工業(yè)控制系統(tǒng)信息安全問題不容忽視

“美國提供供水、供電等重要社會基礎(chǔ)設(shè)施服務(wù)企業(yè),其控制系統(tǒng)發(fā)生異常并被實施破壞的網(wǎng)絡(luò)攻擊危險性越來越高”，2013年5月9日，美國華盛頓郵報報道了美國國土安全部在5月7日發(fā)出的這一警告。據(jù)稱，美國政府高官對國外敵對勢力最近幾個月控制水、電、化工廠的計算機系統(tǒng)進行了調(diào)查，對破壞性的網(wǎng)絡(luò)攻擊極為擔(dān)憂。而且，破壞的目的不僅僅局限于竊取生產(chǎn)制造的知識產(chǎn)權(quán)，還擴展到使生產(chǎn)控制過程發(fā)生異常等破壞性行為。

1工業(yè)控制系統(tǒng)的具體攻擊案例

其實，自從進入21世紀(jì)之后，就已經(jīng)出現(xiàn)了很多相關(guān)事例。比如，澳大利亞下水道監(jiān)控系統(tǒng)和美國核電站監(jiān)控系統(tǒng)曾被第三方經(jīng)由無線網(wǎng)絡(luò)系統(tǒng)侵入，波蘭地鐵信號系統(tǒng)被入侵（見表1）。近年來，這樣的攻擊案例正在迅速增加。

表1針對重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件

據(jù)稱，2009年以來美國國土安全部應(yīng)對的攻擊事例超過50萬起。其中，2012年針對政府機構(gòu)及重要基礎(chǔ)設(shè)施的攻擊多達19萬起，比2011年增加了70%多。

1.1伊朗核設(shè)施遭受破壞性攻擊

對控制系統(tǒng)進行網(wǎng)絡(luò)攻擊的最著名案例是，2010年9月伊朗納坦茲的鈾燃料濃縮施設(shè)被稱為“Stuxnet”的超級工廠病毒進行了網(wǎng)絡(luò)攻擊（見圖1）

據(jù)專家分析，該攻擊中，Stuxnet利用了德國西門子開發(fā)的Step7控制系統(tǒng)軟件中的漏洞，進行干擾控制濃縮鈾的遠心分離機的運行速度以及狀態(tài)，妨礙鈾濃縮過程。

圖1  Stuxnet入侵控制系統(tǒng)

美國Symantec公司認(rèn)為，由于局域網(wǎng)和工廠內(nèi)的控制系統(tǒng)是獨立的，所以該病毒應(yīng)該是以U盤為介質(zhì)來傳播的，并推測是由5?10人團隊用半年時間開發(fā)了Stuxnet病毒。

1.2沙特生產(chǎn)制造型工廠也被破壞者盯上

2012年8月，沙特阿拉伯國營石油公司Aramco受到了網(wǎng)絡(luò)攻擊。據(jù)紐約時報報道，攻擊者的目標(biāo)為制油/制氣工程,通過使工程中止，讓石油/天然氣的生產(chǎn)發(fā)生異常。

這個攻擊中使用了“Shamoon”計算機病毒，所幸沒有造成生產(chǎn)異常，但是卻影響了該公司3萬多臺計算機，Aramco公司為此中斷了一周內(nèi)部網(wǎng)絡(luò)訪問。

日本控制系統(tǒng)安全專家村上正志稱，“全球范圍內(nèi)存在許多利用網(wǎng)絡(luò)攻擊的犯罪組織”他們?yōu)榱藢崿F(xiàn)企業(yè)恐嚇、操縱股價等目的，從事有針對性的對控制系統(tǒng)的網(wǎng)絡(luò)攻擊，而且這種行為將會越來越多。他進一步指出，“許多網(wǎng)站出售網(wǎng)絡(luò)攻擊工具，無需高級技術(shù)就能進行攻擊的時代已經(jīng)到來了”這些組織或網(wǎng)站的存在，意味著工廠等控制系統(tǒng)受到攻擊將極為現(xiàn)實

就像恐怖襲擊的攻擊那樣，目的在于使社會混亂。對基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊今后將不斷出現(xiàn)，而對于從事普通生產(chǎn)工業(yè)產(chǎn)品的企業(yè)的控制系統(tǒng)來說，也并非事不關(guān)己。

1.3某日本企業(yè)每5分鐘受到一次攻擊

在日本，對制造業(yè)的網(wǎng)絡(luò)攻擊案例也在增多。據(jù)稱，某個日本企業(yè)每5分鐘就遭受一次網(wǎng)絡(luò)攻擊，而且，攻擊來源都不相同。為此，制造新產(chǎn)品或者產(chǎn)品重新組裝的時候，需要輸入必要的生產(chǎn)信息、生產(chǎn)配方等工作網(wǎng)絡(luò)，一定要從控制系統(tǒng)中剝離。為此，在生產(chǎn)現(xiàn)場需要用手工來輸入那些信息。這樣雖然有可能增加工人的工作量，提升制造成本，但是從安全角度來看，似乎沒有更好的辦法。

所以，網(wǎng)絡(luò)攻擊對于工廠等運行著控制系統(tǒng)的企業(yè)來說,已經(jīng)不再是事不關(guān)己了。不僅僅要防范網(wǎng)絡(luò)攻擊，還要將視野擴大到計算機病毒造成的破壞，其影響也在大幅擴大。

日本許多工廠都發(fā)生過因設(shè)備故障而臨時停產(chǎn)的案例,是軟件故障還是設(shè)置錯誤？還是計算機病毒造成的？由于那些企業(yè)當(dāng)時沒弄清楚，最初都當(dāng)作設(shè)備故障采取臨時停產(chǎn)措施,但通過分析發(fā)現(xiàn)其中大部分是計算機病毒造成的。這種案例并非剛剛出現(xiàn)，多年前就開始持續(xù)了。可以說，如今控制系統(tǒng)的安全對策已經(jīng)成為了緊迫課題。

2美國日本積極采取應(yīng)對措施

2.1美國已開始重點推進相關(guān)對策

美國已領(lǐng)先10年采取相關(guān)對策。美國很早就認(rèn)識到在網(wǎng)絡(luò)領(lǐng)域采取安全對策的必要性。在推進智能電表之前，就已在電力、通信、金融等重要基礎(chǔ)設(shè)施領(lǐng)域采取措施強化信息安全。

2002年11月，吸取“9?11”恐怖襲擊的教訓(xùn)，美國將此前分散在各個部門的與保護重要基礎(chǔ)設(shè)施相關(guān)的全部職責(zé)整合到了國土安全部。2003年12月，根據(jù)關(guān)于國土安全的第7號總統(tǒng)令，建立了由國土安全部統(tǒng)一指定重要基礎(chǔ)設(shè)施和需保護的資源、排定優(yōu)先順序等活動的體制，網(wǎng)絡(luò)安全對策排在較優(yōu)先的位置（見表2）。

2.2日本開展以基礎(chǔ)設(shè)施為攻擊目標(biāo)的模擬培訓(xùn)

2013年5月28日，日本在宮城縣多賀城市建設(shè)了所謂“正義黑客”的培養(yǎng)場所，用以維護工場、發(fā)電站等控制系統(tǒng)安全（見圖2）這一場所的建設(shè)者為技術(shù)研究機構(gòu)一日本控制系統(tǒng)安全中心（CSSC）的東北多賀城總部。

該組織以日本經(jīng)濟產(chǎn)業(yè)省下屬的產(chǎn)業(yè)技術(shù)綜合研究所為核心，由包括日立、東芝在內(nèi)的18個團體共同發(fā)起。該場所樓層面積為1600m2,約投入20億日元（約1.3億人民幣），具備7種類型的控制裝置和系統(tǒng)。此外，還計劃在未來研究中每年投入5億日元（約0.3億人民幣）。場所內(nèi)配置了火力發(fā)電站、化工廠汽車制造等工廠基礎(chǔ)設(shè)施中使用的工業(yè)機器人、樓宇空調(diào)和照明系統(tǒng)，并單獨開設(shè)的“紅隊房間”，供技術(shù)人員模擬進行網(wǎng)絡(luò)攻擊，讓設(shè)備錯誤操作或者中止。

攻擊軟件采用了美國國防部使用的網(wǎng)絡(luò)攻防演習(xí)系統(tǒng)核心裝置，能夠模擬世界級的攻防，可進行300多種各類攻擊的實戰(zhàn)演練。通過大屏幕，能夠逐一觀看攻防演練的狀態(tài)。

東北多賀城總部負責(zé)人高橋信稱，目前，日本大多數(shù)化工廠發(fā)電廠等基礎(chǔ)設(shè)施尚無法識別網(wǎng)絡(luò)攻擊帶來的破壞。但是，對工廠等控制系統(tǒng)的網(wǎng)絡(luò)攻擊，不會只在歐美、中東等地區(qū)發(fā)生，必定會衍生到日本。所以，日本要“開發(fā)可抵御網(wǎng)絡(luò)攻擊的技術(shù)，創(chuàng)造可信賴的防御與認(rèn)證機制”這個場所是日本首個網(wǎng)絡(luò)攻擊的模擬攻防場所，技術(shù)人員可以通過體驗網(wǎng)絡(luò)攻擊，了解系統(tǒng)的弱點，以便應(yīng)用到防御工作之中。

3易受攻擊的重要原因是硬件、操作系統(tǒng)的通用化

以往的控制系統(tǒng)往往采用專用硬件和操作系統(tǒng)，而近年來，工業(yè)控制系統(tǒng)采用通用的CPU主板和操作系統(tǒng)的情形不斷增多。這是控制系統(tǒng)現(xiàn)在更易受到攻擊的重要原因。

2000年初的時候，控制系統(tǒng)還沒有連接外部網(wǎng)絡(luò)，幾乎沒有出現(xiàn)病毒入侵的案例。但此后不久，“U盤普遍流行，控制系統(tǒng)維護時，紛紛用U盤替換程序或數(shù)據(jù)”，再加上“部分控制系統(tǒng)開始連接進外部網(wǎng)絡(luò)”，所以大大提升了病毒感染的危險性。

實際上，日本經(jīng)濟產(chǎn)業(yè)省在2008年曾經(jīng)開展過一項調(diào)查,結(jié)果顯示，以機床、半導(dǎo)體制造設(shè)備、各種工業(yè)機械等制造設(shè)備為對象的控制系統(tǒng)中，將近70%帶有USB接口，超過60%帶有網(wǎng)卡，80%的操作系統(tǒng)為Windows，只有不到20%采用了UNIX系統(tǒng)。

同時，美國國土安全部所屬的TheIndustrialControlSystemsCyberEmergencyResponseTeam（ICS-CERT）稱，2012年1年間發(fā)現(xiàn)約7200個可通過互聯(lián)網(wǎng)訪問的控制系統(tǒng)的人機接口（HMI）。

4應(yīng)對措施及建議

4.1安裝防范軟件和入侵監(jiān)測系統(tǒng)

企業(yè)該如何強化控制系統(tǒng)的安全性呢？McAfee網(wǎng)絡(luò)戰(zhàn)略顧問佐佐木弘志提出如下三項對策：

第一，白名單式安全防范軟件。預(yù)先登記系統(tǒng)所使用的程序清單，只有清單中注冊的程序，才許可其運行。與一般定義文件中記錄惡意程序清單的安全防范軟件（黑名單安全防范軟件）不同，定義文件無需時刻保持更新，無須不斷地掃描惡意程序，從而不會對硬件運行速度造成較高負荷。安全防范軟件可以安裝到管理PLC（ProgrammableLogicController，可編程邏輯控制器）、DCS（DistributedControlSystem，集散控制系統(tǒng)）等控制器的計算機控制終端中來使用。

第二，采用類似入侵監(jiān)測系統(tǒng)（IntrusionDetectionSystem，IDS）的網(wǎng)絡(luò)監(jiān)視系統(tǒng)。這里的監(jiān)視對象是PLC、DCS等控制系統(tǒng)控制器與管理計算機之間的網(wǎng)絡(luò)，以及控制器與現(xiàn)場控制設(shè)備間的網(wǎng)絡(luò)。IDS監(jiān)視非法訪問這些網(wǎng)絡(luò)的數(shù)據(jù)包。

第三，采用狀況識別（可視化）系統(tǒng)。不斷采集控制系統(tǒng)的日志、事件等信息，僅此而已不會起到任何作用。實際上，對此進行分析，如果不“可視化”還不會被引起重視。系統(tǒng)信息和事件管理系統(tǒng)（SystemInformationandEventManagement，SIEM）可以起到這個作用，它可以瀏覽控制系統(tǒng)整體狀況。該系統(tǒng)通過對收集的日志或者事件等信息進行相關(guān)分析，能夠早期察覺網(wǎng)絡(luò)攻擊的征兆，采取對策。但是，SIEM系統(tǒng)一般不支持PLC、DCS與現(xiàn)場控制設(shè)備之間使用的通信協(xié)議，因此無法收集PLC、DCS所管理的溫度或者壓力等數(shù)據(jù)的日志。所以，最好是采用與控制系統(tǒng)日志收集系統(tǒng)并用的方式。通過將控制系統(tǒng)的日志導(dǎo)入到SIEM系統(tǒng)，就能夠?qū)崿F(xiàn)控制信息系統(tǒng)與控制系統(tǒng)雙方的狀況可視化。

4.2由中介機構(gòu)開展企業(yè)控制設(shè)備安全性檢測服務(wù)

上述措施大多是針對“入口”的，控制系統(tǒng)和工業(yè)網(wǎng)絡(luò)自身的改革也很必要。

長期而言，還是需要將控制設(shè)備、工業(yè)網(wǎng)絡(luò)提升到更高安全級別，按照地域來合理制定控制系統(tǒng)安全級別策略等。對于提供控制設(shè)備、工業(yè)網(wǎng)絡(luò)的供應(yīng)商來說，也應(yīng)考慮如何提供更安全的服務(wù)。

在強化控制設(shè)備安全性這一點上，我們可以借鑒2013年5月28日創(chuàng)建的CSSC日本東北多賀城總部的做法，組建中介服務(wù)機構(gòu)，提供檢測企業(yè)控制設(shè)備安全性的檢證服務(wù)。針對企業(yè)帶來的檢測對象設(shè)備，由掌握攻擊技能的人員，以一定步驟開展模擬攻擊，檢查是否存在安全漏洞。

4.3完善工業(yè)控制系統(tǒng)信息安全認(rèn)證體系

ISA安全兼容協(xié)會（ISASecurityComplianceInstitute）成立于2007年，致力于為工業(yè)自動化控制系統(tǒng)的網(wǎng)絡(luò)安全提供保障。它所提供的認(rèn)證和規(guī)范，均由工廠行業(yè)協(xié)會、用戶、學(xué)術(shù)界、政府和監(jiān)管機構(gòu)合作共同審核。

據(jù)稱，CSSC將從2013年開始開展ISA安全兼容協(xié)會的嵌入式設(shè)備安全保障

認(rèn)證（EmbeddedDeviceSecurityAssurance，EDSA）這項工作得到了日本經(jīng)濟產(chǎn)業(yè)省的扶持。CSCC還計劃，2014年三四月開始開展控制設(shè)備的自主安全認(rèn)證一CSSC認(rèn)證。此外，CSSC與ISA安全兼容協(xié)會簽署了備忘錄，CSSC認(rèn)證將與國際認(rèn)證實現(xiàn)相互認(rèn)證，日本企業(yè)在國內(nèi)就可獲得控制設(shè)備的與安全相關(guān)的國際認(rèn)證。

安全認(rèn)證體系建設(shè)是信息安全保障的基礎(chǔ)性工作，但在認(rèn)證制度的設(shè)計和標(biāo)準(zhǔn)規(guī)范的研究與設(shè)計方面，還需要大量的經(jīng)驗和積累。初期，我國可以與國際認(rèn)證機構(gòu)合作，開展聯(lián)合認(rèn)證服務(wù)，但要逐步建立自己的安全認(rèn)證機制。這不僅是與國際通行做法接軌，也有利于信息安全領(lǐng)域的國際交流與合作，在切實提高我國信息安全水平的同時，幫助和促進工業(yè)企業(yè)提升信息安全技術(shù)水平，引導(dǎo)產(chǎn)業(yè)健康發(fā)展。

20211103_618242d895164__工業(yè)控制系統(tǒng)信息安全問題不容忽視