2017年6月中下旬，美國賓夕法尼亞Bala Cynwyd的亞當弗拉納根（42歲）因破壞美國東海岸多個供水設施提供商的網(wǎng)絡被判1年零1天的監(jiān)禁。

這事還要從2013年11月，該公司以非公開理由解雇了弗拉納根說起。

弗拉納根從2007年11月開始就職于某智能水電氣設備制造商，他的工作職責之一是為客戶（主要為供水設施網(wǎng)絡）建立塔式網(wǎng)關(guān)基站（TGB）。

被解雇后，弗拉納根懷恨在心決定報復公司，從而關(guān)閉了TGB，使該公司客戶的供水設施網(wǎng)絡陷入癱瘓，之后他用攻擊性的語言修改了某些TGB上的密碼。

而這起安全事件導致了美國東海岸5個城市的塔式網(wǎng)關(guān)基站受到影響，供水設施提供商不得不派遣員工到客戶家中手工抄寫每月的用水量。

以上僅為一例工業(yè)控制系統(tǒng)入侵事件，事實上相關(guān)安全事件已層出不窮。

去年8月3日，印度多地發(fā)生網(wǎng)絡攻擊事件，影響了Bharat Sanchar Nigam Limited（BSNL）和Mahanagar Telephone Nigam Limited（MTNL）這兩家印度國有電信服務提供商的機房內(nèi)的調(diào)制調(diào)解器以及用戶的路由器，事件導致印度東北部、北部和南部地區(qū)調(diào)制調(diào)解器丟失網(wǎng)絡連接，預計6萬臺調(diào)制調(diào)解器掉線，影響了45%的寬帶連接。

10月11日，黑客針對瑞典運輸管理局（ Trafikverket ）展開 DDoS 攻擊，導致該機構(gòu)負責管理列車訂單的 IT 系統(tǒng)癱瘓，以及電子郵件系統(tǒng)與網(wǎng)站宕機，從而影響了旅客預定或修改訂單的情況。

12月，黑客利用惡意軟件Triton攻擊了施耐德電氣公司Triconex安全儀表系統(tǒng)（Triconex Safety Instrumented System，SIS），該系統(tǒng)廣泛應用于能源行業(yè)，包括石油天然氣和核設施的功能安全保護。

顯然攻擊者已不滿足于攻擊常規(guī)工控系統(tǒng)（DCS、PLC等），造成停車或停產(chǎn)，而是開始攻擊工業(yè)領(lǐng)域最核心的安全保護系統(tǒng)，嘗試造成爆炸、有害物質(zhì)泄漏等更嚴重的危害。

隨著IT（信息技術(shù)）/OT（操作技術(shù)）一體化的迅速發(fā)展，工業(yè)控制系統(tǒng)越來越多的采用通用硬件和通用軟件，工控系統(tǒng)的開放性與日俱增，系統(tǒng)安全漏洞和缺陷也更易被病毒所利用。

來自外部的安全挑戰(zhàn)

1） 暴露在外的攻擊面越來越大

IT/OT一體化后端點增加，給工業(yè)控制系統(tǒng)（ICS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）等工業(yè)設施帶來了更大的攻擊面。與傳統(tǒng)IT系統(tǒng)相比較，II/OT一體化的安全問題往往把安全威脅從虛擬世界帶到現(xiàn)實世界，可能會對人的生命安全和社會的安全穩(wěn)定造成重大影響。

2） 操作系統(tǒng)安全漏洞難以修補

工業(yè)控制系統(tǒng)操作站普遍采用PC+Windows的技術(shù)架構(gòu)，任何一個版本的Windows自發(fā)布以來都在不停的發(fā)布漏洞補丁，為保證過程控制系統(tǒng)的可靠性，現(xiàn)場工程師通常在系統(tǒng)開發(fā)后不會對Windows平臺打任何補丁，更為重要的是即使打過補丁的操作系統(tǒng)也很少再經(jīng)過工控系統(tǒng)原廠或自動化集成商商測試，存在可靠性風險。但是與之相矛盾的是，系統(tǒng)不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成Windows平臺乃至控制網(wǎng)絡的癱瘓。

3） 軟件漏洞容易被黑客利用

黑客入侵和工控應用軟件的自身漏洞通常發(fā)生在遠程工控系統(tǒng)的應用上，另外，對于分布式的大型的工控網(wǎng)，人們?yōu)榱丝刂票O(jiān)視方便，常常會開放VPN tunnel等方式接入甚至直接開放部分端口，這種情況下也不可避免的給黑客入侵帶來了方便之門。

4） 惡意代碼不敢殺、不能殺

基于Windows平臺的PC廣泛應用，病毒也隨之而泛濫。全球范圍內(nèi)，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。這些惡意代碼具有更強的傳播能力和破壞性。

例如蠕蟲病毒死灰復燃。與一般的木馬病毒不同，這種病毒隨著第三方打補丁工具和安全軟件的普及，近些年來本已幾乎絕跡。但隨著永恒之藍、永恒之石等網(wǎng)軍武器的泄露，蠕蟲病毒又重新獲得了生存空間，死灰復燃。其最為顯性的代表就是WannaCry病毒?；诠た剀浖c殺毒軟件的兼容性，在操作站（HMI）上通常不安裝殺毒軟件，即使是有防病毒產(chǎn)品，其基于病毒庫查殺的機制在工控領(lǐng)域使用也有局限性，主要是網(wǎng)絡的隔離性和保證系統(tǒng)的穩(wěn)定性要求導致病毒庫對新病毒的處理總是滯后的，這樣，工控系統(tǒng)每年都會大規(guī)模地爆發(fā)病毒，特別是新病毒。在操作站上，即插即用的U盤等存儲設備濫用，更給這類病毒帶來了泛濫傳播的機會。

5） DDOS攻擊隨時可能中斷生產(chǎn)

拒絕服務攻擊是一種危害極大的安全隱患，它可以人為操縱也可以由病毒自動執(zhí)行，常見的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding、ACK Flooding等，通過消耗系統(tǒng)的資源，如網(wǎng)絡帶寬、連接數(shù)、CPU 處理能力、緩沖內(nèi)存等使得正常的服務功能無法進行。拒絕服務攻擊非常難以防范，原因是它的攻擊對象非常普遍，從服務器到各種網(wǎng)絡設備如路由器、防火墻、IT防火墻等都可以被拒絕服務攻擊?？刂凭W(wǎng)絡一旦遭受嚴重的拒絕服務攻擊就會導致嚴重后果，輕則控制系統(tǒng)的通信完全中斷，重則可導致控制器死機等。目前這種現(xiàn)象已經(jīng)在多家工控系統(tǒng)中已經(jīng)出現(xiàn)

網(wǎng)絡風暴經(jīng)常是由于ARP欺騙引起的flood攻擊，或者因工控信息網(wǎng)絡因環(huán)路故障造成的網(wǎng)絡風暴，這種攻擊往往發(fā)生在同一網(wǎng)段的控制區(qū)域中，占用大量的帶寬資源，工控系統(tǒng)疲于處理各種報文，將系統(tǒng)資源消耗殆盡，使工業(yè)系統(tǒng)報文無法正常傳輸。目前的工業(yè)總線設備終端對此類拒絕服務攻擊和網(wǎng)絡風暴基本沒有防范能力，另外，傳統(tǒng)的安全技術(shù)對這樣的攻擊也幾乎不可避免，缺乏有效的手段來解決，往往造成嚴重后果。

6） 高級持續(xù)性威脅時刻環(huán)伺

高級持續(xù)性威脅的特點是：目的性非常強，攻擊目標明確，持續(xù)時間長，不達目的不罷休，攻擊方法經(jīng)過巧妙地構(gòu)造，攻擊者往往會利用社會工程學的方法或利用技術(shù)手段對被動式防御進行躲避。而傳統(tǒng)的安全技術(shù)手段大多是利用已知攻擊的特征對行為數(shù)據(jù)進行簡單的模式匹配，只關(guān)注單次行為的識別和判斷，并沒有對長期的攻擊行為鏈進行有效分析。因此對于高級持續(xù)性威脅，無論是在安全威脅的檢測、發(fā)現(xiàn)還是響應、溯源等方面都存在嚴重不足。

工業(yè)系統(tǒng)自身安全建設不足

1） 工業(yè)設備資產(chǎn)的可視性嚴重不足

工業(yè)設備可視性不足嚴重阻礙了安全策略的實施。要在工業(yè)互聯(lián)網(wǎng)安全的戰(zhàn)斗中取勝，“知己”是重要前提。許多工業(yè)協(xié)議、設備、系統(tǒng)在設計之初并沒有考慮到在復雜網(wǎng)絡環(huán)境中的安全性，而且這些系統(tǒng)的生命周期長、升級維護少也是巨大的安全隱患。

2） 很多工控設備缺乏安全設計

主要來自各類機床數(shù)控系統(tǒng)、PLC、運動控制器等所使用的控制協(xié)議、控制平臺、控制軟件等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權(quán)與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全挑戰(zhàn)。例如：國產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進行裁剪的，所使用的內(nèi)核、文件系統(tǒng)、對外提供服務、一旦穩(wěn)定均不再修改，可能持續(xù)使用多年，有的甚至超過十年，而這些內(nèi)核、文件系統(tǒng)、服務多年所爆出的漏洞并未得到更新，安全隱患長期保留。

3） 設備聯(lián)網(wǎng)機制缺乏安全保障

工業(yè)控制系統(tǒng)中越來也讀的設備與網(wǎng)絡相連。如各類數(shù)控系統(tǒng)、PLC、應用服務器通過有線網(wǎng)絡或無線網(wǎng)絡連接，形成工業(yè)網(wǎng)絡；工業(yè)網(wǎng)絡與辦公網(wǎng)絡連接形成企業(yè)內(nèi)部網(wǎng)絡；企業(yè)內(nèi)部網(wǎng)絡與外面的云平臺連接、第三方供應鏈連接、客戶的網(wǎng)絡連接。由此產(chǎn)生的主要安全挑戰(zhàn)包括：網(wǎng)絡數(shù)據(jù)傳遞過程的常見網(wǎng)絡威脅（如：拒絕服務、中間人攻擊等），網(wǎng)絡傳輸鏈路上的硬件和軟件安全（如：軟件漏洞、配置不合理等），無線網(wǎng)絡技術(shù)使用帶來的網(wǎng)絡防護邊界模糊等。

4） IT和OT系統(tǒng)安全管理相互獨立互操作困難

隨著智能制造的網(wǎng)絡化和數(shù)字化發(fā)展，工業(yè)與IT的高度融合，企業(yè)內(nèi)部人員，如：工程師、管理人員、現(xiàn)場操作員、企業(yè)高層管理人員等，其“有意識”或“無意識”的行為，可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等，因為網(wǎng)絡的廣泛使用，這些挑戰(zhàn)的影響將會急劇放大；而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在智能制造+互聯(lián)網(wǎng)中，人員管理也面臨巨大的安全挑戰(zhàn)。

5） 生產(chǎn)數(shù)據(jù)面臨丟失、泄露、篡改等安全威脅

智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外部數(shù)據(jù)等各類數(shù)據(jù)的安全問題，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設計服務器等多種設備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

本文由工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室&360威脅情報中心投稿，關(guān)注雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）回復：工業(yè)信息安全態(tài)勢報告，獲取報告原文。

雷鋒網(wǎng)宅客頻道關(guān)注先鋒科技，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。