基于軌道交通控制系統(tǒng)網(wǎng)絡(luò)信息安全仿真分析*

徐 超，莫嘉永，林俊南

(廣州市信息安全測(cè)評(píng)中心，廣東 廣州 510635)

0 引言

目前，工業(yè)控制系統(tǒng)主要采用數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)和智能電子設(shè)備(IED)等控制設(shè)備，被廣泛應(yīng)用于水利、化工、石油、運(yùn)輸?shù)群诵墓I(yè)領(lǐng)域[1-2]。

隨著“震網(wǎng)”事件、烏克蘭電力系統(tǒng)攻擊事件、蜻蜓組織等黑客行為被披露，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的信息安全問題越來越受到人們關(guān)注，如何對(duì)工業(yè)控制系統(tǒng)進(jìn)行管理和防護(hù)，成為了相關(guān)管理層必須面對(duì)的重要問題。本文針對(duì)近期國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全事件進(jìn)行分析，并在已建成的模擬工業(yè)控制實(shí)驗(yàn)系統(tǒng)上進(jìn)行工業(yè)控制系統(tǒng)信息安全攻防實(shí)驗(yàn)，在此基礎(chǔ)上給出工業(yè)控制領(lǐng)域信息安全防護(hù)的建議。

1 工業(yè)控制系統(tǒng)信息安全趨勢(shì)

隨著“兩化融合”和工業(yè)4.0的逐步推進(jìn)，信息和網(wǎng)絡(luò)技術(shù)在運(yùn)輸和制造業(yè)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用，不僅極大地提高了生產(chǎn)效率，同時(shí)也節(jié)約了成產(chǎn)成本。為實(shí)現(xiàn)工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)之間的信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性，采用標(biāo)準(zhǔn)、通用的通信協(xié)議及軟硬件系統(tǒng)，甚至有些工業(yè)控制系統(tǒng)通過某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中[3]。這樣容易使得隱藏在工業(yè)控制系統(tǒng)中的漏洞被黑客利用而發(fā)起攻擊，導(dǎo)致企業(yè)設(shè)備乃至國(guó)家關(guān)鍵基礎(chǔ)設(shè)施都會(huì)遭到破壞。

通過中國(guó)國(guó)家信息安全漏洞共享平臺(tái)所發(fā)布的漏洞信息，統(tǒng)計(jì)2010年至2017年7月工業(yè)控制系統(tǒng)公開漏洞數(shù)量，如圖1所示，從2010年開始，每年發(fā)現(xiàn)的漏洞數(shù)量持續(xù)保持著高位，在最近3年又開始呈現(xiàn)出上升勢(shì)頭。

圖1 2010年～2017年7月公開工控漏洞數(shù)量

分析美國(guó)ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)最近幾年發(fā)布的ICS-CERT年度回顧報(bào)告[4-10]，統(tǒng)計(jì)2010年至2016年公開全球工控安全事件數(shù)量，如圖2所示。通過對(duì)圖1和圖2進(jìn)行分析，工控安全事件也隨著工控漏洞發(fā)現(xiàn)數(shù)量增加而持續(xù)上升，影響范圍也越來越廣，從而也說明工控漏洞的危險(xiǎn)和影響力越來越大。

圖2 2010年-2016全球工業(yè)控制系統(tǒng)安全事件數(shù)量

談及工業(yè)控制系統(tǒng)信息安全，必須提及到震網(wǎng)病毒(Stuxnet)，2010年6月震網(wǎng)病毒被首次發(fā)現(xiàn)，震網(wǎng)病毒是第一個(gè)專門被設(shè)計(jì)定向攻擊真實(shí)世界中關(guān)鍵基礎(chǔ)設(shè)施的“蠕蟲”病毒。震網(wǎng)病毒首先通過外部主機(jī)感染伊朗工程師的U盤，當(dāng)工程師將感染病毒的U盤插入到伊朗核工業(yè)內(nèi)部主機(jī)后，病毒利用Windows的快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞和打印機(jī)后臺(tái)程序服務(wù)漏洞，迅速地在互聯(lián)網(wǎng)主機(jī)之間傳播；最后抵達(dá)安裝了WinCC軟件的主機(jī)，攻擊伊朗鈾濃縮離心機(jī)，導(dǎo)致設(shè)備出現(xiàn)故障[11-12]。根據(jù)塞門特克公示統(tǒng)計(jì)，全球約45 000個(gè)網(wǎng)絡(luò)被震網(wǎng)病毒感染，其中60%的受害主機(jī)位于伊朗境內(nèi)[13]。目前該病毒已經(jīng)變異和發(fā)展，2011年主流安全廠商均宣稱發(fā)現(xiàn)了震網(wǎng)二代蠕蟲病毒，又名Duqu。2017最新發(fā)布CVE-2017-8464漏洞與震網(wǎng)病毒所使用漏洞極為相似，黑客可以通過U盤和網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)。

在2016年，全球各地發(fā)生了多起工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事故，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全影響愈演愈烈。如2016年1月，以色列能源與水力基礎(chǔ)設(shè)施部部長(zhǎng)Yuval Steinitz宣稱，該國(guó)電力供應(yīng)系統(tǒng)受到重大網(wǎng)絡(luò)攻擊侵襲；2016年3月，名為“洋蔥狗”的黑客組織被360團(tuán)隊(duì)披露，該組織長(zhǎng)期對(duì)亞洲國(guó)家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行滲透和情報(bào)竊??；2016年4月，美國(guó)水處理和流控操作系統(tǒng)遭黑客入侵，經(jīng)事后分析該自來水控制系統(tǒng)的安全較為脆弱，許多關(guān)鍵漏洞都被公開暴露在互聯(lián)網(wǎng)上；2016年4月，德國(guó)核電站計(jì)算機(jī)系統(tǒng)被檢測(cè)出惡意程序，該惡意程序是在核電站負(fù)責(zé)燃料裝卸系統(tǒng)的Block B網(wǎng)絡(luò)中發(fā)現(xiàn)的；2016年6月，針對(duì)全球超過30個(gè)國(guó)家逾130家工業(yè)領(lǐng)域的企業(yè)開展工業(yè)間諜活動(dòng)，這次行程被稱為“食尸鬼行動(dòng)”；2016年8月伊朗多個(gè)重要石化工廠被惡意軟件攻擊；2016年10月，北美地區(qū)Dyn公司遭遇最大DDos攻擊，由惡意軟件Mirai控制的僵尸網(wǎng)絡(luò)，針對(duì)網(wǎng)絡(luò)域名服務(wù)公司Dyn發(fā)起DDos攻擊，導(dǎo)致這些公司大面積網(wǎng)絡(luò)中斷[14]。

與傳統(tǒng)的IT信息系統(tǒng)不同，工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)注重實(shí)用性，往往會(huì)忽略安全性，導(dǎo)致工業(yè)控制系統(tǒng)中不可避免地存在安全漏洞。為了降低和避免漏洞對(duì)工業(yè)控制系統(tǒng)的影響，急需對(duì)已發(fā)現(xiàn)的中高危漏洞進(jìn)行修補(bǔ)和對(duì)系統(tǒng)源代碼進(jìn)行審計(jì)。為了保證工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，針對(duì)工業(yè)控制系統(tǒng)的信息安全問題研究和防護(hù)方案制定迫在眉睫。

2 基于軌道交通控制系統(tǒng)實(shí)驗(yàn)平臺(tái)搭建

為了能更好地了解和研究工業(yè)控制系統(tǒng)存在的信息安全問題及解決方案的驗(yàn)證，搭建基于西門子S7-300 PLC和WinCC的模擬工業(yè)控制實(shí)驗(yàn)系統(tǒng)，作為分析工業(yè)以太網(wǎng)通信協(xié)議和研究工業(yè)控制網(wǎng)絡(luò)信息安全攻防實(shí)驗(yàn)平臺(tái)。軌道交通控制系統(tǒng)是工業(yè)控制系統(tǒng)的典型行業(yè)應(yīng)用，具有廣泛的普遍性，完整的軌道交通控制系統(tǒng)主要包括管理層、控制層和現(xiàn)場(chǎng)層，控制網(wǎng)絡(luò)是以自動(dòng)運(yùn)行控制系統(tǒng)為核心，以工業(yè)以太網(wǎng)連接各大業(yè)務(wù)系統(tǒng)，最終和互聯(lián)網(wǎng)接通。

該模擬工業(yè)控制實(shí)驗(yàn)系統(tǒng)模擬了實(shí)際列車運(yùn)行系統(tǒng)的控制功能，S7-300是模塊化的中小型PLC，適合用于中等控制性能的控制要求，當(dāng)系統(tǒng)規(guī)模擴(kuò)大和更為復(fù)雜時(shí)，可以增加模塊，對(duì)PLC進(jìn)行擴(kuò)展，簡(jiǎn)單實(shí)用的分布式結(jié)構(gòu)和強(qiáng)大的通信聯(lián)網(wǎng)能力，使其應(yīng)用十分靈活；WinCC被用于實(shí)現(xiàn)過程的可視化、信息化、智能化，為操作人員提供友好的人機(jī)界[15-16]。通過組建通信環(huán)網(wǎng)，上位機(jī)與下位機(jī)S7-300 PLC實(shí)現(xiàn)數(shù)據(jù)通信，對(duì)列車和控制點(diǎn)進(jìn)行調(diào)節(jié)和監(jiān)控，為工業(yè)控制系統(tǒng)信息安全技術(shù)研究提供模擬實(shí)驗(yàn)環(huán)境。整個(gè)模擬實(shí)驗(yàn)系統(tǒng)分為管理層、控制層和現(xiàn)場(chǎng)層三個(gè)層次，如圖3所示。其中，管理層包括工程師站和操作員站，作為上位機(jī)，以實(shí)現(xiàn)整個(gè)系統(tǒng)管理、數(shù)據(jù)處理和存儲(chǔ)、人機(jī)交互等功能；控制層包括S7-300 PLC，作為下位機(jī)執(zhí)行對(duì)模擬軌道交通沙盤的控制和監(jiān)視任務(wù)；現(xiàn)場(chǎng)層包括沙盤傳感器，通過接收控制層的控制信號(hào)和沙盤傳感器反饋的信號(hào)，完成對(duì)列車和控制點(diǎn)的控制功能。

圖3 模擬軌道交通控制實(shí)驗(yàn)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

模擬實(shí)驗(yàn)系統(tǒng)使用到了兩種通信網(wǎng)絡(luò)：以太網(wǎng)和Profibus DP現(xiàn)場(chǎng)總線網(wǎng)絡(luò)。以太網(wǎng)是實(shí)現(xiàn)工程師站和操作員站對(duì)S7-300 PLC之間通信，選擇普通網(wǎng)卡通過TCP/IP連接S7-300 PLC的方式。Profibus DP現(xiàn)場(chǎng)總線實(shí)現(xiàn)S7-300 PLC和模擬軌道交通沙盤之間的通信，使用ET200遠(yuǎn)程I/O子站，IM151-1接口模塊通過Profibus DP現(xiàn)場(chǎng)總線與S7-300 PLC進(jìn)行數(shù)據(jù)通信和交換。

3 模擬攻擊實(shí)驗(yàn)

本節(jié)主要介紹模擬黑客在已建成的模擬工業(yè)控制實(shí)驗(yàn)系統(tǒng)上對(duì)工業(yè)控制實(shí)驗(yàn)系統(tǒng)發(fā)起的攻擊行為，并驗(yàn)證對(duì)工業(yè)控制系統(tǒng)攻擊的有效性和真實(shí)性，從而更好地研究工控系統(tǒng)防護(hù)方案部署的有效性和可用性。

模擬軌道交通控制實(shí)驗(yàn)系統(tǒng)使用到了兩種通信網(wǎng)絡(luò)：以太網(wǎng)和Profibus DP現(xiàn)場(chǎng)總線網(wǎng)絡(luò)。以太網(wǎng)是實(shí)現(xiàn)工程師站和操作員站對(duì)S7-300 PLC之間的通信，選擇普通網(wǎng)卡通過TCP/IP連接S7-300 PLC的方式。Profibus DP現(xiàn)場(chǎng)總線提供S7-300 PLC和模擬軌道交通沙盤之間的通信，使用ET200 遠(yuǎn)程I/O子站，IM151-1接口模塊通過Profibus DP現(xiàn)場(chǎng)總線與S7-300 PLC進(jìn)行數(shù)據(jù)通信和交換。目前，工業(yè)控制系統(tǒng)越來越多地與IT系統(tǒng)及互聯(lián)網(wǎng)相連通，同時(shí)由于工業(yè)控制系統(tǒng)安全機(jī)制的缺失，黑客很容易針對(duì)這些系統(tǒng)和設(shè)備發(fā)起攻擊。黑客利用工具攻擊工業(yè)控制系統(tǒng)管理層和控制層，如密碼猜測(cè)攻擊、后門設(shè)置、嗅探、地址欺騙和病毒U盤等，導(dǎo)致整個(gè)控制系統(tǒng)混亂甚至停機(jī)的情況。

模擬攻擊方式是攻擊者利用Windows的MS17-010漏洞上傳遠(yuǎn)程控制木馬，MS17-010漏洞即“永恒之藍(lán)”勒索蠕蟲病毒所使用的漏洞，對(duì)操作員的操作進(jìn)行桌面遠(yuǎn)程監(jiān)控，再通過ARP欺騙，實(shí)現(xiàn)對(duì)上位機(jī)經(jīng)過以太網(wǎng)向下位機(jī)S7-300 PLC發(fā)送數(shù)據(jù)的流量進(jìn)行抓包，記錄操作員每次操作時(shí)抓包軟件抓取到的指令數(shù)據(jù)包，然后根據(jù)記錄到的指令，開發(fā)一個(gè)惡意攻擊程序，實(shí)現(xiàn)對(duì)該模擬控制系統(tǒng)實(shí)施攻擊的行為。

首先，利用MS17-010漏洞，上傳遠(yuǎn)程控制木馬，通過大灰狼遠(yuǎn)程控制軟件V8.89，對(duì)上位機(jī)的操作進(jìn)行桌面遠(yuǎn)程監(jiān)控。然后再將攻擊筆記本接入模擬實(shí)驗(yàn)系統(tǒng)內(nèi)網(wǎng)，利用EvilFoca工具，掃描出局域網(wǎng)內(nèi)所有的設(shè)備IP地址，同時(shí)可以監(jiān)控到發(fā)送控制指令的上位機(jī)的IP地址和接受控制指令的下位機(jī)S7-300 PLC 的IP地址，利用Evil FOCA軟件對(duì)操作員站的MAC地址表進(jìn)行更改，并實(shí)施ARP欺騙，如圖4所示。

圖4 掃描出模擬系統(tǒng)中聯(lián)網(wǎng)設(shè)備

成功實(shí)施遠(yuǎn)程監(jiān)控和ARP欺騙后，在攻擊筆記本上運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具SmartSniff V2.1.1，使操作員站發(fā)送給下位機(jī)的指令數(shù)據(jù)包先被轉(zhuǎn)送到攻擊筆記本，然后再由攻擊筆記本將數(shù)據(jù)包發(fā)送給下位機(jī)S7-300 PLC。同理，下位機(jī)S7-300 PLC到操作員站的應(yīng)答數(shù)據(jù)包也會(huì)先經(jīng)過攻擊筆記本，再由攻擊筆記本發(fā)給操作員站。如圖5所示，第①部分?jǐn)?shù)據(jù)是操作員站向S7-300 PLC發(fā)送指令數(shù)據(jù)包，第②數(shù)據(jù)是S7-300 PLC收到指令數(shù)據(jù)后的應(yīng)答。

圖5 捕獲工程師站發(fā)送的指令數(shù)據(jù)

利用捕獲的指令數(shù)據(jù)包，可針對(duì)該模擬實(shí)驗(yàn)系統(tǒng)開發(fā)惡意攻擊程序。惡意攻擊程序采用Python 2.7版本進(jìn)行開發(fā)，攻擊筆記本需要與S7-300 PLC建立連接，并向S7-300 PLC發(fā)送攻擊指令，連接通信代碼如下所示：

s=socket.socket()

s.connect((ip, port))

s.send(create_connect_payload)

time.sleep(0.2)

s.send(setup_communication_payload)

time.sleep(0.2)

s.send(payload)

time.sleep(0.2)

其中，IP為S7-300 PLC的IP地址，port為端口號(hào)，S7-300 PLC本地端口為102，create_connect_payload為連接S7-300 PLC指令，setup_communication_payload為S7-300 PLC通信指令，payload為網(wǎng)絡(luò)數(shù)據(jù)包，捕獲到操作員站向S7-300 PLC發(fā)送的指令數(shù)據(jù)包，如下所示為打開岔道的指令：

paload=0300000702f0000300002402f080320100003500000e00050501120a100100010000830000170003000101′.decode(′hex′)

在攻擊筆記本上，運(yùn)行惡意攻擊程序，輸入需要攻擊目標(biāo)IP和端口，根據(jù)提示選擇攻擊控制點(diǎn)，對(duì)S7-300 PLC實(shí)施攻擊測(cè)試，S7-300 PLC的 CUP槽號(hào)為02，如發(fā)送打開岔道的指令，模擬軌道交通控制實(shí)驗(yàn)系統(tǒng)上岔道的相應(yīng)繼電器會(huì)被打開，外軌列車通過岔道進(jìn)入內(nèi)軌軌道上運(yùn)行，最后兩列列車發(fā)生追尾事故，攻擊輸入如圖6所示。

圖6 惡意攻擊程序輸入

此外，利用漏洞和捕獲的數(shù)據(jù)制作病毒U盤，還可實(shí)現(xiàn)對(duì)該模擬控制系統(tǒng)的兩種不同的攻擊實(shí)驗(yàn)：

(1)利用CVE-2017-8464漏洞，制作病毒U盤，只要運(yùn)行感染病毒的U盤，即可成功利用該漏洞獲取到與本地用戶相同的用戶權(quán)限，導(dǎo)致該模擬系統(tǒng)可被遠(yuǎn)程操作進(jìn)行控制。

(2)根據(jù)捕獲到的數(shù)據(jù)，針對(duì)該模擬控制實(shí)驗(yàn)系統(tǒng)定制病毒U盤，操作員站或工程師站被插入病毒U盤，病毒程序自動(dòng)運(yùn)行，通過與S7-300 PLC 建立通信連接后，發(fā)生攻擊指令，實(shí)現(xiàn)了對(duì)該模擬系統(tǒng)的攻擊，導(dǎo)致該模擬系統(tǒng)數(shù)據(jù)異常；還可利用U盤自啟動(dòng)攻擊腳本，導(dǎo)致S7-300 PLC的CPU被關(guān)閉，使模擬系統(tǒng)停止運(yùn)行，同樣可以實(shí)現(xiàn)對(duì)該模擬系統(tǒng)的攻擊。

從以上模擬攻擊驗(yàn)證可知，工業(yè)控制系統(tǒng)的安全問題主要具有以下幾點(diǎn)：工業(yè)控制系統(tǒng)通信協(xié)議Modbus TCP/IP 被廣泛應(yīng)用到工業(yè)控制通信中，但該層缺乏保護(hù)機(jī)制，通信協(xié)議的安全性相對(duì)脆弱；工業(yè)控制系統(tǒng)管理層和控制層大量使用了PC服務(wù)器和終端產(chǎn)品，操作系統(tǒng)使用大量的通用系統(tǒng)，將操作系統(tǒng)上的漏洞引入到工業(yè)控制系統(tǒng)；使用U盤和電子郵件不當(dāng)，導(dǎo)致病毒在局域網(wǎng)中傳播，如震網(wǎng)病毒就是充分利用了Windows操作系統(tǒng)和西門子Step7的漏洞。

4 防護(hù)安全建議

傳統(tǒng)IT系統(tǒng)信息安全將保密性放在首位，并配以必要的訪問控制，防止用戶信息被盜取，完整性和可用性緊跟其后。對(duì)于工業(yè)自動(dòng)化控制系統(tǒng)而言，目標(biāo)優(yōu)先級(jí)的順序則正好相反。工業(yè)控制系統(tǒng)信息安全首要考慮的是所有系統(tǒng)部件的可用性，完整性則在第二位，保密性通常都在最后考慮。同時(shí)，工業(yè)控制系統(tǒng)具有通信實(shí)時(shí)性強(qiáng)、系統(tǒng)不輕易重啟、系統(tǒng)不隨意更新和打補(bǔ)丁等特點(diǎn)[17-19]。所以在考慮工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)時(shí)，需要綜合考慮傳統(tǒng)IT系統(tǒng)和工業(yè)控制系統(tǒng)特點(diǎn)，加以防護(hù)。

通過結(jié)合傳統(tǒng)IT系統(tǒng)和工業(yè)控制系統(tǒng)特點(diǎn)與本文實(shí)現(xiàn)的模擬攻擊實(shí)驗(yàn)和工業(yè)控制系統(tǒng)安全指南[20]，對(duì)工業(yè)控制系統(tǒng)領(lǐng)域進(jìn)行安全防護(hù)及信息安全測(cè)評(píng)的建議主要有以下幾點(diǎn)：

(1)對(duì)整體網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，分析可能通過傳統(tǒng)IT系統(tǒng)網(wǎng)絡(luò)向工業(yè)控制系統(tǒng)網(wǎng)絡(luò)發(fā)起攻擊的途徑，在這些攻擊路徑上設(shè)置安全防護(hù)，建議在傳統(tǒng)IT系統(tǒng)網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)連接之間使用路由器和高性能防火墻結(jié)合方式。路由器配置在防火墻之前，路由器提供數(shù)據(jù)包過濾的服務(wù)，這樣可以利用處理數(shù)據(jù)包性能快速的路由器來處理傳統(tǒng)IT系統(tǒng)網(wǎng)絡(luò)傳入的大量數(shù)據(jù)包，降低防火墻的負(fù)荷，讓防火墻提供更深度檢測(cè)，嚴(yán)格訪問控制，將訪問控制細(xì)化到端口級(jí)；還可以通過劃分網(wǎng)絡(luò)區(qū)域，加強(qiáng)對(duì)每個(gè)區(qū)域主機(jī)的安全加固。

(2)增強(qiáng)主機(jī)的安全性，建議使用高安全性的主機(jī)殺毒軟件和定期更新操作系統(tǒng)補(bǔ)丁，并且定期進(jìn)行系統(tǒng)測(cè)試，本次使用的Windows的MS17-010漏洞上傳遠(yuǎn)程控制軟件，可以輕易繞過市面上主流的殺毒軟件；同時(shí)刪除或禁用不必要服務(wù)和程序，禁用遠(yuǎn)程維護(hù)功能；對(duì)內(nèi)網(wǎng)主機(jī)使用ARP MAC地址綁定，防止中間人攻擊；加強(qiáng)對(duì)工業(yè)控制系統(tǒng)中的工程師站、操作員站和服務(wù)器等主機(jī)的USB接口管理。使用USB安全管理設(shè)備，能有效地提高USB攻擊防護(hù)能力，也能為用戶提供U盤行為管理能力，未經(jīng)過認(rèn)證的U盤不具備任何權(quán)限，認(rèn)證通過的U盤還可以規(guī)定其使用范圍。同時(shí)，對(duì)不使用或未加安全防護(hù)的USB接口進(jìn)行及時(shí)封堵，這樣能有效防止已感染病毒U盤對(duì)工業(yè)控制系統(tǒng)的攻擊。

(3)增加防范惡意代碼和入侵措施，保證工業(yè)控制系統(tǒng)文件不受病毒的影響，及時(shí)發(fā)現(xiàn)惡意入侵的行為。建議在工作站和服務(wù)器等設(shè)備安裝工業(yè)控制系統(tǒng)防病毒軟件，并定期進(jìn)行升級(jí)更新和系統(tǒng)補(bǔ)丁升級(jí)等；增加入侵檢測(cè)系統(tǒng)IDS(“Intrusion Detection Systems”)，IDS是一個(gè)旁路監(jiān)聽設(shè)備，部署在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與防火墻之間的共有網(wǎng)絡(luò)中，通過IDS的監(jiān)控，能識(shí)別出惡意入侵，如新端口被打開、系統(tǒng)配置被改變等，同時(shí)也可以在工業(yè)核心控制單元前端部署可以對(duì)Modbus、S7、Ethernet/IP和OPC等主流工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度分析和過濾的防護(hù)設(shè)備。

(4)制定工業(yè)控制網(wǎng)絡(luò)信息安全管理制度，明確工控系統(tǒng)信息安全管理目標(biāo)，強(qiáng)化信息安全意識(shí)，落實(shí)信息安全責(zé)任制。建議建立完整的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全管理方案、策略和計(jì)劃等，實(shí)施網(wǎng)絡(luò)分級(jí)分域管理，嚴(yán)格控制域間隔離和訪問控制策略；合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限，確?？赡艿氖鹿试斐傻膿p失最小化；成立責(zé)任部門，明確資產(chǎn)責(zé)任人，建立資產(chǎn)使用權(quán)，制定資產(chǎn)在生產(chǎn)、調(diào)試、運(yùn)行、維護(hù)和報(bào)廢等過程中的處置方法；完善工控系統(tǒng)信息安全監(jiān)控和預(yù)警機(jī)制，制定應(yīng)急預(yù)案，提高對(duì)工業(yè)控制系統(tǒng)突發(fā)信息安全事件的應(yīng)急響應(yīng)能力，做到“及時(shí)發(fā)現(xiàn)問題，及時(shí)解決問題”。

5 結(jié)論

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全形勢(shì)愈發(fā)嚴(yán)峻。本文分析近期發(fā)生的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全事件，同時(shí)在實(shí)驗(yàn)?zāi)M軌道交通控制實(shí)驗(yàn)系統(tǒng)上進(jìn)行模擬攻擊實(shí)驗(yàn)，并給出針對(duì)工業(yè)控制領(lǐng)域信息安全防護(hù)的建議。下一步，將深入研究分析國(guó)內(nèi)外工業(yè)控制系統(tǒng)安全防護(hù)相關(guān)政策標(biāo)準(zhǔn)，繼續(xù)進(jìn)行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全模擬攻防實(shí)驗(yàn)，力求將工業(yè)控制系統(tǒng)安全防護(hù)理論和攻防實(shí)踐相結(jié)合，探索對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全行之有效的防護(hù)方案。

[1] GB/T30976.1～.2-2014工業(yè)控制系統(tǒng)信息安全[S].北京：標(biāo)準(zhǔn)出版社，2014.

[2] 彭勇,江常青,謝豐,等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,52(10):1396-1408.

[3] 李鴻培，于旸，忽朝儉，等.工業(yè)控制系統(tǒng)及其安全性研究報(bào)告[R].北京：北京神州綠盟信息安全科技有限公司，2013.

[4] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2010.

[5] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2011.

[6] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2012.

[7] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2013.

[8] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2014.

[9] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2015.

[10] NCCIC/ICS-CERT. Year in Review FY 2010[EB/OL].(2017-08-31)[2017-11-20]https://icscert.us-cert.gov/Year-Review-2016.

[11] 張敏,張五一,韓桂芬. 工業(yè)控制系統(tǒng)信息安全防護(hù)體系研究[J]. 工業(yè)控制計(jì)算機(jī),2013,26(10):25-27.

[12] 王偉. 加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的認(rèn)識(shí)與思考[J]. 中國(guó)信息化,2014(9):71-74.

[13] 許子先,羅建,孟楠,等. 工業(yè)控制系統(tǒng)組態(tài)軟件安全研究[J]. 信息網(wǎng)絡(luò)安全,2017(7):73-79.

[14] 俠名.工業(yè)控制系統(tǒng)及其安全性研究報(bào)告[R].北京：北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司，2016.

[15] 廖常初.S7-300/400應(yīng)用技術(shù)[M].北京:機(jī)械工業(yè)出版社,2005:12-14；

[16] 李軍. WinCC組態(tài)技巧與技術(shù)問答[M].北京: 機(jī)械工業(yè)出版社,2013．

[17] 褚健. 重中之重:工業(yè)控制系統(tǒng)安全的盛世危言[J]. 科技導(dǎo)報(bào),2012,30(25):15-17.

[18] 王小山,楊安,石志強(qiáng),等. 工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J]. 信息網(wǎng)絡(luò)安全,2015(1):6-11.

[19] 王昱鑌,陳思,程楠. 工業(yè)控制系統(tǒng)信息安全防護(hù)研究[J].信息網(wǎng)絡(luò)安全,2016(9):35-39.

[20] STOUFFER K,FALCE J,SCARFONE K. Guide to Industrial Control Systems (ICS) Security [M].National Institute of Standards & Technology, 2011.