SCADA系统安全：一个国家的命门

SCADA系统安全是网络安全领域的新趋势， 随着自动化水平的提高，越来越多的重要基础设施暴露于Internet或办公网络之下， 网络攻击变得越来越现实；现有的大量SCADA系统需要全新的整体安全防护解决方案，这无疑给安全厂商提供了新的市场机会。

过去几年来，在全球的网络安全领域里，一个热门的话题就是针对重要基础设施的网络攻击。业界的专家认为，这已经是一个很现实的问题了。这其中最著名的例子可能就是“震网”（Stuxnet）的传播了（参考本站：Stuxnet，奥巴马的失控武器）。这一案例标志着军事战争进入了一个新的历史阶段，即通过恶意代码就可以对敌对国家的军用及民用基础设施进行毁灭性的攻击。

“震网”是第一个由针对政府的网络战争武器。它特别针对SCADA系统（监控和数据采集系统）。 SCADA系统是用来监测和控制工业流程的系统，也就是工控系统。它被广泛的应用在生产制造，电网，能源，交通以及通讯系统等各个领域。问题是，各国政府有能力保护这些重要基础设施不受网络攻击吗？

对于网络作战部队来说， SCADA部件是最好的攻击目标。事实上，“震网”就是通过攻击伊朗纳坦兹核工厂的SCADA系统导致伊朗的铀浓缩工厂瘫痪的。尽管西方国家早就开始尝试运用网络武器对重要基础设施进行攻击，他们自身的基础设施在面对网络攻击的保护方面也是很薄弱的。美国国土安全部部长Janet Napolitano最近在美国国会通过的防范网络攻击的法律前， 就警告美国可能遭受“网络911”这样的攻击。这类攻击可能会针对美国的电信， 电力， 供水， 燃气等重要基础设施， 而且它造成的破坏将是“巨大”的。 她说“我们不能等到类似911这样的袭击在网络上发生才开始采取行动， 我们应该立刻采取措施， 即使这样的措施不能完全避免网络恐怖袭击的发生， 至少也能够减轻袭击所造成的损害。”

美国政府已经意识到， 网络攻击的破坏力和现实的军事行动相当， 而且攻击的发起更加隐蔽，更加难以预警。

网络攻击可以破坏通讯系统， 金融系统， 这可能会导致一个国家的动荡。 美国国会众议院情报委员会的主席Mike Rogers声称， 美国95%的企业网络都存在漏洞。 而且绝大多数已经遭到过网络攻击。 Rogers推动了“网络情报共享及保护”法案（CISPA）在2011年11月的通过。在当时国会中， 他声称美国的基础设施正遭受来自黑客的严重威胁， 而中国和伊朗则是对美国基础设施攻击最活跃的国家。

事实上， 针对SCADA系统的攻击可能来自很多方面，比如恐怖组织， 黑客组织等等。 不过， 目前来看， 政府支持的攻击占主要方面。

旧有技术， 新的攻击

自从“震网”病毒被发现以来，针对SCADA系统的漏洞发掘变得越来越活跃。 SCADA系统的漏洞，无论对于试图发起攻击的网络黑客，还是对于SCADA系统的拥有方来说，都具有极高的价值。根据NSS Labs的漏洞威胁报告， 2010年以来，有关重要基础设施如电网，供水系统，电信系统，交通系统的漏洞数量增长了600%。

此外，这个报告还揭示了，大量的SCADA系统采用的是过期的技术。

以下是报告的一些摘录：

• 在2012年，过去长达5年的漏洞数量降低的趋势结束了。当年的漏洞数量增长12%
• 90%的漏洞为中危或者高危漏洞。而2012年发现的漏洞里有9%为极高危险（CVSS分值大于9.9），并且实施攻击的复杂度较低。
• 平均来看， 31%的漏洞存在于约1%的供应商的产品中。
• 从前十位的供应商中，只有一个供应商的产品在2012年被发现的漏洞数量降低。
• 微软和苹果操作系统的漏洞从2011年到2012年的数量下降很多，分别为56% 和53%。
• 从2010年到2012年，工控网的漏洞数量增长了6倍。

另外一个相关的研究是关于针对工控网系统的攻击复杂度。结果显示，低复杂度攻击的漏洞从2000年的占90%下降到2012年的48%，而同期，中复杂度的漏洞从5%上升到47%。而高复杂度的漏洞比例则稳定在4%左右。

根据安全专家的分析， SCADA 系统安全的主要问题在于，这些系统最初设计并不是用来接入Internet的。因此，在产品开发阶段，产品的安全性并没有被考虑在内。

安全专家Dale Peterson在一次安全峰会上指出：

一些主流工业PLC（可编程控制器）的厂商如GE， Rockwell，施耐德等的产品中，都存在着一系列的漏洞。对这些系统的攻击简单地我们都不好意思去攻击，很容易就能够造成严重的损害。 9/11已经过去10年了，厂商们应该了解其中的危险有多大。

除此之外，工控网的安全还有一个严重的问题，那就是，在得知产品的安全缺陷时，工控网厂商的无所作为。 Peterson说：“它们很多年都不去处理这些安全问题。有的厂商认为产品过去10年没问题，今后10年不去修补也不会有问题。”（编者：其实这也多少有点冤枉这些厂商了，一来很多工控系统一旦交付使用，工控厂商不能想微软或者苹果一样随便就从网上给人家打个补丁，另外工控厂商毕竟不是专业安全厂商，如何开发补丁，如何安全的安装补丁也不是其所擅长）

SCADA系统的攻击面

为了更好地了解对SCADA系统的安全及攻击，有必要了解一下SCADA系统的各个组成部分。

根据最终用途不同，市场上有很多不同特点的SCADA系统，一般来说，一个SCADA系统由下面几个部分组成：

• 人机界面（HMI）：负责对操作员的数据表现，通常包括一个监控生产流程的终端。
• 远程终端单元（RTU）：是由微处理器控制的电子设备，用来在传感器与SCADA之间传输数据。
• 监视管理系统：用来采集数据并且控制生产流程
• 可编程控制器（PLC）：作为现场设备的最终控制器
• 链接监视管理系统和远程终端单元的通讯系统
• 各种流程和分析仪表

对于攻击者来说，攻击这样的系统有几个攻击点。比如可以用恶意软件来感染监视管理系统，监视管理系统通常是采用商业操作系统的计算机（编者：在很多企业里采用的还是Windows XP）。这些商业操作系统可能会被黑客利用0-day漏洞或者其他知名的漏洞进行攻击（比如“震网”病毒就利用了微软系统的几个漏洞）。在很多情况下，黑客可以很容易地利用Internet上的漏洞攻击工具进行攻击。此外， SCADA还可以有其他多种感染方式：比如病毒可以通过U盘或者网络进入系统（比如，很多工控系统的维护是由第三方公司来完成的，而第三方公司的工程师很多是用自带U盘来携带维护和检测工具的）。因此，这些接口应该被正确的保护起来，应该确保非授权用户不能使用这些接口。

在很多行业，特别是全球的能源行业，把重要基础设施的安全作为重中之中。根据Frost&Sullivan的一份报告，重要基础设施安全的市场在2011年为183亿美元。而到2021年将达到313亿美元。增长主要来自于更多的行业对重要基础设施的物理和网络安全的重视。根据Frost&Sullivan的高级分析师Anshul Sharma的分析：“全球石油公司正在为他们的基础设施的安全投入巨额资本。 随着对网络威胁的认识， 企业正在采取安全风险管理的方法，对基础设施进行风险评估来确保网络安全的投资收益。对这些企业而言， 安全风险包含了从信息泄露到恐怖袭击等一个很大的范围。 网络攻击由此带来的经济损失将会是巨大的，而这也取决于攻击者的动机。 比如说针对远程控制的SCADA系统的攻击所造成的损失， 要远远大于信息泄露所造成的损失。”

根据美国国土安全部的工控网安全应急响应小组的一份报告，通过对一个用来备份工控系统配置文件的USB盘的扫描，就发现了三种不同的恶意软件。这些恶意软件代码的复杂程度非常高，这意味着这些恶意代码背后的黑客是一群专业的研究目标系统漏洞的专家。这份报告也重申了在工控网中采用必要的基础的防护的重要性：

“尽管在现有的工控网中部署防病毒系统有很多挑战，部署防病毒的系统可以从USB盘或者工作站中有效地发现那些普通的或者高级的恶意软件。”

尽管美国政府在大力推动，由于很多重要基础设施是私人企业，这些企业对安全的投入不足也是黑客攻击活跃的原因。在2012年10月，工控网应急响应小组在连接一个电力公司的发电机组的10台电脑上也发现了病毒，一样也是通过USB盘进行的传播。工控网应急小组的报告写道：“在2012年，工控网应急小组跟踪了171个影响工控网的漏洞，同时，应急小组与55家不同的厂商进行了漏洞方面的协调，从2011年到2012年，总体的漏洞数量上升，而缓冲区溢出依然是最常见的漏洞。”

对不同行业SCADA系统的攻击

最近，欧洲网络与信息安全局（ENISA）发表了名为“ENISA，威胁报告”总结了主要的一些网络安全威胁。同样，重要信息系统的安全成为了网络攻击的新趋势。

从实践中看，每个行业都可能有遭受网络攻击的风险：公共卫生，能源生产，以及电信等行业都是网络威胁的重点。而黑客们越来越针对国家的重要基础设施进行攻击， 2012年，美国国土安全部工控网应急响应小组报告了198起针对重要基础设施的攻击，而2011年的攻击数量为130起（上升了52%）。在2012年，遭受攻击最多的行业为能源行业，占41%，其次为供水，占15%。

SCADA漏洞发掘

对于重要基础设施安全来说，一个重要的因素就是，黑客们对于网络攻击能够造成的影响的认识更加清楚。在“震网“病毒之前，在网络安全圈的黑客和专家们对网络攻击所造成的影响是低估了的。因而在很大程度上并不承认所谓的“网络战争”的说法。而在“震网”之后，“网络战争”对各国来说，已经成为了现实，而各国政府都在不同程度地制定有效的网络战略。

另一个因素就是对网络攻击的了解水平。出乎很多普通人的意料的是，对SCADA系统的攻击并不是十分困难。有很多技术都可以用来攻击工控系统。很多情况下，防护不足，未正确配置， 0-day漏洞以及缺乏补丁系统都可以导致黑客攻击。重要的是，任何专业黑客，即使没有工控网的专门知识，通过对攻击目标的简单的信息收集，就可以采用现有的漏洞攻击工具进行攻击。

黑客们常用的一个工具就是“Shodan计算机搜索引擎”。对物联网领域来说，Shodan就相当于Google. 它提供了一个针对服务器，路由器，负载均衡和其他网络设备的搜索引擎。通过Shodan找到一个暴露于Internet上的SCADA系统相当容易，除此之外，Shodan还能提供关于这个潜在目标的很多其他有用信息。值得注意的是，这些SCADA系统中的绝大多数，还把认证机制信息泄露给外界，而且在很多情况下，也不及时进行系统更新。

最近的一篇发表在ThreatPost网站上的文章“Shodan Search EngineProject Enumerates Internet Facing Critical Infrastructure Devices”演示了如何利用这个著名的搜索引擎进行重要基础设施的工控系统的漏洞发掘的。

Bob Radvannovsky和Jaco Brodsky是一家名为InfraCritical的安全服务公司，他们与美国国土安全部进行了为期9个月的合作，利用Shodan来发现美国境内重要基础设施的设备。他们开始发现了50万个设备，很多设备暴露在Internet上，没有正确的安全防护措施，比如，登录认证机制简单，很多只采用缺省密码等。这些设备里不但包括重要基础设施中如通信，能源和电力系统中的SCADA设备，也包括普通的空调系统，交通控制系统以及楼宇自动化系统。国土安全部经过进一步的筛选，最终确定了7200个设备为重要基础设施的设备。

ThreatPost网站上的这篇文章还引用了另外一个由Terry McCorkle 和Billy Rios领导的研究小组的研究结果， 在面对Internet， 将SCADA数据进行可视化的重要基础设施的人机界面系统中，大约有1000个左右的漏洞，有90个左右的漏洞可以被利用来进行攻击，这些漏洞包括SQL注入， 缓冲区溢出等等。

2012年6月，美国能源部的承包商西北太平洋国家实验室联合McAfee发布了一份关于重要基础设施安全的报告《对能源行业工控系统的技术安全评估》。在这份报告描述了重要基础设施的安全现状以及对修补安全漏洞的方式，还特别分析了利用整体化安全解决方案来推动工控网安全的价值和有效性。

西北太平洋国家实验室的高级网络安全研究科学家Philip Craig说：“早期的重要基础设施在设计初期，并没有考虑安全或者网络接入的因素。今天，我们注重于提高控制系统的安全水平时，那些过时的安全手段（采用离散的，多个供应商产品叠加）只能延缓网络攻击，而这样会导致攻击者采用更加高级和现代的攻击手段来针对重要基础设施进行攻击。”

这份报告中，还列举了一些导致SCADA漏洞增加的重要因素：

l 更多地暴露于网络上：连接智能电网设备的通信系统导致了更多的途径能够访问这些网络上的设备，从而导致更多潜在的攻击

l 互联性增加：SCADA系统中的通信系统的互联性增加，也导致了系统更加容易崩溃或遭受攻击

l 复杂度增加：工控系统的复杂度增加也是导致漏洞和攻击增多的原因

l 更多采用通用计算技术：很多工控系统越来越多地采用通用的计算技术（比如商业操作系统）这样一来，这些通用计算技术的漏洞也成为了工控系统的漏洞

l 自动化程度提高：工控网的数据产生，采集和使用更加自动化后，导致了对数据的错误使用会提高遭受网络攻击的风险。

SCADA安全： 防病重于治病

对于重要基础设施的SCADA系统来说，一旦出现攻击， 造成的损失可能是无法估量的。 因此， 对于SCADA安全来说， 亡羊补牢固然重要， 事前的预防则更为关键。

下面是一些对于提高工控网络安全水平的建议：

l 对远程控制来说， 采用VPN方式

l 对缺省系统账号进行删除， 禁用或者更名

l 采用适当的账号锁死方式，以应对暴力破解

l 对用户要求使用强密码

l 对第三方供应商创建管理员级别账号进行监控

此外， 西北太平洋国家实验室还给了一个具体的安全防护的需要的功能，其中包括：

l 动态白名单：能够对非授权的来自于公司内网计算机， 服务器以及专用设备的访问进行阻断

l 内存保护：非授权的程序运行及漏洞可以被阻断并报告

l 文件篡改监控： 任何文件的改变， 添加， 改名， 改属性， 改访问控制， 改所有人等都将被记录并告警

l 写保护：对硬盘的写入仅授权给操作系统， 限于应用配置及日志文件， 其它的写操作被禁止

l 读保护： 对文件的读操作仅限于特定文件， 目录， 卷及脚本 ， 其他读操作将被禁止。

SCADA系统的安全， 是网络安全领域的一个新的趋势，而SCADA系统由于历史原因， 并没有考虑网络安全的因素。 随着越来越多的重要基础设施暴露于Internet或者可以通过办公网络进行访问， 以及越来越多的重要基础设施的自动化程度的提高， 网络攻击变得越来越现实， 而网络攻击所造成的破坏性，并不比实际军事打击所能造成的损失小。 因此， 对于重要基础设施的安全防护， 必须成为日后进行基础设施项目中的一个必要组成部分。 而对于现有的大量SCADA系统， 则需要全新的整体安全防护解决方案。 这也无疑给了安全厂商提供了新的市场机会。