工業(yè)控制系統(tǒng)信息安全問題不容忽視

“美國提供供水、供電等重要社會基礎設施服務企業(yè),其控制系統(tǒng)發(fā)生異常并被實施破壞的網絡攻擊危險性越來越高”，2013年5月9日，美國華盛頓郵報報道了美國國土安全部在5月7日發(fā)出的這一警告。據稱，美國政府高官對國外敵對勢力最近幾個月控制水、電、化工廠的計算機系統(tǒng)進行了調查，對破壞性的網絡攻擊極為擔憂。而且，破壞的目的不僅僅局限于竊取生產制造的知識產權，還擴展到使生產控制過程發(fā)生異常等破壞性行為。

1工業(yè)控制系統(tǒng)的具體攻擊案例

其實，自從進入21世紀之后，就已經出現了很多相關事例。比如，澳大利亞下水道監(jiān)控系統(tǒng)和美國核電站監(jiān)控系統(tǒng)曾被第三方經由無線網絡系統(tǒng)侵入，波蘭地鐵信號系統(tǒng)被入侵（見表1）。近年來，這樣的攻擊案例正在迅速增加。

表1針對重要基礎設施的網絡攻擊事件

據稱，2009年以來美國國土安全部應對的攻擊事例超過50萬起。其中，2012年針對政府機構及重要基礎設施的攻擊多達19萬起，比2011年增加了70%多。

1.1伊朗核設施遭受破壞性攻擊

對控制系統(tǒng)進行網絡攻擊的最著名案例是，2010年9月伊朗納坦茲的鈾燃料濃縮施設被稱為“Stuxnet”的超級工廠病毒進行了網絡攻擊（見圖1）

據專家分析，該攻擊中，Stuxnet利用了德國西門子開發(fā)的Step7控制系統(tǒng)軟件中的漏洞，進行干擾控制濃縮鈾的遠心分離機的運行速度以及狀態(tài)，妨礙鈾濃縮過程。

圖1  Stuxnet入侵控制系統(tǒng)

美國Symantec公司認為，由于局域網和工廠內的控制系統(tǒng)是獨立的，所以該病毒應該是以U盤為介質來傳播的，并推測是由5?10人團隊用半年時間開發(fā)了Stuxnet病毒。

1.2沙特生產制造型工廠也被破壞者盯上

2012年8月，沙特阿拉伯國營石油公司Aramco受到了網絡攻擊。據紐約時報報道，攻擊者的目標為制油/制氣工程,通過使工程中止，讓石油/天然氣的生產發(fā)生異常。

這個攻擊中使用了“Shamoon”計算機病毒，所幸沒有造成生產異常，但是卻影響了該公司3萬多臺計算機，Aramco公司為此中斷了一周內部網絡訪問。

日本控制系統(tǒng)安全專家村上正志稱，“全球范圍內存在許多利用網絡攻擊的犯罪組織”他們?yōu)榱藢崿F企業(yè)恐嚇、操縱股價等目的，從事有針對性的對控制系統(tǒng)的網絡攻擊，而且這種行為將會越來越多。他進一步指出，“許多網站出售網絡攻擊工具，無需高級技術就能進行攻擊的時代已經到來了”這些組織或網站的存在，意味著工廠等控制系統(tǒng)受到攻擊將極為現實

就像恐怖襲擊的攻擊那樣，目的在于使社會混亂。對基礎設施的網絡攻擊今后將不斷出現，而對于從事普通生產工業(yè)產品的企業(yè)的控制系統(tǒng)來說，也并非事不關己。

1.3某日本企業(yè)每5分鐘受到一次攻擊

在日本，對制造業(yè)的網絡攻擊案例也在增多。據稱，某個日本企業(yè)每5分鐘就遭受一次網絡攻擊，而且，攻擊來源都不相同。為此，制造新產品或者產品重新組裝的時候，需要輸入必要的生產信息、生產配方等工作網絡，一定要從控制系統(tǒng)中剝離。為此，在生產現場需要用手工來輸入那些信息。這樣雖然有可能增加工人的工作量，提升制造成本，但是從安全角度來看，似乎沒有更好的辦法。

所以，網絡攻擊對于工廠等運行著控制系統(tǒng)的企業(yè)來說,已經不再是事不關己了。不僅僅要防范網絡攻擊，還要將視野擴大到計算機病毒造成的破壞，其影響也在大幅擴大。

日本許多工廠都發(fā)生過因設備故障而臨時停產的案例,是軟件故障還是設置錯誤？還是計算機病毒造成的？由于那些企業(yè)當時沒弄清楚，最初都當作設備故障采取臨時停產措施,但通過分析發(fā)現其中大部分是計算機病毒造成的。這種案例并非剛剛出現，多年前就開始持續(xù)了?？梢哉f，如今控制系統(tǒng)的安全對策已經成為了緊迫課題。

2美國日本積極采取應對措施

2.1美國已開始重點推進相關對策

美國已領先10年采取相關對策。美國很早就認識到在網絡領域采取安全對策的必要性。在推進智能電表之前，就已在電力、通信、金融等重要基礎設施領域采取措施強化信息安全。

2002年11月，吸取“9?11”恐怖襲擊的教訓，美國將此前分散在各個部門的與保護重要基礎設施相關的全部職責整合到了國土安全部。2003年12月，根據關于國土安全的第7號總統(tǒng)令，建立了由國土安全部統(tǒng)一指定重要基礎設施和需保護的資源、排定優(yōu)先順序等活動的體制，網絡安全對策排在較優(yōu)先的位置（見表2）。

2.2日本開展以基礎設施為攻擊目標的模擬培訓

2013年5月28日，日本在宮城縣多賀城市建設了所謂“正義黑客”的培養(yǎng)場所，用以維護工場、發(fā)電站等控制系統(tǒng)安全（見圖2）這一場所的建設者為技術研究機構一日本控制系統(tǒng)安全中心（CSSC）的東北多賀城總部。

該組織以日本經濟產業(yè)省下屬的產業(yè)技術綜合研究所為核心，由包括日立、東芝在內的18個團體共同發(fā)起。該場所樓層面積為1600m2,約投入20億日元（約1.3億人民幣），具備7種類型的控制裝置和系統(tǒng)。此外，還計劃在未來研究中每年投入5億日元（約0.3億人民幣）。場所內配置了火力發(fā)電站、化工廠汽車制造等工廠基礎設施中使用的工業(yè)機器人、樓宇空調和照明系統(tǒng)，并單獨開設的“紅隊房間”，供技術人員模擬進行網絡攻擊，讓設備錯誤操作或者中止。

攻擊軟件采用了美國國防部使用的網絡攻防演習系統(tǒng)核心裝置，能夠模擬世界級的攻防，可進行300多種各類攻擊的實戰(zhàn)演練。通過大屏幕，能夠逐一觀看攻防演練的狀態(tài)。

東北多賀城總部負責人高橋信稱，目前，日本大多數化工廠發(fā)電廠等基礎設施尚無法識別網絡攻擊帶來的破壞。但是，對工廠等控制系統(tǒng)的網絡攻擊，不會只在歐美、中東等地區(qū)發(fā)生，必定會衍生到日本。所以，日本要“開發(fā)可抵御網絡攻擊的技術，創(chuàng)造可信賴的防御與認證機制”這個場所是日本首個網絡攻擊的模擬攻防場所，技術人員可以通過體驗網絡攻擊，了解系統(tǒng)的弱點，以便應用到防御工作之中。

3易受攻擊的重要原因是硬件、操作系統(tǒng)的通用化

以往的控制系統(tǒng)往往采用專用硬件和操作系統(tǒng)，而近年來，工業(yè)控制系統(tǒng)采用通用的CPU主板和操作系統(tǒng)的情形不斷增多。這是控制系統(tǒng)現在更易受到攻擊的重要原因。

2000年初的時候，控制系統(tǒng)還沒有連接外部網絡，幾乎沒有出現病毒入侵的案例。但此后不久，“U盤普遍流行，控制系統(tǒng)維護時，紛紛用U盤替換程序或數據”，再加上“部分控制系統(tǒng)開始連接進外部網絡”，所以大大提升了病毒感染的危險性。

實際上，日本經濟產業(yè)省在2008年曾經開展過一項調查,結果顯示，以機床、半導體制造設備、各種工業(yè)機械等制造設備為對象的控制系統(tǒng)中，將近70%帶有USB接口，超過60%帶有網卡，80%的操作系統(tǒng)為Windows，只有不到20%采用了UNIX系統(tǒng)。

同時，美國國土安全部所屬的TheIndustrialControlSystemsCyberEmergencyResponseTeam（ICS-CERT）稱，2012年1年間發(fā)現約7200個可通過互聯(lián)網訪問的控制系統(tǒng)的人機接口（HMI）。

4應對措施及建議

4.1安裝防范軟件和入侵監(jiān)測系統(tǒng)

企業(yè)該如何強化控制系統(tǒng)的安全性呢？McAfee網絡戰(zhàn)略顧問佐佐木弘志提出如下三項對策：

第一，白名單式安全防范軟件。預先登記系統(tǒng)所使用的程序清單，只有清單中注冊的程序，才許可其運行。與一般定義文件中記錄惡意程序清單的安全防范軟件（黑名單安全防范軟件）不同，定義文件無需時刻保持更新，無須不斷地掃描惡意程序，從而不會對硬件運行速度造成較高負荷。安全防范軟件可以安裝到管理PLC（ProgrammableLogicController，可編程邏輯控制器）、DCS（DistributedControlSystem，集散控制系統(tǒng)）等控制器的計算機控制終端中來使用。

第二，采用類似入侵監(jiān)測系統(tǒng)（IntrusionDetectionSystem，IDS）的網絡監(jiān)視系統(tǒng)。這里的監(jiān)視對象是PLC、DCS等控制系統(tǒng)控制器與管理計算機之間的網絡，以及控制器與現場控制設備間的網絡。IDS監(jiān)視非法訪問這些網絡的數據包。

第三，采用狀況識別（可視化）系統(tǒng)。不斷采集控制系統(tǒng)的日志、事件等信息，僅此而已不會起到任何作用。實際上，對此進行分析，如果不“可視化”還不會被引起重視。系統(tǒng)信息和事件管理系統(tǒng)（SystemInformationandEventManagement，SIEM）可以起到這個作用，它可以瀏覽控制系統(tǒng)整體狀況。該系統(tǒng)通過對收集的日志或者事件等信息進行相關分析，能夠早期察覺網絡攻擊的征兆，采取對策。但是，SIEM系統(tǒng)一般不支持PLC、DCS與現場控制設備之間使用的通信協(xié)議，因此無法收集PLC、DCS所管理的溫度或者壓力等數據的日志。所以，最好是采用與控制系統(tǒng)日志收集系統(tǒng)并用的方式。通過將控制系統(tǒng)的日志導入到SIEM系統(tǒng)，就能夠實現控制信息系統(tǒng)與控制系統(tǒng)雙方的狀況可視化。

4.2由中介機構開展企業(yè)控制設備安全性檢測服務

上述措施大多是針對“入口”的，控制系統(tǒng)和工業(yè)網絡自身的改革也很必要。

長期而言，還是需要將控制設備、工業(yè)網絡提升到更高安全級別，按照地域來合理制定控制系統(tǒng)安全級別策略等。對于提供控制設備、工業(yè)網絡的供應商來說，也應考慮如何提供更安全的服務。

在強化控制設備安全性這一點上，我們可以借鑒2013年5月28日創(chuàng)建的CSSC日本東北多賀城總部的做法，組建中介服務機構，提供檢測企業(yè)控制設備安全性的檢證服務。針對企業(yè)帶來的檢測對象設備，由掌握攻擊技能的人員，以一定步驟開展模擬攻擊，檢查是否存在安全漏洞。

4.3完善工業(yè)控制系統(tǒng)信息安全認證體系

ISA安全兼容協(xié)會（ISASecurityComplianceInstitute）成立于2007年，致力于為工業(yè)自動化控制系統(tǒng)的網絡安全提供保障。它所提供的認證和規(guī)范，均由工廠行業(yè)協(xié)會、用戶、學術界、政府和監(jiān)管機構合作共同審核。

據稱，CSSC將從2013年開始開展ISA安全兼容協(xié)會的嵌入式設備安全保障

認證（EmbeddedDeviceSecurityAssurance，EDSA）這項工作得到了日本經濟產業(yè)省的扶持。CSCC還計劃，2014年三四月開始開展控制設備的自主安全認證一CSSC認證。此外，CSSC與ISA安全兼容協(xié)會簽署了備忘錄，CSSC認證將與國際認證實現相互認證，日本企業(yè)在國內就可獲得控制設備的與安全相關的國際認證。

安全認證體系建設是信息安全保障的基礎性工作，但在認證制度的設計和標準規(guī)范的研究與設計方面，還需要大量的經驗和積累。初期，我國可以與國際認證機構合作，開展聯(lián)合認證服務，但要逐步建立自己的安全認證機制。這不僅是與國際通行做法接軌，也有利于信息安全領域的國際交流與合作，在切實提高我國信息安全水平的同時，幫助和促進工業(yè)企業(yè)提升信息安全技術水平，引導產業(yè)健康發(fā)展。

20211103_618242d895164__工業(yè)控制系統(tǒng)信息安全問題不容忽視