工业控制系统信息安全发展趋势与应对策略
2018-08-14
作者:王伟
2018年8月3日晚间,台湾半导体巨头台积电突然遭遇了一场大规模病毒袭击。台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部生产线全数停摆,造成直接经济损失2.5亿美元。这一事件为产业链上下游再次敲响了警钟。其实近些年来,全球重大工业信息安全事件繁发生在电力、水利、交通、核能、制造业等领域,给相关企业造成重大的经济损失,甚至威胁国家的战略安全。
2000年,黑客在俄罗斯国营天然气工业股份公司(Gazprom)内部人员的帮助下突破了该公司的安全防护网络,通过木马程序修改了底层控制指令,致使该公司的天然气流量输出一度控制在外部用户手中,对企业和国家造成了巨大的经济损失。
2000年3月,澳大利亚昆士兰新建的Maroochy污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,控制系统被一位前工程师通过一台手提电脑和一个无线发射器侵入,控制了150个污水泵站,前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
2003年,美国俄亥俄州的Davis Besse核电站进行维修时,由于施工商在进行常规维护时,自行搭接对外连接线路,以方便工程师在厂外进行维护工作,结果当私人电脑接入核电站网络时,将电脑上携带的SQL Server蠕虫病毒传入核电站网络,致使核电站的控制网络全面瘫痪,系统停机将近5小时。
2005年,13家美国汽车厂由于被蠕虫感染而被迫关闭,50000名生产工人被迫停止工作,直接经济损失超过140万美元。
2006年8月,美国Browns Ferry核电站,因其控制网络上的通信信息过载,导致控制水循环系统的驱动器失效,使反应堆处于“高功率,低流量”的危险状态,核电站工作人员不得不全部撤离,直接经济损失达数百万美元。
2007年,攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制萨克拉门托河河水调度的控制计算机系统。
2008年,攻击者入侵波兰LodZ市的城市铁路系统,用一个电视遥控器改变了轨道扳道器的运行,导致四节车厢脱轨。
2010年6月,德国安全专家发现可攻击工业控制系统的Suxnet病毒,截止9月底,该病毒感染了全球超过45000个网络,其中伊朗zui为严重,直接造成其核电站推迟发电。
2006至2010年,著名的震网病毒入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。
2015年3月发现的“食尸鬼”系列事件中,黑攻击者使用“鹰眼”RAT感染企业高管电脑、邮件,用来收集企业核心情报、其他有趣信息以及控制账号等;
2016年美国CDN服务商CloudFlare报告称,黑客通过“TCP协议发送大规模L3/L4洪流”,使美国西海岸遭受每秒400GB的僵尸网络攻击。
2017年“Wanna Cry”勒索病毒肆虐全球,全球工业网络安全总体风险持续攀升,呈现高危态势。
由此可见,台积电病毒事件绝不是单一偶然事件,此时此刻,在我们未知的地点,同样的病毒事件或许就在悄然发生。
从全球发展趋势来看,工业控制系统已然成为黑客攻击和网络战的重点目标。工业可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)以及相关应用软件均被发现存在大量信息安全漏洞,如西门子(Siemens)、ABB、施耐德(Schneider)、通用电气(GE)、研华科技(Advantech)及罗克韦尔(Rockwell)等工控系统厂商的产品均被发现包含各种信息安全漏洞。对于厂商漏洞而言,Siemens占比最多,其他厂商占比大致相同主要是Siemens的产品在全球范围内使用占比较大。
图 工控行业厂商漏洞数量分布(数据来源: CNVD)
工业控制系统存在的信息安全问题及特点
攻击点较多。与传统的病毒入侵模式相比,新型网络病毒的传播和扩散更加具有针对性,其中一些病毒的侵入不以减少经济效益和破坏经济体系为目的,而是想要借此机会损害关系到国家发展和经济运行的核心工业系统,例如,在2012年散布的震网病毒以破坏伊朗的核电站结构为核心目的。由此可见,现代工业系统面临的信息安全风险来自于多个方面,病毒的攻击点较多且不容易预测和掌握,为此,技术人员需要加大对新型信息安全技术的研究和应用力度。
持续性安全风险逐渐增多。为了攻破防御等级较高的工业系统,不法分子针对高级工业系统进行了深层次的研究,旨在提高病毒的攻击性和针对性,这些病毒一旦侵入成功将会给工业系统带来极大的危害和影响。并且,此类攻击一般具有持久性较强的特征,工业系统面临的信息安全风险也在逐步增加。
网络战争日渐频繁。在计算机技术不断发展的过程中,网络病毒也在肆意增长,由此引发了国家之间的网络战争,这种网络战争不但会给工业系统的稳定运行造成不利影响,还会威胁到国家网络体系的安全程度。
工业控制系统信息安全问题应对策略
面临日益严峻的信息安全形势,针对薄弱的工业控制系统防护现状,加强信息安全工作迫在眉睫。
国家体系化指导:建立面向工业领域的信息安全技术支撑、产品检测、检查评估综合保障体系,加强人才队伍建设,为企业加强工业控制系统信息安全提供指导。
国家产业化引导:加快建设仿真测试、持续提升工业信息安全保障能力。推广安全可靠的工业控制系统信息安全产品及技术,增强自主可控能力和企业信息安全水平。
企业主动配合:按照国家的统一要求,积极开展企业工业控制系统信息安全检查评估工作,协助国家掌握和提高工业控制系统信息安全防护水平。
企业自发实践:按照企业的业务发展需求,积极开展工业控制系统信息安全实践应用,在保障企业安全的同时,协助国家完成工业控制系统信息安全布局。