隨著計算機和網(wǎng)絡技術的發(fā)展，信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，ICS (工業(yè)控制系統(tǒng)) 產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件。網(wǎng)絡化浪潮又將諸如嵌入式技術、多標準工業(yè)控制網(wǎng)絡互聯(lián)、無線技術等新興技術融合進來，從而拓展了工業(yè)控制的發(fā)展空間，帶來新的發(fā)展機遇。同時也帶來了工業(yè)控制系統(tǒng)的信息安全等問題。

　　工業(yè)控制系統(tǒng)（ICS）是各式各樣控制系統(tǒng)類型的總稱，包括了監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)，分布式控制系統(tǒng)（DCS），過程控制系統(tǒng)（PCS）和其他控制系統(tǒng)（如可編程邏輯控制器等）。這些控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等，重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些控制系統(tǒng)的正常運行保證了國民經(jīng)濟的正常健康運行，同時保證了人民享受安全舒適的生活環(huán)境；而針對工業(yè)控制系統(tǒng)的安全事件頻發(fā)則為自動系統(tǒng)正常穩(wěn)定運行蒙上了陰影，此類事件往往會影響與國民經(jīng)濟和人民生活密切相關的設施，帶來巨大的破壞性，為了抵御此類事件的持續(xù)發(fā)生，我們必須查找到工業(yè)控制系統(tǒng)信息安全管理的中的薄弱環(huán)節(jié)，這需要了解一些有關工業(yè)控制系統(tǒng)的架構知識。

　　縱觀全局，多數(shù)工控行業(yè)組織會部署符合標準的三個業(yè)務區(qū)：

　　業(yè)務區(qū)一：

　　由實際的工業(yè)控制系統(tǒng)資產(chǎn)組成，包括物理資產(chǎn)、數(shù)字資產(chǎn)、邏輯資產(chǎn)和人力資產(chǎn)等。通常一些簡單的資產(chǎn)設施只能完成輕量級的任務，如開啟或關閉閥門，或是使用數(shù)控的方法來改變流量、溫度和壓力這樣的物理參數(shù)。

　　業(yè)務區(qū)二：

　　這個業(yè)務區(qū)由定制的設備構成，這樣的設備稱作SCADA(Supervisory control and data acquisition)，即數(shù)據(jù)采集與監(jiān)控系統(tǒng)。它是工業(yè)控制的核心系統(tǒng)設施，SCADA系統(tǒng)主要用于分布式系統(tǒng)，如水處理、石油天燃氣管道、電力傳輸和分配系統(tǒng)、鐵路和其他公共運輸系統(tǒng)。

　　此外，SCADA系統(tǒng)可以保護系統(tǒng)配置的專有信息，可以對現(xiàn)場的設備進行實時監(jiān)視和控制，實現(xiàn)數(shù)據(jù)采集、設備控制、測量、參數(shù)調(diào)節(jié)、各類信號報警等功能。

　　業(yè)務區(qū)三：

　　這個業(yè)務區(qū)類似銀行，零售店或保險公司中的傳統(tǒng)IT環(huán)境，除了一般的業(yè)務操作，這樣的IT業(yè)務區(qū)一般來說會為了更好得統(tǒng)計和監(jiān)控而連接到其他業(yè)務區(qū)中。

　　隨著各行業(yè)企業(yè)對實現(xiàn)管理與控制的一體化需求的增加，工業(yè)控制系統(tǒng)和企業(yè)管理信息系統(tǒng)逐步實現(xiàn)了網(wǎng)絡化集成，管理信息網(wǎng)絡與生產(chǎn)控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換，導致工業(yè)控制系統(tǒng)不再是一個獨立運行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。

　　如在發(fā)電廠，他們使用監(jiān)控去更精確的實時改善用電過載的連接數(shù)。

　　總的來說，這些區(qū)域是高度復雜的，通常將各個分部區(qū)域進行了很好的連接。 任何復雜的系統(tǒng)都難以避免出錯甚至事故的發(fā)生。值得一提的是，這樣的系統(tǒng)更具有攻擊的價值。

　　這些攻擊范圍含蓋從網(wǎng)絡犯罪威脅到敲詐需求不滿足時被關閉電網(wǎng)導致通訊和應急服務癱瘓等。

　　網(wǎng)絡犯罪分子一般會以攻擊工控設施來威脅政府索取好處，不然他們將會發(fā)動網(wǎng)絡攻擊。例如，關閉電網(wǎng)導致通訊和應急服務癱瘓。

　　SANS機構負責人Allen Paller說到，”數(shù)億美元被勒索，也許這只是部分。這類敲詐是網(wǎng)絡犯罪行業(yè)中最不為人所知的故事。”根據(jù)美國戰(zhàn)略與國際研究中心表明，在墨西哥和印度這樣的新型市場中，這類敲詐犯罪方式層出不窮。

　　以下集中闡述SCADA安全性脆弱的5個原因

　　1. 行業(yè)隔離

　　如今，將IT技術人員與工控技術人員區(qū)分開來這樣的現(xiàn)象仍然存在。

　　作者確實感覺得到，跨行業(yè)的工作人員需要跨界的交流越來越多，跨界的技術也在交叉融合。Stuxnet(震網(wǎng))攻擊就是利用了當今這樣的趨勢來籌備和發(fā)動的。

　　然而，我們?nèi)稳蝗狈σ环N安全的策略，當攻擊行為通過從一個區(qū)域來發(fā)起而進入另一個區(qū)域來危害整個系統(tǒng)。缺少這樣涉及兩個不同行業(yè)技術的安全防御策略。

　　區(qū)域間有了恰當?shù)姆雷o控制。但如果防護控制被繞過，幾乎沒有應對措施和方法去有效監(jiān)控和應對這些攻擊，共同修復漏洞。

1.斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡之間的所有不必要連接。

2.對確實需要的連接，系統(tǒng)運營單位要逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施。

3.嚴格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡之間交叉使用移動存儲介質(zhì)以及便攜式計算機。

　　2. 傳統(tǒng)和現(xiàn)代技術手段共同使用

　　還記得在西部片里的馬車標有Dollar標志的錢袋被搶劫么？

　　今天，武裝押運車和數(shù)字化傳送取代了馬車。那工業(yè)控制又能做些什么呢？

幾十年前的舊設備被重新包裝一下就投入到了新系統(tǒng)中，這些就舊設備被當做系統(tǒng)中的螺絲釘來完成類似TCP/IP協(xié)議棧的工作。更夸張的是，新設備簡單發(fā)送一個Ping命令到舊設備上就有可能摧毀系統(tǒng)。

　　由于這些舊設備的工作年代太早，對于Ping這樣意料外的指令他們沒有能力去處理，舊設備能做的只是當事簡單的兩三個操作。它們想不到現(xiàn)在有人會Ping舊設備，盡管這對于當今系統(tǒng)來說再正常不過了。這就是為什么對于關鍵基礎設施網(wǎng)絡的滲透測試很少對運行中的非生產(chǎn)性試驗機床來進行。

　　3. 區(qū)域間隙

　　大家是否還在思考ICS這三個區(qū)域間是否可以用公共網(wǎng)絡加以填補？ 是的，一些人確實這樣想，但幾乎看到的情況都證明這是錯誤的。

　　現(xiàn)在的工業(yè)控制系統(tǒng)網(wǎng)絡越來越依靠于商業(yè)IT和Internet領域的操作系統(tǒng)、開放協(xié)議和通信技術，這些技術已被證明存在著脆弱性。通過將工業(yè)控制系統(tǒng)連接到互聯(lián)網(wǎng)或者其他公共網(wǎng)絡，工業(yè)控制系統(tǒng)的脆弱性就暴露給潛在的攻擊者。

　　正是因為這個理念，很多人天真得認為這是工控系統(tǒng)的”護城河”，這卻導致了松懈的安全控制和有限的監(jiān)控。由于這樣的理念，工控系統(tǒng)的投資者可能不會去投資應對網(wǎng)絡攻擊的安全解決方案。

　　工業(yè)或許也不要求有更安全的解決方案因為他們覺得面臨的風險很低。這是一個惡性循環(huán)—-錯誤的假定得出錯誤的結論。

　　4. 連接

　　ICS系統(tǒng)是高度連接的。他們之間沒有任何泡沫存在，由無數(shù)的管道工程連接在 一起。如上所述，它們還具備作為螺絲釘?shù)哪芰Α?/p>

一些連接范例如下：

串口，IP與串口上IP

Modbus 和DNP3

Bluetooth和SMS

有線以太網(wǎng)和無線以太網(wǎng)

撥號上網(wǎng)的Modems

Sneakernet

　　許多老設備從非安全性的視角看運行非常好。他們的設計沒有考慮與其他系統(tǒng)間的傳輸，監(jiān)控和跨網(wǎng)絡測量。

　　簡單講，他們不能被直接訪問來采取的滲透網(wǎng)絡攻擊行為。這是技術鴻溝，如同嘗試用撥盤電話接收短信一樣無法逾越。

　　5. 實用性高于一切

　　實用性超越所有架構指標的確高于一切, 其次是完整性, 保密性居第三位。最終,系統(tǒng)設計依照此準則進行—周而復始。

　　當實用性優(yōu)先準則引發(fā)安全風險時問題就出現(xiàn)了. 默認密碼很平常—–試想在工控設備上含有a public string的SNMP設默認密碼為”public”, 含有a private string的 SNMP用”private”為默認密碼，這會讓你掉進損失巨額金錢的漩渦中。

　　作者聽說如果有應急事件發(fā)生或者需要所有人在任何時間訪問系統(tǒng)時，他們不需要到處尋找正確密碼。這樣的情況類似多人共享一個賬號，系統(tǒng)里同樣沒有獨立的負責人。

　　甚至強化加密通訊可能在舊系統(tǒng)上無效，因為配備舊CUP的設備沒有足夠的運算能力來支撐系統(tǒng)加密，從而導致授權加密的通訊仍然以明文形式出現(xiàn)。

　　是的，實用性是關鍵。但對于錯綜復雜連接在一起的系統(tǒng)，安全隱患相當于災難性的打擊。這又回到了我們前面提到的”行業(yè)隔離”的議題上。

　　SCADA安全越來越被重視，但仍然很脆弱，還有很長的一段路要走。需要各行業(yè)，廠商和政府共同努力。