工控系統攻擊行為分析

網絡攻擊可能來自多種原因，黑客、職業罪犯、遭公司解雇或對公司不滿而離開的員工、公司競爭對手等都可能發起網絡攻擊行為。有些攻擊行為是明顯的，能發現某些地方出現了問題，有些攻擊行為是隱秘的，用戶很難發現，比如入侵一臺控制器、PC或通信設備中，偷聽會話，竊取數據，甚至進行破壞操作。

網絡攻擊的基本步驟和方法同樣適用于工業控制系統，不過由于工業控制系統使用專門的系統和協議，其攻擊步驟和方法也有一定的差異性。針對工控系統的攻擊主要包括四個方面。

1.信息搜集。工業控制系統的網絡、協議和系統都比較特殊，攻擊者要搜集到相關信息并不容易，但他們通常會從企業的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業供應商所提供產品的協議規范等入手，以了解控制系統相關設備的漏洞和后門。

2.網絡掃描。利用網絡掃描可以通過端口、協議等信息快速定位SCADA和DCS系統。值得注意的是，很多工業控制系統的網絡協議對延時非常敏感，如果硬掃描，很可能導致整個網絡癱瘓。

3.賬戶破解。很多工業控制系統是基于Windows系統的，那些專門破解Windows賬戶信息的方法和工具也可以應用到工控系統上。尤其是運行在WindowsOLE和DCOM上的OPC系統，只要通過主機認證就可以全面控制OPC環境。所以從功能上將物理設備和邏輯設備全部隔離到安全區域是非常重要。NIST800-82（工業控制系統安全防護指南）建議采用賬戶復合認證方式，也就是說，即使知道了某個用戶名或密碼，也很難通過賬戶認證。

4.實施攻擊。如前所述，一次簡單的網絡掃描就可以破壞工業控制系統網絡。因為工業控制系統網絡協議非常敏感，信息流稍有變化，協議就會失效。所以，利用硬掃描來破壞系統，利用軟掃描來偵測信息成為安全隱患。另外，風險還存在于通過防火墻實施網絡掃描，因為通過防火墻的開放端口進行分組交換更加容易。一旦掃描通過，黑客就可偽裝合法通訊并實施DoS攻擊。