隨著工業(yè)化與信息化的深度融合，智能化的工業(yè)控制系統(tǒng)在電力、交通、石化、市政、制造等涉及國(guó)計(jì)民生的各行各業(yè)越來(lái)越重要，來(lái)自信息網(wǎng)絡(luò)的安全威脅將逐步成為工業(yè)控制系統(tǒng)（IndustrialControlSystem，簡(jiǎn)稱ICS）所面臨的最大安全威脅。國(guó)內(nèi)主管部門及用戶也愈發(fā)重視ICS的安全問(wèn)題。2013年國(guó)內(nèi)已做了大量的關(guān)于工業(yè)控制系統(tǒng)安全的工作，工業(yè)控制系統(tǒng)相關(guān)的安全標(biāo)準(zhǔn)正在制訂過(guò)程中，電力、石化、制造、煙草等多個(gè)行業(yè)，已在國(guó)家主管部門的指導(dǎo)下進(jìn)行安全檢查、整改。在此種工控安全生態(tài)環(huán)境下，控制工程中文版記者與國(guó)內(nèi)安全專家綠盟科技公司的李鴻培博士進(jìn)行了深入交流，與其探討了工控系統(tǒng)的安全風(fēng)險(xiǎn)及對(duì)策。

及時(shí)發(fā)現(xiàn)ICS的脆弱性

隨著我國(guó)工業(yè)化與信息化深度融合的快速發(fā)展，成熟的IT及互聯(lián)網(wǎng)技術(shù)正在不斷地被引入到工業(yè)控制系統(tǒng)中，這必然因?yàn)樾枰c其它系統(tǒng)進(jìn)行互聯(lián)、互通、互操作而打破工業(yè)控制系統(tǒng)的相對(duì)封閉性。不像傳統(tǒng)IT信息系統(tǒng)軟件在開發(fā)時(shí)擁有嚴(yán)格的安全軟件開發(fā)規(guī)范及安全測(cè)試流程，工業(yè)控制系統(tǒng)開發(fā)時(shí)僅重視系統(tǒng)功能實(shí)現(xiàn)而缺乏相應(yīng)的安全考慮，現(xiàn)有的工業(yè)控制系統(tǒng)中難免會(huì)存在不少危及系統(tǒng)安全的漏洞或系統(tǒng)配置問(wèn)題，而這些系統(tǒng)的脆弱性均有可能被系統(tǒng)外部的入侵攻擊者所利用，輕則干擾系統(tǒng)運(yùn)行、竊取敏感信息，重則有可能造成嚴(yán)重的安全事件。

李博士介紹："截止到2013年12月，綠盟科技安全漏洞庫(kù)中共收錄到386個(gè)與ICS相關(guān)的漏洞。國(guó)家信息安全漏洞共享平臺(tái)（CNVD）已累計(jì)發(fā)布了500多條ICS相關(guān)的漏洞。ICS漏洞數(shù)總體仍呈增長(zhǎng)趨勢(shì)，2013年漏洞數(shù)增長(zhǎng)變緩。"

綠盟科技研究院戰(zhàn)略師李鴻培博士

面對(duì)脆弱的工業(yè)控制系統(tǒng)，安全防護(hù)工作迫切需要得到應(yīng)有的重視。李博士談到："安全防護(hù)是一個(gè)系統(tǒng)工程，包括從技術(shù)到管理各個(gè)方面的工作。其中最重要的就是對(duì)工業(yè)控制系統(tǒng)自身脆弱性問(wèn)題的檢測(cè)與發(fā)現(xiàn)，只有及時(shí)發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的脆弱性問(wèn)題，才能進(jìn)一步執(zhí)行相應(yīng)的安全加固及防護(hù)工作。我們認(rèn)為，安全行業(yè)廠商和工業(yè)控制系統(tǒng)廠商應(yīng)盡早建立合作機(jī)制、建立國(guó)家或行業(yè)級(jí)的漏洞信息分享平臺(tái)與專業(yè)的關(guān)于工控系統(tǒng)的攻防研究團(tuán)隊(duì)，并盡早開發(fā)出適合于工業(yè)控制系統(tǒng)使用的脆弱性掃描設(shè)備。"

適用于工業(yè)控制系統(tǒng)的漏洞掃描器和傳統(tǒng)的IT系統(tǒng)漏洞掃描器相比，除了可以支持對(duì)常見的通用操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞檢測(cè)以外，還應(yīng)該支持常見的工業(yè)控制系統(tǒng)協(xié)議，識(shí)別工業(yè)控制系統(tǒng)設(shè)備資產(chǎn)，檢測(cè)工業(yè)控制系統(tǒng)的漏洞與配置隱患。通過(guò)使用工業(yè)控制系統(tǒng)掃描器，在工業(yè)控制系統(tǒng)設(shè)備上線前及維護(hù)期間進(jìn)行脆弱性掃描，可以及時(shí)發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的脆弱性問(wèn)題，了解工業(yè)控制系統(tǒng)自身的安全狀況，以便能夠及時(shí)地提供針對(duì)性的安全加固及安全防護(hù)措施。

重視APT攻擊的檢測(cè)與防護(hù)

近年來(lái)，工業(yè)控制系統(tǒng)安全威脅有所變化：?jiǎn)未颡?dú)斗到有組織團(tuán)體--從攻擊個(gè)體到攻擊群體再到攻擊團(tuán)體；攻擊動(dòng)機(jī)不再是技術(shù)突破，而是更具功利性--經(jīng)濟(jì)、政治與意識(shí)形態(tài)的驅(qū)動(dòng)更加明顯。此外，針對(duì)工業(yè)控制系統(tǒng)的攻擊，不論是在規(guī)模宏大的網(wǎng)絡(luò)戰(zhàn)，還是在一般的網(wǎng)絡(luò)犯罪中，都可以發(fā)現(xiàn)高級(jí)持久威脅（AdvancedPersistentThreat，簡(jiǎn)稱APT）的影子。自2010年APT出現(xiàn)后，安全業(yè)界已陸續(xù)報(bào)道了數(shù)十起APT攻擊事件。例如，2010年伊朗核電站遭遇Stuxnet攻擊，2011年全球化工行業(yè)被Nitro竊取數(shù)據(jù)，2012年中東能源行業(yè)被Shamoon擦寫硬盤數(shù)據(jù)和主引導(dǎo)記錄等等。

"ICS公開漏洞中，2013年的新增漏洞中高危漏洞則超過(guò)一半。APT攻擊已成為針對(duì)ICS攻擊的重要手段。"，李博士解釋，"簡(jiǎn)單地說(shuō)，APT指一個(gè)具備相應(yīng)能力和意圖的組織，針對(duì)特定實(shí)體發(fā)起的持續(xù)和有效的威脅。嚴(yán)格來(lái)說(shuō)，APT能夠靈活地組合使用多種新型攻擊技術(shù)和方法，超越了傳統(tǒng)的基于特征簽名的安全機(jī)制的防御能力，能夠長(zhǎng)時(shí)間針對(duì)特定目標(biāo)進(jìn)行滲透，并長(zhǎng)期潛伏而不被發(fā)現(xiàn)，是一種嚴(yán)密組織化的行為，擁有大量的資金支持、優(yōu)秀的管理能力和大量高端人才。"

通常認(rèn)為，APT攻擊包含情報(bào)收集、突破防線、建立據(jù)點(diǎn)、隱秘橫向滲透和完成任務(wù)五個(gè)階段。對(duì)此，綠盟科技給出了檢測(cè)與防護(hù)給出的建議：

（1）全方位抵御水坑攻擊?；?quot;水坑+網(wǎng)站掛馬方式"的突破防線技術(shù)愈演愈烈，并出現(xiàn)了單漏洞多水坑的新攻擊方法。針對(duì)這種趨勢(shì)，一方面寄希望于網(wǎng)站管理員重視并做好網(wǎng)站漏洞檢測(cè)和掛馬檢測(cè)；另一方面要求用戶（尤其是能接觸到工業(yè)控制設(shè)備的雇員）盡量使用相對(duì)較安全的Web瀏覽器，及時(shí)安裝安全補(bǔ)丁，最好能夠部署成熟的主機(jī)入侵防御系統(tǒng)。

（2）防范社會(huì)工程攻擊、阻斷C&C通道。在工業(yè)控制系統(tǒng)運(yùn)行的各個(gè)環(huán)節(jié)和參與者中，人往往是其中最薄弱的環(huán)節(jié)，故非常有必要通過(guò)周期性的安全培訓(xùn)課程努力提高員工的安全意識(shí)。另外，也應(yīng)該加強(qiáng)從技術(shù)上阻斷攻擊者通過(guò)社會(huì)工程突破防線后建立C&C通道的行為，建議部署值得信賴的網(wǎng)絡(luò)入侵防御系統(tǒng)。

（3）工業(yè)控制系統(tǒng)組件漏洞與后門檢測(cè)與防護(hù)。工業(yè)控制系統(tǒng)行業(yè)使用的任何工業(yè)控制系統(tǒng)組件均應(yīng)假定為不安全或存在惡意的，上線前必需經(jīng)過(guò)嚴(yán)格的漏洞、后門檢測(cè)以及配置核查，盡可能避免工業(yè)控制系統(tǒng)中存在的各種已知或未知的安全缺陷。其中針對(duì)未知安全缺陷（后門或系統(tǒng)未聲明功能）的檢測(cè)相對(duì)困難，目前多采用系統(tǒng)代碼的靜態(tài)分析方法或基于系統(tǒng)虛擬執(zhí)行的動(dòng)態(tài)分析方法相結(jié)合的方式。

（4）異常行為的檢測(cè)與審計(jì)。

李博士強(qiáng)調(diào)："上述列舉出的APT突破防線和完成任務(wù)階段采用的各種新技術(shù)和方法，以及其他已經(jīng)出現(xiàn)或者即將出現(xiàn)的新技術(shù)和方法，直觀上均表現(xiàn)為一種異常行為。建議部署工控審計(jì)系統(tǒng)，全面采集工業(yè)控制系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志；結(jié)合基于行為的業(yè)務(wù)審計(jì)模型對(duì)采集到的信息進(jìn)行綜合分析，識(shí)別發(fā)現(xiàn)業(yè)務(wù)中可能存在的異常流量與異常操作行為，發(fā)現(xiàn)APT攻擊的一些蛛絲馬跡，甚至可能還原整個(gè)APT攻擊場(chǎng)景。"

工業(yè)控制系統(tǒng)安全與傳統(tǒng)的信息安全不同，它通常關(guān)注更多的是物理安全與功能安全，而且系統(tǒng)的安全運(yùn)行由相關(guān)的生產(chǎn)部門負(fù)責(zé)，信息部門僅處于從屬的地位。隨著信息化與工業(yè)化技術(shù)的深度融合以及潛在網(wǎng)絡(luò)戰(zhàn)威脅的影響，工業(yè)控制系統(tǒng)也將從傳統(tǒng)的僅關(guān)注物理安全、功能安全轉(zhuǎn)向更為關(guān)注信息系統(tǒng)安全。李博士認(rèn)為："確保國(guó)計(jì)民生相關(guān)的工業(yè)控制系統(tǒng)安全已被提升到了國(guó)家安全戰(zhàn)略的高度，再加上工業(yè)控制系統(tǒng)跨學(xué)科、跨行業(yè)應(yīng)用的特殊性，建立工控系統(tǒng)的安全保障體系必須通過(guò)國(guó)家、行業(yè)監(jiān)管部門、工業(yè)控制系統(tǒng)用戶、工業(yè)控制系統(tǒng)提供商、信息安全廠商等多方面協(xié)同努力。"

更多資訊請(qǐng)關(guān)注運(yùn)動(dòng)控制頻道