工業(yè)控制系統(tǒng)信息安全問題不容忽視

“美國(guó)提供供水、供電等重要社會(huì)基礎(chǔ)設(shè)施服務(wù)企業(yè),其控制系統(tǒng)發(fā)生異常并被實(shí)施破壞的網(wǎng)絡(luò)攻擊危險(xiǎn)性越來越高”，2013年5月9日，美國(guó)華盛頓郵報(bào)報(bào)道了美國(guó)國(guó)土安全部在5月7日發(fā)出的這一警告。據(jù)稱，美國(guó)政府高官對(duì)國(guó)外敵對(duì)勢(shì)力最近幾個(gè)月控制水、電、化工廠的計(jì)算機(jī)系統(tǒng)進(jìn)行了調(diào)查，對(duì)破壞性的網(wǎng)絡(luò)攻擊極為擔(dān)憂。而且，破壞的目的不僅僅局限于竊取生產(chǎn)制造的知識(shí)產(chǎn)權(quán)，還擴(kuò)展到使生產(chǎn)控制過程發(fā)生異常等破壞性行為。

1工業(yè)控制系統(tǒng)的具體攻擊案例

其實(shí)，自從進(jìn)入21世紀(jì)之后，就已經(jīng)出現(xiàn)了很多相關(guān)事例。比如，澳大利亞下水道監(jiān)控系統(tǒng)和美國(guó)核電站監(jiān)控系統(tǒng)曾被第三方經(jīng)由無線網(wǎng)絡(luò)系統(tǒng)侵入，波蘭地鐵信號(hào)系統(tǒng)被入侵（見表1）。近年來，這樣的攻擊案例正在迅速增加。

表1針對(duì)重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件

據(jù)稱，2009年以來美國(guó)國(guó)土安全部應(yīng)對(duì)的攻擊事例超過50萬起。其中，2012年針對(duì)政府機(jī)構(gòu)及重要基礎(chǔ)設(shè)施的攻擊多達(dá)19萬起，比2011年增加了70%多。

1.1伊朗核設(shè)施遭受破壞性攻擊

對(duì)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊的最著名案例是，2010年9月伊朗納坦茲的鈾燃料濃縮施設(shè)被稱為“Stuxnet”的超級(jí)工廠病毒進(jìn)行了網(wǎng)絡(luò)攻擊（見圖1）

據(jù)專家分析，該攻擊中，Stuxnet利用了德國(guó)西門子開發(fā)的Step7控制系統(tǒng)軟件中的漏洞，進(jìn)行干擾控制濃縮鈾的遠(yuǎn)心分離機(jī)的運(yùn)行速度以及狀態(tài)，妨礙鈾濃縮過程。

圖1  Stuxnet入侵控制系統(tǒng)

美國(guó)Symantec公司認(rèn)為，由于局域網(wǎng)和工廠內(nèi)的控制系統(tǒng)是獨(dú)立的，所以該病毒應(yīng)該是以U盤為介質(zhì)來傳播的，并推測(cè)是由5?10人團(tuán)隊(duì)用半年時(shí)間開發(fā)了Stuxnet病毒。

1.2沙特生產(chǎn)制造型工廠也被破壞者盯上

2012年8月，沙特阿拉伯國(guó)營(yíng)石油公司Aramco受到了網(wǎng)絡(luò)攻擊。據(jù)紐約時(shí)報(bào)報(bào)道，攻擊者的目標(biāo)為制油/制氣工程,通過使工程中止，讓石油/天然氣的生產(chǎn)發(fā)生異常。

這個(gè)攻擊中使用了“Shamoon”計(jì)算機(jī)病毒，所幸沒有造成生產(chǎn)異常，但是卻影響了該公司3萬多臺(tái)計(jì)算機(jī)，Aramco公司為此中斷了一周內(nèi)部網(wǎng)絡(luò)訪問。

日本控制系統(tǒng)安全專家村上正志稱，“全球范圍內(nèi)存在許多利用網(wǎng)絡(luò)攻擊的犯罪組織”他們?yōu)榱藢?shí)現(xiàn)企業(yè)恐嚇、操縱股價(jià)等目的，從事有針對(duì)性的對(duì)控制系統(tǒng)的網(wǎng)絡(luò)攻擊，而且這種行為將會(huì)越來越多。他進(jìn)一步指出，“許多網(wǎng)站出售網(wǎng)絡(luò)攻擊工具，無需高級(jí)技術(shù)就能進(jìn)行攻擊的時(shí)代已經(jīng)到來了”這些組織或網(wǎng)站的存在，意味著工廠等控制系統(tǒng)受到攻擊將極為現(xiàn)實(shí)

就像恐怖襲擊的攻擊那樣，目的在于使社會(huì)混亂。對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊今后將不斷出現(xiàn)，而對(duì)于從事普通生產(chǎn)工業(yè)產(chǎn)品的企業(yè)的控制系統(tǒng)來說，也并非事不關(guān)己。

1.3某日本企業(yè)每5分鐘受到一次攻擊

在日本，對(duì)制造業(yè)的網(wǎng)絡(luò)攻擊案例也在增多。據(jù)稱，某個(gè)日本企業(yè)每5分鐘就遭受一次網(wǎng)絡(luò)攻擊，而且，攻擊來源都不相同。為此，制造新產(chǎn)品或者產(chǎn)品重新組裝的時(shí)候，需要輸入必要的生產(chǎn)信息、生產(chǎn)配方等工作網(wǎng)絡(luò)，一定要從控制系統(tǒng)中剝離。為此，在生產(chǎn)現(xiàn)場(chǎng)需要用手工來輸入那些信息。這樣雖然有可能增加工人的工作量，提升制造成本，但是從安全角度來看，似乎沒有更好的辦法。

所以，網(wǎng)絡(luò)攻擊對(duì)于工廠等運(yùn)行著控制系統(tǒng)的企業(yè)來說,已經(jīng)不再是事不關(guān)己了。不僅僅要防范網(wǎng)絡(luò)攻擊，還要將視野擴(kuò)大到計(jì)算機(jī)病毒造成的破壞，其影響也在大幅擴(kuò)大。

日本許多工廠都發(fā)生過因設(shè)備故障而臨時(shí)停產(chǎn)的案例,是軟件故障還是設(shè)置錯(cuò)誤？還是計(jì)算機(jī)病毒造成的？由于那些企業(yè)當(dāng)時(shí)沒弄清楚，最初都當(dāng)作設(shè)備故障采取臨時(shí)停產(chǎn)措施,但通過分析發(fā)現(xiàn)其中大部分是計(jì)算機(jī)病毒造成的。這種案例并非剛剛出現(xiàn)，多年前就開始持續(xù)了?？梢哉f，如今控制系統(tǒng)的安全對(duì)策已經(jīng)成為了緊迫課題。

2美國(guó)日本積極采取應(yīng)對(duì)措施

2.1美國(guó)已開始重點(diǎn)推進(jìn)相關(guān)對(duì)策

美國(guó)已領(lǐng)先10年采取相關(guān)對(duì)策。美國(guó)很早就認(rèn)識(shí)到在網(wǎng)絡(luò)領(lǐng)域采取安全對(duì)策的必要性。在推進(jìn)智能電表之前，就已在電力、通信、金融等重要基礎(chǔ)設(shè)施領(lǐng)域采取措施強(qiáng)化信息安全。

2002年11月，吸取“9?11”恐怖襲擊的教訓(xùn)，美國(guó)將此前分散在各個(gè)部門的與保護(hù)重要基礎(chǔ)設(shè)施相關(guān)的全部職責(zé)整合到了國(guó)土安全部。2003年12月，根據(jù)關(guān)于國(guó)土安全的第7號(hào)總統(tǒng)令，建立了由國(guó)土安全部統(tǒng)一指定重要基礎(chǔ)設(shè)施和需保護(hù)的資源、排定優(yōu)先順序等活動(dòng)的體制，網(wǎng)絡(luò)安全對(duì)策排在較優(yōu)先的位置（見表2）。

2.2日本開展以基礎(chǔ)設(shè)施為攻擊目標(biāo)的模擬培訓(xùn)

2013年5月28日，日本在宮城縣多賀城市建設(shè)了所謂“正義黑客”的培養(yǎng)場(chǎng)所，用以維護(hù)工場(chǎng)、發(fā)電站等控制系統(tǒng)安全（見圖2）這一場(chǎng)所的建設(shè)者為技術(shù)研究機(jī)構(gòu)一日本控制系統(tǒng)安全中心（CSSC）的東北多賀城總部。

該組織以日本經(jīng)濟(jì)產(chǎn)業(yè)省下屬的產(chǎn)業(yè)技術(shù)綜合研究所為核心，由包括日立、東芝在內(nèi)的18個(gè)團(tuán)體共同發(fā)起。該場(chǎng)所樓層面積為1600m2,約投入20億日元（約1.3億人民幣），具備7種類型的控制裝置和系統(tǒng)。此外，還計(jì)劃在未來研究中每年投入5億日元（約0.3億人民幣）。場(chǎng)所內(nèi)配置了火力發(fā)電站、化工廠汽車制造等工廠基礎(chǔ)設(shè)施中使用的工業(yè)機(jī)器人、樓宇空調(diào)和照明系統(tǒng)，并單獨(dú)開設(shè)的“紅隊(duì)房間”，供技術(shù)人員模擬進(jìn)行網(wǎng)絡(luò)攻擊，讓設(shè)備錯(cuò)誤操作或者中止。

攻擊軟件采用了美國(guó)國(guó)防部使用的網(wǎng)絡(luò)攻防演習(xí)系統(tǒng)核心裝置，能夠模擬世界級(jí)的攻防，可進(jìn)行300多種各類攻擊的實(shí)戰(zhàn)演練。通過大屏幕，能夠逐一觀看攻防演練的狀態(tài)。

東北多賀城總部負(fù)責(zé)人高橋信稱，目前，日本大多數(shù)化工廠發(fā)電廠等基礎(chǔ)設(shè)施尚無法識(shí)別網(wǎng)絡(luò)攻擊帶來的破壞。但是，對(duì)工廠等控制系統(tǒng)的網(wǎng)絡(luò)攻擊，不會(huì)只在歐美、中東等地區(qū)發(fā)生，必定會(huì)衍生到日本。所以，日本要“開發(fā)可抵御網(wǎng)絡(luò)攻擊的技術(shù)，創(chuàng)造可信賴的防御與認(rèn)證機(jī)制”這個(gè)場(chǎng)所是日本首個(gè)網(wǎng)絡(luò)攻擊的模擬攻防場(chǎng)所，技術(shù)人員可以通過體驗(yàn)網(wǎng)絡(luò)攻擊，了解系統(tǒng)的弱點(diǎn)，以便應(yīng)用到防御工作之中。

3易受攻擊的重要原因是硬件、操作系統(tǒng)的通用化

以往的控制系統(tǒng)往往采用專用硬件和操作系統(tǒng)，而近年來，工業(yè)控制系統(tǒng)采用通用的CPU主板和操作系統(tǒng)的情形不斷增多。這是控制系統(tǒng)現(xiàn)在更易受到攻擊的重要原因。

2000年初的時(shí)候，控制系統(tǒng)還沒有連接外部網(wǎng)絡(luò)，幾乎沒有出現(xiàn)病毒入侵的案例。但此后不久，“U盤普遍流行，控制系統(tǒng)維護(hù)時(shí)，紛紛用U盤替換程序或數(shù)據(jù)”，再加上“部分控制系統(tǒng)開始連接進(jìn)外部網(wǎng)絡(luò)”，所以大大提升了病毒感染的危險(xiǎn)性。

實(shí)際上，日本經(jīng)濟(jì)產(chǎn)業(yè)省在2008年曾經(jīng)開展過一項(xiàng)調(diào)查,結(jié)果顯示，以機(jī)床、半導(dǎo)體制造設(shè)備、各種工業(yè)機(jī)械等制造設(shè)備為對(duì)象的控制系統(tǒng)中，將近70%帶有USB接口，超過60%帶有網(wǎng)卡，80%的操作系統(tǒng)為Windows，只有不到20%采用了UNIX系統(tǒng)。

同時(shí)，美國(guó)國(guó)土安全部所屬的TheIndustrialControlSystemsCyberEmergencyResponseTeam（ICS-CERT）稱，2012年1年間發(fā)現(xiàn)約7200個(gè)可通過互聯(lián)網(wǎng)訪問的控制系統(tǒng)的人機(jī)接口（HMI）。

4應(yīng)對(duì)措施及建議

4.1安裝防范軟件和入侵監(jiān)測(cè)系統(tǒng)

企業(yè)該如何強(qiáng)化控制系統(tǒng)的安全性呢？McAfee網(wǎng)絡(luò)戰(zhàn)略顧問佐佐木弘志提出如下三項(xiàng)對(duì)策：

第一，白名單式安全防范軟件。預(yù)先登記系統(tǒng)所使用的程序清單，只有清單中注冊(cè)的程序，才許可其運(yùn)行。與一般定義文件中記錄惡意程序清單的安全防范軟件（黑名單安全防范軟件）不同，定義文件無需時(shí)刻保持更新，無須不斷地掃描惡意程序，從而不會(huì)對(duì)硬件運(yùn)行速度造成較高負(fù)荷。安全防范軟件可以安裝到管理PLC（ProgrammableLogicController，可編程邏輯控制器）、DCS（DistributedControlSystem，集散控制系統(tǒng)）等控制器的計(jì)算機(jī)控制終端中來使用。

第二，采用類似入侵監(jiān)測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）的網(wǎng)絡(luò)監(jiān)視系統(tǒng)。這里的監(jiān)視對(duì)象是PLC、DCS等控制系統(tǒng)控制器與管理計(jì)算機(jī)之間的網(wǎng)絡(luò)，以及控制器與現(xiàn)場(chǎng)控制設(shè)備間的網(wǎng)絡(luò)。IDS監(jiān)視非法訪問這些網(wǎng)絡(luò)的數(shù)據(jù)包。

第三，采用狀況識(shí)別（可視化）系統(tǒng)。不斷采集控制系統(tǒng)的日志、事件等信息，僅此而已不會(huì)起到任何作用。實(shí)際上，對(duì)此進(jìn)行分析，如果不“可視化”還不會(huì)被引起重視。系統(tǒng)信息和事件管理系統(tǒng)（SystemInformationandEventManagement，SIEM）可以起到這個(gè)作用，它可以瀏覽控制系統(tǒng)整體狀況。該系統(tǒng)通過對(duì)收集的日志或者事件等信息進(jìn)行相關(guān)分析，能夠早期察覺網(wǎng)絡(luò)攻擊的征兆，采取對(duì)策。但是，SIEM系統(tǒng)一般不支持PLC、DCS與現(xiàn)場(chǎng)控制設(shè)備之間使用的通信協(xié)議，因此無法收集PLC、DCS所管理的溫度或者壓力等數(shù)據(jù)的日志。所以，最好是采用與控制系統(tǒng)日志收集系統(tǒng)并用的方式。通過將控制系統(tǒng)的日志導(dǎo)入到SIEM系統(tǒng)，就能夠?qū)崿F(xiàn)控制信息系統(tǒng)與控制系統(tǒng)雙方的狀況可視化。

4.2由中介機(jī)構(gòu)開展企業(yè)控制設(shè)備安全性檢測(cè)服務(wù)

上述措施大多是針對(duì)“入口”的，控制系統(tǒng)和工業(yè)網(wǎng)絡(luò)自身的改革也很必要。

長(zhǎng)期而言，還是需要將控制設(shè)備、工業(yè)網(wǎng)絡(luò)提升到更高安全級(jí)別，按照地域來合理制定控制系統(tǒng)安全級(jí)別策略等。對(duì)于提供控制設(shè)備、工業(yè)網(wǎng)絡(luò)的供應(yīng)商來說，也應(yīng)考慮如何提供更安全的服務(wù)。

在強(qiáng)化控制設(shè)備安全性這一點(diǎn)上，我們可以借鑒2013年5月28日創(chuàng)建的CSSC日本東北多賀城總部的做法，組建中介服務(wù)機(jī)構(gòu)，提供檢測(cè)企業(yè)控制設(shè)備安全性的檢證服務(wù)。針對(duì)企業(yè)帶來的檢測(cè)對(duì)象設(shè)備，由掌握攻擊技能的人員，以一定步驟開展模擬攻擊，檢查是否存在安全漏洞。

4.3完善工業(yè)控制系統(tǒng)信息安全認(rèn)證體系

ISA安全兼容協(xié)會(huì)（ISASecurityComplianceInstitute）成立于2007年，致力于為工業(yè)自動(dòng)化控制系統(tǒng)的網(wǎng)絡(luò)安全提供保障。它所提供的認(rèn)證和規(guī)范，均由工廠行業(yè)協(xié)會(huì)、用戶、學(xué)術(shù)界、政府和監(jiān)管機(jī)構(gòu)合作共同審核。

據(jù)稱，CSSC將從2013年開始開展ISA安全兼容協(xié)會(huì)的嵌入式設(shè)備安全保障

認(rèn)證（EmbeddedDeviceSecurityAssurance，EDSA）這項(xiàng)工作得到了日本經(jīng)濟(jì)產(chǎn)業(yè)省的扶持。CSCC還計(jì)劃，2014年三四月開始開展控制設(shè)備的自主安全認(rèn)證一CSSC認(rèn)證。此外，CSSC與ISA安全兼容協(xié)會(huì)簽署了備忘錄，CSSC認(rèn)證將與國(guó)際認(rèn)證實(shí)現(xiàn)相互認(rèn)證，日本企業(yè)在國(guó)內(nèi)就可獲得控制設(shè)備的與安全相關(guān)的國(guó)際認(rèn)證。

安全認(rèn)證體系建設(shè)是信息安全保障的基礎(chǔ)性工作，但在認(rèn)證制度的設(shè)計(jì)和標(biāo)準(zhǔn)規(guī)范的研究與設(shè)計(jì)方面，還需要大量的經(jīng)驗(yàn)和積累。初期，我國(guó)可以與國(guó)際認(rèn)證機(jī)構(gòu)合作，開展聯(lián)合認(rèn)證服務(wù)，但要逐步建立自己的安全認(rèn)證機(jī)制。這不僅是與國(guó)際通行做法接軌，也有利于信息安全領(lǐng)域的國(guó)際交流與合作，在切實(shí)提高我國(guó)信息安全水平的同時(shí)，幫助和促進(jìn)工業(yè)企業(yè)提升信息安全技術(shù)水平，引導(dǎo)產(chǎn)業(yè)健康發(fā)展。

20211103_618242d895164__工業(yè)控制系統(tǒng)信息安全問題不容忽視