《工业控制网络安全技术与实践》一一3.3　工业控制系统脆弱性分析

3.3　工业控制系统脆弱性分析
工业控制系统（ICS）与传统信息系统（IT）存在着巨大的区别，最鲜明的一个特点即 ICS 与 IT 对信息安全“CIA”三性的关注度不同。IT 系统更看重信息的机密性，而 ICS 为了保证工业过程的可靠、稳定，对可用性的要求达到了极高的程度。在 ICS 中，系统的可用性直接影响的是企业的生产，生产线的停机、简单的误操作都有可能导致不可估量的经济利益损失，在特定的环境下，甚至可能危害人员生命，造成环境污染。因此，工控系统的脆弱性是与生俱来的，每一年新公开的工控系统漏洞数量居高不下。在“两化融合”、“工业 4.0”的背景下，多种技术的融合会给工控安全带来“阵痛”，工控安全事件的频发也会给人们敲响警钟。
3.3.1　现场总线控制网络脆弱性分析
现场总线控制网络利用总线技术（如Profibus等）将传感器/计数器等设备与PLC 以及其他控制器相连，PLC 或者RTU 可以自行处理一些简单的逻辑程序，不需要主系统的介入即能完成现场的大部分控制功能和数据采集功能，如控制流量和温度或者读取传感器数据，使得信息处理工作实现了现场化。
现场总线控制网络由于通常处于作业现场，因此环境复杂，部分控制系统网络采用各种接入技术作为现有网络的延伸，如无线和微波，这也将引入一定的安全风险。同时PLC等现场设备在现场维护时，也可能因不安全的串口连接（如缺乏连接认证）或缺乏有效的配置核查，而造成PLC设备运行参数被篡改，从而对整个工业控制系统的运行造成危害（如伊朗核电站离心机转速参数被篡改造成的危害）。该网络包含了大量的工控设备，设备存在大量工控安全漏洞如PLC漏洞、DCS系统漏洞等，同时在该网络内传输的工业控制系统数据没有进行加密，因此存在被篡改和泄露的威胁；也缺少工控网络安全审计与检测及入侵防御的措施，容易对该网络内的设备和系统数据造成破坏。
由于现场总线控制网络实时性要求及工业控制系统通信协议私有性的局限，在这些访问过程中多数情况并未能实现基本访问控制及认证机制，即使在企业办公网络与监控网络之间存在物理隔离设备（如防火墙、网闸等），仍然存在因策略配置不当而被穿透的问题。
3.3.2　过程控制与监控网络脆弱性分析
过程控制与监控网络中主要部署SCADA 服务器、历史数据库、实时数据库以及人机界面等关键工业控制系统组件。在这个网络中，系统操作人员可以通过HMI 界面、SCADA 系统及其他远程控制设备，对现场控制系统网络中的远程终端单元（RTU）、现场总线的控制和采集设备（PLC 或者RTU）的运行状态进行监控、评估、分析；并依据运行状况对PLC 或RTU 进行调整或控制。监控网络负责工业控制系统的管控，其重要性不言而喻。对现场设备的远程无线控制、监控网络设备维护工作及需要合作伙伴协同等现实需求，在监控网络中就需要考虑相应的安全威胁：
1）不安全的移动维护设备（比如笔记本电脑、移动U 盘等）的未授权接入，而造成木马、病毒等恶意代码在网络中的传播。
2）监控网络与RTU/PLC之间不安全的无线通信，可能被利用以攻击工业控制系统。《工业控制系统的安全性研究报告》给出了一个典型的利用无线通信进行入侵攻击的攻击场景。因合作的需要，工业控制网络有可能存在外联的第三方合作网络并且在网络之间存在重要的数据信息交换。虽然这些网络之间存在一定的隔离及访问控制策略，但日新月异的新型攻击技术也可能造成这些防护措施的失效，因此来自合作网络的安全威胁也是不容忽视的。
3）以SCADA系统为例，该系统的现场设备层和过程控制层主要使用现场总线协议和工业以太网协议。现场总线协议在设计时大多没有考虑安全因素，缺少认证、授权和加密机制，数据与控制系统以明文方式传递，工业以太网协议也只是对控制协议进行简单封装，如CIP封装为EtherNet/IP，Modbus封装为Modbus/TCP，一些协议的设计给攻击者提供了收集SCADA系统信息、发动拒绝服务攻击的条件，而在协议实现中，常常又在处理有效/无效的格式化消息等方面存在缺陷。
3.3.3　企业办公网络脆弱性分析
随着国家工业化和信息化两化融合深入推进，传统信息技术广泛应用到工业生产的各个环节，信息化成为工业企业经营管理的常规手段。信息化进程和工业化进程不再相互独立进行，不再是单方的带动和促进关系，而是两者在技术、产品、管理等各个层面相互交融，彼此不可分割，传统IT在工业控制系统的广泛应用也势必会给工业控制系统引入更多的安全风险。“震网”、“Duqu”、“火焰”等针对工控系统的网络病毒渐渐为人们所知，工业控制网络安全越来越受到各方的关注。对工业用户而言，其根深蒂固的“物理隔离即绝对安全”的理念正在被慢慢颠覆。
在石油、化工企业中，随着ERP、CRM 以及OA等传统信息系统的广泛使用，工业控制网络和企业管理网络的联系越来越紧密，企业在提高公司运营效率、降低企业维护成本的同时，也随之带来了更多的安全问题。
1.信息资产自身漏洞的脆弱性
随着TCP/IP协议、OPC协议、PC和Windows操作系统等通用技术和通用软硬件产品被广泛地用于石油、化工等工业控制系统，随之而来的通信协议漏洞、设备漏洞以及应用软件漏洞问题日益突出。2010年发生的伊朗核电站“震网病毒”事件，就是同时利用了工控系统、Windows系统的多个漏洞。事件发生之后，大量高风险未公开漏洞通过地下经济出卖或被某些国家/组织高价收购，并被利用来开发0day攻击或高级持久威胁（Advanced Persistent Threat，APT）的攻击技术，为未来可能的网络对抗做准备。因此，现有高风险漏洞以及0day漏洞的新型攻击已经成为网络空间安全防护的新挑战，而涉及国计民生的石油、石化、电力、交通、市政等行业的国家关键基础设施及其工业控制系统，在工业化和信息化日益融合的今天，将极大可能成为未来网络战的重要攻击目标。
2.网络互连给系统带来的脆弱性
根据风险敏感程度和企业应用场景的不同，企业办公网络可能存在与外部互联网通信的边界；而企业办公网络信息系统的通信需求主要来自用户请求，多用户、多种应用带来了大量不规律的流量，也导致了不同应用环境下通信流量的难以预测。一旦存在互联网通信，就可能存在来自互联网的安全威胁，例如，来自互联网的网络攻击、僵尸木马、病毒、拒绝服务攻击、未授权的非法访问等。这时通常就需要具有较完备的安全边界防护措施，如防火墙、严格的身份认证及准入控制机制等。
3.内部管理机制缺失带来的脆弱性
工业控制系统的监控及采集数据也需要被企业内部的系统或人员访问或进行数据处理。这样在企业办公网络与工业控制系统的监控网络，甚至现场网络（总线层）之间就存在信息访问路径。由于工业控制系统通信协议的局限，在这些访问过程中多数情况并未能实现基本访问控制及认证机制，也同时存在设备随意接入、非授权访问、越权访问等多种风险。
4.缺乏安全意识带来的脆弱性
由于工业控制系统不像互联网或与传统企业IT网络那样备受黑客的关注，在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生。工业控制系统在设计时也多考虑系统的可用性，普遍对安全性问题的考虑不足，更不用提制定完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。“和平日久”造成人员的安全意识淡薄。而随着工控系统在国计民生中的重要性日益提高，以及IT通用协议和系统在工控系统的逐渐应用，人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素，特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。