工控系统迎来安全噩梦，黑客党已蓄意发起进攻

工业控制系统（ICS）是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，超过80%的涉及国计民生的关键基础设施都需要依靠它实现自动化作业。本文纵观十年全球网络安全发展态势，发现工业控制系统日益成为黑客攻击的重点目标。工业控制系统的网络安全也引起了各方的警惕与重视。

2010年，伊朗核设施遭受“震网病毒”攻击；

2011年，美国伊利诺伊州城市供水系统的供水泵遭到破坏；

2014年，德国钢铁厂遭受APT攻击；

2015年，波兰航空公司操作系统遭遇黑客攻击；

2016年，美国东海岸大面积断网；

2017年，“Wanna Cry”勒索病毒肆虐全球……全球工业网络安全总体风险持续攀升，呈现高危态势；

2019年，委内瑞拉遭遇全国大规模停电，首都加拉加斯也陷入黑暗。

纵观十年全球网络安全发展态势，我们发现工业控制系统（ICS）日益成为黑客攻击的重点目标。工业控制系统的网络安全也引起了各方的警惕与重视。

一、越南、阿尔及利亚等国成全球工控安全重灾区

就在前段时间，国外某安全实验室研究成果发现，工业控制系统的415个漏洞中有一半以上被指定为高风险或严重风险级别的安全问题。受影响的系统数量从2017年的44％上升到2018年的47.2％。

受灾最严重的国家是越南（70.09％）、阿尔及利亚（69.91％）和突尼斯（64.57％），受灾最轻的国家是爱尔兰（11.7％）、瑞士（14.9％）和丹麦（15.2％）。

二、全球工控系统受威胁动因分析

工业控制系统是用于操作或自动化工业过程的任何设备、仪器以及相关的软件和网络。它是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，超过80%的涉及国计民生的关键基础设施都需要依靠工业控制系统实现自动化作业。

“他们想要定义炼油厂运行方式的可编程逻辑控制器(PLC)模板，想要电力输送.asr(行为脚本远程文件)方案。收集这些情报可以帮助黑客们将恶意软件和攻击方式当做武器，破坏炼油进程或电力输送，影响国家安全稳定、世界经济发展。”资深工控系统和数据采集与监控系统(SCADA)安全顾问德万·乔杜里曾在公开场合分析说道。

三、黑客攻击工控系统的步骤分析

面对工业操控体系在网络、协议和体系的特殊性，黑客党在攻击时也采取了一些“战术”，通常他们会分为以下四个步骤，一步步发起进攻：

3.1 信息收集

首先黑客党会从国家或企业的揭露信息、轮班时刻表、合作效劳和贸易往来，尤其是企业供货商所供给产品的协议标准等入手。

通过运用HTTP、FTP、SSH或Telnet协议的效劳器、网络交流机、路由器或其他网络设备进行检索，进而找到运用SCADA协议的设备。尽管很难购置整个操控体系来施行逆向工程，但黑客党能够经过各种揭露或地下渠道了解到操控体系相关设备的缝隙和后门。

3.2 网络扫描

其次，黑客党会使用网络扫描经过端口、协议等信息，快速定位SCADA和DCS体系。

值得注意的是，许多工业操控体系的网络协议对时延十分灵敏，假如硬扫描，很可能导致整个网络瘫痪。所以，如果黑客仅仅想中断体系效劳，那么，他只进行简略的网络扫描就能够达到意图。假如黑客还想进一步破坏，那他就会采纳防止体系溃散的软扫描方式。待方针体系定位之后，黑客再依据工业操控体系网络协议的特色进行后续扫描，就能够获取相关设备信息。

3.3 账户破解

由于许多工业操控体系是依据Windows的系统，所以那些专门破解Windows账户信息的办法也能够运用到工业操控体系上。尤其是运转在WindowsOLE和DCOM上的OPC体系，只需经过主机认证就能够全面操控OPC环境。即使黑客党没有获得底层协议认证，他也能通过枚举方式破解操控体系内其他用户和人物。如HMI用户、ICCP效劳器凭据（双向表）、主节点地址（任何主／从工业协议）、以往数据库认证信息等。

进入HMI，就能够直接操控HMI办理的进程，并盗取信息；进入ICCP效劳器，就能够盗取或操作操控中心之间的传输数据。

3.4 施行进攻

正如前面所述，一次简略的网络扫描就能够损坏工业操控体系网络。由于工业操控体系网络协议十分灵敏，信息流稍有改变，协议就会失效。所以，黑客党使用硬扫描来损坏体系，使用软扫描来侦测信息。一旦扫描经过、账户破解，黑客就可假装合法通讯，对操控网络施行DOS进攻。

四、工业控制系统信息安全应对策略

面对日益严峻的信息安全形势，加强工控业安全工作迫在眉睫。

为此，本文整理提供了一些应对策略：

建立基准行为审计：建立工业控制网络日常行为基准，对当前网络的异常行为做实时动态的行为审计，找到控制网内符合协议规范但不符合企业日常生产规律的隐秘异常行为，帮助发现内部错误操作、内部攻击等不易发现的安全威胁。

加强网络安全审计：对网络中存在的所有活动提供行为审计、内容审计，生成完整记录便于事件追溯。

开启实时网络监测：对工控网络数据、工控设备间的网络流量监测进行实时监测、实时告警，以便实时掌握工业控制网络运行状况。

加大对未知设备接入监测：对工业控制网内未知的设备接入进行实时告警，迅速发现网络中存在的非法接入。

强化网络拓扑管理：对拓扑管理进行颠覆式的功能改进，助力企业最大化的了解自身工业控制网络。

强化安全终端管理：统一控制配置，管理安全终端，对安全终端部署安全规则，监测终端所在网络的通信流量与安全事件。

来源：国际安全智库