工控信息安全危机潜伏，面向新型攻击基本生产如何面对？

近年来，工业化和信息化的迅速发展，传统工业融合了信息技术和通信网络技术，已经在逐步改变世界产业发展格局。据统计，目前世界上已有超过80%的涉及国计民生的关键基础设施需要依靠工业控制系统来实现自动化作业，使用工业控制系统进行自动化生产，极大的提高了工作效率，节省了大量人工劳动力，创造了数倍的生产价值。

　　然而伴随着技术的发展，其弊端也逐渐显露。近日，安全研究人员发现，被广泛用于能源、制造、商业设施等领域的数款Westermo工业路由器存在着高危漏洞，其旗下的MRD-305-DIN等工业路由器固件中存在编号为CVE-2017-5816的硬编码漏洞，可暴露SSH和HTTPS证书及其相关私钥。此漏洞不仅导致攻击者可进行中间人攻击，解密流量，还可获得提升设备访问权限的管理员证书。此外，这些工业路由器的管理界面中存在几个网页没有使用任何跨站点请求伪造保护，允许攻击者代表身份验证的用户执行各种操作。目前Westermo已针对上述漏洞进行了修补，若是再晚一些发现，将会造成巨大损失。此次事件只是多数工控安全事故中的一例，随着工业自动化产业的发展，工业控制系统信息安全所面临的挑战日趋严峻。

资料显示，全球工控网络安全安全事件在近几年呈现逐步增长的趋势，仅在2015年被美国ICS-CERT收录的针对工控系统的攻击事件就高达295起。为帮助了解工业控制系统所面临的安全威胁，通过查阅资料，笔者在此总结出几次典型的工控系统安全事件，便于各位参考。

　　1、澳大利亚污水处理厂中央系统遭遇人为入侵

　　2000年3月，澳大利亚马卢奇污水处理厂突发故障：中央计算机与个泵站的通信连接丢失，污水泵工作异常，报警信号也没有报警反应。在前后三个多月的时间里，总计约100万公升未经处理的污水直接经雨水渠排入了自然水系，包括当地的公园，河流。此番行为直接导致了当地海洋生物死亡，污水臭气熏天，让当地居民难以忍受，给所在区域带来严重生态灾难。

　　后经查证，发现事故起因并非设备故障，而是人为造成的。原来此次故障是该厂前工程师VitekBoden因不满工作续约被拒而蓄意报复所为。这位前工程师在其手提电脑上私自安装了可与传动系统进行通信的程序，并通过一个无线发射器控制了150个污水泵站。

　　此次事件因为后果严重，成为首个引起人们广泛重视的工控系统安全事件，为工控系统的安全防护敲响了警钟。

　　2、美国Davis-Besse核电站被蠕虫病毒攻击

　　2003年1月，美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlamme蠕虫病毒攻击，在数小时内网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机无法运作。

　　原来，一供应商为给服务器提供应用软件，在该核电站网络防火墙后端建立了一个无防护的T1链接，SQLSlamme蠕虫病毒借此链接绕过了防火墙，进入了核电站网络。然后利用SQLServer2000中1434端口的缓冲区溢出漏洞进行攻击，并驻留在系统内存中，不断复制自身，造成网络拥堵，让SQLServer无法正常工作甚至宕机。

　　Davis-Besse事件的发生让人们认识到，工控系统安全漏洞问题并非全在于技术原因，操作人员安全防范意识薄弱，也是此次事件发生的导火索。

　　3、臭名昭着的震网病毒Stuxnet

　　“蠕虫”是一种典型的计算机病毒，它能自我复制，并可通过网络传播。任何一台和染毒计算机联网的个人计算机都会被感染。在2010年6月，震网病毒Stuxnet首次被发现，它是第一个专门定向攻击真实世界基础设施的“蠕虫”病毒。Stuxne利用当时微软尚未发现的几个漏洞，成功偷袭了伊朗Natanz核电站，造成大量离心机损毁。有美国官员称：该病毒只针对伊朗核设施，在设计上它无法进行传播。但是真的是这样吗？

　　事实证明，震网病毒已在现实世界中已经传播开来。2012年，位于美国加州的Chevron石油公司对外承认，他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此，美国BakerHughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们发布警告，一旦病毒侵害了真空阀，就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。