第一堂课 工业控制系统信息安全概况

一、典型工业控制信息安全事件回顾

工业控制系统信息安全作为国家网络安全的重要组成部分，已然上升为国家级信息安全战略，各国政府都在积极应对这种挑战，但是对于与工业控制系统信息安全相关的用户、产品供应商、系统集成商、信息安全服务商、政府相关监管部门等，似乎对此有不同阐述，很显然，这就告诉我们新兴的工业控制系统信息安全专业术语不是那么容易能被解释清楚的，更何况这是一门新兴的专业学科！

对于大多数人而言，工业控制系统信息安全的概念来自“震网”、“黑暗力量”这些典型的工业控制信息安全事件。要想弄懂工业控制系统信息安全的概念，则不妨从这些典型工业控制信息安全事件开始，一边分析，一边学习，一边探讨。

（一）“震网”事件

2006年，时任伊朗总统艾哈迈迪·内贾德突访纳塔兹地区的一个地下核工厂，借此向世界宣告伊朗核计划已经启动，这迅速引起了多国的反对。时任美国总统布什说，伊朗拥有核武器是不能被接受的。时任以色列总理内塔尼亚胡说，伊朗的核计划一定要制止，必须得制止，我们必须现在就要制止它。即便如此，伊朗的核发展计划仍在推进，并且在2007年动工建设布什尔核电站。

2010年9月，正当布什尔核电站准备正式运行之际，伊朗官方宣布，境内诸多工业企业遭遇了一种极为特殊的计算机病毒袭击，该病毒能秘密改变核工厂离心机的转速，导致千余台离心机永久性损坏。随后伊朗数次推迟布什尔核电站的供电时间，伊朗核发展计划被迫延迟。伊朗官方26号证实，一种名为“震网”的计算机蠕虫病毒大范围爆发。某些组织甚至国家正在利用计算机技术限制伊朗发展核力量。

攻击者先感染核电站建设人员使用的互联网计算机或U盘，经U盘交叉使用侵入物理隔离的内网，通过内网找到WinCC服务器，通过修改PLC来改变工业生产控制系统的行为，包括拦截发送给PLC的读/写请求，以此判断系统是否为潜在的攻击目标，修改现有的PLC代码块，并且向PLC中写入新的代码块，利用Rootkit功能隐藏PLC感染，躲避PLC管理员或程序员的检测，最后实施破坏性攻击。其攻击事件流程图如图1-1所示。

（二）“黑暗力量”事件

2015年12月23号下午，乌克兰西部伊万诺-弗兰科夫斯克地区的居民们结束一天的工作陆续回家，在当地的电力供应控制中心，运维人员也即将完成自己的本次轮班。然而，平静被打破了。一位当值人员在整理桌上文件时，突然发现计算机屏幕上的光标开始不受控制地四处游移，他目睹着光标完成断电操作，而自己却无能为力。一瞬间，数以百万计的居民陷入黑暗，恐慌如潮水一般淹没城市。很快，这被证实是一起针对电厂的网络攻击行为，黑客利用欺骗手段，让电力公司员工下载了一款名为“黑暗力量”（Black Energy）的恶意病毒软件，并最终获得了电厂系统的控制权。和历史上多次网络攻击事件一样，乌克兰电厂的幕后黑手迄今逍遥法外。

图1-2展示了Black Energy入侵目标主机的过程。黑客通过收集目标用户邮箱，然后向其定向发送携带恶意文件的Spam邮件，疏于安全防范的用户打开了带宏病毒的Office文档（或利用Office漏洞的文档）即可运行Installer（恶意安装程序）, Installer则会释放并加载Rootkit内核驱动，之后Rootkit使用APC（Asynchronous Procedure Call，异步过程调用）线程注入系统关键进程svchost.ex（e注入体MAIN.DLL）, MAIN.DLL会开启本地网络端口，使用HTTPS协议主动连接外网主控服务器，一旦连接成功，开始等待黑客下发指令就可以下载其他黑客工具或插件，从而对电厂的控制系统实施攻击。