探秘震网病毒背后 工控安全危险重重

攻击伊朗的核设施只是一次实验

震网病毒的背后显然是一个可以调用巨大资源的组织，使用了智能的先进的攻击方法，来攻击工控系统。这种攻击的先进性是现有的信息物理系统可能并不具备的。而这个“可以调用巨大资源的组织”实际上是“美国和以色列政府的一个联合项目”。

业内的安全研究人员及工控系统专家基于对攻击代码的逆向工程分析，并结合受攻击目标的核设施数据及铀浓缩处理过程的背景信息得出以下结论：

震网病毒包括两种极具破坏性的独特的攻击手段，或说两个版本。第一个版本的震网病毒早在2007年就使用过，是一种非常复杂的破坏手段，能够通过增加铀浓缩离心机内的压力引发灾难性的破坏。 第二种破坏手段在几年后发生，它更加简单化，通过控制转子的转速，造成离心机的损坏，以迫使伊朗工程师替换离心机，从而持续地延误铀浓缩的生产。

攻击者明明可以使用第一种手段造成直接破坏，但他们却选择了持续性的周期性的扼制手段，这表明了攻击者在网络战略上的重大改变。第二个版本的震网蠕虫病毒是一种缓慢释放的武器，其全部意图就是要是减少伊朗离心机的使用寿命，使昂贵的控制系统出现意外，让伊朗方面难以有效地把控。据估计，震网延缓了伊朗核生产项目约两年左右的时间，所造成的损失大致相当于攻击者一次性的破坏掉伊朗所有运行中的离心机而造成的损失。

震网病毒在“软目标”(指对军事、恐怖袭击抵抗能力弱的人或系统)中的传播，最终导致了它的暴露。但此时，攻击者已经通过病毒长期的运行测出了网络武器的攻击效果。安全专业人员表示，以震网为蓝本攻击者只需要更少的资源，就可以针对工业关键基础设施中普遍应用的信息系统发动攻击，如电厂、水厂、石油化工或其他工业生产基础设施。

我国的工控系统现状

我国正处于工业转型升级的关键历史时期，2013年工信部在国务院指示下发布的《信息化和工业化深度融合专项行动计划(2013-2018)》提出，到2018年，实现信息化条件下的企业竞争能力普遍增强，信息技术向工业领域全面渗透，传统行业两化融合水平整体提升，全国两化融合发展水平指数达到82。

但在此关键转型时期，我们准备好了吗？

据9月2日的《中国电子报》报道，我国的工控系统国产化程度不高，尤其是高端市场基本被国外垄断，核心技术和元件均掌握在国外厂商手中，并且现有工业控制系统的软硬件、通信协议，以及管理环节安全隐患普遍存在。

例如，企业远端用户通过互联网连接数据采集与监视控制系统(SCADA)，因此该系统面临着远程控制和网络入侵等多种安全威胁。通用通信协议、软硬件及大量的TCP/IP技术在工业控制系统中的应用，使得工业控制系统在与传统企业网络高度一体化的同时，也引入了传统IT领域的信息安全问题。另外，能够提供工业安全技术或服务能力的企业少之又少。大多数工控系统供应商专注于工控系统本身的发展，专注于工控安全的供应商几近于无。

国外工业控制系统在产品设计、配置等方面不可避免地存在漏洞，前文所谈到的震网病毒就是攻击了伊朗核设施采用的由西门子公司生产的SCADA计算机控制系统。而西门子的SCADA在我国应用相当广泛。而且我国的SCADA系统普遍采用Windows等操作系统，这就给该系统中可能存在的后门程序提供了可乘之机。

此外，由于工控系统生产厂商出于自身商业利益和对安全的考虑，工控系统安全在设计及应用方面具有其特殊性，比如使用专门的通讯传输协议。但随着威胁程度不断加剧，攻击水平不断提高，专用协议由于没有被公开并缺少监督完善，反而会存在更多安全隐患，并加大了控制难度。

十年来工控系统安全典型案例

2000 年，黑客在加斯普罗姆(Gazprom) 公司( 俄罗斯国营天然气工业股份公司) 内部人员的帮助下突破了该公司的安全防护网络，通过木马程序修改了底层控制指令，致使该公司的天然气流量输出一度控制在外部用户手中，对企业和国家造成了巨大的经济损失。

2001 年，澳大利亚昆士兰Maroochy 污水处理厂由于内部工程师的多次网络入侵( 攻击SCADA 系统)，该厂发生了46 次不明原因的控制设备功能异常事件，导致数百万公升的污水进入了地区供水系统。

2003 年，中国某换流站控制系统发现病毒，系为外国工程师在系统调试中使用工作笔记本电脑上网所致。

2005 年，在Zotob 蠕虫安全事件中，尽管在因特网与企业网、控制系统网络之间部署了防火墙，但还是有13 个美国汽车厂( 尤其是佳士拿汽车工厂) 由于被蠕虫感染被迫关闭，50 000 名生产工人被迫停止工作，直接经济损失超过140万美元。

2008 年，黑客入侵并劫持了南美洲某国的电网控制系统，敲诈该国政府，在遭到拒绝后，攻击了电力传输系统，导致长时间的电力中断。

2010年，一个据称是美国和以色列制造的计算机病毒攻击了伊朗的铀浓缩工厂。通过工业控制软件，震网病毒可以监视和控制系统计算机，并破坏离心机。震网病毒可能是通过移动存储设备进入系统的，并扩散到至少五个国家。

2013年，伊朗政府支持的黑客被曝光入侵美国的石油和天然气公司。通过网络攻击，伊朗黑客控制了能源公司的控制系统软件，这使得他们能够操纵油气管道。

从2013年开始，一个代号为蜻蜓的俄罗斯黑客组织使用一种复杂的网络武器，以那些使用工控系统来管理电、水、油、气和数据系统的机构为攻击目标，已经使1000多家欧洲和北美能源公司受损，就这次间谍活动在18个月的时间里影响了几乎84个国家，大多数受害者机构都位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家。

(来源：信息安全知识)