工業(yè)控制網(wǎng)絡安全系列之一工業(yè)控制系統(tǒng)網(wǎng)絡安全防護的九大誤區(qū)

谷神星網(wǎng)絡科技有限公司

近年來，由于能源需求持續(xù)增長，管理模式不斷變化，以及通信技術（ICT）的廣泛應用，工業(yè)控制系統(tǒng)正在經(jīng)受一場快速而深刻的變革。原本相對簡單、相對獨立的工控系統(tǒng)正在向自動化、信息化和網(wǎng)絡化方向發(fā)展。雖然工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題已經(jīng)引起很多國家和權威機構的高度重視，但是對相關企業(yè)和從業(yè)者來說，仍是一個很新的領域，工作中還存在著很多誤區(qū)。

誤區(qū)1：工業(yè)控制系統(tǒng)（ICS）是與外界隔離的

實際上，基礎設施領域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場分析、財務計劃等信息管理系統(tǒng)。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構，與外界完全隔離幾乎不可能。另外，維護用的移動設備或移動電腦也會打破系統(tǒng)與外界的隔離，打開網(wǎng)絡安全風險之門。

事實證明，不管多么嚴格的隔離措施也會有安全隱患發(fā)生。2003年Davis-Besse核電站被Slammer蠕蟲病毒侵入；2006年13家Daimler-Chrysler汽車企業(yè)因感染Zotob蠕蟲病毒被迫停工；2008年有超過千萬臺的設備，包括所謂隔離了的設備，均受到Conficker蠕蟲病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國宇航局證實其國際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。

誤區(qū)2：沒有人會襲擊我們

上個世紀，雖然有些零星的ICS網(wǎng)絡攻擊事件發(fā)生，公眾對ICS網(wǎng)絡安全問題并沒有足夠認識。直到2000年澳大利亞Maroochy Shire排水系統(tǒng)受攻擊事件報道之后，人們才意識到ICS系統(tǒng)一旦受襲擊有可能造成嚴重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)（SCADA）受到攻擊，導致800 000升污水直接排放到環(huán)境中。

另外，ICS系統(tǒng)并不是堅不可摧。2006年以來，美國計算機應急響應小組對外公布的ICS系統(tǒng)安全漏洞越來越多。2009年底其數(shù)據(jù)庫顯示的24條SCADA相關漏洞都是已經(jīng)預警的，而且，主流黑客工具如Metasploit Framework中已經(jīng)集成有其中一些漏洞的攻擊方法。

越來越多的跡象表明，ICS系統(tǒng)已經(jīng)成為黑客、政治對手、不滿的員工或犯罪組織等各類攻擊者關注的目標。

誤區(qū)3：黑客不懂我們的協(xié)議/系統(tǒng)，系統(tǒng)非常安全

實際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標準件（COTS）和IT技術；除某些特殊環(huán)境外，大部分通信采用的是以太網(wǎng)和TCP/IP協(xié)議；ICS、監(jiān)控站以及嵌入式設備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過智能能源參考架構（SERA）打進電力行業(yè)，并試圖將微軟技術安插到未來智能電網(wǎng)架構的核心中。

那些特殊環(huán)境采用的內部協(xié)議其實也有公開的文檔可查。典型的電力系統(tǒng)通信協(xié)議定義在IEC和IEEE標準中都可以找到。像Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細說明，其內容也早已被黑客圈子熟知。

另外，由于ICS設備功能簡單，設計規(guī)范，只需少許計算機知識和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護特征。甚至某些應急工具都可以自動完成逆向工程。

即使經(jīng)過加密處理的協(xié)議也可以實施逆向工程。例如，GSM手機全球系統(tǒng)、繳費終端及汽車點火裝置的射頻信號、DVD反復制保護機制，它們雖然都采用專門的加密技術，但最終都被破解。

誤區(qū)4：ICS系統(tǒng)不需要防病毒軟件，或有了防病毒軟件就可以了，我們的防火墻會自動提供保護等

認為ICS系統(tǒng)不需要防病毒與誤區(qū)1（系統(tǒng)是隔離的）和誤區(qū)3（黑客不了解系統(tǒng)）有關。實際上，除了Windows平臺易受攻擊外，Unix/Linux都有過病毒或跨平臺病毒攻擊的經(jīng)歷。Proof-of-concept病毒則是專門針對SCADA和AMI系統(tǒng)的。所以對ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時更新。

那么，有了防病毒軟件是否就高枕無憂了？雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對更隱蔽或鮮為人知的病毒的防御還遠遠不夠。而且，防病毒軟件本身也有弱點存在。從近期的一次安全會議上得知，在對目前使用最多的7個防病毒軟件進行防病毒能力挑戰(zhàn)時，有6個可以在2 min內被攻破。

另外，雖然防火墻也是應用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設置規(guī)則比較復雜，目前80%的防火墻都沒有正確配置，都沒有真正起到安全防護的作用。

誤區(qū)5：網(wǎng)絡安全事件不會影響系統(tǒng)運行

事實證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運行，還可能導致嚴重后果。前面提到的澳大利亞Maroochy Shire排水系統(tǒng)受攻擊事件就是一例；2003年Davis-Besse核電站因Slammer蠕蟲病毒入侵導致系統(tǒng)計算機停機6 h以上；2007年美國愛達荷國家實驗室一臺為13.8KV網(wǎng)格測試臺供電的柴油發(fā)電機因網(wǎng)絡攻擊而被毀；2008年Hatch核電廠一工程師在數(shù)據(jù)采集服務器上測試軟件更新時，在其不知情的情況下，測試值被供應商軟件同步設置到生產(chǎn)系統(tǒng)上，結果導致反應堆自動停機事故。另外，攻擊者也會想方設法接近ICS設備，如將攜有惡意軟件的U盤以禮相送，或是向收集到的目標企業(yè)工作人員發(fā)送電子郵件，一旦郵件內鏈接被打開，惡意軟件就會下載到工作站。攻擊者聲稱，通過這些惡意軟件，他們可以全面控制工作站和SCADA系統(tǒng)。

誤區(qū)6：ICS組件不需要特別的安全防護，供應商會保證產(chǎn)品的安全性

人們能夠理解ICS系統(tǒng)核心組件（如數(shù)據(jù)庫、應用軟件、服務器等）安全性的重要性，但常常會忽視ICS系統(tǒng)外圍組件（如傳感器、傳動器、智能電子設備、可編程邏輯控制器、智能儀表、遠程終端設備等）的安全防護。其實這些外圍設備很多都內置有與局域網(wǎng)相聯(lián)的網(wǎng)絡接口，采用的也是TCP/IP協(xié)議。這些設備運行時可能還有一些調試命令，如Telnet和FTP等，未及時屏蔽。這種情況在網(wǎng)絡服務器上也很常見。網(wǎng)絡服務器一般隱含有一項特殊功能，即允許用戶通過定位某個網(wǎng)址重新啟動遠程終端設備（RTU）。

用戶通常以為供應商會對他們產(chǎn)品的缺陷和安全性了如指掌，實際上供應商對他們產(chǎn)品的認識僅限于產(chǎn)品所能提供的功能方面，而且對出現(xiàn)的安全問題也不能快速響應。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通信協(xié)議（Wonderware Suitlink）存在漏洞后，立即聯(lián)系了供應商Wonderware，但是Wonderware 1個月后才開始回應。等到Wonderware認識到產(chǎn)品缺陷，并知會Suitlink用戶相關補救措施時，已是3個月以后的事了。這件事讓很多供應商開始關注自己產(chǎn)品的安全性，但對大部分供應商來說，還是任重道遠。

誤區(qū)7：ICS系統(tǒng)的接入點容易控制

ICS系統(tǒng)存在很多未知或已知但不安全的接入點，如維護用的手提電腦可以直接和ICS網(wǎng)絡聯(lián)接、可不經(jīng)過防火墻的接入點、遠程支持和維護接入點、ICS設備和非ICS設備的連接點、ICS網(wǎng)絡設備中的可接入端口等。實際上，ICS系統(tǒng)的所有者并不知曉有多少個接入點存在以及有多少個接入點正在使用，也不知道個人可以通過這種方式訪問ICS系統(tǒng)。

誤區(qū)8：系統(tǒng)安全可以一次性解決或是可以等到項目結束后再解決

以前，ICS系統(tǒng)功能簡單，外部環(huán)境穩(wěn)定，現(xiàn)場維護設備也非智能型，所以，針對某一問題的解決方案可以維持很長一段時間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復雜，外部環(huán)境經(jīng)常變化，現(xiàn)場維護設備也需要定期更新和維護。不僅ICS系統(tǒng)和現(xiàn)場維護設備需要安全防護，其管理和維護工作也需要安全防護，而且是動態(tài)管理的安全防護，即一旦有新的威脅或漏洞產(chǎn)生，就要及時采取安全措施。

近些年，雖然ICS項目建設開始關注系統(tǒng)安全，但是由于工期較長，通常在最后階段才開始考慮安全防護問題，而此時不僅實施不易，而且成本頗高。因為需求變更越晚或漏洞發(fā)現(xiàn)越遲，更改或彌補的費用越高。

誤區(qū)9：單向通信100%安全

某些情況下，極重要的ICS系統(tǒng)允許以單向通信方式與其他安全區(qū)域聯(lián)接。但是，這種聯(lián)接方式是很不嚴密的，其安全程度的高低取決于單向通信的實現(xiàn)方式。方式一為限制發(fā)起方方式，即通信只能由某一方發(fā)起，然后雙方可以互相通信；方式二為限制負載流方式，即在方式一基礎上，對方只能發(fā)送控制信號，不能發(fā)送數(shù)據(jù)或應用信息；方式三最嚴格，僅允許一方發(fā)送信息，不允許另一方發(fā)送任何信息。方式一采用基本防火墻就能實現(xiàn)，方式二需要進行信息包檢測，方式三需要采用特殊設備實現(xiàn)。通常認為，將前兩種方式結合起來將是最安全的防護措施。但是，即使它們可以提供很強的安全保護，網(wǎng)絡攻擊還是有可能發(fā)生。因為允許控制和信號信息進入受保護區(qū)域，經(jīng)過設備編譯后，惡意代碼就有可能得到運行。所以，單向通信并不能提供100%的安全保護。