2015年12月27日，烏克蘭電力公司網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊，導(dǎo)致烏克蘭西部地區(qū)大規(guī)模停電。據(jù)路透社報道，烏克蘭西部電力公司表示，他們服務(wù)區(qū)域的一部分，包括Ivano-Frankivsk的總部，因為工控系統(tǒng)受到干擾而停電。烏克蘭國家安全局譴責(zé)俄羅斯黑客應(yīng)對此次事件負責(zé)，俄羅斯方面 則未對此置評。

    克里米亞和烏克蘭的這兩次停電事故是否有聯(lián)系，折射出目前錯綜復(fù)雜的國際形勢，在此我們不做分析，但停電事故中所暴露出的工業(yè)控制系統(tǒng)的安全問題，則足以給予我們警示。工業(yè)控制系統(tǒng)（Industrial Control Systems,ICS）是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)如可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設(shè)備（IED）等，以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)普遍應(yīng)用在電力、石油天然氣、自來水和污水處理、化工、交通運輸、造紙等行業(yè)，是工業(yè)基礎(chǔ)設(shè)施能夠正常運作的關(guān)鍵。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。隨著信息技術(shù)的發(fā)展，通用的計算機、操作系統(tǒng)（如Windows）和網(wǎng)絡(luò)協(xié)議（TCP/IP）在工業(yè)控制系統(tǒng)中得到了廣泛應(yīng)用，大大增加了網(wǎng)絡(luò)安全漏洞和事故出現(xiàn)的可能。另外，工業(yè)控制系統(tǒng)也開始與企業(yè)管理網(wǎng)絡(luò)、生產(chǎn)監(jiān)控網(wǎng)絡(luò)互聯(lián)互通，而這些網(wǎng)絡(luò)本身又具備相當(dāng)?shù)拈_放性，甚至存在同互聯(lián)網(wǎng)的接口，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴散提供了便利條件。可以說，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風(fēng)險，在工業(yè)控制系統(tǒng)中都是存在的，而且工業(yè)控制系統(tǒng)直接同生產(chǎn)設(shè)備交互，決定了其安全性還存在自己的特點。

工業(yè)控制系統(tǒng)中存在比較多的工業(yè)控制協(xié)議如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。絕大多數(shù)工控協(xié)議在設(shè)計之初，僅關(guān)注效率、實時性和可靠性以滿足工業(yè)生產(chǎn)的需求，而忽視了安全性的需求，缺少諸如認證、授權(quán)和加密等安全機制，這使得工業(yè)控制協(xié)議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產(chǎn)品，比如防火墻、IDS等，對于工業(yè)控制協(xié)議的識別和檢測時不夠的，比如對Modbus、OPC、DNP3等協(xié)議字段級別的識別和防護。在工業(yè)控制系統(tǒng)中，還需采用支持工業(yè)控制協(xié)議的專用安全產(chǎn)品來彌補通用安全技術(shù)的不足，實現(xiàn)對網(wǎng)絡(luò)邊界的完全保護。

根據(jù)網(wǎng)絡(luò)上已有的分析，黑客組織很有可能利用了臭名昭著的BlackEnergy的惡意軟件來發(fā)動攻擊。早在2007年BlackEnergy就開始在俄羅斯的地下網(wǎng)絡(luò)中流通，最初它被設(shè)計為一個能夠進行DDoS攻擊的僵尸網(wǎng)絡(luò)工具，隨著時間的推移，該惡意軟件已經(jīng)演變?yōu)榭梢灾С指鞣N插件，并且基于攻擊的意圖進行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對格魯吉亞實施網(wǎng)絡(luò)攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個xls文檔，通過與控制端的交互產(chǎn)生了后續(xù)的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統(tǒng)，致使其無法恢復(fù)。烏克蘭電力系統(tǒng)不得不使用備份系統(tǒng)，大大延長了電力系統(tǒng)恢復(fù)運行的時間。

針對此類攻擊，一方面需要強化對電力專用網(wǎng)絡(luò)的隔離和監(jiān)控，BlackEnergy運轉(zhuǎn)的前提是內(nèi)網(wǎng)同CC服務(wù)器的交互，根據(jù)我國的電力系統(tǒng)二次防護規(guī)定，電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。如果真正實現(xiàn)了物理隔離，那么通過網(wǎng)絡(luò)途徑是無法侵入調(diào)度系統(tǒng)的。另一方面需要對調(diào)度網(wǎng)內(nèi)部的網(wǎng)絡(luò)訪問加強防護，比如對SCADA系統(tǒng)、EMS系統(tǒng)的準入控制，除了傳統(tǒng)的IT防護手段，必然還需要通過部署專業(yè)的工業(yè)控制防護產(chǎn)品來加強。

作為國內(nèi)最早推出專業(yè)工控安全產(chǎn)品和安全服務(wù)的廠商，力控華康的工業(yè)防火墻和工業(yè)網(wǎng)絡(luò)安全防護網(wǎng)關(guān)是目前比較成熟的工業(yè)控制網(wǎng)絡(luò)邊界防護產(chǎn)品，在鋼鐵冶金、石油化工、電力、市政等領(lǐng)域有著廣泛的應(yīng)用。

力控華康HC-ISG工業(yè)防火墻是國內(nèi)首款專門應(yīng)用于工業(yè)控制安全領(lǐng)域的自主知識產(chǎn)權(quán)的防火墻產(chǎn)品，能有效針對SCADA、DCS、PLC、RTU提供安全保護。HC-ISG支持對常見工業(yè)控制協(xié)議的識別、過濾和深度防御，可以對工業(yè)協(xié)議內(nèi)部的指令、寄存器等信息進行檢查，防止應(yīng)用層協(xié)議被篡改或破壞，保證工業(yè)協(xié)議通訊的可控性和準確性。

力控華康PSL工業(yè)網(wǎng)絡(luò)安全防護網(wǎng)關(guān)是一款安全隔離產(chǎn)品，用于解決工業(yè)控制系統(tǒng)接入信息網(wǎng)絡(luò)時的安全問題。PSL安全防護網(wǎng)關(guān)采用“2+1”的安全隔離技術(shù)架構(gòu)，阻斷網(wǎng)絡(luò)間直接的TCP/IP連接，通過專有協(xié)議實現(xiàn)對OPC、Modbus等工業(yè)控制協(xié)議的封裝和安全的數(shù)據(jù)傳輸。

關(guān)注更多工控安全資訊，請關(guān)注力控華康官方微信公眾號！