2010年伊朗核設(shè)施遭受世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒攻擊，這個名為Stuxnet的蠕蟲病毒專門針對西門子SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)進行攻擊，通過篡改離心機控制指令導(dǎo)致離心機停止運轉(zhuǎn)，嚴(yán)重影響了伊朗鈾濃縮進度。由于西門子SCADA系統(tǒng)在中國工業(yè)控制領(lǐng)域的廣泛應(yīng)用，Stuxnet蠕蟲病毒的出現(xiàn)曾引發(fā)國內(nèi)工業(yè)企業(yè)的極大恐慌。

一、SCADA系統(tǒng)安全風(fēng)險分析

SCADA即數(shù)據(jù)采集與監(jiān)控系統(tǒng)，被廣泛應(yīng)用于電力、石油、冶金、天然氣、鐵路、供水、化工等重要行業(yè)的工業(yè)控制系統(tǒng)中，以實現(xiàn)對底層工業(yè)設(shè)備的數(shù)據(jù)采集和運行狀態(tài)監(jiān)控，為生產(chǎn)執(zhí)行與現(xiàn)場控制提供支撐。如今隨著兩化深入融合以及智能制造戰(zhàn)略的持續(xù)推進，SCADA這種介于辦公網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)之間的系統(tǒng)開始面臨日趨嚴(yán)峻的安全挑戰(zhàn)，黑客很容易以辦公網(wǎng)絡(luò)或互聯(lián)網(wǎng)作為入口，利用SCADA系統(tǒng)的安全漏洞對工業(yè)控制系統(tǒng)展開攻擊，進而造成嚴(yán)重安全事故和不可估量的經(jīng)濟損失。

1、國內(nèi)某大型風(fēng)電企業(yè)SCADA應(yīng)用配置失誤

通過網(wǎng)絡(luò)搜索該公司SCACA信息，結(jié)果暴露SCADA系統(tǒng)的IP地址，通過點擊鏈接http://61.49.28.237/開啟了目錄瀏覽，遍歷目錄后得到CKFinder，之后通過getshell命令提權(quán)控制SCADA主機，通過前端的WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器作為跳板,通過VPN等方式對后端的中控系統(tǒng)進行操作。

2、某電力系統(tǒng)官網(wǎng)Oracle注入攻擊

某黑客通過對某電力系統(tǒng)的官網(wǎng)進行簡單的漏洞掃描可以發(fā)現(xiàn)該網(wǎng)站存在oracle注入漏洞，通過SQL注入操作進入到內(nèi)網(wǎng)，發(fā)現(xiàn)雖然機器放在內(nèi)網(wǎng)，但是并沒有單獨配置DMZ區(qū)域，而是采用工作組，這樣就可以通過權(quán)限獲取訪問到域，當(dāng)時懷著滲透的心態(tài)發(fā)現(xiàn)了至少3臺SCADA的主機，到了這一步，再對SCADA進行控制對了解工控系統(tǒng)的黑客而言都是不難實現(xiàn)的。

從兩個案例可以得過一個初步結(jié)論，目前國內(nèi)企業(yè)在進行SCADA系統(tǒng)的部署放慢安全意識還不夠強，而且很多的SCADA攻擊都可以從web開始，以web為突破口進行內(nèi)網(wǎng)滲透，最終拿到控制權(quán)限。對于攻擊者來說，基本上只要確定了目標(biāo)，由于SCADA系統(tǒng)自身防護能力較差，攻擊者是很容易拿到的較高的功能權(quán)限。通過這個權(quán)限，攻擊者很容易關(guān)閉重要的工業(yè)設(shè)施，造成嚴(yán)重的工業(yè)安全事故。

對于一些安全級別較高的企業(yè)，為了避免出現(xiàn)前面所說的安全風(fēng)險，在企業(yè)內(nèi)部大多已經(jīng)實現(xiàn)了辦公網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)的物理隔離。對于這樣的企業(yè)攻擊方式大多是擺渡人攻擊，既通過獲取企業(yè)內(nèi)容中間人的信任來攻擊。大概的流程是：第一步，獲取到目標(biāo)企業(yè)的工作流程和相關(guān)人員信息。第二步，獲取目標(biāo)工控系統(tǒng)的物理位置與工程師的相關(guān)信息，包括但不限于家庭背景、工作背景等信息；第三步，偽造自己身份，比如以談合作的形式進行交流接觸并掌握更多的目標(biāo)信息；第四，在獲取目標(biāo)信任后騙取其U盤發(fā)起擺渡攻擊。震網(wǎng)病毒引起的伊朗核工廠離心機停機事件就是典型的通過中間人進行擺渡人攻擊。

因此，對于工業(yè)控制系統(tǒng)安全，亡羊補牢是必須的，但事前的預(yù)防則更為重要，企業(yè)需要提前做好SCADA系統(tǒng)安全防護。

二、工業(yè)控制系統(tǒng)存在的安全隱患

談了防護脆弱的SCADA系統(tǒng)，接下來就談一談工業(yè)控制系統(tǒng)本身隱藏的安全隱患。在此之前，我們先了解一下工業(yè)控制系統(tǒng)與IT系統(tǒng)在安全架構(gòu)上有什么不同？

(1)防病毒：IT系統(tǒng)中非常普遍，且易于部署和更新。工控系統(tǒng)中由于都是固化的，部署防病毒軟件非常困難。

(2)補丁管理：IT系統(tǒng)中不管是遠程還是本地系統(tǒng)都是定期更新。在工控系統(tǒng)中由于都是專用系統(tǒng)，擔(dān)心影響性能，基本不更新補丁。

(3)技術(shù)支持周期：IT系統(tǒng)由于供應(yīng)商較多，升級方便，技術(shù)更新周期都很快，基本在2到3年；工控系統(tǒng)都是專用的供應(yīng)商，可能就一家或幾家，技術(shù)更新周期都在10到20年左右。

(4)網(wǎng)絡(luò)安全測試與審計：IT系統(tǒng)都采用最現(xiàn)代的方法；工控系統(tǒng)很少有安全測試和審計。

(5)事件響應(yīng)與取證：IT系統(tǒng)易于部署且容易取證；工控系統(tǒng)出現(xiàn)故障除了更新系統(tǒng)很難進行取證。

(6)安全系統(tǒng)開發(fā)：IT系統(tǒng)集成在開發(fā)過程中；工控系統(tǒng)沒有通用的集成開發(fā)流程。

也許你會問，為什么工控系統(tǒng)存在這么多風(fēng)險卻沒出大量的安全問題？這個問題很好解釋。工業(yè)控制系統(tǒng)發(fā)展這么多年，由于采用的是專業(yè)的硬件和協(xié)議，而且很少直接與外網(wǎng)或辦公網(wǎng)進行連接，懂IT技術(shù)又懂工業(yè)自動化控制技術(shù)的黑客又比較少，雖然工業(yè)控制網(wǎng)絡(luò)的攻擊事件時有發(fā)生，但卻不多。

但隨著IT與OT的融合發(fā)展，以前封閉式的專用工業(yè)網(wǎng)絡(luò)開始走向開放，在工業(yè)控制系統(tǒng)中已經(jīng)出現(xiàn)了越來越多的標(biāo)準(zhǔn)化硬件和軟件，如基于X86架構(gòu)的商用PC及服務(wù)器，應(yīng)用了多年的現(xiàn)場總線技術(shù)正在被工業(yè)以太網(wǎng)逐步替代，網(wǎng)絡(luò)協(xié)議由紛繁雜亂的總線協(xié)議變?yōu)門CP/IP協(xié)議。從另外一個方向看，隨著ERP、CRM、MES等中上層管理業(yè)務(wù)系統(tǒng)與下層PLC、DCS等生產(chǎn)控制系統(tǒng)的對接，智能終端和無線技術(shù)也在工業(yè)控制領(lǐng)域得到了應(yīng)用。即便企業(yè)的物理安全防護做的再好也已經(jīng)不管用了。

三、從SCADA到ICS，安全風(fēng)險該如何解決？

隨著工業(yè)控制系統(tǒng)中軟硬件及網(wǎng)絡(luò)技術(shù)向通用化和標(biāo)準(zhǔn)化方向發(fā)展，工控系統(tǒng)的安全體系正在被擊潰，變得前所未有的脆弱。這種現(xiàn)狀也引起了國家部門的擔(dān)憂和重視。

針對工控系統(tǒng)面臨的安全風(fēng)險，工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求。2012年6月28號國務(wù)院又發(fā)布了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》。明確要求保障工業(yè)控制系統(tǒng)安全，重點對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)加強監(jiān)管。對關(guān)鍵產(chǎn)品開展安全評測，實行安全風(fēng)險和漏洞通報制度。

在一系列政策文件的引導(dǎo)下，行業(yè)安全廠商也在不斷強化自身安全產(chǎn)品對工業(yè)控制系統(tǒng)的安全防護能力。近年來，包括匡恩網(wǎng)絡(luò)、威努特、谷神星、力控華安等國內(nèi)工控安全廠商都針對工業(yè)控制系統(tǒng)面臨的安全問題推出了成體系的解決方案，取得了不錯的效果。

筆者認(rèn)為，隨著封閉式的工業(yè)控制網(wǎng)絡(luò)開始走向開放，在工業(yè)控制系統(tǒng)中已經(jīng)出現(xiàn)了越來越多的標(biāo)準(zhǔn)化硬件和軟件，這是未來工業(yè)轉(zhuǎn)型的趨勢。SCADA系統(tǒng)作為辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)的紐帶，構(gòu)建完善的SCADA系統(tǒng)安全防護體系將是降低工控系統(tǒng)安全風(fēng)險的重要一環(huán)。對此，我們建議可從以下幾個方面入手強化對SCADA系統(tǒng)的安全防護：

1、評估需求，進行SCADA網(wǎng)絡(luò)的連接。對SCADA網(wǎng)絡(luò)所剩下的連接進行深入的測試和脆弱性分析，來評估這些路徑所處的安全狀態(tài)。使用這些信息和SCADA和風(fēng)險管理程序來為SCADA網(wǎng)絡(luò)的所有鏈路生成一個強健的保護策略。由于SCADA網(wǎng)絡(luò)的安全取決于它的最薄弱的連接點，所以在每個進入點使用工業(yè)級邊界隔離系統(tǒng)、工業(yè)級入侵檢測系統(tǒng)和一些其它的安全策略十分重要。

2、通過取消或是減少一些沒有必要的服務(wù)來鞏固SCADA網(wǎng)絡(luò)。建立在商業(yè)或是開放源碼的基礎(chǔ)上的操作系統(tǒng)可以通過很多默認(rèn)的網(wǎng)絡(luò)服務(wù)遭到攻擊。要在最大程度上減少、忽略、取消不用的網(wǎng)絡(luò)服務(wù)或是后臺，以減少直接的網(wǎng)絡(luò)攻擊。除非經(jīng)過風(fēng)險評估顯示，這項服務(wù)的好處遠遠大于其潛在的風(fēng)險所帶來的危害，否則絕對不能允許SCADA網(wǎng)絡(luò)使用某項服務(wù)或是性能。

3、不要依靠專有的協(xié)議來保護系統(tǒng)。一些SCADA系統(tǒng)為了支持在現(xiàn)場設(shè)備和服務(wù)器之間的通訊而使用獨立、專有的協(xié)議。通常這些SCADA系統(tǒng)的安全性只是基于對這些協(xié)議的保密性上。然而不幸的是，保密的協(xié)議所提供的真正的安全少的可憐。所以不要因為是私有協(xié)議，就認(rèn)為它是安全的。另外，要要求供應(yīng)商關(guān)閉SCADA系統(tǒng)上所有的后門或是供應(yīng)商接口，并要求他們提供可以得到保護的系統(tǒng)。

4、嚴(yán)格控制作為SCADA網(wǎng)絡(luò)后門的所有途徑。如果SCADA網(wǎng)絡(luò)上真的存在后門或是供應(yīng)商連接時，要嚴(yán)格執(zhí)行驗證以保證安全通訊。調(diào)制解調(diào)器、通訊和維護用的無線及有線的網(wǎng)絡(luò)是SCADA網(wǎng)絡(luò)和遠程站點的最脆弱部分。

5、執(zhí)行內(nèi)部監(jiān)測審計，外部入侵檢測，保證每天24小時監(jiān)控。為了對網(wǎng)絡(luò)襲擊具有有效的響應(yīng)，要使用一種監(jiān)測策略，包括由來自互聯(lián)網(wǎng)或是外部的資源的惡意行為時，對網(wǎng)絡(luò)管理員提出警示。檢測系統(tǒng)是24小時連續(xù)工作的，這項功能可以很容易的被設(shè)置。另外，事故響應(yīng)程序必須要恰當(dāng)，在攻擊發(fā)生時可以有效的做出動作。為了執(zhí)行網(wǎng)絡(luò)的監(jiān)控功能，要在所有系統(tǒng)上增強日志功能，并且每天審核日志，即時的監(jiān)測到可疑行為。

6、進行物理上的安全調(diào)查并對連接到SCADA網(wǎng)絡(luò)上的遠程站點進行評估，對他們的安全性作出評價。任何連接到SCADA網(wǎng)絡(luò)上的部分都是被檢查和評估的目標(biāo)，尤其是無人場站。在每個設(shè)備上，都要進行物理上的安全檢查。確認(rèn)并評估所有的信息資源，包括可能被竊聽的電話和計算機網(wǎng)絡(luò)、光纜；可能被利用的無線電和微波線路；可能被訪問的計算機終端；無線網(wǎng)絡(luò)的訪問點。消除單純的點失敗。這些點的安全性可以足夠阻止未授權(quán)訪問，不允許只為了方便，在遠程或是沒有任何保護的站點設(shè)置活動訪問點。

來源：網(wǎng)絡(luò)整理