（一）工業(yè)網(wǎng)絡(luò)安全威脅

1．工業(yè)網(wǎng)絡(luò)安全威脅的來源

工業(yè)控制網(wǎng)絡(luò)和IT網(wǎng)絡(luò)在設(shè)備類型、通信協(xié)議、性能要求、可用性要求等方面的區(qū)別，使得當(dāng)前已經(jīng)很成熟的IT網(wǎng)絡(luò)安全防護手段無法完全適配于工業(yè)控制網(wǎng)絡(luò)。同時，由于工業(yè)網(wǎng)絡(luò)的信息化程度加深，一些原本僅存在于IT網(wǎng)絡(luò)中的風(fēng)險被引入了工業(yè)控制網(wǎng)絡(luò)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)面臨更加嚴(yán)峻、復(fù)雜的威脅。

下面依據(jù)工業(yè)網(wǎng)絡(luò)的體系架構(gòu)，由低到高逐層分析工業(yè)控制網(wǎng)絡(luò)正在面臨的安全威脅的來源。

（1）現(xiàn)場總線控制網(wǎng)絡(luò)的脆弱性

首先是工業(yè)控制網(wǎng)絡(luò)的現(xiàn)場控制層，對應(yīng)的是現(xiàn)場總線控制網(wǎng)絡(luò)。該層網(wǎng)絡(luò)通常處于作業(yè)現(xiàn)場，包含了大量的工業(yè)控制設(shè)備，采用多種通信接入方式，環(huán)境比較復(fù)雜，其安全威脅來源如下。

① 工業(yè)控制設(shè)備存在大量安全漏洞，包括PLC漏洞、RTU漏洞、串口服務(wù)器漏洞等，這些漏洞為進入現(xiàn)場控制層的攻擊者提供了大量的可攻擊點。

② PLC等現(xiàn)場設(shè)備在現(xiàn)場維護時，使用不安全的串口連接，如缺乏連接認(rèn)證或有效的配置核查，這可能允許攻擊者直接通過硬件連接便取得設(shè)備的控制權(quán)。

③ 現(xiàn)場總線控制網(wǎng)絡(luò)內(nèi)傳輸?shù)墓I(yè)控制系統(tǒng)數(shù)據(jù)沒有進行加密，因此面臨被攻擊者篡改和泄露的威脅。

④ 應(yīng)用無線和微波等接入技術(shù)，入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

⑤ 缺乏工控安全審計、檢測及入侵防御的措施，難以及時發(fā)現(xiàn)并攔截攻擊者的攻擊行為。

（2）過程控制與監(jiān)控網(wǎng)絡(luò)的脆弱性

其次是工業(yè)控制網(wǎng)絡(luò)的過程監(jiān)控層，對應(yīng)過程控制與監(jiān)控網(wǎng)絡(luò)。該層網(wǎng)絡(luò)負(fù)責(zé)工業(yè)控制系統(tǒng)的管控，是現(xiàn)場總線控制網(wǎng)絡(luò)和企業(yè)信息網(wǎng)絡(luò)之間數(shù)據(jù)交互與展示的橋梁。該網(wǎng)絡(luò)通常含有SCADA系統(tǒng)服務(wù)器、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫以及HMI等關(guān)鍵工業(yè)控制組件。該層的安全威脅來源如下。

① 該層網(wǎng)絡(luò)可能使用老舊的信息資產(chǎn)作為控制服務(wù)器，如Windows XP、Windows 7等，從而引入了安全風(fēng)險。

② 運維人員使用不安全的移動維護設(shè)備，如包含惡意代碼的筆記本電腦、移動U盤等，從而造成木馬、病毒等惡意代碼在網(wǎng)絡(luò)中傳播。

③ 該層網(wǎng)絡(luò)與現(xiàn)場總線控制網(wǎng)絡(luò)的RTU/PLC等設(shè)備使用不安全的無線通信。

④ 使用不安全的通信協(xié)議。由于工業(yè)通信協(xié)議在設(shè)計時大多沒有考慮安全因素，因此存在缺乏認(rèn)證、授權(quán)和加密機制，數(shù)據(jù)與控制系統(tǒng)以明文方式傳遞，在處理有效/無效的格式化消息等方面存在缺陷的問題，容易被攻擊者利用。

（3）企業(yè)信息網(wǎng)絡(luò)的脆弱性

最后是工業(yè)控制網(wǎng)絡(luò)的企業(yè)管理層，對應(yīng)企業(yè)信息網(wǎng)絡(luò)。該層網(wǎng)絡(luò)主要負(fù)責(zé)企業(yè)日常的商業(yè)計劃、物流管理、工程系統(tǒng)，涉及企業(yè)的應(yīng)用資源，包括MES、ERP和辦公自動化（Office Automation，OA）等與企業(yè)運營相關(guān)的系統(tǒng)，通常由各種功能的計算機構(gòu)成。由于使用了傳統(tǒng)的IT資產(chǎn)，又與工業(yè)控制網(wǎng)絡(luò)連接，可以發(fā)現(xiàn)其面臨的安全威脅來源如下。

① 企業(yè)信息網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)連接，企業(yè)信息網(wǎng)絡(luò)中的病毒、木馬等惡意代碼可通過橫向傳播滲透進工業(yè)控制網(wǎng)絡(luò)破壞生產(chǎn)。

② 針對IT技術(shù)人員的安全教育多注重信息的保密性，缺乏工業(yè)控制網(wǎng)絡(luò)安全意識培訓(xùn)，可能會使IT技術(shù)人員出現(xiàn)誤操作，甚至是人為惡意的破壞操作。

2．工業(yè)網(wǎng)絡(luò)安全威脅分析

網(wǎng)絡(luò)系統(tǒng)面臨的威脅主要分為來自外部的人為影響（尤其是人為攻擊）和自然環(huán)境的影響。人為攻擊的范圍包括隨意（非法）瀏覽信息，使用特殊技術(shù)對系統(tǒng)進行滲透以得到有針對性的信息等。工業(yè)網(wǎng)絡(luò)安全威脅的對象主要包括網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件等，如網(wǎng)絡(luò)接口程序故障、連接錯誤、電磁輻射等都屬于典型的工業(yè)網(wǎng)絡(luò)安全威脅。這里主要針對工業(yè)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)防護邊界可能面臨的威脅進行分析。

（1）工業(yè)網(wǎng)絡(luò)協(xié)議威脅

工業(yè)網(wǎng)絡(luò)協(xié)議根據(jù)其應(yīng)用廠商的服務(wù)領(lǐng)域不同，具有明顯的行業(yè)特點，如Modbus、S7COMM、通用工業(yè)協(xié)議（Common Industrial Protocol，CIP）常用于過程自動化，使用領(lǐng)域較廣；樓宇自動化和控制網(wǎng)絡(luò)（Building Automation and Control network，BACnet）、OPC統(tǒng)一架構(gòu)（OPC-Unified Architecture，OPC-UA）常用于智能樓宇；IEC 60870-5-104、IEC 60870-5-101、DNP3常用于電力行業(yè)。協(xié)議廠商涉及西門子、施耐德、羅克韋爾等，由于協(xié)議開發(fā)之初各個安全廠商默認(rèn)工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離，或者說默認(rèn)工業(yè)控制網(wǎng)絡(luò)是安全的，因此在設(shè)計協(xié)議時缺乏安全考量，導(dǎo)致協(xié)議在認(rèn)證、授權(quán)、加密和完整性等方面存在不足。部分工業(yè)網(wǎng)絡(luò)協(xié)議常用端口及設(shè)計缺陷見表1-4。

表1-4　部分工業(yè)網(wǎng)絡(luò)協(xié)議常用端口及設(shè)計缺陷

絕大多數(shù)基于工業(yè)網(wǎng)絡(luò)協(xié)議漏洞的威脅，從技術(shù)原理來說，都是利用了網(wǎng)絡(luò)中所使用的協(xié)議棧的漏洞，以及各種傳輸協(xié)議之間的不一致性，從而影響信息的安全質(zhì)量。針對協(xié)議棧的漏洞所衍生的威脅主要包括如下3個方面。

① 拒絕服務(wù)（Denial of Service，DoS）。這種攻擊方式由于技術(shù)門檻低，實現(xiàn)起來相對容易，因此是工業(yè)網(wǎng)絡(luò)中出現(xiàn)頻率較高的一類攻擊。攻擊者通過消耗系統(tǒng)性能或網(wǎng)絡(luò)帶寬兩種方式，使目標(biāo)網(wǎng)絡(luò)系統(tǒng)無法提供正常服務(wù)。

② 重放。也叫回放攻擊，指攻擊者重新發(fā)送一個接收者已經(jīng)接收過的數(shù)據(jù)包，一般用于進行認(rèn)證欺騙或者破壞業(yè)務(wù)邏輯。

③ 欺騙。通常指地址欺騙，也包括業(yè)務(wù)層的認(rèn)證欺騙等技術(shù)，在工業(yè)以太網(wǎng)環(huán)境中常見的協(xié)議欺騙威脅方式包括地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙、IP欺騙、路由欺騙、OPC欺騙、SNMP欺騙、域名系統(tǒng)（Domain Name System，DNS）欺騙、Web欺騙等。

（2）網(wǎng)絡(luò)防護邊界威脅

在理想狀況下，工業(yè)網(wǎng)絡(luò)中的重要系統(tǒng)都應(yīng)采取完善的邊界劃分和隔離措施，從而能夠具備強大的防御機制去抵御各類攻擊。但在現(xiàn)實情況下，攻擊者可以通過眾多接入方式滲透到工業(yè)控制系統(tǒng)中。比較常見的是通過業(yè)務(wù)網(wǎng)絡(luò)，利用多種接入方式，直接進入高安全級別工業(yè)控制系統(tǒng)的非軍事區(qū)（Demilitarized Zone，DMZ），甚至控制網(wǎng)絡(luò)中。造成這種情況的重要原因之一是網(wǎng)絡(luò)的防護邊界劃分不清，這種邊界模糊的情況可使攻擊者極易繞過邊界防御措施，而且不對網(wǎng)絡(luò)防護邊界進行正面破壞，就能使得所有隔離防御措施無法起到有效保護系統(tǒng)的作用。除了邊界劃分不清的原因之外，邊界防御機制不足也會導(dǎo)致類似情況出現(xiàn)。這種在工業(yè)網(wǎng)絡(luò)邊界區(qū)域之間的威脅基本上涵蓋了所有常見的技術(shù)攻擊手段，按照威脅類別來看，包括非法信息泄露、非法分析、非法修改、非法破壞、篡改控制組件、冒充合法用戶、抵賴、DoS、提升權(quán)限、病毒感染、非法物理存取等。