开个脑洞，如果 PLC 中毒了怎么办？

从上个月12日开始，名为WannaCry或Wanna Decryptor的勒索蠕虫开始在全球范围内疯狂传播，再一次唤起了数十亿用户对网络安全的恐慌。此时此刻，作为仪表人，有个更加巨大的阴影出现在仪控君的心中：我们的工业控制系统，包括DCS、SCADA、PLC这些系统和设备，信息安全方面真的没有问题吗？

真的安全吗？

答案显然是否定的。

2010年，伊朗纳坦兹核设施遭到名为Stuxnet（震网）蠕虫病毒的攻击，导致近1/5的离心机报废。这种攻击关键基础设施控制系统需要周密的计划、详细的情报和不止一种侵入方法，因此基本可以说只有国家才可以发起这种攻击。

然而，这只是一个开始。

随着信息技术的进步，为了便于远程管理，许多系统都与因特网链接，ICS软件、设备和通信协议中的漏洞信息也比震网出现前更容易侵入，控制系统正变得越来越容易被攻击。

2011年出现与震网非常类似的duqu木马，duqu攻击的目标主要是工控系统，用于盗取私密信息。

2012年美国2个发电站遭到病毒攻击，其中一起感染蔓延到了10个控制不同涡轮机的系统，导致这家电厂系统停机三个星期。

2013年，名为Energetic Bear的组织对84个国家展开了18个月的攻击，受害者多达上千家。攻击目标主体是使用工控系统来管理电、水、油、气和数据系统的机构，这些机构大多位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家。

2014年，芬兰信息安全厂商F-secure曝光了一种专门针对ICS/SCADA系统的恶意软件Havex，它有能力禁用水电大坝、让核电站过载，已经有黑客利用它攻击了欧美能源行业工控系统。

2015年，恶意软件攻击了德国钢铁企业的熔炉控制系统，让钢铁熔炉无法正常关闭。

时间到了2016年，声名狼藉的震网又有了一个高仿版IRONGATE，专门用于攻击西门子SCADA。同样在2016年，更可怕的东西来了。

世界首个工控病毒问世

有人会说，震网（Stuxnet）不就是工控病毒吗？震网也可以说是工控病毒，但这种工控病毒是不完全的。2016年之前的工控病毒需要依赖被感染的计算机才能传播并感染PLC等工控设备，当然，把感染计算机移除即可纸质病毒的传播。

这种新病毒被成为PLC-Blaster，好消息是这款病毒是由安全公司的研究人员开发，并仅处于概念验证（POC）阶段，坏消息是这个POC已经被两起独立的研究测试认证，能够以静默模式实现端对端的攻击。该病毒可以在西门子S7-1200 PLC之间像癌症一样的扩散，并在改编之后作用于其他系统，而且还可以在代理链接中使用，作为立足点以进入基础设施的网络系统。也就是说，工控系统中一台PLC被感染，就能很快扩散到整个系统。

同时，这种病毒非常难检测到。这种蠕虫病毒攻击可以被PLC产生的电波频率和真服所掩盖，攻击者可以通过石油管道入侵远程站，判断正常的频率模式，然后重复用高频率组件重复这些颠簸，以掩盖攻击破坏行为。

该研究成果已经在去年亚洲黑帽大会上发布，感兴趣的朋友可以在黑帽官方网站（www.blackhat.com）查看这些报告。

形式所迫之下，我国在工控安全领域，有哪些应对措施？

我国的应对措施

2016年10月13日，国家质检总局、国家标准委联合召开新闻发布会。根据中华人民共和国国家标准2016年第17号公告，315项重要国家标准由国家质量监督检验检疫总局、国家标准化管理委员会正式批准发布，并陆续实施。其中包括了由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处组织国内自动化领军企业、科研院所专家以及来自钢铁、化工、石油、石化、电力、核设施等领域的行业用户，结合DCS和PLC核心技术及工程实践，自主制定的6项推荐性国家标准。分别是：

GB/T33007-2016《工业通信网络　网络和系统安全　建立工业自动化和控制系统安全程序》

GB/T33008.1-2016《工业自动化和控制系统网络安全　可编程序控制器（PLC）》

GB/T33009.1-2016《工业自动化和控制系统网络安全　集散控制系统（DCS） 第1部分：防护要求》

GB/T33009.2-2016《工业自动化和控制系统网络安全　集散控制系统（DCS） 第2部分：管理要求》

GB/T33009.3-2016《工业自动化和控制系统网络安全　集散控制系统（DCS） 第3部分：评估指南》

GB/T33009.4-2016《工业自动化和控制系统网络安全　集散控制系统（DCS） 第4部分：风险与脆弱性检测要求》。

上述全部标准的实施日期是今年5月1日

国内企业典型案例

2014年底，荆门石化DCS控制系统网络安全隔离项目顺利通过验收。该项目是荆门石化安全隐患重点治理项目，它的投用消除了DCS控制系统的信息安全隐患，提高了系统的安全防护能力。

近年来，荆门石化先后实施了ERP、MES 、实时数据库等应用信息系统，生产管理系统与DCS控制系统的网络互连、数据交互越来越多，网络安全管理的矛盾越来越突出，实施和投用DCS网络安全隔离项目变得越来越迫切。

该项目共完成了2号蒸馏、制氢、焦化等13套装置DCS控制系统的安全隔离系统实施，采用多芬诺（Tofino）工业网络防火墙、CMP中央管理平台安全管理平台方案和OPC工业协议通讯网络安全深度检查等关键技术，实现了数采网络与工业控制系统网络之间通信可控、区域隔离、实时报警等功能，在数采网络与工业控制网络之间建立了有效隔离。