像癌癥一樣傳播：世界首個PLC病毒問世工控網絡安全成網絡空間對抗的重要戰(zhàn)場

■ 文 / 彭 華

像癌癥一樣傳播：世界首個PLC病毒問世工控網絡安全成網絡空間對抗的重要戰(zhàn)場

■ 文 / 彭 華

工控網絡安全技術是衡量一個國家綜合實力的重要組成部分，是國家安全的重要命題，也是信息安全與工業(yè)自動化的跨學科的集成，涉及到國家安全、經濟安全、民生安全，是新經濟時代一個基礎性的、亟待解決的問題，需要各級政府部門、各行業(yè)一起來加速推動。

當人人都在說互聯(lián)網時代的時候，這是一個好的時代，也是一個壞的時代。近十多年，互聯(lián)網的發(fā)展不斷突破現(xiàn)實與虛擬的邊界，而這個世界，早已運行著，一個更大更久遠的極具潛力的O2O的體系——工業(yè)。

2010年的“震網”病毒，不僅把網震了，也震驚了全世界?，F(xiàn)實世界的精準打擊，在網絡上得到復制。工業(yè)世界不是網絡虛擬世界，就是一個現(xiàn)實世界。如果一個電站被攻破，電網可能因為一個節(jié)點的損壞而造成全局破壞；如果化工廠的生產流程工藝被入侵，劇毒原料外泄，一座城市的居民就會有生命危險，于是工控安全就尤其重要了。

最近半年來發(fā)生的工控安全事件，如烏克蘭電廠，已證明工控安全形勢岌岌可危，甚至個人都可以發(fā)起對關鍵基礎設施的毀滅性打擊。應對這種攻擊，需要替換西門子S7 1200可編程控制器中的硬件，以能夠檢測到更高的頻率，并且在作動器(actuator)和PLC周圍安裝低通濾波器。這種需要實施硬件的更新?lián)Q代的應對，成本非常之高，而這對于龐大陳舊的工控系統(tǒng)來說，代價之大難以想象。工控安全已成為工業(yè)互聯(lián)網暗處的冰山。

世界首個PLC病毒問世

據(jù)外媒報道，日前，世界首個PLC病毒，即工控蠕蟲病毒問世，它能夠對關鍵基礎設施產生災難性的后果，通過制造指數(shù)級增長的攻擊，而且難以檢測和制止。所幸的是，它現(xiàn)在還只是個POC（概念驗證）。

這個POC已經被兩起獨立的研究測試證實，能夠以靜默模式實現(xiàn)端到端的攻擊。有人會說，震網不就是工控病毒嗎？話雖這樣說，但震網之類的工控惡意軟件，包括“黑色能量”等要依賴于一臺被感染的計算機才能傳播并感染PLC（可編程控制器），也就是說把被感染的計算機移除即可制止病毒的傳播。

開發(fā)出這個真正工控蠕蟲POC的兩位研究人員，Spenneberg（斯班伯格）和Brüggeman（布魯格曼）表示，該病毒可以在西門子 S7 1200 可編程控制器之間像癌癥一樣的擴散，并在改編之后作用于其他系統(tǒng)。而且還可以在代理鏈接中使用，作為立足點以進入基礎設施的網絡系統(tǒng)。

這是第一個無需借助PC或其他系統(tǒng)，即可實現(xiàn)在PLC之間進行傳播的蠕蟲病毒。想象一下，如果你的工控系統(tǒng)中的一臺PLC被感染，你是很難檢測到的，而且很快它就能擴散到整個系統(tǒng)中。

“利用這個病毒，可以發(fā)起拒絕服務，停止PLC的工作等等，我們都知道這對大型工廠或關鍵基礎設施意味著什么?！眱晌谎芯咳藛T制作了一個仿真電廠構造來演示蠕蟲的攻擊過程。隨著蠕蟲在PLC之間的跳躍，LED燈在150毫秒的最大時間周期內閃爍后熄滅。

更加可怕的是，這種蠕蟲攻擊還可以被PLC產生的電波頻率和振幅所掩蓋。另兩位安全研究人員Bolshev和Krotofil的研究表明，攻擊者可以通過石油管道入侵遠程站，判斷正常的頻率模式，然后重復用高頻率組件重復這些電波，以掩蓋攻擊破壞行為。

工控網絡安全成網絡空間對抗的重要戰(zhàn)場

當今社會,國家安全邊界已經超越地理空間限制，延伸到了信息網絡，而在信息技術與傳統(tǒng)工業(yè)融合的過程中，工業(yè)控制系統(tǒng)正面臨越來越多的網絡安全威脅。

從業(yè)內公開的數(shù)據(jù)來看，2014年，工控用戶在控制系統(tǒng)中發(fā)生網絡安全事故的比例有所提升，受網絡安全事件影響的企業(yè)占比達到了28.6%，因病毒造成工控網絡停機的企業(yè)高達19.1%。2015年僅美國國土安全部的工業(yè)控制系統(tǒng)網絡應急響應小組（ICS-CERT）就收到了295起針對關鍵基礎設施的攻擊事件。

美國從2008年就建立了國家級的工業(yè)控制系統(tǒng)攻防靶場——“曼哈頓計劃”，與其核武器計劃同名可見重視程度。工控網絡安全不僅是國家間對抗的前沿和焦點，也正成為網絡空間對抗的重要場和反恐新戰(zhàn)場。

中國工控網絡安全如何彎道超車？

2015年國家明確提出“互聯(lián)網+”、“中國制造2025”等重大戰(zhàn)略舉措，十八屆五中全會和“十三五”規(guī)劃明確指出，把拓展網絡發(fā)展空間作為一個重大戰(zhàn)略舉措，“互聯(lián)網+”在各個領域的深度滲透，大家一直在期待一個萬物互聯(lián)、互聯(lián)互通的社會，期待一個基于“互聯(lián)網+”的新的經濟形態(tài)出現(xiàn)。但當所有設備、所有系統(tǒng)互聯(lián)互通以后，安全問題就顯得至關重要。

·兩位研究人員制作了一個仿真電廠構造來演示蠕蟲的攻擊過程。隨著蠕蟲在PLC之間的跳躍，LED燈在150毫秒的最大時間周期內閃爍后熄滅。

·2010年的“震網”病毒，不僅把網震了，也震驚了全世界。

在今年全國兩會召開期間，多名政協(xié)委員就已聯(lián)名提交《關于加強我國工控網絡安全，應納入國家戰(zhàn)略的建議》的提案。提案建議是從國家戰(zhàn)略高度加強工業(yè)控制網絡安全頂層設計，明確責任部門；建立完備的工控網絡安全體系，掌握芯片級核心技術；大力扶持新興工控網絡安全企業(yè)，鼓勵技術創(chuàng)新和產業(yè)化；在各行業(yè)建設中同步進行工控網絡安全規(guī)劃和驗收等。

4月19日，習近平總書記在京主持召開的網信工作座談會并發(fā)表了重要講話，強調要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態(tài)勢，增強網絡安全防御能力和威懾能力。對于這次座談會及其所強調的網絡安全問題，我國信息行業(yè)高度關注，實業(yè)界也在特別關注。

日前，國內一研究院召開了以“工業(yè)控制網絡安全”為主題的新經濟圓桌會議，各界專家就目前國際安全新趨勢、我國工業(yè)控制網絡安全面臨的挑戰(zhàn)和機遇、以及如何促進工控網絡安全產業(yè)發(fā)展等，進行了交流與研討。與會專家一致認為，應對這樣一個復雜的局面，要有一些新的舉措，一是深化工控網絡安全的研究，加大宣傳力度，進一步增加社會共識；二是加快制定國家網絡經濟安全的標準；三是提高技術手段和防御能力，重點支持本土技術的創(chuàng)新和產業(yè)化；四是建立工控安全責任體系，從政府層面、企業(yè)層面如何來固化體系合理分工、合理推進；五是建立完備的工控網絡安全體系，要技術設備一體化，要解決工控設備結構安全、本體安全、行為安全，實現(xiàn)基因安全和運行維護的可持續(xù)性。