一個工控系統(tǒng)病毒的處置及思考

王紹杰，霍朝賓，田曉娜

(工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室，北京 100083)

0 引言

習總書記在2016年4月19日的網(wǎng)絡安全和信息化工作座談會中明確指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標。”“物理隔離”防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風險隱患。不出問題則已，一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。因此必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護。

毫無疑問，工控系統(tǒng)安全是國家安全的重要組成部分，是推動“中國制造2025”、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎保障。但是，隨著“工業(yè)4.0”時代的來臨和“兩化融合”腳步的加快, 互聯(lián)網(wǎng)、云計算等新興技術與傳統(tǒng)的工控系統(tǒng)相結合的同時，也帶來了前所未有的安全隱患，國外設備后門、工控及IT設備的漏洞、黑色產(chǎn)業(yè)鏈共享協(xié)作的工業(yè)蠕蟲病毒、國外勢力資助的高級持續(xù)性攻擊愈演愈烈。本文通過2017年一次實際發(fā)生的馬吉斯病毒感染事件來探討工控安全的問題和對策。

1 案例分析

2017年，某電廠某機組DCS處于檢修期，按計劃對工程師站組態(tài)軟件例行升級，升級完成后重啟計算機，發(fā)現(xiàn)計算機運行緩慢且組態(tài)軟件無法運行。經(jīng)安全測評人員檢查發(fā)現(xiàn)某機組DCS工程師站受到病毒影響，脫硫、輔網(wǎng)、電量接口機及SIS系統(tǒng)服務器均感染病毒。檢測人員及時對此病毒進行隔離、驗證、安全加固和恢復等多種操作，未造成其他嚴重后果。此次事件再次給電力甚至整個工控行業(yè)敲響警鐘——關鍵信息基礎設施沒有安全“孤島”。

1.1 病毒分析

病毒名稱：馬吉斯，病毒文件約50 KB，利用了多個反跟蹤技巧，查殺難度很大。該病毒屬蠕蟲病毒，既具有病毒的特性又具有木馬的特性，能夠感染本地系統(tǒng)的所有.exe和.scr擴展名的文件，一旦執(zhí)行，即快速感染W(wǎng)indows的系統(tǒng)文件，在C盤Windows系統(tǒng)文件夾中釋放 (如圖1、圖2所示)，加載之并檢查病毒是否在進程explorer.exe中，若是則啟動病毒主線程，否則繼續(xù)。該病毒具有監(jiān)聽特定端口的功能并能夠連接到特定的IP地址，可利用IPCMYM掃描局域網(wǎng)中的主機，如果命中則繼續(xù)感染其他主機。病毒感染過程示意圖如圖3所示。

圖1 病毒釋放文件

圖2 病毒釋放文件及系統(tǒng)正常文件

圖3 感染過程示意圖

1.2 感染原因分析

根據(jù)事件發(fā)生的現(xiàn)象，安全測評人員分別從網(wǎng)絡結構、邊界防護、主機配置、敞口和人員訪談五個方面進行處置和分析。

(1)網(wǎng)絡結構

安全X區(qū)DCS與安全X區(qū)SIS之間通過防火墻隔離。結構滿足能源局36號文相關要求。X機DCS拓撲結構與SIS系統(tǒng)拓撲結構分別如圖4和圖5所示。

圖4 X機組DCS拓撲結構

圖5 SIS系統(tǒng)拓撲結構

(2)邊界防護

檢查發(fā)現(xiàn)防火墻安全配置存在兩個問題：防火墻的源地址和目的地址未進行限制；防火墻的防DOS攻擊未進行配置，故防火墻的邏輯隔離效果削弱。

(3)主機配置

工程師站和接口機均開啟默認共享，開啟端口445端口(業(yè)務需要，不允許關閉)，且主機無任何防惡意代碼措施。操作系統(tǒng)(Windows XP)補丁無法更新。

(4)敞口

工程師站和接口機的USB口部分未封閉，SIS交換機多余網(wǎng)口未封閉。

(5)人員訪談

詢問軟件升級方式，存在通過U盤進行升級的現(xiàn)象，且U盤非專用(嚴重問題)。

2 事件啟示

實驗室EOF團隊針對該病毒特點，現(xiàn)場通過隔離、驗證、安全加固和恢復等措施，限制病毒傳播并清除之，使病毒事件造成的損失降低到最小程度，體現(xiàn)了電子六所的優(yōu)良的安全服務水平并得到用戶的肯定，同時得到如下一些啟示：

(1)工控系統(tǒng)仍然存在嚴重的管理漏洞，嚴密的規(guī)則制度和嚴格的制度執(zhí)行缺一不可，管理人員安全規(guī)范意識急需提升。

(2)移動存儲介質(zhì)在生產(chǎn)控制大區(qū)與管理信息大區(qū)交叉使用，使工控系統(tǒng)仍然面臨造成感染病毒的風險，安全“孤島”并不存在。

(3)工控企業(yè)缺乏工控信息安全防護技能，例如防火墻等安全設備策略配置管理。

(4)主機缺乏必要的安全防護，基于白名單防惡意代碼軟件建議重點考慮。

(5)網(wǎng)絡邊界缺乏必要的安全審計，缺少網(wǎng)絡安全事件的追溯措施。

(6)工控企業(yè)缺乏必要應急保障措施。

(7)工控企業(yè)缺少系統(tǒng)上線前的安全檢測和驗收測試。

3 面臨的挑戰(zhàn)及建議

此次安全事件只是揭開工控安全的“冰山一角”，從一個側(cè)面折射出我國工控安全領域諸多顯現(xiàn)和潛在的安全問題，以及相關產(chǎn)業(yè)面臨的艱巨挑戰(zhàn)和潛在的發(fā)展機遇。

(1)工控安全標準體系有待進一步完善。

目前我國工控安全標準規(guī)范不夠完善， 建議深入各行業(yè)調(diào)研我國工控安全問題和行業(yè)特點，制定出臺一系列行業(yè)標準體系，逐步完善行業(yè)工控安全管理、防護等標準體系。

(2)工控系統(tǒng)安全管理防護體系仍不健全。

目前工控系統(tǒng)仍然存在安全管理防護意識薄弱，仍然存在工控信息安全及網(wǎng)絡威脅感知不足，安全防護技能薄弱的問題。建議繼續(xù)發(fā)揮國家相關部門的行政指導職能，通過政策法規(guī)和行業(yè)標準規(guī)范的制定和貫徹實施，提高各行業(yè)工控企業(yè)安全管理防護意識。持續(xù)推進國家關鍵信息基礎設施工控網(wǎng)絡安全審查評估工作，督促企業(yè)落實工控安全主體責任，逐步健全工控安全常態(tài)化審查評估機制，建立完善的工控安全管理防護體系。

(3)工控系統(tǒng)安全仍未做到“三同時”——同步規(guī)劃、同步建設和同步運行。工控系統(tǒng)缺少充分的安全規(guī)劃，存在安全防護滯后的問題。建議在工控系統(tǒng)規(guī)劃、建設和運行的同時，綜合考慮已制定的工控安全標準，結合行業(yè)特點，同步進行安全風險分析、安全設計和安全措施部署。

(4)工控系統(tǒng)安全服務保障體系不規(guī)范。

工控安全支撐力量分散、缺乏專業(yè)的工控安全保障機構承擔安全檢查評估、事件應急響應、風險預警通報、風險消減等工作。建議持續(xù)開展工控廠商與安全廠商、安全廠商與工業(yè)企業(yè)等服務對接系列活動，提供供需雙方交流對接平臺。以工控安全專項資金支持工控網(wǎng)絡靶場建設，組織開展攻防演練、應急響應、教育培訓等多種技術服務，推動工控企業(yè)安全試點建設，逐步規(guī)范各項服務，培育工控安全服務保障體系。

(5)關鍵信息基礎設施安全隱患嚴重。

據(jù)統(tǒng)計，我國有近86%的重要信息系統(tǒng)選用國外操作系統(tǒng)、數(shù)據(jù)庫和服務器等關鍵信息產(chǎn)品，有60%重要信息系統(tǒng)運行維護依賴國外廠商，部分網(wǎng)絡產(chǎn)品已深度滲透至我國電信、金融、能源等關鍵信息基礎設施。針對這些國外產(chǎn)品及系統(tǒng)可能存在的后門及漏洞問題，缺乏有力監(jiān)管，缺少必要的技術檢測措施和安全可控方案，安全風險難以掌控。建議支持高等院校、科院院所、研發(fā)企業(yè)等機構自主研發(fā)工控安全技術和產(chǎn)品。通過工控安全專項資金支持，引導研發(fā)機構加強創(chuàng)新能力建設，加快構建工控安全技術產(chǎn)品研發(fā)體系。

4 結論

通過此次實際案例的處置，我們進一步認識到工業(yè)控制領域面臨的風險是實實在在存在的，作為關鍵信息基礎設施的管理部門，在實際工作中需要進一步完善規(guī)則制度，嚴格制度流程的執(zhí)行，加強移動存儲介質(zhì)管理，落實設備專用，尤其嚴禁在生產(chǎn)控制大區(qū)與管理信息大區(qū)交叉使用移動存儲介質(zhì)，切勿心存僥幸；防火墻等安全設備策略配置要完整，除開啟訪問控制策略外，還需開啟日志記錄功能，便于事后追溯；主機白名單防惡意代碼軟件建議重點考慮。DCS與SIS邊界交換機處部署安全審計設備，便于事后追溯。在此基礎上，制定應急響應措施尤為關鍵。同時要切實加強人員教育，提升安全防范意識。