2015年12月27日，烏克蘭電力公司網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊，導(dǎo)致烏克蘭西部地區(qū)大規(guī)模停電。據(jù)路透社報(bào)道，烏克蘭西部電力公司表示，他們服務(wù)區(qū)域的一部分，包括Ivano-Frankivsk的總部，因?yàn)楣た叵到y(tǒng)受到干擾而停電。烏克蘭國(guó)家安全局譴責(zé)俄羅斯黑客應(yīng)對(duì)此次事件負(fù)責(zé)，俄羅斯方面 則未對(duì)此置評(píng)。

    克里米亞和烏克蘭的這兩次停電事故是否有聯(lián)系，折射出目前錯(cuò)綜復(fù)雜的國(guó)際形勢(shì)，在此我們不做分析，但停電事故中所暴露出的工業(yè)控制系統(tǒng)的安全問題，則足以給予我們警示。工業(yè)控制系統(tǒng)（Industrial Control Systems,ICS）是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)如可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED）等，以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)普遍應(yīng)用在電力、石油天然氣、自來水和污水處理、化工、交通運(yùn)輸、造紙等行業(yè)，是工業(yè)基礎(chǔ)設(shè)施能夠正常運(yùn)作的關(guān)鍵。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運(yùn)行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。隨著信息技術(shù)的發(fā)展，通用的計(jì)算機(jī)、操作系統(tǒng)（如Windows）和網(wǎng)絡(luò)協(xié)議（TCP/IP）在工業(yè)控制系統(tǒng)中得到了廣泛應(yīng)用，大大增加了網(wǎng)絡(luò)安全漏洞和事故出現(xiàn)的可能。另外，工業(yè)控制系統(tǒng)也開始與企業(yè)管理網(wǎng)絡(luò)、生產(chǎn)監(jiān)控網(wǎng)絡(luò)互聯(lián)互通，而這些網(wǎng)絡(luò)本身又具備相當(dāng)?shù)拈_放性，甚至存在同互聯(lián)網(wǎng)的接口，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴(kuò)散提供了便利條件?？梢哉f，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)，在工業(yè)控制系統(tǒng)中都是存在的，而且工業(yè)控制系統(tǒng)直接同生產(chǎn)設(shè)備交互，決定了其安全性還存在自己的特點(diǎn)。

工業(yè)控制系統(tǒng)中存在比較多的工業(yè)控制協(xié)議如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。絕大多數(shù)工控協(xié)議在設(shè)計(jì)之初，僅關(guān)注效率、實(shí)時(shí)性和可靠性以滿足工業(yè)生產(chǎn)的需求，而忽視了安全性的需求，缺少諸如認(rèn)證、授權(quán)和加密等安全機(jī)制，這使得工業(yè)控制協(xié)議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產(chǎn)品，比如防火墻、IDS等，對(duì)于工業(yè)控制協(xié)議的識(shí)別和檢測(cè)時(shí)不夠的，比如對(duì)Modbus、OPC、DNP3等協(xié)議字段級(jí)別的識(shí)別和防護(hù)。在工業(yè)控制系統(tǒng)中，還需采用支持工業(yè)控制協(xié)議的專用安全產(chǎn)品來彌補(bǔ)通用安全技術(shù)的不足，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的完全保護(hù)。

根據(jù)網(wǎng)絡(luò)上已有的分析，黑客組織很有可能利用了臭名昭著的BlackEnergy的惡意軟件來發(fā)動(dòng)攻擊。早在2007年BlackEnergy就開始在俄羅斯的地下網(wǎng)絡(luò)中流通，最初它被設(shè)計(jì)為一個(gè)能夠進(jìn)行DDoS攻擊的僵尸網(wǎng)絡(luò)工具，隨著時(shí)間的推移，該惡意軟件已經(jīng)演變?yōu)榭梢灾С指鞣N插件，并且基于攻擊的意圖進(jìn)行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對(duì)格魯吉亞實(shí)施網(wǎng)絡(luò)攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個(gè)xls文檔，通過與控制端的交互產(chǎn)生了后續(xù)的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統(tǒng)，致使其無法恢復(fù)。烏克蘭電力系統(tǒng)不得不使用備份系統(tǒng)，大大延長(zhǎng)了電力系統(tǒng)恢復(fù)運(yùn)行的時(shí)間。

針對(duì)此類攻擊，一方面需要強(qiáng)化對(duì)電力專用網(wǎng)絡(luò)的隔離和監(jiān)控，BlackEnergy運(yùn)轉(zhuǎn)的前提是內(nèi)網(wǎng)同CC服務(wù)器的交互，根據(jù)我國(guó)的電力系統(tǒng)二次防護(hù)規(guī)定，電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。如果真正實(shí)現(xiàn)了物理隔離，那么通過網(wǎng)絡(luò)途徑是無法侵入調(diào)度系統(tǒng)的。另一方面需要對(duì)調(diào)度網(wǎng)內(nèi)部的網(wǎng)絡(luò)訪問加強(qiáng)防護(hù)，比如對(duì)SCADA系統(tǒng)、EMS系統(tǒng)的準(zhǔn)入控制，除了傳統(tǒng)的IT防護(hù)手段，必然還需要通過部署專業(yè)的工業(yè)控制防護(hù)產(chǎn)品來加強(qiáng)。

作為國(guó)內(nèi)最早推出專業(yè)工控安全產(chǎn)品和安全服務(wù)的廠商，力控華康的工業(yè)防火墻和工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是目前比較成熟的工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)產(chǎn)品，在鋼鐵冶金、石油化工、電力、市政等領(lǐng)域有著廣泛的應(yīng)用。

力控華康HC-ISG工業(yè)防火墻是國(guó)內(nèi)首款專門應(yīng)用于工業(yè)控制安全領(lǐng)域的自主知識(shí)產(chǎn)權(quán)的防火墻產(chǎn)品，能有效針對(duì)SCADA、DCS、PLC、RTU提供安全保護(hù)。HC-ISG支持對(duì)常見工業(yè)控制協(xié)議的識(shí)別、過濾和深度防御，可以對(duì)工業(yè)協(xié)議內(nèi)部的指令、寄存器等信息進(jìn)行檢查，防止應(yīng)用層協(xié)議被篡改或破壞，保證工業(yè)協(xié)議通訊的可控性和準(zhǔn)確性。

力控華康PSL工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是一款安全隔離產(chǎn)品，用于解決工業(yè)控制系統(tǒng)接入信息網(wǎng)絡(luò)時(shí)的安全問題。PSL安全防護(hù)網(wǎng)關(guān)采用“2+1”的安全隔離技術(shù)架構(gòu)，阻斷網(wǎng)絡(luò)間直接的TCP/IP連接，通過專有協(xié)議實(shí)現(xiàn)對(duì)OPC、Modbus等工業(yè)控制協(xié)議的封裝和安全的數(shù)據(jù)傳輸。

關(guān)注更多工控安全資訊，請(qǐng)關(guān)注力控華康官方微信公眾號(hào)！