工控安全防護的誤區

盡管工業控制系統的網絡安全問題已經引起很多國家和權威機構的高度重視，但是對于相關企業和從業者來說，仍然是一個很新的領域，工作上還存在很多誤區，主要包括如下幾個方面：

1.工控系統是與外界隔離的。實際上，基礎設施領域不僅包括生產和控制系統，還包括市場分析、財務計劃等信息管理系統，生產系統與管理系統的互聯早已經成為工控系統的基本架構，與外界完全隔離幾乎不可能；另外，維護用的移動設備或筆記本電腦也會打破系統與外界的隔離，打開網絡安全風險之門。

事實證明，不管多嚴格的隔離措施也會有隱患發生。2003年Davis-Besse核電站被Slammer蠕蟲病毒侵入；2016年13家Daimler-Chrysler汽車企業因感染Zotob蠕蟲病毒被迫停工；2008年有超過千萬臺的設備受到Conficker蠕蟲病毒的攻擊，包括所謂隔離了的設備。

2.沒有人會襲擊我們。上個世紀，雖然有些零星攻擊事件發生，但是公眾對工控系統網絡安全問題并沒有足夠重視。直到2000年澳大利亞MaroochyShire排水系統受攻擊事件報道之后，人們才意識到工控系統一旦受攻擊有可能造成嚴重后果，在該次事件中，由于數據采集和監控系統（SCADA）受到攻擊，導致大量污水直接排放到環境中。

而且，主流黑客工具已經集成有其中一些漏洞的攻擊方法。越來越多跡象表明，工控系統已經受到黑客、政治對手、不滿的員工或犯罪組織等各類攻擊者的目標關注。

3.黑客不懂我們的協議/系統，系統非常安全。實際上，工業環境中已廣泛使用商業標準件（COTS）和IT技術；除了某些特殊環境，大部分通訊采用的是以太網和TCP/IP 協議 ；ICS、監控站點以及嵌入式設備的操作系統也多以微軟和Linux為主，其中微軟已通過智能能源參考架構（SERA）打進電力行業，意圖將微軟技術安插到未來智能電網架構的核心中。那些特殊環境采用的內部協議其實也有公開的文檔可查。

典型的電力系統通訊協議定義在IEC和IEEE標準中都可以找到，像Modbus這些工業協議，不僅可以輕易找到詳細說明，其內容也早已被黑客圈子熟知。

另外，由于工控設備功能簡單、設計規范，只需少許計算機知識和耐心就可以完成其逆向工程，而且大部分的工業協議都不具備安全防護特征，有些應急工具甚至可以自動完成逆向工程。

4.工控系統不需要防病毒軟件或有防病毒軟件就可以了，防火墻會自動提供安全防護。實際上，除了Windows平臺易遭受攻擊，Unix/Linux都有過病毒或跨平臺病毒攻擊的經歷。比如Proof-of-concept病毒是專門針對SCADA和AMI系統的，所以對于工控系統，防病毒軟件不可或缺，并且需要定期更新。但是有了防病毒軟件并非能夠高枕無憂，雖然當前措施可以抵御大部分已知的惡意軟件，但對更隱蔽或鮮為人知的病毒的防御還遠遠不夠，而且防病毒軟件自身也存在弱點，經過測試，部分防病毒軟件甚至能夠在幾分鐘之內被攻破。

另外，雖然防火墻也是應用最廣泛的安全策略之一，但其發揮效用的前提是必須正確設置了防火墻的安全規則，即使使用智能型防火墻，也需要自定義安全規則。

研究表明，由于設置規則比較復雜，目前80%的防火墻都沒有正確配置，未真正起到安全防護的作用。

5.網絡安全事件不會影響系統運行。事實證明，工控系統在遭受攻擊后不僅可能影響運行，還可能導致嚴重后果。前面提到的澳大利亞MaroochyShire排水系統受攻擊事件就是一例。另外，攻擊者也會想方設法接近工控設備，如向收集到的目標企業工作人員郵箱地址發送電子郵件，一旦郵件內鏈接被打開，惡意軟件就會下載到工作站，通過這些惡意軟件，攻擊者就可以全面控制工作站和SCADA系統。

6.工控組件不需要特別的安全防護，供應商會保證產品的安全性。人們能夠理解工控系統核心組件（如數據庫、應用軟件、服務器等）安全的重要性，但經常忽視工控系統外圍組件（如傳感器、傳動器、智能電子設備、可編程邏輯控制器、智能儀表、遠程終端設備等）的安全防護。其實這些外圍設備很多都內置有與局域網相連的網絡接口，采用的也是TCP/IP協議，這些設備運行時可能還有一些調試命令，如Telnet和FTP等，未得到及時屏蔽。

實際上供應商對他們產品的認識僅限于產品所能提供的功能方面，對出現的安全問題做不到快速響應。

2008年研究人員發現工控系統特有的數據通訊協議（WonderwareSuitlink） 存 在漏洞后，立即聯系了供應商Wonderware，但Wonderware一個月后才回應，等到Wonderware認識到產品缺陷，并通知用戶補救時，已是三個月以后的事了。

7.工控系統的接入點容易控制。工控系統存在很多未知或已知但不安全的接入點，如維護用的手提電腦可以直接和工控系統網絡連接等。實際上很多工控系統的所有者并不知曉有多少接入點存在以及有多少接入點正在使用，也不知道個人可以通過這種方式訪問工控系統。

8.系統安全可以一次性解決或是可以等到項目結束再解決。以前，工控系統功能簡單，外部環境穩定，現場維護設備也非智能型，所以，針對某一問題的解決方案可以維持很長一段時間不變。然而，現在的工控系統功能復雜，外部環境經常變化，現場維護設備也需要定期更新和維護。不僅工控系統和現場維護設備需要安全防護，其管理和維護工作也需要安全防護，而且是動態管理的安全防護，即一旦有新的威脅或漏洞產生，就要及時采取安全措施。

近年來，雖然工控系統項目建設開始關注安全，但由于工期較長，通常在最后階段才開始考慮安全防護問題，但此時不僅實施不易，而且成本頗高，因為需求變更越晚或漏洞發現越遲，更改或彌補的費用越高。

9.單向通信百分百安全。某些情況下，極重要的工控系統運行以單向通訊方式與其他安全區域連接，但是這種連接方式很不嚴密，其安全程度高低取決于單向通信的實現方式。

方式一為限制發起方方式，即通信只能由某一方發起，然后雙方可以互相通信；方式二為限制負載流方式，即在方式一基礎上，對方只能發送控制信號，不能發送數據或應用信息；方式三最嚴格，僅允許一方發送信息，不允許另一方發送任何信息。

方式一采用基本防火墻就能實現，方式二需要進行消息包檢測，方式三需要采用特殊設備實現。通常認為將前兩種方式結合起來將是最安全的防護措施。但即使可以提供很強的安全保護，網絡攻擊還是有可能發生的。因為控制和信號信息允許進入受保護區域，經過設備編譯后，惡意代碼就有可能得到運行，所以單向通信并不能提供100%的安全保護。