洞簡介：KingView中存在基于堆的緩沖區(qū)溢出漏洞，該漏洞源于對用戶提供的輸入未經(jīng)正確驗證。攻擊者可利用該漏洞在運行應(yīng)用程序的用戶上下文中執(zhí)行任意代碼，攻擊失敗可能導(dǎo)致拒絕服務(wù)。KingView
6.53.2010.18018版本中存在該漏洞，其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長請求執(zhí)行任意代碼。

表1　SCADA系統(tǒng)漏洞信息

當系統(tǒng)正常運行未受到攻擊時，運行狀態(tài)如圖1所示。

圖1　系統(tǒng)正常運行的狀態(tài)

當上位機插入帶有病毒的U盤后，上位機系統(tǒng)感染工業(yè)病毒，液位控制系統(tǒng)無法正常運行，病毒感染后的系統(tǒng)運行狀態(tài)如圖2所示。

圖2　病毒感染后的系統(tǒng)狀態(tài)

從以上的例子可以得出結(jié)論：由于KingView中存在基于堆的緩沖區(qū)溢出漏洞，病毒利用該漏洞執(zhí)行惡意操作，使得上位機HMI顯示與實際不符，即當液位控制系統(tǒng)出現(xiàn)液位已經(jīng)超過警戒線時，不能及時排出罐中液體，并且該漏洞的存在可使中控室中的HMI仍然顯示正常，因此在工作人員無法察覺的情況下，造成一定經(jīng)濟損失，嚴重時，可導(dǎo)致重大事故。

如圖3所示，當將中科工業(yè)防火墻置于PLC與上位機HMI之間，并再次插入帶有病毒的U盤時，可以觀察到，上位機界面顯示正常，并且執(zhí)行系統(tǒng)并未發(fā)生任何故障。

圖3　中科工業(yè)防火墻的防護效果

中科工業(yè)防火墻SIA-IF1000-02TX基于工業(yè)級設(shè)計，面向工控協(xié)議的應(yīng)用數(shù)據(jù)深度解析與檢測，具有良好的防護效果。其結(jié)構(gòu)如圖4所示，技術(shù)參數(shù)如表2所示，產(chǎn)品特點如下：

表2 SIA-IF1000-02TX技術(shù)參數(shù)

·基于“區(qū)域”與“管道”的安全防護模型；

·工業(yè)級設(shè)計低功耗無風(fēng)扇，工業(yè)級防腐設(shè)計，導(dǎo)軌式安裝；

·面向工控協(xié)議的應(yīng)用數(shù)據(jù)深度防御；

·兼容所有PLC、HMI、RTU等工業(yè)控制設(shè)備；

·基于規(guī)則策略的訪問控制和Syslog的實時報警技術(shù)；

·通過管控軟件應(yīng)用安全的通信方式進行組態(tài)；

·電源采用12VDC電壓冗余供電，提高硬件可靠性；

·多模式運行包括直通、管控和自學(xué)習(xí)模式。

圖4　中科工業(yè)防火墻的結(jié)構(gòu)

圖5　天然氣長輸管道 SCADA系統(tǒng)中工業(yè)防火墻的部署

中科工業(yè)防火墻的典型部署結(jié)構(gòu)如圖5所示。中科工業(yè)防火墻分別位于管理層與控制層之間和控制層內(nèi)部，分別用于OPC解析與防護和Modbus解析與防護。位于管理層與控制層之間的中科工業(yè)防火墻可以起到分區(qū)隔離，避免病毒擴散的目的。位于控制層內(nèi)部的中科工業(yè)防火墻可以起到保護控制器，阻止對控制器的任何非法訪問及控制的目的。

作者簡介

尚文利（1974-），黑龍江北安人，副研究員，博士，碩士研究生導(dǎo)師，現(xiàn)為中國科學(xué)院沈陽自動化研究所副研究員，主要研究方向為計算智能與機器學(xué)習(xí)、智能檢測與故障診斷、工業(yè)控制系統(tǒng)信息安全。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第一輯）》