工控网络与互联网、办公网是物理断开的,难道还会有网络安全问题吗?答案是否定的,物理断网并不能保证工控网络信息安全。
美国利用“震网(Stuxnet)”病毒攻击了伊朗的铀浓缩设备(以及其他重要工业设施,如核电站、国家电网)。在攻击过程中,此病毒表现出如下功能:一、使设备(浓缩铀离心机)失控;二、掩盖真实故障情况,以“运转正常”状态回传给管理部门,进而导致管理层作出错误决策。
被攻击的伊朗纳坦兹铀浓缩工厂,采用了西门子WinCC SCADA控制离心机的运转,制造浓缩铀,为伊朗的核电站提供“核燃料”。作为伊朗核计划的关键部分,纳坦兹铀浓缩工厂采取了最严格的措施保证工控网络的信息安全,即物理断网。但是,Stuxnet病毒仍然成功突破物理断网,攻击了WinCC SCADA,最后损坏了1000多台离心机,导致伊朗的核工业发展被延迟了2年。
以“震网(Stuxnet)”病毒为例,这种(类)病毒专门用于攻击重要工业设施,在成功入侵一台电脑后,它会自动寻找用于控制工业系统(如工厂、发电站)的一种软件(如西门子公司的SIMATICWinCC监控与数据采集系统),通过对软件重新编程实施攻击,这类病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。
值得关注的是病毒的隐身传播形式和躲避查杀能力,目标软件即使在局域网内也可被感染。其传播过程为:首先感染外部主机,然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络,在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播,最后抵达安装了目标软件的主机,展开攻击。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会自动运行,不会有任何其他操作要求或者提示出现。
由此可知,物理断网并不能保证工控网络信息安全。工控系统网络信息安全,并非仅限于防范“震网(Stuxnet)”病毒或黑客组织(如俄罗斯黑客组织“蜻蜓”曾攻击了欧洲、北美1000多家能源公司,通过使用一个按键就能够使水电大坝停运、核电站过载,甚至关闭一个国家的电网),它有着更广泛的内涵,我们需要不断的研究该领域内共性风险点及其安全防护技术,来提升工控系统的漏洞发现和风险防范能力,提高安全保障水平。
