一個工控系統病毒的處置及思考

王紹杰，霍朝賓，田曉娜

(工業控制系統信息安全技術國家工程實驗室，北京 100083)

0 引言

習總書記在2016年4月19日的網絡安全和信息化工作座談會中明確指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。”“物理隔離”防線可被跨網入侵，電力調配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風險隱患。不出問題則已，一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。因此必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護。

毫無疑問，工控系統安全是國家安全的重要組成部分，是推動“中國制造2025”、制造業與互聯網融合發展的基礎保障。但是，隨著“工業4.0”時代的來臨和“兩化融合”腳步的加快, 互聯網、云計算等新興技術與傳統的工控系統相結合的同時，也帶來了前所未有的安全隱患，國外設備后門、工控及IT設備的漏洞、黑色產業鏈共享協作的工業蠕蟲病毒、國外勢力資助的高級持續性攻擊愈演愈烈。本文通過2017年一次實際發生的馬吉斯病毒感染事件來探討工控安全的問題和對策。

1 案例分析

2017年，某電廠某機組DCS處于檢修期，按計劃對工程師站組態軟件例行升級，升級完成后重啟計算機，發現計算機運行緩慢且組態軟件無法運行。經安全測評人員檢查發現某機組DCS工程師站受到病毒影響，脫硫、輔網、電量接口機及SIS系統服務器均感染病毒。檢測人員及時對此病毒進行隔離、驗證、安全加固和恢復等多種操作，未造成其他嚴重后果。此次事件再次給電力甚至整個工控行業敲響警鐘——關鍵信息基礎設施沒有安全“孤島”。

1.1 病毒分析

病毒名稱：馬吉斯，病毒文件約50 KB，利用了多個反跟蹤技巧，查殺難度很大。該病毒屬蠕蟲病毒，既具有病毒的特性又具有木馬的特性，能夠感染本地系統的所有.exe和.scr擴展名的文件，一旦執行，即快速感染Windows的系統文件，在C盤Windows系統文件夾中釋放 (如圖1、圖2所示)，加載之并檢查病毒是否在進程explorer.exe中，若是則啟動病毒主線程，否則繼續。該病毒具有監聽特定端口的功能并能夠連接到特定的IP地址，可利用IPCMYM掃描局域網中的主機，如果命中則繼續感染其他主機。病毒感染過程示意圖如圖3所示。

圖1 病毒釋放文件

圖2 病毒釋放文件及系統正常文件

圖3 感染過程示意圖

1.2 感染原因分析

根據事件發生的現象，安全測評人員分別從網絡結構、邊界防護、主機配置、敞口和人員訪談五個方面進行處置和分析。

(1)網絡結構

安全X區DCS與安全X區SIS之間通過防火墻隔離。結構滿足能源局36號文相關要求。X機DCS拓撲結構與SIS系統拓撲結構分別如圖4和圖5所示。

圖4 X機組DCS拓撲結構

圖5 SIS系統拓撲結構

(2)邊界防護

檢查發現防火墻安全配置存在兩個問題：防火墻的源地址和目的地址未進行限制；防火墻的防DOS攻擊未進行配置，故防火墻的邏輯隔離效果削弱。

(3)主機配置

工程師站和接口機均開啟默認共享，開啟端口445端口(業務需要，不允許關閉)，且主機無任何防惡意代碼措施。操作系統(Windows XP)補丁無法更新。

(4)敞口

工程師站和接口機的USB口部分未封閉，SIS交換機多余網口未封閉。

(5)人員訪談

詢問軟件升級方式，存在通過U盤進行升級的現象，且U盤非專用(嚴重問題)。

2 事件啟示

實驗室EOF團隊針對該病毒特點，現場通過隔離、驗證、安全加固和恢復等措施，限制病毒傳播并清除之，使病毒事件造成的損失降低到最小程度，體現了電子六所的優良的安全服務水平并得到用戶的肯定，同時得到如下一些啟示：

(1)工控系統仍然存在嚴重的管理漏洞，嚴密的規則制度和嚴格的制度執行缺一不可，管理人員安全規范意識急需提升。

(2)移動存儲介質在生產控制大區與管理信息大區交叉使用，使工控系統仍然面臨造成感染病毒的風險，安全“孤島”并不存在。

(3)工控企業缺乏工控信息安全防護技能，例如防火墻等安全設備策略配置管理。

(4)主機缺乏必要的安全防護，基于白名單防惡意代碼軟件建議重點考慮。

(5)網絡邊界缺乏必要的安全審計，缺少網絡安全事件的追溯措施。

(6)工控企業缺乏必要應急保障措施。

(7)工控企業缺少系統上線前的安全檢測和驗收測試。

3 面臨的挑戰及建議

此次安全事件只是揭開工控安全的“冰山一角”，從一個側面折射出我國工控安全領域諸多顯現和潛在的安全問題，以及相關產業面臨的艱巨挑戰和潛在的發展機遇。

(1)工控安全標準體系有待進一步完善。

目前我國工控安全標準規范不夠完善， 建議深入各行業調研我國工控安全問題和行業特點，制定出臺一系列行業標準體系，逐步完善行業工控安全管理、防護等標準體系。

(2)工控系統安全管理防護體系仍不健全。

目前工控系統仍然存在安全管理防護意識薄弱，仍然存在工控信息安全及網絡威脅感知不足，安全防護技能薄弱的問題。建議繼續發揮國家相關部門的行政指導職能，通過政策法規和行業標準規范的制定和貫徹實施，提高各行業工控企業安全管理防護意識。持續推進國家關鍵信息基礎設施工控網絡安全審查評估工作，督促企業落實工控安全主體責任，逐步健全工控安全常態化審查評估機制，建立完善的工控安全管理防護體系。

(3)工控系統安全仍未做到“三同時”——同步規劃、同步建設和同步運行。工控系統缺少充分的安全規劃，存在安全防護滯后的問題。建議在工控系統規劃、建設和運行的同時，綜合考慮已制定的工控安全標準，結合行業特點，同步進行安全風險分析、安全設計和安全措施部署。

(4)工控系統安全服務保障體系不規范。

工控安全支撐力量分散、缺乏專業的工控安全保障機構承擔安全檢查評估、事件應急響應、風險預警通報、風險消減等工作。建議持續開展工控廠商與安全廠商、安全廠商與工業企業等服務對接系列活動，提供供需雙方交流對接平臺。以工控安全專項資金支持工控網絡靶場建設，組織開展攻防演練、應急響應、教育培訓等多種技術服務，推動工控企業安全試點建設，逐步規范各項服務，培育工控安全服務保障體系。

(5)關鍵信息基礎設施安全隱患嚴重。

據統計，我國有近86%的重要信息系統選用國外操作系統、數據庫和服務器等關鍵信息產品，有60%重要信息系統運行維護依賴國外廠商，部分網絡產品已深度滲透至我國電信、金融、能源等關鍵信息基礎設施。針對這些國外產品及系統可能存在的后門及漏洞問題，缺乏有力監管，缺少必要的技術檢測措施和安全可控方案，安全風險難以掌控。建議支持高等院校、科院院所、研發企業等機構自主研發工控安全技術和產品。通過工控安全專項資金支持，引導研發機構加強創新能力建設，加快構建工控安全技術產品研發體系。

4 結論

通過此次實際案例的處置，我們進一步認識到工業控制領域面臨的風險是實實在在存在的，作為關鍵信息基礎設施的管理部門，在實際工作中需要進一步完善規則制度，嚴格制度流程的執行，加強移動存儲介質管理，落實設備專用，尤其嚴禁在生產控制大區與管理信息大區交叉使用移動存儲介質，切勿心存僥幸；防火墻等安全設備策略配置要完整，除開啟訪問控制策略外，還需開啟日志記錄功能，便于事后追溯；主機白名單防惡意代碼軟件建議重點考慮。DCS與SIS邊界交換機處部署安全審計設備，便于事后追溯。在此基礎上，制定應急響應措施尤為關鍵。同時要切實加強人員教育，提升安全防范意識。