煉化企業工控系統網絡安全威脅初探

張大衛

（中海石油煉化有限責任公司 北京 100029）

煉化行業是工業控制系統普及度較高的行業之一，同時也是對工控系統的控制策略復雜性及穩定性要求非常高的行業。在我國石油煉化行業中，主要工業控制系統包括集散控制系統（DCS）、可編程邏輯器件（PLC）、安全儀表系統（SIS）、可燃氣報警系統（GDS）等，如今煉化企業中越來越多的工業控制系統對工廠正常生產運行起到了不可替代的作用，但同時也帶來了不少安全問題。

石油煉化行業由于自身的特點，網絡信息安全防護有其特殊性。一是煉化企業在遭受攻擊后損失一般很嚴重，大型石油煉化裝置一旦遭受攻擊會直接影響到社會安定及國家經濟發展和安全。二是攻擊主體特殊，不同于以謀財為目的的網絡詐騙等傳統網絡攻擊，攻擊者一般不是普通的黑客，而很可能是恐怖組織甚至是敵對國家的組織。

國內外出現過多次由信息安全引發的安全事故，比如2012年8月，沙特阿拉伯國家石油公司的3萬多臺電腦遭到黑客攻擊，公司在應急響應不力的情況下停止了石油生產。據調查是黑客組織“正義之劍”出于政治目的實施了此次攻擊；2000年，黑客在俄羅斯加斯普羅姆公司內部人員的幫助下突破了該公司的安全防護網絡，致使該公司的天然氣流量輸出一度控制在外部用戶手中，對該企業和俄羅斯造成了巨大的經濟損失；2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，攻擊者入侵了監控管理系統，超過一半的地區和部分伊萬諾-弗蘭科夫斯克地區斷電幾個小時；2017年6月27日，烏克蘭、俄羅斯、英國以及歐洲多國遭遇Petya類勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度地受到了影響。

隨著新型信息化技術在企業中的飛速發展，工控網絡和企業管理網之間的聯系越來越緊密。而傳統工控系統采用專用的通信協議、軟件及硬件，由于計算能力的限制，在系統設計時著重考慮效率和實時等特性，而未將信息安全作為主要指標考慮。與基于TCP/IP協議的信息系統的安全相比，我國工控系統由于長期以來沒有得到關注，安全保護水平明顯偏低。工控網絡與企業管理網幾乎沒有隔離功能，防護功能很弱。在當前不斷發展的“兩化融合”需求下，工控網絡與企業管理網絡之間的數據交換成為必然，工控系統的安全風險就越發突出。系統中任何一點受到攻擊都有可能導致整個系統的癱瘓，造成重大人員財產損失。

目前工控網絡主要的安全威脅表現在以下幾個方面：

（1）操作系統漏洞

目前大多數系統級工業控制系統的都是基于Windows平臺的，由于Windows平臺的漏洞，許多系統已經暴露于攻擊之下。卡巴斯基曾做過的調查顯示，越來越多運行了SCADA軟件的電腦感染了相同的惡意軟件，其中包括但不僅限于眾所周知的木馬、病毒、蠕蟲、PUP以及其他一些針對Windows操作系統的漏洞利用。另外，對于大多采用嵌入式結構及專用實時操作系統的設備級工控系統，由于有限的計算資源，為了保證實時性和可用性，系統對信息安全的設計需求往往不夠關注，從關鍵芯片到文件系統、進程調度、內存分配等都有可能存在安全漏洞。隨著設備級工控系統越來越智能化和網絡化，它已經成為重點攻擊目標。

（2）應用軟件漏洞

根據中國國家信息安全漏洞共享平臺（CNVD）所發布的信息，2018年1—3月新增的工業控制網絡相關的漏洞97個。其中高危漏洞和中危漏洞達到96%，由此可見工控相關應用系統和軟件的安全性不足。隱患嚴重的軟件Bug通常在軟件發布初期出現的較多，隨著軟件版本不斷更新而減少。工控應用系統中的高危漏洞的占比如此之高，說明這些目標系統的安全性設計和驗證還處于初期階段，存在著大量的安全優化空間，亟待自動化廠商在開發測試階段就加入安全因素，降低中高危漏洞的數量。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如煉化廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

（3）通信協議漏洞

工控通信協議作為工控設備與應用、設備與設備之間溝通的一種重要語言。工控系統中如果需要實現遠程數據監控（SCADA）就一定離不開通訊協議，SCADA系統中會使用經由雙方約定的協議直接與下層設備或數據采集轉換器進行數據通信。隨著工控網絡中大量引入了以太網，TCP/IP 協議和OPC 協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。因為一般的工控協議都經歷了長時間的演變與積累，協議在設計之初都沒有考慮加密、認證等在當今看來保障用戶安全的必要認證條件，所以我們常見的工控網絡協議的安全性一直都不高。加上工控協議的特性是面向命令、面向功能、輪詢應答式，攻擊者只需要掌握協議構造方式，并接入到了工控網絡中，便可以通過協議對目標設備的任意數據進行篡改。

（4）管理流程漏洞

眾多企業在工業控制系統管理方面普遍存在追求可用性而犧牲安全的現象，并且缺乏完整有效的安全策略與管理流程。2016年，來自俄羅斯的ICS/SCADA研究人員發布了一份被稱為SCADAPaas的清單，清單中的全球上百款工控系統產品默認密碼已在互聯網泄露，涵蓋范圍從控制器到Web服務器，而相關廠商則涉及艾倫-布拉德利、施耐德電氣以及西門子等業界巨頭。如果以root方式對工業路由器、PLC或者其它ICS/SCADA設備進行遠程接入，攻擊者將了解到整個工業流程，并借此發動破壞性襲擊。而煉化企業的工控系統普遍使用默認密碼，存在嚴重信息安全隱患。

此外，對于移動存儲介質在工控系統中的管理普遍存在著漏洞，需要企業制定更加嚴格的訪問控制策略，否則攻擊者很容易通過U盤等移動存儲介質將木馬、病毒感染給工控系統，給企業造成巨大的損失。