據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計，截止到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。特別是伊朗核電站的震網(wǎng)病毒事件，給全球工業(yè)界控制系統(tǒng)的信息安全問題敲響了警鐘。工控系統(tǒng)信息安全的需求變得更加迫切。

第89期【智造+V課堂】分享嘉賓：北京信息科技大學計算機學院副教授，工信部培訓(xùn)中心高級講師焦健，作為工業(yè)控制系統(tǒng)安全資深專家，本次V課堂焦教授從工業(yè)控制系統(tǒng)安全基礎(chǔ)概念和工業(yè)控制系統(tǒng)安全事件兩個方面深度解讀了工業(yè)控制系統(tǒng)安全。

一、分享嘉賓

[[210126]]

北京信息科技大學計算機學院副教授   焦健

重磅Title

• 北京信息科技大學計算機學院副教授;
• 工信部培訓(xùn)中心高級講師;
• 中國計算機學會、中國自動化學會會員;
• 交通科學研究院測評中心專家;
• 華電卓越特聘專家，賽虎網(wǎng)安特約講師。

領(lǐng)域成就

• 主要從事網(wǎng)絡(luò)空間安全科研和教，在SCI、EI和重要會議發(fā)表論文20余篇，擁有3項國家發(fā)明專利。

二、演講主題

《工業(yè)控制系統(tǒng)安全分享》

三、演講大綱

• 工業(yè)控制系統(tǒng)安全基礎(chǔ)概念
• 工業(yè)控制系統(tǒng)安全事件分享

四、原文實錄

原文實錄context:

今天我們講課的主要內(nèi)容包括四個部分：

第一，我們對工業(yè)信息控制系統(tǒng)進行一個簡短的介紹。第二，我們把工業(yè)控制系統(tǒng)與信息系統(tǒng)做一個對比。第三，我們通過列舉近些年來的一些工控安全事件，對工業(yè)控制系統(tǒng)的安全做一個簡短的分析。第四，我們把工控安全和傳統(tǒng)信息安全做一個對比。

我們知道當今世界很多部門跟工業(yè)領(lǐng)域有著非常緊密的聯(lián)系，比如像我們這張圖里面看到的，化工、國防，還有我們的一些能源、交通等等領(lǐng)域，他跟我們的國計民生、跟我們的日常生活可以說息息相關(guān)的。

我們知道在我們當今的這些基礎(chǔ)設(shè)施，這些工業(yè)領(lǐng)域里面，很多領(lǐng)域他們之間是相互依賴的。我們現(xiàn)在看一下這是一張關(guān)于工業(yè)領(lǐng)域的圖 ，里面有我們基礎(chǔ)設(shè)施之間的關(guān)系，可以看到現(xiàn)在很多基礎(chǔ)設(shè)施，像通訊、交通，還有城市的應(yīng)急、系統(tǒng)、電力，它們彼此之間非常強的一個依賴關(guān)系。如果其中某一個單元出現(xiàn)了問題，很可能將會對整個社會造成一個巨大的影響。

這是2003年美國大停電引發(fā)的一個影響的這樣解釋圖，示意圖。在當時的話，整個北美地區(qū)大概有5000多萬人受到了影響，而且這個事情也直接導(dǎo)致了當時一系列安全事情的發(fā)生，也促使了后來美國的NERC CIP這樣一個法規(guī)的誕生。

智能電網(wǎng)這一頁。在座的學員里面可能有電力行業(yè)的，智能電腦是我們目前國家投巨資比較關(guān)注的，也是比較重點建設(shè)的一個領(lǐng)域。現(xiàn)在的這種發(fā)電、輸電、配電，它基本上都向這種高度的智能化、自動化去運行。但是這些自動化、智能化的系統(tǒng)在脫離了傳統(tǒng)的人為控制，而轉(zhuǎn)入計算機進行控制的時候，很可能會由于自動化本身的一些問題，或者說由于信息化自身的一些問題，帶來一些不必要的困難或者一些缺陷 。

這是關(guān)于一張流程制造和離散制造的一張圖，在這張圖里面看到我們平常所看到的一些商品，包括汽車，我們的這樣一個食品，各種各樣的用品，它都是通過各種原材料，使用一定的配方，經(jīng)過加工才制造成功。現(xiàn)在西方它的工業(yè)最大的一個特點就是標準化，它可以按照統(tǒng)一的標準，按照它預(yù)先的這樣一個設(shè)計，把同樣的材料加工出成同樣的商品，這種產(chǎn)品的加工制造，無疑是我們?nèi)祟惿鐣粋€非常大的推動。

任何的這種產(chǎn)品的生產(chǎn)、加工、制造都是有一個過程，有的過程是連續(xù)的，比方說我們的煉油，從石油的開采、提煉、加工。有的過程是批儲量、批處理的。比方說我們的制藥，還有一些是我們這種水處理混合的這樣一個過程，但不管是什么樣的一個過程，這個生產(chǎn)過程對于今天人看來都比較復(fù)雜。我們的很多日常用品，比如說電腦、書籍、鉛筆這些，我們都是通過這種離散系統(tǒng)生產(chǎn)的。

你們看到這是一個我們在生產(chǎn)線上，進行汽車加工制造的這樣一個產(chǎn)品鋪，所有的一切都說明一個問題，就是我們現(xiàn)代化的生產(chǎn)其實都是一個標準為基礎(chǔ)，而且以流水化作業(yè)為核心的這樣一個加工流程。這種自動化生產(chǎn)的出現(xiàn)，從一開始就決定了我們今天計算機技術(shù)通信技術(shù)在其中將產(chǎn)生一個非常重要的影響，這也就是我們今天要給大家講的，工業(yè)控制安全它的一個核心內(nèi)容就是信息化。

我們簡單對工業(yè)控制做一個概述。工業(yè)控制系統(tǒng)是對工業(yè)過程生產(chǎn)中的信息安全和考核運行的相關(guān)人員、軟件、硬件的集合。工業(yè)控制系統(tǒng)簡稱“ICS”，它有很多個分支，比如說DCS，PCS等等，今天我們只講一個比較狹義工業(yè)控制系統(tǒng)。通過它我們來對整個工業(yè)系統(tǒng)，做一個相對比較完整的或者說做一個相對比較全面的認識。

這是關(guān)于一張工業(yè)控制系統(tǒng)發(fā)展的歷程圖，從上個世紀五十年代，日本日立公司提出的這樣一個Scalar系統(tǒng)，到六七十年代美國人提出的PLC，目前我們?nèi)匀辉趶V泛的使用。一直到九十年代，SCS這種現(xiàn)場組建的介入，都極大地推動了我們整個工業(yè)控制系統(tǒng)的發(fā)展，而且這些系統(tǒng)直到今天仍然在發(fā)揮著非常大的作用，這也是我們工業(yè)系統(tǒng)的一個特點。也就是說它隨著新系統(tǒng)的誕生，不斷地有一些新的標準，新的設(shè)施加入進來，它跟以前傳統(tǒng)的系統(tǒng)一起，為我們工業(yè)系統(tǒng)產(chǎn)生深遠的影響。

現(xiàn)在我們介紹完工業(yè)控制系統(tǒng)之后，我們把工業(yè)控制系統(tǒng)和信息系統(tǒng)做一個簡單的對比。我們看一下工業(yè)控制信息和信息系統(tǒng)的對比有什么差異。信息系統(tǒng)也就是我們所說的IT系統(tǒng)，工業(yè)系統(tǒng)的ICS系統(tǒng)，它其實兩者之間有著緊密的聯(lián)系，它都用到了現(xiàn)代的計算技術(shù)和通信技術(shù)，但是我們今天只說說它們的差異性，這為我們后面講安全會做一個基本的鋪墊。

首先我們看IT系統(tǒng)來講的話，從性能上來說，它跟ICS有著明顯的不同。那么IT系統(tǒng)我們知道，它本身有著實時性的特點，我們一般用IT系統(tǒng)的話，大家用手機上網(wǎng)、用筆記本去跟朋友聊天，你們對時間并沒有太嚴格的要求。而ICS我們工業(yè)系統(tǒng)都是實時性，也就說它對時間的要求是非常高的，這個大家可以想象到的，晚一毫秒，可能我們的這個系統(tǒng)，我們的機床，我們這樣一個加工產(chǎn)品它就會產(chǎn)生一些不可預(yù)知的錯誤。

因此，在時間性上來講的話，IT系統(tǒng)要比ICS的系統(tǒng)寬容性要多很多。而在可控性方面，我們的IT系統(tǒng)是可以進行重啟，可以進行靈活的安全適用的，但是ICS不行。我們的ICS系統(tǒng)，一般的工業(yè)流程里面是不能輕易重啟系統(tǒng)的，而且它對系統(tǒng)有著比較高的可靠性要求。任何中斷都要提前設(shè)置計劃，性能和可行性這樣一個要求，就決定了我們的系統(tǒng)在風險管理方面，IT系統(tǒng)、ICS是不一樣的。

IT系統(tǒng)方面一般強調(diào)數(shù)據(jù)的保密性和完整性，比如說通常我們所說的信息安全，它實質(zhì)上是對數(shù)據(jù)有著保密和完整性的要求，但是ICS系統(tǒng)來講的話，它沒有這樣一個要求，也就是它并不太關(guān)心。待會兒我們會講到，ICS它是更多把人的安全保護放在第一位，然后把設(shè)備、過程控制的保護放在其次，至于數(shù)據(jù)安全和保密性并不是它的關(guān)注重點。還有我們的IT系統(tǒng)，一般來說在于我們只作為一個重要的資產(chǎn)進行使用的，而ICS它是更多作為一個生產(chǎn)設(shè)備來進行使用的。

因此我們的IT系統(tǒng)它在部署完之后，往往需要有大量的資金投入對它的運維、對它的訪問進行后期的管理。而ICS在這方面相對來講，它并沒有太多后續(xù)的跟進，這種差異也就決定了當前工業(yè)控制領(lǐng)域的安全，是相比于IT系統(tǒng)來講，它有著更突出的特點。換句話說ICS系統(tǒng)的安全，相比于IT系統(tǒng)來說，它還有更多的要做的事情。

最后一點，就是我們的IT系統(tǒng)它的這種通訊標準，它的這樣一個管理方式和ICS系統(tǒng)存在著不同的差異。比方說我們的通訊，IT通訊，IT系統(tǒng)，一般我們現(xiàn)在都有無線的這種以wifi以及我們的這種百兆、千兆的以太網(wǎng)協(xié)議。上層的話，我們現(xiàn)在普遍采用的是TCP/IP的這種通訊協(xié)議。但是ICS作為工業(yè)控制領(lǐng)域來說，它有很多種自己重要的協(xié)議，它的網(wǎng)絡(luò)也非常的復(fù)雜，可以說沒有一個比較通用的標準。而這些系統(tǒng)來講，它的設(shè)備、硬件、軟件以及后期的管理，都是往往依靠于一些專有的供應(yīng)商，所以這就決定著ICS系統(tǒng)從種類上，管理上要比IT系統(tǒng)復(fù)雜的得多。

我們說完了工業(yè)控制系統(tǒng)和信息系統(tǒng)這樣一個對比，我們來講一講工業(yè)控制安全。我相信有愛看新聞的同學應(yīng)該知道這張照片，這是2008年當時伊朗的總統(tǒng)內(nèi)賈德，在他的伊朗核反應(yīng)隊控制室里面，觀看它的SCADA系統(tǒng)這樣一個場景。這張照片被當時的一些記者拍了下來，他們后來發(fā)現(xiàn)照片上紅點所示的這兩個位置，是當時表示離心機控制這樣一個屏幕。

通過這個屏幕人們發(fā)現(xiàn)這兩個離心機已經(jīng)被隔離了，也就說這兩個離心機出現(xiàn)了故障，這個事情發(fā)生在2008年。但是到了2010年的時候，伊朗政府突然宣布關(guān)停了這樣一個核反應(yīng)堆，而且從這一年開始，伊朗政府核計劃發(fā)生了一個非常大的變化，也就是說他在美國和歐洲一些國家的壓力下，開始放棄它的核能計劃。當時外界對它的轉(zhuǎn)變猜測是非常多的，很多人不知道伊朗政府為什么這么做。

一直到了2012年，這個時候有媒體報出了一個非常震驚的消息，其實是在2008年的時候，伊朗的核反應(yīng)隊的系統(tǒng)，就已經(jīng)遭到了入侵。在2010年的時候，他的數(shù)千臺離心機，也就是我們剛才看到的這個紅點所說的離心機，突然高速運轉(zhuǎn)，大量的離心機由于高速運轉(zhuǎn)，導(dǎo)致整個設(shè)備報廢。由于數(shù)量眾多，而且離心機伊朗本國政府又不能夠快速補充，所以伊朗的核計劃客觀上被暫停了，造成這個離心機高速運轉(zhuǎn)導(dǎo)致最后系統(tǒng)報廢效果的“罪魁禍首”，就是我們下面要講到的震網(wǎng)病毒。

我們看一下這個所謂的“震網(wǎng)病毒”。震網(wǎng)病毒它是我們工業(yè)控制安全的一個標準性的事件，因為在此之前還沒有關(guān)于這方面的一種攻擊工業(yè)領(lǐng)域的這樣一些惡意代碼病毒的出現(xiàn)。你知道它的工作機理是什么呢?它是利用一些技術(shù)管理的漏洞，由專門的一些人員，通過U盤，通過它的、移動存儲設(shè)備，把病毒代碼拷貝到伊朗核電站控制電腦中，然后在控制電腦中通過長期潛伏，在一定條件下被激活，最后利用核設(shè)施的一些安全漏洞，攻擊離心機產(chǎn)生相關(guān)的效果。

震網(wǎng)病毒是利用的window操作系統(tǒng)上的一些漏洞，這些漏洞最早是在我們西門子的一些工業(yè)控制設(shè)備上才出現(xiàn)的。，我們看一看第17頁的幻燈片。這種病毒首先通過U盤插入到ICS這樣一個管理層計算機上，當然這些管理層計算機，并沒有跟直接的工控設(shè)備進行連接。但是U盤之間，由于我們習慣性的插拔文件的拷貝，它可以傳遞到控制系統(tǒng)中去。在我們常用的西門子這種控制系統(tǒng)軟件，wincc有一個漏洞，恰恰可以由病毒進行利用。

這個病毒就通過這個漏洞，成功地植入到了wincc控制系統(tǒng)軟件中，然后借助該軟件它會直接向西門子控制器PLC，注入惡意的控制程序，這個惡意程序就是用來進行對離心機遠程控制。在成功注入這個程序之后的話，我們看紅線所示，PLC像離心機發(fā)送了這樣一個控制指令，讓其超速運行，而同時他向控制室發(fā)現(xiàn)了一個“欺騙性”的正常手續(xù)，這樣一來離心機在高速運轉(zhuǎn)下，導(dǎo)致離心機設(shè)備報廢，而控制室因為看到是一個正常的數(shù)據(jù)，他沒有及時采用其他的措施，去阻止這種事情的發(fā)生，導(dǎo)致伊朗的這種核設(shè)施無形中受到一個“毀滅性”打擊。

關(guān)于震網(wǎng)病毒的來歷，其實到目前為止也沒有徹底搞清楚，大家應(yīng)該心里多多少少對它的主人有一些自己的推測。德國的一位惡意代碼專家曾經(jīng)在分析完這個病毒，說了這么一句話，他說：世界上能造出這個病毒的國家或組織不多。我們應(yīng)該是慶幸目前還只有這樣少數(shù)的國家和組織，能夠造出這種惡意代碼，如果它像原子彈一樣，能夠被很多國家去仿制的話，那么很可能將是我們?nèi)祟惖囊粋€“災(zāi)難”。

這是近年來針對工業(yè)控制領(lǐng)域這種安全的一些惡意代碼的這樣一個演變的推進圖，從最早的這樣震網(wǎng)，修改了西門子的控制系統(tǒng)，通過PLC發(fā)送加速指令，導(dǎo)致核設(shè)施遭到毀滅性破壞。到后面這種Duqu，專門用來進行工業(yè)控制信息系統(tǒng)的收集，這個也是非常厲害的。因為我們知道現(xiàn)在很多時候，我們的工業(yè)控制系統(tǒng)，大量的信息數(shù)據(jù)是跟我們國計民生有關(guān)的，我只要知道你的工業(yè)設(shè)施的一些生產(chǎn)數(shù)據(jù)，我就大概能推算出你的國家很多一些基本的數(shù)據(jù)。比如說你的戰(zhàn)略石油儲備，一些基礎(chǔ)設(shè)施核心數(shù)據(jù)內(nèi)容，是可以通過這個來知道的。

近年來，火焰Flame這個病毒，它能夠?qū)ξ覀児I(yè)設(shè)施里面的一些網(wǎng)絡(luò)數(shù)據(jù)，甚至于語音通訊進行接聽，然后對它進行處理。我們看這些惡意代碼的出現(xiàn)已經(jīng)從最早的破壞，變換成我們對工業(yè)中一些核心數(shù)據(jù)、核心信息些獲取，可見工業(yè)控制領(lǐng)域的安全，它已經(jīng)在近些年演變中產(chǎn)生了一些新的變化。這里我就要提到了所謂的APT攻擊。APT攻擊，是我們近些年安全里面說到的攻擊，大家可以翻到20頁。

它英文單詞Advanced Persistent Threat，是指高級持續(xù)性的威脅。它可以對我們的這種公共設(shè)施，對我們這樣一些基礎(chǔ)設(shè)施網(wǎng)絡(luò)，進行長時間的這種攻擊，這種攻擊方式已經(jīng)跟我們通常意義上所說的傳統(tǒng)的(網(wǎng)絡(luò)病毒)已經(jīng)不一樣了。

這是我們APT近些年來從最早的1.0，也就是我們所說的震網(wǎng)病毒，到我們今天說的2.0火焰病毒，它這樣一個發(fā)展趨勢。我們看在這個趨勢里面，這些惡意代碼，這些攻擊方式，它的手段更加緊密。通過不同的方式，它可以向更多領(lǐng)域范圍進行攻擊。比方說2013年美國國防航空領(lǐng)域，包括我們能源領(lǐng)域也開始受到它的這樣一些威脅。

由于這些攻擊具有極大的利益驅(qū)動，導(dǎo)致很容易被恐怖分子，被一些民間組織獲取，它具有著更加快速的傳播途徑。針對我們工控網(wǎng)絡(luò)的這種核心功能，應(yīng)該說具有很強的針對性，有的很多惡意代碼是完全針對我們這樣一個工業(yè)系統(tǒng)來設(shè)計的，因此它的危害性應(yīng)該說更大。

這是這些年來的一些工控安全領(lǐng)域的例子，當然這都是國外的。2011年美國的公共設(shè)施遭到入侵，包括2011年日本新干線發(fā)生這樣一個故障?？赡艽蠹矣∠笞钌畹倪€是去年，發(fā)生在烏克蘭這樣一個大規(guī)模停電事件，我相信在座的學員們應(yīng)該都聽過說，烏克蘭某城市在一夜之間突然停電，導(dǎo)致幾十萬的居民家庭斷電。

這些頻繁發(fā)生的事件，首先在安全上來講，已經(jīng)證明工業(yè)控制領(lǐng)域的安全形勢非常嚴峻的。不斷頻發(fā)這樣一個安全事件，也在向人們證明，我們今后可能將面臨越來越多的工控安全，與傳統(tǒng)的這些信息事件相比，工控安全可能將面臨更加嚴重的挑戰(zhàn)，因為我們前面說了工業(yè)控制它的系統(tǒng)和傳統(tǒng)的信息系統(tǒng)，有著很大的區(qū)別，這也就決定了我們很可能面臨的這種工業(yè)控制安全的問題，要區(qū)別于所謂的傳統(tǒng)信息安全問題。

我們國家近些年來也注意到這一點，2011年、2012年的時候工業(yè)和信息化部門，專門對工業(yè)控制安全信息系統(tǒng)化行小范圍的通知。2012年我們國家也發(fā)布了關(guān)于大力推進信息化發(fā)展的這樣一個安全若干意見，包括去年2016年的時候，國家已經(jīng)推出了關(guān)于工業(yè)化系統(tǒng)的保護措施，以及相關(guān)的配套意見。特別是我們今年的6月1日網(wǎng)絡(luò)空間安全法上推出之后，為我們工業(yè)信息安全，它的發(fā)展可以說做了一個鋪墊。

現(xiàn)在各部委都在制定有關(guān)于工業(yè)信息安全的這些一些領(lǐng)域的標準，和一些管理辦法，應(yīng)該說整個國家已經(jīng)注意到這一點。我們通過一些實例，對工業(yè)控制安全有一個初步感性的認識，接下來我們拿傳統(tǒng)的信息安全做一個對比，我們來了解一下工業(yè)控制安全，跟信息安全相比到底有哪些不同，哪些相同。

首先我們要承認一點，工業(yè)信息安全和工業(yè)傳統(tǒng)信息安全，兩者之間還是有一定聯(lián)系，因為畢竟這些設(shè)備，這些設(shè)施，它都是建立在我們以計算機和現(xiàn)代通訊為基礎(chǔ)的技術(shù)上。我們可以把PPT翻到第31頁，也就是我們這樣一個工業(yè)控制系統(tǒng)安全，和傳統(tǒng)IT感覺這樣一個對比。我們看傳統(tǒng)的IT安全，在座的同學們可能都多多少少接觸過這種IT安全，其實這些傳統(tǒng)安全，我們比較注意三個方面的內(nèi)容：

第一，保密性。比如說注意信息的保密，我們通常用到 一些通訊加密、數(shù)字證書是保密性的內(nèi)容。

第二，完整性。我們在很多時候是對數(shù)據(jù)有個完整性的要求。

第三，可用性。這個是要關(guān)注信息系統(tǒng)，是不是能夠為我們提供正常的服務(wù)。這三個標準，這三個性質(zhì)，是由高到低，保密、完整、可用，有先后順序。

這張圖里面我們看到工業(yè)控制系統(tǒng)安全和傳統(tǒng)的IT安全相比，它的保密、完整、可用，順序是不一樣的，它把可用性放在了最前面。我們再看這張圖，我們所說的這種可用性，在工業(yè)信息系統(tǒng)里面指的什么呢?指的是系統(tǒng)它能夠在正常情況下，生產(chǎn)的能力。也就是說這個時候?qū)τ诠I(yè)控制領(lǐng)域來講，安全人員更關(guān)心的是會不會由于系統(tǒng)的停機，誤操作，為我的整個生產(chǎn)帶來一個巨大經(jīng)濟損失，甚至是對我們的生產(chǎn)人員和環(huán)境造成巨大的破壞，這一點是工業(yè)控制安全里面最關(guān)心的。而信息安全雖然也關(guān)心它的可用性是放在后面的，信息系統(tǒng)我們平時用到的一些服務(wù)器，這樣一些個人電腦，它的安全問題主要停留在數(shù)據(jù)層面。

而對于我們工業(yè)控制領(lǐng)域來講的話，它的安全更多是提留在應(yīng)用層面。舉一個比較恰當?shù)睦?，我們的電腦大家不用擔心，它什么時候會爆炸，不用擔心這個電腦會對我們?nèi)嗽斐墒裁磦Γ瑢Σ粚?但是我們的能源，我們的交通，我們的這樣一些工業(yè)基礎(chǔ)設(shè)施，它能不能正常運行?會不會出現(xiàn)意外的安全事故，這些它的可用，它對環(huán)境，對人員產(chǎn)生的一個危害，恰恰是我們生產(chǎn)者和我們這些接觸的人最關(guān)心的，這就是工業(yè)控制系統(tǒng)它把它的可用性放在第一位。

而相比這些來講的話，種數(shù)據(jù)的機密性倒并不是非常的重要，但注意我這里說的不是非常重要，為什么呢?因為工業(yè)數(shù)據(jù)往往都是原始格式，需要特殊的標準，特殊的一些協(xié)議，對它進行才能獲取價值，因為我們前面給大家說過了，它沒有統(tǒng)一標準。各個廠商，各個設(shè)備的制造商，他提供的數(shù)據(jù)格式，提供的標準是不一樣，所以這個時候的是一種機密性，往往是依賴于它的一些特殊的協(xié)議，依賴于它的一些應(yīng)用背景。因此，工業(yè)信息數(shù)據(jù)安全，它跟IT信息數(shù)據(jù)相比是不一樣的。當然不是說它不重要，是說它是有一個前提條件的。

這里面是關(guān)于工業(yè)控制系統(tǒng)和傳統(tǒng)IT系統(tǒng)，比較詳細的一個數(shù)據(jù)，這里面還特別提到了實時性?？刂葡到y(tǒng)，我們前面講過了，跟信息系統(tǒng)相比，它的實時性要求比較高。一般來講的話，很多控制系統(tǒng)它的響應(yīng)時間都在1毫秒以內(nèi)，而是我們的這種現(xiàn)代的通訊信息系統(tǒng)、現(xiàn)在的信息系統(tǒng)，即使說我們的商務(wù)系統(tǒng)，一般一秒或者幾秒之內(nèi)這樣一個延時，都可以接受的。比如說，我們今天給大家通過這個微信來講，晚上幾秒中大家是沒有任何意見的。但是對于一個控制系統(tǒng)來講，幾個毫秒都可能會造成一個非常大的影響，因此在工業(yè)控制系統(tǒng)里面，它對于這種可用、機密，還有實時性的要求，完全不同于傳統(tǒng)的IT安全。

ICS和IT的集成，近年來我們已經(jīng)出現(xiàn)了一些關(guān)于這種“兩化融合”，“兩化”這樣管理的一些勢頭，IT和ICS應(yīng)該說這些年是在做一些集成的。事實上，ICS系統(tǒng)本身就是依賴著IT系統(tǒng)的，可以說IT系統(tǒng)很多網(wǎng)絡(luò)安全漏洞，只要移植到ICS上來講，那么ICS具有同樣的漏洞問題。這就是說，在IT系統(tǒng)看來它的一些安全問題，是可以被ICS所繼承的，這是第一個層面。

第二個層面，ICS本身我們說有自己的多樣性，就導(dǎo)致了其采用獨特的創(chuàng)新的這樣一些IT系統(tǒng)，它是有自己設(shè)計的標準，設(shè)計的概念，因此我們在運行過程中，需要對它的這些系統(tǒng)進行一些特殊的這樣一個安全的防護。

我相信我們很多人都有印象，在大約是10年以前，當時我們有一個所謂的“三網(wǎng)融合”，那個時候國家想把我們的計算機網(wǎng)、通訊網(wǎng)和有線電視網(wǎng)做一個融合，轟轟烈烈嚷了很長一陣子。而事實上，計算機互聯(lián)網(wǎng)和傳統(tǒng)通訊網(wǎng)，在很早以前就已經(jīng)開始進行融合了。我們今天這樣一些正常的電信通訊，它的骨干網(wǎng)都在跑計算機的IP協(xié)議，這是一個非常典型的例子。這兩個網(wǎng)，其實你不用國家去推，它就已經(jīng)開始融合了。

有線電視的話，由于這個它并沒有跟我們?nèi)粘Ｉ钣兄浅＞o密的聯(lián)系，大家現(xiàn)在已經(jīng)離不開手機了，但是可以不用天天看電視，所以有線電視這個網(wǎng)融合起來就嚴重滯后了。可是我們反過來想了一想。我們的這種網(wǎng)絡(luò)融合會給我們這樣一些系統(tǒng)帶來一些新的問題，在很多年以前我們剛開始用手機的時候，大家可能不用擔心我們的手機上會有什么病毒，也不會擔心我們手機會有什么一些危險的應(yīng)用，那個時候手機是用來打電話的。

可是現(xiàn)在隨著這種3D、4D技術(shù)的飛速發(fā)展，我們的手機已經(jīng)從功能型轉(zhuǎn)變成了所謂的智能手機。計算機技術(shù)已經(jīng)開始滲透到手機的這種移動通訊領(lǐng)域，這樣一來的話，以前在計算機領(lǐng)域里面臨的那些病毒，面臨的這樣一些惡意代碼，面臨的各種各樣的一些通訊上的安全問題，都被移植到了我們今天的移動領(lǐng)域，我們的電信領(lǐng)域，這就是一個典型融合帶來的問題。

首先IT架構(gòu)漏洞融合帶來問題。我們以前大家用手機的時候，那個時候手機沒有什么復(fù)雜的功能，像我們最早，像諾基亞一些手機的話，那個時候可能就是一個普通的這樣一個接打電話，發(fā)短信這樣一個手機，現(xiàn)在我們用蘋果、用安卓，很多垃圾軟件就進來了。同樣，在工業(yè)控制領(lǐng)域里面，如果你采用IT系統(tǒng)、IT體系框架的話，他們就意味著會把IT框架的一些問題帶進來，這是第一。

第二，允許非控制系統(tǒng)人員訪問重要的生產(chǎn)系統(tǒng)，信息的巨大風險。一旦允許非控制人員，就是非這種本領(lǐng)域的人員進入到這個系統(tǒng)中，你的領(lǐng)域就可能面臨著一些威脅。這種工業(yè)控制領(lǐng)域，它以前是跟外界完全隔離的，我們知道現(xiàn)在有一個詞叫“智能制造”，德國人叫“工業(yè)4.0”，我們中國叫“中國制造2025”。它這種制造的理念是什么呢?它制造理念就是，我們能不能夠在網(wǎng)上，通過這種正常的一些互聯(lián)網(wǎng)的交互操作，遠程的去控制機器設(shè)備，讓它制造出我們想要的產(chǎn)品，這個是它一個非常好的項目。但是很少有人想過，你的這樣一個設(shè)備，或者說你這樣一個生產(chǎn)場景，會允許非控制系統(tǒng)的人員，原來并不是董這種機床、設(shè)備、生產(chǎn)線操作的這樣一些人員，介入到你的生產(chǎn)系統(tǒng)中來，它會為你的生產(chǎn)帶來一個巨大的影響。

第三，IT團隊還是ICS團隊負責。ICS、IT本身是兩個不同的團隊，我們上學的時候大家都知道，IT屬于計算機通信領(lǐng)域的，ICS更多屬于自動化機械。本身就是兩個不同的，或者多個不同的學科，他們兩個之間的團隊誰來負責這個事情，是一起還是各自為戰(zhàn)，都是我們需要去考慮的。而且在管理層面上來講的話，我們更多的是要考慮同時訪問IT和ICS網(wǎng)絡(luò)用戶，如何對它們進行管理，這都是需要我們對這種融合后的網(wǎng)絡(luò)，進行一個比較完善的控制系統(tǒng)的建設(shè)。

我們看ICS和IT在通訊上舉個例子，在我們傳統(tǒng)的應(yīng)用利于里面，我們的IT通訊它是有著一個廣泛的這樣一些傳統(tǒng)應(yīng)用的，這是多用戶頻發(fā)，不可預(yù)測，它有著不規(guī)律的這樣一個通訊流量。而在ICS領(lǐng)域，我們的網(wǎng)絡(luò)設(shè)備部件一般都是處于靜態(tài)狀態(tài)，它需要不斷的工作，但是這種網(wǎng)絡(luò)通訊往往是有可重復(fù)，可預(yù)測的，而且它的這個運行狀態(tài)也是很少被修改的。因此，ICS和IT在通訊上，我們僅以一個通訊為例，就是非常本質(zhì)的這樣一個差別。這些差別的話，都需要我們在建設(shè)這些安全設(shè)施的時候，對它進行一個詳細的考慮。

圖示是以主機應(yīng)用來表示我們的這個描述工業(yè)控制安全的。在IT領(lǐng)域里面，我們的主機是非常應(yīng)用廣泛，我們的電腦可以干很多事情，但是在ICS上應(yīng)用是非常有限的，我們IT領(lǐng)域里面，網(wǎng)絡(luò)的復(fù)雜性，可以讓我們的主機安裝大量的應(yīng)用，而ICS在我們工業(yè)控制領(lǐng)域里面，往往是在某一個特定的服務(wù)計價區(qū)去完成某些特定的工作任務(wù)，這是兩者之間的一個不同。

這就是互聯(lián)網(wǎng)一個訪問，我們前面說過，我們剛才舉了一個“工業(yè)4.0”、“中國制造2025”這樣一個例子。在這個例子里面的話，我們說我們是希望互聯(lián)網(wǎng)，直接進入到生產(chǎn)系統(tǒng)中來的，而事實上我們的互聯(lián)網(wǎng)我們看，平時我們互聯(lián)網(wǎng)是要跟大量的服務(wù)產(chǎn)生關(guān)系，它跟我們的平時日常生活有著非常密切的聯(lián)系。而相比之下，我們的ICS它更多是專注于某些特殊的應(yīng)用領(lǐng)域，它跟互聯(lián)網(wǎng)的連接是有限度的，我們在更多的時候，是通過一些設(shè)備的直連，來對這種工業(yè)控制信息進行訪問、進行管理。這樣一來我們就決定了互聯(lián)網(wǎng)訪問在IT里面和ICS里面。

這是一個攻擊實力的布局，一個示例圖。我們這個39頁往下連續(xù)放映，來說一個比較經(jīng)典的，比較常用的這種攻擊方式。比方在39頁里面，這是一個我們經(jīng)常用到的工業(yè)控制里面的一個圖，在上頭是我們通常所說的管理層網(wǎng)絡(luò)。，可以通過遠程的這樣一些的客戶端，越過防火墻，對公司的這樣一些管理網(wǎng)絡(luò)，或者他的辦公網(wǎng)絡(luò)進行攻擊。

該圖示可能表示公司用戶可能使用了某個惡意的網(wǎng)址，打開了某個惡意的信息，他們會通過一些電子郵件或者一些可疑的網(wǎng)頁，這可能屬于信息安全里面社會工程學的問題，去下載了一些惡意代碼，而這個代碼恰恰會導(dǎo)致公司的某些主機，被人植入它的一些惡意程序。攻擊者就可以對你的這樣一些主機形成遠程的控制，這是我們說的第一個階段，注意這個時候，我們是對公司正常的辦公網(wǎng)絡(luò)進行了一個攻擊，并且獲得它遠程的控制權(quán)。

我們到了它的下一頁，這個時候，攻擊者可以通過這個被遠程控制的主機，也就是我們看到這樣紅色箭頭指向的一個主機，對企業(yè)的這樣一個控制系統(tǒng)，它的公共信息進行進一步的滲透，就是我們看到的藍色線表示的這個范圍。在里面的話，我們已經(jīng)從一個企業(yè)網(wǎng)進入到了內(nèi)網(wǎng)，它的內(nèi)部的控制系統(tǒng)去，這個時候我們可以通過對防火墻策略的利用和修改，滲透到我們看到的藍色線所表示的這臺主機。

我們看到過攻擊步驟三，也就是我們的44頁上面。這時候我們已經(jīng)非常成功的通過這個右下腳這臺防火墻，它的修改配置進入到了這樣一個內(nèi)部的一臺控制主機上去，這臺控制主機它是直接可以對我們一個設(shè)備進行攻擊的，這就已經(jīng)進入到我們工業(yè)控制領(lǐng)域的上位機。

我們在這里的話看到在攻擊步驟示例三里面，我們有一個TCP的連接，從1926-168.-10.21,1024-10.32，這是一個跨網(wǎng)絡(luò)的連接，表示我們這個時候已經(jīng)控制到了這樣一個上位機。在這個時候進入到上位機之后，我們就可以進行它的下一步攻擊了，這是我們看到的攻擊步驟三。，在我們的第46頁里面，我們可以通過這些上位機，向PLC，向它的RTU終端設(shè)備進行指定的一些內(nèi)容發(fā)送。因為這個時候，我們看到這些系統(tǒng)都已經(jīng)處于同一個網(wǎng)絡(luò)內(nèi)部，所以我們可以非常方便的發(fā)送指令，去控制這些設(shè)備。

我們對這個攻擊實例的話，做了一個系統(tǒng)中的小結(jié)。首先我們看到在最早辦公網(wǎng)絡(luò)里面，由于沒有及時的打補丁，修改操作系統(tǒng)中的這樣一些漏洞，或者是由于我們外部防火墻的這樣一些配置策略的問題，導(dǎo)致我們遭到了外部網(wǎng)絡(luò)攻擊。這個時候，一些惡意代碼，就進入到了我們內(nèi)部的辦公網(wǎng)絡(luò)，這是它的第一步。

緊接著的話，由于內(nèi)部工業(yè)控制系統(tǒng)，它的防火墻，它的上位機以及相關(guān)服務(wù)器沒有關(guān)于安全代碼的審查，或者說缺少這種入侵檢測系統(tǒng)的防范，導(dǎo)致我們的上位系統(tǒng)，或者說工控主機被植入惡意程序。對于我們來講的話，從我們的辦公網(wǎng)絡(luò)，到我們的這樣一個工業(yè)系統(tǒng)的一個管理控制網(wǎng)絡(luò)，一直到我們最后的上位機，我們整個服務(wù)和網(wǎng)絡(luò)缺少一個分級，或者缺少一個有效的這樣一個分層的控制。這種架構(gòu)，目前我們還是采用傳統(tǒng)的這種安全控制策略，對這種工業(yè)網(wǎng)絡(luò)進行管理策略，很容易導(dǎo)致這些惡意代碼的植入，對這些工業(yè)設(shè)備生產(chǎn)和破壞。

我們工業(yè)領(lǐng)域來講，對于安全人員來講，對于運營商來講，我們有這么幾點建議：

首先，我們要對我們的信息進行一個完整的風險評估。對它的風險，對它存在的問題，制定一個安全的策略和流程，這也是一般來講，一個正常的信息化系統(tǒng)應(yīng)該必須具備的。

其次，我們還要對我們安全內(nèi)部人員，對它的管理人員進行安全的培訓(xùn)，我們安全領(lǐng)域工作很多事物都是由于人員的操作和大意引起的，所以培訓(xùn)是非常重要的。

接下來我們要對控制系統(tǒng)，對他的網(wǎng)絡(luò)進行分段管理，這一點沿用了我們傳統(tǒng)的信息網(wǎng)絡(luò)信息這樣一個分段管理，也就是我們傳統(tǒng)IT系統(tǒng)網(wǎng)絡(luò)，也是對進行分段分層保護的。在工業(yè)信息系統(tǒng)里，工業(yè)化系統(tǒng)里面同樣存在這樣的問題。

第四，我們要采用一些先進的工業(yè)控制防火墻，或者這樣一些云檢測系統(tǒng)，來對工業(yè)控制系統(tǒng)進行有關(guān)的防護，對它的訪問，對它的這樣一些正常通訊流程進行監(jiān)控。同時，我們還要加強這樣一些系統(tǒng)的部件，以及系統(tǒng)的運營維護，也就說我們對于工業(yè)系統(tǒng)所在的一些環(huán)境，應(yīng)用軟件、操作系統(tǒng)，以及硬件設(shè)施的這樣一些安全問題，進行一些及時的排查。就像我們剛才的第一個例子，最早的工業(yè)控制安全，就是利用了西門子一個控制軟件的漏洞導(dǎo)致的。所以對于這些控制系統(tǒng)的軟件，還有一個硬件上的一些安全漏洞，固件的安全問題，一直是我們需要重點去關(guān)注的內(nèi)容，也是我們需要在安全領(lǐng)域里面，投入精力去進行排查的。

對于產(chǎn)品的這種設(shè)備提供商來講，因為工業(yè)領(lǐng)域來講，長期以來并沒有安全這樣一個認識，所以可能對于各個供應(yīng)商來講，他們對于安全設(shè)備沒有太多的這樣一些意識去做。因此，對于這種公共安全商來說，如果你想讓你的設(shè)備，想你的PLC，想讓你的RTU，想讓你的上位機能夠更好的，更穩(wěn)定的去服務(wù)，你必須要關(guān)注以下幾點。

這是最后一張圖片，首先你要評估現(xiàn)有的安全產(chǎn)品，針對目前已知的安全漏洞做專門的檢測，我們后面會講到，我們的安全漏洞其實有安全庫可以查的，跟傳統(tǒng)的信息安全領(lǐng)域一樣，我們的工業(yè)控制領(lǐng)域有非常完善的安全漏洞庫，去做專門的檢測。同時，你還要作為一個公共產(chǎn)品的開發(fā)商，你要結(jié)合開發(fā)商的SDL，對安全產(chǎn)品進行相關(guān)的管理。

我們今天我們的信息領(lǐng)域里面，信息安全領(lǐng)域里面，傳統(tǒng)的IT系統(tǒng)有著非常完善的這樣一個產(chǎn)品開發(fā)周期，以及安全的這樣一個監(jiān)控，有著非常強大的這樣一個自測和公測的手段，來對我們的系統(tǒng)進行維護。同樣，公共產(chǎn)品也應(yīng)該具有相關(guān)的機制。公共產(chǎn)品在安全方面也要建立一個第三方認證的保障。我們今天很多IT系統(tǒng)，它有第三方認證的，通過對它的信息安全認證、準入，能夠保障我們一定程度上免受這些安全的威脅。這一點，對公共產(chǎn)品的供應(yīng)商來講，也是有要求的，大家以后應(yīng)該提高在這方面的意識。

最后一點，就是說對公開的這種漏洞的一個及時響應(yīng)，事實上在傳統(tǒng)的IT領(lǐng)域來講，安全漏洞一直是我們安全核心威脅是針對漏洞產(chǎn)生的。今天有很多人在網(wǎng)上，在我們的互聯(lián)網(wǎng)上系統(tǒng)上對漏洞進行挖掘，也可以通過各種方式，通過一些漏洞數(shù)據(jù)庫，看找到或發(fā)現(xiàn)一些漏洞，這個時候?qū)τ谖覀兇蟛糠值墓芾砣藛T來講，你要建立一個及時的響應(yīng)的機制，一旦有新的漏洞出現(xiàn)，一旦你的系統(tǒng)中存在著這樣一些漏洞，我們就要對它做好相關(guān)的補丁，相關(guān)的防護。

事實上，我們今天統(tǒng)一數(shù)字表明，針對安全領(lǐng)域這樣一個攻擊，90%以上的漏洞，是公開的領(lǐng)域發(fā)布之后被人使用的，這個數(shù)字可能還要高，因此對于我們真正的管理員來講，我們更多是要做好漏洞這樣一些防護。

戳這里，看該作者更多好文