（一）工業網絡安全威脅

1．工業網絡安全威脅的來源

工業控制網絡和IT網絡在設備類型、通信協議、性能要求、可用性要求等方面的區別，使得當前已經很成熟的IT網絡安全防護手段無法完全適配于工業控制網絡。同時，由于工業網絡的信息化程度加深，一些原本僅存在于IT網絡中的風險被引入了工業控制網絡，導致工業控制網絡面臨更加嚴峻、復雜的威脅。

下面依據工業網絡的體系架構，由低到高逐層分析工業控制網絡正在面臨的安全威脅的來源。

（1）現場總線控制網絡的脆弱性

首先是工業控制網絡的現場控制層，對應的是現場總線控制網絡。該層網絡通常處于作業現場，包含了大量的工業控制設備，采用多種通信接入方式，環境比較復雜，其安全威脅來源如下。

① 工業控制設備存在大量安全漏洞，包括PLC漏洞、RTU漏洞、串口服務器漏洞等，這些漏洞為進入現場控制層的攻擊者提供了大量的可攻擊點。

② PLC等現場設備在現場維護時，使用不安全的串口連接，如缺乏連接認證或有效的配置核查，這可能允許攻擊者直接通過硬件連接便取得設備的控制權。

③ 現場總線控制網絡內傳輸的工業控制系統數據沒有進行加密，因此面臨被攻擊者篡改和泄露的威脅。

④ 應用無線和微波等接入技術，入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。

⑤ 缺乏工控安全審計、檢測及入侵防御的措施，難以及時發現并攔截攻擊者的攻擊行為。

（2）過程控制與監控網絡的脆弱性

其次是工業控制網絡的過程監控層，對應過程控制與監控網絡。該層網絡負責工業控制系統的管控，是現場總線控制網絡和企業信息網絡之間數據交互與展示的橋梁。該網絡通常含有SCADA系統服務器、歷史數據庫、實時數據庫以及HMI等關鍵工業控制組件。該層的安全威脅來源如下。

① 該層網絡可能使用老舊的信息資產作為控制服務器，如Windows XP、Windows 7等，從而引入了安全風險。

② 運維人員使用不安全的移動維護設備，如包含惡意代碼的筆記本電腦、移動U盤等，從而造成木馬、病毒等惡意代碼在網絡中傳播。

③ 該層網絡與現場總線控制網絡的RTU/PLC等設備使用不安全的無線通信。

④ 使用不安全的通信協議。由于工業通信協議在設計時大多沒有考慮安全因素，因此存在缺乏認證、授權和加密機制，數據與控制系統以明文方式傳遞，在處理有效/無效的格式化消息等方面存在缺陷的問題，容易被攻擊者利用。

（3）企業信息網絡的脆弱性

最后是工業控制網絡的企業管理層，對應企業信息網絡。該層網絡主要負責企業日常的商業計劃、物流管理、工程系統，涉及企業的應用資源，包括MES、ERP和辦公自動化（Office Automation，OA）等與企業運營相關的系統，通常由各種功能的計算機構成。由于使用了傳統的IT資產，又與工業控制網絡連接，可以發現其面臨的安全威脅來源如下。

① 企業信息網絡與工業控制網絡連接，企業信息網絡中的病毒、木馬等惡意代碼可通過橫向傳播滲透進工業控制網絡破壞生產。

② 針對IT技術人員的安全教育多注重信息的保密性，缺乏工業控制網絡安全意識培訓，可能會使IT技術人員出現誤操作，甚至是人為惡意的破壞操作。

2．工業網絡安全威脅分析

網絡系統面臨的威脅主要分為來自外部的人為影響（尤其是人為攻擊）和自然環境的影響。人為攻擊的范圍包括隨意（非法）瀏覽信息，使用特殊技術對系統進行滲透以得到有針對性的信息等。工業網絡安全威脅的對象主要包括網絡協議、網絡拓撲、網絡設備和網絡軟件等，如網絡接口程序故障、連接錯誤、電磁輻射等都屬于典型的工業網絡安全威脅。這里主要針對工業網絡協議和網絡防護邊界可能面臨的威脅進行分析。

（1）工業網絡協議威脅

工業網絡協議根據其應用廠商的服務領域不同，具有明顯的行業特點，如Modbus、S7COMM、通用工業協議（Common Industrial Protocol，CIP）常用于過程自動化，使用領域較廣；樓宇自動化和控制網絡（Building Automation and Control network，BACnet）、OPC統一架構（OPC-Unified Architecture，OPC-UA）常用于智能樓宇；IEC 60870-5-104、IEC 60870-5-101、DNP3常用于電力行業。協議廠商涉及西門子、施耐德、羅克韋爾等，由于協議開發之初各個安全廠商默認工業控制網絡與互聯網隔離，或者說默認工業控制網絡是安全的，因此在設計協議時缺乏安全考量，導致協議在認證、授權、加密和完整性等方面存在不足。部分工業網絡協議常用端口及設計缺陷見表1-4。

表1-4　部分工業網絡協議常用端口及設計缺陷

絕大多數基于工業網絡協議漏洞的威脅，從技術原理來說，都是利用了網絡中所使用的協議棧的漏洞，以及各種傳輸協議之間的不一致性，從而影響信息的安全質量。針對協議棧的漏洞所衍生的威脅主要包括如下3個方面。

① 拒絕服務（Denial of Service，DoS）。這種攻擊方式由于技術門檻低，實現起來相對容易，因此是工業網絡中出現頻率較高的一類攻擊。攻擊者通過消耗系統性能或網絡帶寬兩種方式，使目標網絡系統無法提供正常服務。

② 重放。也叫回放攻擊，指攻擊者重新發送一個接收者已經接收過的數據包，一般用于進行認證欺騙或者破壞業務邏輯。

③ 欺騙。通常指地址欺騙，也包括業務層的認證欺騙等技術，在工業以太網環境中常見的協議欺騙威脅方式包括地址解析協議（Address Resolution Protocol，ARP）欺騙、IP欺騙、路由欺騙、OPC欺騙、SNMP欺騙、域名系統（Domain Name System，DNS）欺騙、Web欺騙等。

（2）網絡防護邊界威脅

在理想狀況下，工業網絡中的重要系統都應采取完善的邊界劃分和隔離措施，從而能夠具備強大的防御機制去抵御各類攻擊。但在現實情況下，攻擊者可以通過眾多接入方式滲透到工業控制系統中。比較常見的是通過業務網絡，利用多種接入方式，直接進入高安全級別工業控制系統的非軍事區（Demilitarized Zone，DMZ），甚至控制網絡中。造成這種情況的重要原因之一是網絡的防護邊界劃分不清，這種邊界模糊的情況可使攻擊者極易繞過邊界防御措施，而且不對網絡防護邊界進行正面破壞，就能使得所有隔離防御措施無法起到有效保護系統的作用。除了邊界劃分不清的原因之外，邊界防御機制不足也會導致類似情況出現。這種在工業網絡邊界區域之間的威脅基本上涵蓋了所有常見的技術攻擊手段，按照威脅類別來看，包括非法信息泄露、非法分析、非法修改、非法破壞、篡改控制組件、冒充合法用戶、抵賴、DoS、提升權限、病毒感染、非法物理存取等。