徐 超，莫嘉永，林俊南

(廣州市信息安全測評中心，廣東 廣州 510635)

0 引言

目前，工業(yè)控制系統(tǒng)主要采用數據采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端單元(RTU)和智能電子設備(IED)等控制設備，被廣泛應用于水利、化工、石油、運輸等核心工業(yè)領域[1-2]。

隨著“震網”事件、烏克蘭電力系統(tǒng)攻擊事件、蜻蜓組織等黑客行為被披露，工業(yè)控制系統(tǒng)網絡的信息安全問題越來越受到人們關注，如何對工業(yè)控制系統(tǒng)進行管理和防護，成為了相關管理層必須面對的重要問題。本文針對近期國內外工業(yè)控制系統(tǒng)信息安全事件進行分析，并在已建成的模擬工業(yè)控制實驗系統(tǒng)上進行工業(yè)控制系統(tǒng)信息安全攻防實驗，在此基礎上給出工業(yè)控制領域信息安全防護的建議。

1 工業(yè)控制系統(tǒng)信息安全趨勢

隨著“兩化融合”和工業(yè)4.0的逐步推進，信息和網絡技術在運輸和制造業(yè)系統(tǒng)等工業(yè)控制領域得到了廣泛的應用，不僅極大地提高了生產效率，同時也節(jié)約了成產成本。為實現工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)之間的信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性，采用標準、通用的通信協議及軟硬件系統(tǒng)，甚至有些工業(yè)控制系統(tǒng)通過某些方式連接到互聯網等公共網絡中[3]。這樣容易使得隱藏在工業(yè)控制系統(tǒng)中的漏洞被黑客利用而發(fā)起攻擊，導致企業(yè)設備乃至國家關鍵基礎設施都會遭到破壞。

通過中國國家信息安全漏洞共享平臺所發(fā)布的漏洞信息，統(tǒng)計2010年至2017年7月工業(yè)控制系統(tǒng)公開漏洞數量，如圖1所示，從2010年開始，每年發(fā)現的漏洞數量持續(xù)保持著高位，在最近3年又開始呈現出上升勢頭。

圖1 2010年～2017年7月公開工控漏洞數量

分析美國ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)最近幾年發(fā)布的ICS-CERT年度回顧報告[4-10]，統(tǒng)計2010年至2016年公開全球工控安全事件數量，如圖2所示。通過對圖1和圖2進行分析，工控安全事件也隨著工控漏洞發(fā)現數量增加而持續(xù)上升，影響范圍也越來越廣，從而也說明工控漏洞的危險和影響力越來越大。

圖2 2010年-2016全球工業(yè)控制系統(tǒng)安全事件數量

談及工業(yè)控制系統(tǒng)信息安全，必須提及到震網病毒(Stuxnet)，2010年6月震網病毒被首次發(fā)現，震網病毒是第一個專門被設計定向攻擊真實世界中關鍵基礎設施的“蠕蟲”病毒。震網病毒首先通過外部主機感染伊朗工程師的U盤，當工程師將感染病毒的U盤插入到伊朗核工業(yè)內部主機后，病毒利用Windows的快捷方式解析漏洞、RPC遠程執(zhí)行漏洞和打印機后臺程序服務漏洞，迅速地在互聯網主機之間傳播；最后抵達安裝了WinCC軟件的主機，攻擊伊朗鈾濃縮離心機，導致設備出現故障[11-12]。根據塞門特克公示統(tǒng)計，全球約45 000個網絡被震網病毒感染，其中60%的受害主機位于伊朗境內[13]。目前該病毒已經變異和發(fā)展，2011年主流安全廠商均宣稱發(fā)現了震網二代蠕蟲病毒，又名Duqu。2017最新發(fā)布CVE-2017-8464漏洞與震網病毒所使用漏洞極為相似，黑客可以通過U盤和網絡共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)。

在2016年，全球各地發(fā)生了多起工業(yè)控制系統(tǒng)網絡安全事故，工業(yè)控制系統(tǒng)網絡安全影響愈演愈烈。如2016年1月，以色列能源與水力基礎設施部部長Yuval Steinitz宣稱，該國電力供應系統(tǒng)受到重大網絡攻擊侵襲；2016年3月，名為“洋蔥狗”的黑客組織被360團隊披露，該組織長期對亞洲國家的能源、交通等基礎行業(yè)進行滲透和情報竊??；2016年4月，美國水處理和流控操作系統(tǒng)遭黑客入侵，經事后分析該自來水控制系統(tǒng)的安全較為脆弱，許多關鍵漏洞都被公開暴露在互聯網上；2016年4月，德國核電站計算機系統(tǒng)被檢測出惡意程序，該惡意程序是在核電站負責燃料裝卸系統(tǒng)的Block B網絡中發(fā)現的；2016年6月，針對全球超過30個國家逾130家工業(yè)領域的企業(yè)開展工業(yè)間諜活動，這次行程被稱為“食尸鬼行動”；2016年8月伊朗多個重要石化工廠被惡意軟件攻擊；2016年10月，北美地區(qū)Dyn公司遭遇最大DDos攻擊，由惡意軟件Mirai控制的僵尸網絡，針對網絡域名服務公司Dyn發(fā)起DDos攻擊，導致這些公司大面積網絡中斷[14]。

與傳統(tǒng)的IT信息系統(tǒng)不同，工業(yè)控制系統(tǒng)在設計時注重實用性，往往會忽略安全性，導致工業(yè)控制系統(tǒng)中不可避免地存在安全漏洞。為了降低和避免漏洞對工業(yè)控制系統(tǒng)的影響，急需對已發(fā)現的中高危漏洞進行修補和對系統(tǒng)源代碼進行審計。為了保證工業(yè)控制系統(tǒng)的安全穩(wěn)定運行，針對工業(yè)控制系統(tǒng)的信息安全問題研究和防護方案制定迫在眉睫。

2 基于軌道交通控制系統(tǒng)實驗平臺搭建

為了能更好地了解和研究工業(yè)控制系統(tǒng)存在的信息安全問題及解決方案的驗證，搭建基于西門子S7-300 PLC和WinCC的模擬工業(yè)控制實驗系統(tǒng)，作為分析工業(yè)以太網通信協議和研究工業(yè)控制網絡信息安全攻防實驗平臺。軌道交通控制系統(tǒng)是工業(yè)控制系統(tǒng)的典型行業(yè)應用，具有廣泛的普遍性，完整的軌道交通控制系統(tǒng)主要包括管理層、控制層和現場層，控制網絡是以自動運行控制系統(tǒng)為核心，以工業(yè)以太網連接各大業(yè)務系統(tǒng)，最終和互聯網接通。

該模擬工業(yè)控制實驗系統(tǒng)模擬了實際列車運行系統(tǒng)的控制功能，S7-300是模塊化的中小型PLC，適合用于中等控制性能的控制要求，當系統(tǒng)規(guī)模擴大和更為復雜時，可以增加模塊，對PLC進行擴展，簡單實用的分布式結構和強大的通信聯網能力，使其應用十分靈活；WinCC被用于實現過程的可視化、信息化、智能化，為操作人員提供友好的人機界[15-16]。通過組建通信環(huán)網，上位機與下位機S7-300 PLC實現數據通信，對列車和控制點進行調節(jié)和監(jiān)控，為工業(yè)控制系統(tǒng)信息安全技術研究提供模擬實驗環(huán)境。整個模擬實驗系統(tǒng)分為管理層、控制層和現場層三個層次，如圖3所示。其中，管理層包括工程師站和操作員站，作為上位機，以實現整個系統(tǒng)管理、數據處理和存儲、人機交互等功能；控制層包括S7-300 PLC，作為下位機執(zhí)行對模擬軌道交通沙盤的控制和監(jiān)視任務；現場層包括沙盤傳感器，通過接收控制層的控制信號和沙盤傳感器反饋的信號，完成對列車和控制點的控制功能。

圖3 模擬軌道交通控制實驗系統(tǒng)網絡結構圖

模擬實驗系統(tǒng)使用到了兩種通信網絡：以太網和Profibus DP現場總線網絡。以太網是實現工程師站和操作員站對S7-300 PLC之間通信，選擇普通網卡通過TCP/IP連接S7-300 PLC的方式。Profibus DP現場總線實現S7-300 PLC和模擬軌道交通沙盤之間的通信，使用ET200遠程I/O子站，IM151-1接口模塊通過Profibus DP現場總線與S7-300 PLC進行數據通信和交換。

3 模擬攻擊實驗

本節(jié)主要介紹模擬黑客在已建成的模擬工業(yè)控制實驗系統(tǒng)上對工業(yè)控制實驗系統(tǒng)發(fā)起的攻擊行為，并驗證對工業(yè)控制系統(tǒng)攻擊的有效性和真實性，從而更好地研究工控系統(tǒng)防護方案部署的有效性和可用性。

模擬軌道交通控制實驗系統(tǒng)使用到了兩種通信網絡：以太網和Profibus DP現場總線網絡。以太網是實現工程師站和操作員站對S7-300 PLC之間的通信，選擇普通網卡通過TCP/IP連接S7-300 PLC的方式。Profibus DP現場總線提供S7-300 PLC和模擬軌道交通沙盤之間的通信，使用ET200 遠程I/O子站，IM151-1接口模塊通過Profibus DP現場總線與S7-300 PLC進行數據通信和交換。目前，工業(yè)控制系統(tǒng)越來越多地與IT系統(tǒng)及互聯網相連通，同時由于工業(yè)控制系統(tǒng)安全機制的缺失，黑客很容易針對這些系統(tǒng)和設備發(fā)起攻擊。黑客利用工具攻擊工業(yè)控制系統(tǒng)管理層和控制層，如密碼猜測攻擊、后門設置、嗅探、地址欺騙和病毒U盤等，導致整個控制系統(tǒng)混亂甚至停機的情況。

模擬攻擊方式是攻擊者利用Windows的MS17-010漏洞上傳遠程控制木馬，MS17-010漏洞即“永恒之藍”勒索蠕蟲病毒所使用的漏洞，對操作員的操作進行桌面遠程監(jiān)控，再通過ARP欺騙，實現對上位機經過以太網向下位機S7-300 PLC發(fā)送數據的流量進行抓包，記錄操作員每次操作時抓包軟件抓取到的指令數據包，然后根據記錄到的指令，開發(fā)一個惡意攻擊程序，實現對該模擬控制系統(tǒng)實施攻擊的行為。

首先，利用MS17-010漏洞，上傳遠程控制木馬，通過大灰狼遠程控制軟件V8.89，對上位機的操作進行桌面遠程監(jiān)控。然后再將攻擊筆記本接入模擬實驗系統(tǒng)內網，利用EvilFoca工具，掃描出局域網內所有的設備IP地址，同時可以監(jiān)控到發(fā)送控制指令的上位機的IP地址和接受控制指令的下位機S7-300 PLC 的IP地址，利用Evil FOCA軟件對操作員站的MAC地址表進行更改，并實施ARP欺騙，如圖4所示。

圖4 掃描出模擬系統(tǒng)中聯網設備

成功實施遠程監(jiān)控和ARP欺騙后，在攻擊筆記本上運行網絡數據包捕獲工具SmartSniff V2.1.1，使操作員站發(fā)送給下位機的指令數據包先被轉送到攻擊筆記本，然后再由攻擊筆記本將數據包發(fā)送給下位機S7-300 PLC。同理，下位機S7-300 PLC到操作員站的應答數據包也會先經過攻擊筆記本，再由攻擊筆記本發(fā)給操作員站。如圖5所示，第①部分數據是操作員站向S7-300 PLC發(fā)送指令數據包，第②數據是S7-300 PLC收到指令數據后的應答。

圖5 捕獲工程師站發(fā)送的指令數據

利用捕獲的指令數據包，可針對該模擬實驗系統(tǒng)開發(fā)惡意攻擊程序。惡意攻擊程序采用Python 2.7版本進行開發(fā)，攻擊筆記本需要與S7-300 PLC建立連接，并向S7-300 PLC發(fā)送攻擊指令，連接通信代碼如下所示：

s=socket.socket()

s.connect((ip, port))

s.send(create_connect_payload)

time.sleep(0.2)

s.send(setup_communication_payload)

time.sleep(0.2)

s.send(payload)

time.sleep(0.2)

其中，IP為S7-300 PLC的IP地址，port為端口號，S7-300 PLC本地端口為102，create_connect_payload為連接S7-300 PLC指令，setup_communication_payload為S7-300 PLC通信指令，payload為網絡數據包，捕獲到操作員站向S7-300 PLC發(fā)送的指令數據包，如下所示為打開岔道的指令：

paload=0300000702f0000300002402f080320100003500000e00050501120a100100010000830000170003000101′.decode(′hex′)

在攻擊筆記本上，運行惡意攻擊程序，輸入需要攻擊目標IP和端口，根據提示選擇攻擊控制點，對S7-300 PLC實施攻擊測試，S7-300 PLC的 CUP槽號為02，如發(fā)送打開岔道的指令，模擬軌道交通控制實驗系統(tǒng)上岔道的相應繼電器會被打開，外軌列車通過岔道進入內軌軌道上運行，最后兩列列車發(fā)生追尾事故，攻擊輸入如圖6所示。

圖6 惡意攻擊程序輸入

此外，利用漏洞和捕獲的數據制作病毒U盤，還可實現對該模擬控制系統(tǒng)的兩種不同的攻擊實驗：

(1)利用CVE-2017-8464漏洞，制作病毒U盤，只要運行感染病毒的U盤，即可成功利用該漏洞獲取到與本地用戶相同的用戶權限，導致該模擬系統(tǒng)可被遠程操作進行控制。

(2)根據捕獲到的數據，針對該模擬控制實驗系統(tǒng)定制病毒U盤，操作員站或工程師站被插入病毒U盤，病毒程序自動運行，通過與S7-300 PLC 建立通信連接后，發(fā)生攻擊指令，實現了對該模擬系統(tǒng)的攻擊，導致該模擬系統(tǒng)數據異常；還可利用U盤自啟動攻擊腳本，導致S7-300 PLC的CPU被關閉，使模擬系統(tǒng)停止運行，同樣可以實現對該模擬系統(tǒng)的攻擊。

從以上模擬攻擊驗證可知，工業(yè)控制系統(tǒng)的安全問題主要具有以下幾點：工業(yè)控制系統(tǒng)通信協議Modbus TCP/IP 被廣泛應用到工業(yè)控制通信中，但該層缺乏保護機制，通信協議的安全性相對脆弱；工業(yè)控制系統(tǒng)管理層和控制層大量使用了PC服務器和終端產品，操作系統(tǒng)使用大量的通用系統(tǒng)，將操作系統(tǒng)上的漏洞引入到工業(yè)控制系統(tǒng)；使用U盤和電子郵件不當，導致病毒在局域網中傳播，如震網病毒就是充分利用了Windows操作系統(tǒng)和西門子Step7的漏洞。

4 防護安全建議

傳統(tǒng)IT系統(tǒng)信息安全將保密性放在首位，并配以必要的訪問控制，防止用戶信息被盜取，完整性和可用性緊跟其后。對于工業(yè)自動化控制系統(tǒng)而言，目標優(yōu)先級的順序則正好相反。工業(yè)控制系統(tǒng)信息安全首要考慮的是所有系統(tǒng)部件的可用性，完整性則在第二位，保密性通常都在最后考慮。同時，工業(yè)控制系統(tǒng)具有通信實時性強、系統(tǒng)不輕易重啟、系統(tǒng)不隨意更新和打補丁等特點[17-19]。所以在考慮工業(yè)控制系統(tǒng)網絡信息安全防護時，需要綜合考慮傳統(tǒng)IT系統(tǒng)和工業(yè)控制系統(tǒng)特點，加以防護。

通過結合傳統(tǒng)IT系統(tǒng)和工業(yè)控制系統(tǒng)特點與本文實現的模擬攻擊實驗和工業(yè)控制系統(tǒng)安全指南[20]，對工業(yè)控制系統(tǒng)領域進行安全防護及信息安全測評的建議主要有以下幾點：

(1)對整體網絡結構進行分析，分析可能通過傳統(tǒng)IT系統(tǒng)網絡向工業(yè)控制系統(tǒng)網絡發(fā)起攻擊的途徑，在這些攻擊路徑上設置安全防護，建議在傳統(tǒng)IT系統(tǒng)網絡和工業(yè)控制網絡連接之間使用路由器和高性能防火墻結合方式。路由器配置在防火墻之前，路由器提供數據包過濾的服務，這樣可以利用處理數據包性能快速的路由器來處理傳統(tǒng)IT系統(tǒng)網絡傳入的大量數據包，降低防火墻的負荷，讓防火墻提供更深度檢測，嚴格訪問控制，將訪問控制細化到端口級；還可以通過劃分網絡區(qū)域，加強對每個區(qū)域主機的安全加固。

(2)增強主機的安全性，建議使用高安全性的主機殺毒軟件和定期更新操作系統(tǒng)補丁，并且定期進行系統(tǒng)測試，本次使用的Windows的MS17-010漏洞上傳遠程控制軟件，可以輕易繞過市面上主流的殺毒軟件；同時刪除或禁用不必要服務和程序，禁用遠程維護功能；對內網主機使用ARP MAC地址綁定，防止中間人攻擊；加強對工業(yè)控制系統(tǒng)中的工程師站、操作員站和服務器等主機的USB接口管理。使用USB安全管理設備，能有效地提高USB攻擊防護能力，也能為用戶提供U盤行為管理能力，未經過認證的U盤不具備任何權限，認證通過的U盤還可以規(guī)定其使用范圍。同時，對不使用或未加安全防護的USB接口進行及時封堵，這樣能有效防止已感染病毒U盤對工業(yè)控制系統(tǒng)的攻擊。

(3)增加防范惡意代碼和入侵措施，保證工業(yè)控制系統(tǒng)文件不受病毒的影響，及時發(fā)現惡意入侵的行為。建議在工作站和服務器等設備安裝工業(yè)控制系統(tǒng)防病毒軟件，并定期進行升級更新和系統(tǒng)補丁升級等；增加入侵檢測系統(tǒng)IDS(“Intrusion Detection Systems”)，IDS是一個旁路監(jiān)聽設備，部署在工業(yè)控制系統(tǒng)網絡與防火墻之間的共有網絡中，通過IDS的監(jiān)控，能識別出惡意入侵，如新端口被打開、系統(tǒng)配置被改變等，同時也可以在工業(yè)核心控制單元前端部署可以對Modbus、S7、Ethernet/IP和OPC等主流工業(yè)控制系統(tǒng)協議進行深度分析和過濾的防護設備。

(4)制定工業(yè)控制網絡信息安全管理制度，明確工控系統(tǒng)信息安全管理目標，強化信息安全意識，落實信息安全責任制。建議建立完整的工業(yè)控制系統(tǒng)網絡信息安全管理方案、策略和計劃等，實施網絡分級分域管理，嚴格控制域間隔離和訪問控制策略；合理分類設置賬戶權限，以最小特權原則分配賬戶權限，確?？赡艿氖鹿试斐傻膿p失最小化；成立責任部門，明確資產責任人，建立資產使用權，制定資產在生產、調試、運行、維護和報廢等過程中的處置方法；完善工控系統(tǒng)信息安全監(jiān)控和預警機制，制定應急預案，提高對工業(yè)控制系統(tǒng)突發(fā)信息安全事件的應急響應能力，做到“及時發(fā)現問題，及時解決問題”。

5 結論

工業(yè)控制系統(tǒng)網絡信息安全形勢愈發(fā)嚴峻。本文分析近期發(fā)生的工業(yè)控制系統(tǒng)網絡信息安全事件，同時在實驗模擬軌道交通控制實驗系統(tǒng)上進行模擬攻擊實驗，并給出針對工業(yè)控制領域信息安全防護的建議。下一步，將深入研究分析國內外工業(yè)控制系統(tǒng)安全防護相關政策標準，繼續(xù)進行工業(yè)控制系統(tǒng)網絡信息安全模擬攻防實驗，力求將工業(yè)控制系統(tǒng)安全防護理論和攻防實踐相結合，探索對工業(yè)控制系統(tǒng)網絡信息安全行之有效的防護方案。

[1] GB/T30976.1～.2-2014工業(yè)控制系統(tǒng)信息安全[S].北京：標準出版社，2014.

[2] 彭勇,江常青,謝豐,等. 工業(yè)控制系統(tǒng)信息安全研究進展[J]. 清華大學學報(自然科學版),2012,52(10):1396-1408.

[3] 李鴻培，于旸，忽朝儉，等.工業(yè)控制系統(tǒng)及其安全性研究報告[R].北京：北京神州綠盟信息安全科技有限公司，2013.

[4] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2010.

[5] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2011.

[6] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2012.

[7] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2013.

[8] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2014.

[9] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2015.

[10] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2016.

[11] 張敏,張五一,韓桂芬. 工業(yè)控制系統(tǒng)信息安全防護體系研究[J]. 工業(yè)控制計算機,2013,26(10):25-27.

[12] 王偉. 加強工業(yè)控制系統(tǒng)安全防護的認識與思考[J]. 中國信息化,2014(9):71-74.

[13] 許子先,羅建,孟楠,等. 工業(yè)控制系統(tǒng)組態(tài)軟件安全研究[J]. 信息網絡安全,2017(7):73-79.

[14] 俠名.工業(yè)控制系統(tǒng)及其安全性研究報告[R].北京：北京匡恩網絡科技有限責任公司，2016.

[15] 廖常初.S7-300/400應用技術[M].北京:機械工業(yè)出版社,2005:12-14；

[16] 李軍. WinCC組態(tài)技巧與技術問答[M].北京: 機械工業(yè)出版社,2013．

[17] 褚健. 重中之重:工業(yè)控制系統(tǒng)安全的盛世危言[J]. 科技導報,2012,30(25):15-17.

[18] 王小山,楊安,石志強,等. 工業(yè)控制系統(tǒng)信息安全新趨勢[J]. 信息網絡安全,2015(1):6-11.

[19] 王昱鑌,陳思,程楠. 工業(yè)控制系統(tǒng)信息安全防護研究[J].信息網絡安全,2016(9):35-39.

[20] STOUFFER K,FALCE J,SCARFONE K. Guide to Industrial Control Systems (ICS) Security [M].National Institute of Standards & Technology, 2011.