摘要：工业控制系统的信息化以及自身的漏洞使其面临着严重的安全问题，尤其是“震网”事件的发生，标志着工业控制系统的安全问题已经上升到了国家的战略安全。本文阐述了工业控制系统的安全问题与工业漏洞的成因，并以液位控制
系统为例说明了工业病毒如何利用工业漏洞对关键工控设备进行攻击，最后，介绍了自主研发的中科工业防火墙，说明了中科工业防火墙对工业病毒行为的防御能力。

    关键词：中科工业防火墙；工控设备；工业漏洞；工业病毒行为

    Abstract: Information technology and its own vulnerabilities in industrial control systems make it face serious security problems. Occurrence of "Stuxnet" event remarks the change from the security problem of industrial control system to the strategic security of a country. This paper describes the existed security problems of industrial control
systems and the causes of industrial vulnerabilities. An example of liquid level control system is introduced to show how industrial virus attacks on key industrial control equipment use industry vulnerability. Finally, the SIA Industrial Firewall is introduced, and defense capability to industrial virus of SIA Industrial Firewall is also illustrated.

    Key words: SIA industrial firewall; Industrial equipment; Industrial vulnerability; Industrial virus behavior 

    2010年“震网”病毒事件破坏了伊朗核设施，震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心关键系统的“硬摧毁”阶段。应对高级持续性威胁(Advanced Persistent Threat, APT)攻击已成为确保国家关键基础设施安全、保障国家安全的核心问题。根据APT攻击的威胁形式，工业控制系统面临的安全问题主要包括以下几个方面：

     （1）控制器和操作站之间无隔离防护。PLC、RTU等现场设备非常脆弱，易受攻击而导致崩溃。

    （2）DCS系统和上层数采网络之间无隔离防护。WINDOWS平台的控制系统工作站感染病毒和传播危害极大，目前缺乏用于工业协议的防火墙。

    （3）APC和其它网络无安全防护。APC经常和外界接触，易受感染。

    （4）OPC server无操作权限记录。不同的用户对OPC数据项的添加、浏览、读/写等操作设定不同的权限，目前做不到深入检查。

    （5）网络事件无法追踪记录。对网络故障进行快速诊断，记录、存储、分析为减少事故带来的损失和加强日后的事件管理带来很大的方便。

    为什么APT攻击能够成功威胁到工业控制系统？

    首先，工业控制系统的安全策略与管理流程不完善。主要表现为：缺乏工业控制系统的安全培训与意识培养、缺乏安全架构与设计、缺乏安全审计、缺乏业务连续性与灾难恢复计划等安全策略文档与管理支持。

    其次，工业控制系统的系统平台存在安全隐患。主要表现为：（1）操作系统存在漏洞；（2）硬件平台存在隐患；（3）防病毒体系不健全。

    最后，工业控制网络存在脆弱性。主要体现在：

     （1）网络配置的脆弱性表现为有缺陷的网络安全架构、口令传输未加密等；（2）网络硬件的脆弱性表现为未保护的物理端口、关键网络缺乏冗余备份等；（3）网络边界的脆弱性表现为未定义安全边界、控制网络传输而非控制网络流量等；（4） 网络通信的脆弱性表现为未标志出关键监控与控制路径，通信缺乏完整性检查等。

    根据上述分析，排除安全策略、防护缺陷等外在因素，工业控制系统自身的漏洞是带来严重安全隐患的根本原因，而工控设备作为工业控制系统的关键基础设施，它的漏洞问题不容忽视。

    下面，以液位控制系统为例说明工业病毒如何利用工业漏洞进行攻击。液位控制系统演示平台模拟了炼油、化工生产工艺中液体净化中液位控制过程。此演示平台针对上位机软件的漏洞，模拟“Stuxnet”病毒攻击的效果，使底层净化罐设备液位失控，而上位机监控画面仍然显示正常。其中上位机软件的漏洞信息如表1所示。
 

    漏洞简介：KingView中存在基于堆的缓冲区溢出漏洞，该漏洞源于对用户提供的输入未经正确验证。攻击者可利用该漏洞在运行应用程序的用户上下文中执行任意代码，攻击失败可能导致拒绝服务。KingView6.53.2010.18018版本中存在该漏洞，其它版本也可能受影响。攻击者可以借助对TCP端口777的超长请求执行任意代码。

    当系统正常运行未受到攻击时，运行状态如图1所示。
 

    当上位机插入带有病毒的U盘后，上位机系统感染工业病毒，液位控制系统无法正常运行，病毒感染后的系统运行状态如图2所示。
 

    从以上的例子可以得出结论：由于KingView中存在基于堆的缓冲区溢出漏洞，病毒利用该漏洞执行恶意操作，使得上位机HMI显示与实际不符，即当液位控制系统出现液位已经超过警戒线时，不能及时排出罐中液体，并且该漏洞的存在可使中控室中的HMI仍然显示正常，因此在工作人员无法察觉的情况下，造成一定经济损失，严重时，可导致重大事故。

    如图3所示，当将中科工业防火墙置于PLC与上位机HMI之间，并再次插入带有病毒的U盘时，可以观察到，上位机界面显示正常，并且执行系统并未发生任何故障。
 

    中科工业防火墙SIA-IF1000-02TX基于工业级设计，面向工控协议的应用数据深度解析与检测，具有良好的防护效果。其结构如图4所示，技术参数如表2所示，产品特点如下：
 

    ·基于“区域”与“管道”的安全防护模型；

    ·工业级设计低功耗无风扇，工业级防腐设计，导轨式安装；

    ·面向工控协议的应用数据深度防御；

    ·兼容所有PLC、HMI、RTU等工业控制设备；

    ·基于规则策略的访问控制和Syslog的实时报警技术；

    ·通过管控软件应用安全的通信方式进行组态；

    ·电源采用12VDC电压冗余供电，提高硬件可靠性；

    ·多模式运行包括直通、管控和自学习模式。
 

    中科工业防火墙的典型部署结构如图5所示。中科工业防火墙分别位于管理层与控制层之间和控制层内部，分别用于
OPC解析与防护和Modbus解析与防护。位于管理层与控制层之间的中科工业防火墙可以起到分区隔离，避免病毒扩散的目的。位于控制层内部的中科工业防火墙可以起到保护控制器，阻止对控制器的任何非法访问及控制的目的。

 

    作者简介

    尚文利（1974-），黑龙江北安人，副研究员，博士，硕士研究生导师，现为中国科学院沈阳自动化研究所副研究员，主要研究方向为计算智能与机器学习、智能检测与故障诊断、工业控制系统信息安全。