工业控制系统中的网络安全威胁

原创于 2025-10-20 11:09:18 发布 · 524 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#工业控制系统 # 网络安全 # 威胁分析 # 遗留系统 # 第三方风险

部署运行你感兴趣的模型镜像

5章工业控制系统中的威胁

5.1 引言

在探讨了工业控制系统（ICS）和SCADA系统的总体特征之后，现在是时候广泛地审视针对这些系统的威胁，即网络事件的成因。国际标准化组织（ISO）的一项信息与通信技术（ICT）标准（ISO27000 2014）将威胁定义为可能导致非预期事件的潜在原因，进而对系统或组织造成危害。另一项标准（ISO22399 2007），源自事件准备与业务连续性管理领域，将威胁定义为可能导致非预期事件的潜在原因，进而对个人、系统或组织、环境或社区造成危害。

工业控制系统将信息与通信技术世界与企业、关键基础设施和重要社会服务的物理世界连接起来。1 因此，本章将工控系统威胁定义为通过使用一个或多个工业控制系统导致不希望发生的事件的潜在原因，该事件可能对个人、系统、组织、关键基础设施、重要社会服务、环境或整个社会造成损害。

我们的观点是关注网络不安全的工业控制系统对企业和组织造成的（潜在）影响，而不是仅仅从单个工业控制系统组件的技术威胁角度出发。尽管其他人可能采用后一种视角来讨论工业控制系统威胁，但我们有意选择这种方法，因为它有助于涵盖许多否则会被忽视的关于工业控制系统不安全的重要方面。

与威胁相关的是脆弱性，国际标准化组织（ISO22399 2007）标准将其定义为资产或控制措施的弱点，可被一个或多个威胁所利用。工控系统威胁与漏洞的结合导致了工业控制系统风险。

1 可在关键基础设施百科全书（CIPedia）( 2015 )上找到许多关于关键基础设施和重要社会服务的国家定义。

5.2 工控系统威胁格局：一次范式转变

工控系统威胁格局包含一系列广泛的威胁。尽管大多数工业控制系统威胁一直以潜在形式存在，但直到21世纪初这些威胁才开始凸显出来。自21世纪初以来，一些工业控制系统工程师（如乔·韦斯和埃里克·拜尔斯）以及网络安全专家就已警告工业控制系统的不安全性及其对关键基础设施的相关风险（Averill和Luiijf 2010；Dubowski 2004；Frontline 2003；Luiijf和Lassche 2006；Weiss 2009）。他们意识到在工控系统领域内部及外部发生的范式转变，为工业控制系统打开了一个全新的“威胁之盒”。

工业控制系统传统上围绕可靠性和安全性进行设计（Russel 2015）。长期以来，网络安全和组件的双向认证不是工业控制系统的设计和运行考虑因素，原因如下：
• 工业控制系统基于专用硬件、专有代码和协议标准。只有专家才知道如何使用它们，而且，包括黑客在内的其他人也不会对工控系统领域、协议和通信感兴趣。
• 工业控制系统在封闭环境中运行，不与其他领域连接，仅具备一些物理安
全措施。• 工业控制系统仅在良性环境中运行。因此，没有理由去创建安全且可靠的工业控制系统协议，对数据包实施除循环冗余校验之外的加密保护，或对工业控制系统协议实现进行压力测试。

上述范式转变是由于工控系统领域采用了信息技术硬件、信息技术软件和网络技术的快速创新周期所致。这些发展打破了工业控制系统网络安全环境的所有基本假设（Luiijf 和 Te Paske 2015，第 23–24 页）：
• 工控系统应用、制造执行系统、人机界面以及关键的工控服务越来越多地运行并使用商用现成硬件、通用操作系统（例如Windows和Unix）、 TCP/IP协议套件以及开源环境。新趋势是SCADA应用在智能手机上运行；
很快它们也将出现在智能手表上。• 关于工控系统服务、工业控制系统协议
及其弱点的工控系统知识和文档在互联网上广泛可得。• 工业控制网络直接或间接连接到互联网等公共网络。一些工业控制系统甚至通过在家用位置运行于平板电脑上的人机界面进行控制，而木马和蠕虫则利用网络连接中的漏洞感染工控服务器、服务和人机界面。黑客可以使用Shodan搜索引擎（ Shodan 2015）按服务和制造商高效地定位可从互联网访问且存在漏洞的工
业控制系统。• 工业控制系统已成为心怀不满的内部人员的受害者，同时黑客对工业控制系统的兴趣日益增加，这一点在美国的黑帽大会和DEF CON®以及欧洲和其他地区
亚太地区吊坠。用于MetaSploit工具集的ICS安全测试框架已公开，不仅系统和工艺工程师可以使用，恶意黑客社区也可获取。例如见（SCADAhacker.com 2015 ）。

此外，工业控制系统不仅存在于组织的核心运营业务中。工业控制系统还嵌入并隐藏在人们日常使用但未意识到其内部包含并由一个或多个工业控制系统操作的知名‘功能’升级中。例如，楼宇自动化系统（BAS）、消防控制系统、空调或访问控制。通常，IT部门和工业控制系统部门均不对这些系统的网络安全负责。这种通过后门悄然进入组织的工业控制系统威胁，已在Luiijf（2013）和 GAO（2015）中有所阐述。黑客攻击此类工业控制系统也可能影响核心运营业务，例如曾有黑客关闭一家大型银行计算机中心的空调系统。同时，这些不安全的工业控制系统可能成为黑客入侵信息通信系统的入口点，正如通过暖通空调系统作为入口攻击Target的销售终端所展示的那样（Krebs2014）。

尽管这些工控系统威胁很重要，但它们仅代表了工控系统威胁格局中一个单一且主要是技术层面的方面。企业必须充分理解工控系统领域的其他特定威胁，才能在考虑各类威胁行为者的前提下，以均衡的方式应对来自ICT 与工控系统及网络的各种风险因素。威胁行为者可能无意或蓄意地利用这些威胁。如果组织结构、工控系统和网络、流程等方面存在漏洞，则诸如能力不足的管理层、操作员、工控系统用户、过程控制工程师、第三方工程师、维护工程师、（前）内部人员（例如心怀不满的员工）、黑客、黑客行动主义者、有组织犯罪、外国情报机构以及外国政府支持或国家行为体等威胁行为者都可能引发非预期事件。此类事件可能对企业、关键基础设施运行以及安全性造成影响。

跨越工控系统威胁格局的各种工业控制系统威胁可以分解为以下来源的威胁：
1. 与参与工控系统的部署、使用和维护的组织及其分包商相关的组织层面因素（5.3）；2. 工控系统架构和工业控制系统技术（5.4）；3. 网络与通信（5.5）；4. 人为因素（5.6）；5. 运行维护（5.7）；6. 工控系统与通信环境（5.8）。

5.3 组织性威胁

在本节中，我们将讨论与工业控制系统相关的组织层面因素对业务目标构成的各种威胁。

5.3.1 执行层

在许多部署工业控制系统的组织中，各个层级都存在对工业控制系统网络安全威胁的理解不足。这种情况始于执行层，该层级负责管理对企业业务目标构成的风险，并保护公共和私人股东利益。执行层关注组织的主要生产目标，例如电力传输、铁路客运、饮用水供应以及机场行李处理。由于重点放在企业层面，执行层对于超出最佳生产性能和安全性之外的底层技术方面缺乏关注。尽管主要业务流程由工业控制系统进行监控和控制，而这些系统引入了一系列与技术相关的威胁，但由于这属于一个功能领域，不直接涉及业务和利润，因此并未引起执行层的重视。

对于大多数工业控制系统部门而言，向执行层传达其需求变得十分困难。后者可能会指出，网络安全已被指派给IT部门，且该部门可协助应对对工业控制系统的网络威胁。问题似乎已解决，且无需额外成本。因此，除其他政策及政策实施要素外，既没有制定工业控制系统安全政策，也没有开展风险分析，未对工控系统领域进行安全审计，未分析防火墙/DMZ日志，且在发生工业控制系统安全事件时，责任归属不明确。此外，当工控系统领域发生网络安全事件时，缺乏透明的报告线路上报至执行层，即便负责相关流程的人员愿意承认并上报该工业控制系统领域的网络安全事件。这些工业控制系统安全要素均会加剧因工业控制系统安全事件而导致关键业务流程长期中断的威胁。

5.3.2 首席信息安全官

在下一个组织层级，首席信息安全官（CISOs）或承担类似职责的人员通常不了解工控系统威胁；他们仅关注信息通信技术方面的挑战。另一些已将其职责扩展至工控系统领域的首席信息安全官可能认为，这些问题与信息通信技术领域的问题相似，因此他们已经理解了相关情况。将相同的标准（如ISO27000 2014）系列或NIST（Stouffler等 2015）控制措施应用于工控系统领域的系统即可解决问题，不是吗？对于这些首席信息安全官而言，本章后续内容将揭示工控系统领域可能带来的一系列威胁意外。而且，即使某位首席信息安全官充分理解了工业控制系统的威胁，他也只会关注那些监控和控制主要（企业）流程的工业控制系统。而那些隐藏在‘功能’中的工业控制系统，虽已连接到互联网等公共网络，其网络安全却未得到管理。首席信息安全官在其所在组织中可能每天都在使用这些工业控制系统，例如楼宇自动化系统，但却从未意识到这些系统相关的网络安全威胁，因而也未对其进行治理，直到发生重大网络安全
事件发生在其工业控制系统中（Luiijf 2013）。一个风险示例是，杰西·威廉· 麦克劳（又名“幽灵出埃及”）曾在互联网上发布德克萨斯州一家医院被入侵的暖通空调（HVAC）系统的照片。幸运的是，他在实施预谋的严重破坏之前被抓获（FBI 2009）。然而，当被问及“谁负责并保障你们组织的楼宇自动化系统安全？”时，大多数首席信息安全官都无法回答。

5.3.3 文化差异

IT/信息通信技术部门和工业控制系统部门的文化往往存在很大差异。工控系统领域首先关注的是工业控制系统控制的过程的可用性、可视性和可操作性，以及过程效率和安全性。而网络安全，包括完整性和机密性方面，则相对次要。与工控系统领域相反，信息通信技术领域将机密性的保护放在首位，其次是完整性和可用性。为了消除网络安全漏洞，临时重新配置或重启信息通信技术服务并不罕见，但每天24小时、每周7天的流程连续性不允许对工业控制系统进行任何操作。

除了工控系统与信息通信技术结合的技术威胁外，对这些差异的理解不足还会导致信息通信技术部门与工业控制系统部门之间的误解和摩擦。应对这一组织性威胁需要弥合工控系统与信息通信技术文化之间的差距。第一步可以是从左侧（互联网）经过信息通信技术到右侧的工业控制系统绘制网络图。传统的自上而下的网络图会无意中暗示信息通信技术对工控系统的主导地位。然后让两个部门的人员混合就座，分别阐述各自领域的运行和安全挑战。一段时间后，两个部门之间的理解差距可能会逐渐缩小。

5.3.4 教育与培训

许多组织在其信息通信技术领域已从网络威胁事件中吸取了诸多经验教训。
此外，当今的法律法规可能要求对信息与通信技术风险进行适当的风险管理。
例如，在欧盟成员国以及一些美国各州，法规要求组织向监管机构和公共机构报告网络安全事件。通常情况下，组织的人员会接受相关意识培养和培训，以识别针对信息与通信技术的网络威胁。

另一方面，工控系统操作员、工程师以及来自工控系统领域的外部支持人员（如工控系统供应商、系统集成商和维护人员）在工业控制系统网络安全方面的教育和培训普遍不足，甚至完全缺失。全球范围内发生的多起工控系统黑客事件正是源于这一工业控制系统威胁，正如Luiijf（2013）所指出的。旨在应对这一威胁的最佳实践和 workforce发展方法已开始纳入工业控制系统安全相关主题（MSB 2014，第60页）。

5.3.5 折旧周期

组织每3至4年更换一次其信息与通信技术设备。财务折旧周期与信息与通信技术的快速技术进步以及在办公桌上运行最新应用所需的更强处理和网络能力相一致。
与信息通信技术领域不同，工业控制系统的技术和财务折旧周期可能非常长。华盛顿地铁使用的远程终端单元“其中一些已使用长达35年”（美国国家运输安全委员会 2010 ，第25页），这种情况在全球多个其他关键基础设施领域并不罕见。
在某些领域，二三十年的使用周期并不少见：“当一个工业控制系统正常运行时，不要碰它，更不用说更换了。” 对于那些信奉这种做法的人来说，一个典型的例子是希思罗机场第4航站楼行李系统在软件升级后发生故障（计算机周报 2008 ）。
这种策略是否正确需要进一步讨论。

然而，如今应将技术老化的工业控制系统视为一种威胁，因为处理和内存容量有限的旧技术无法运行（更）安全的工控系统应用（可将 Commodore‐64的功能与其当前笔记本电脑进行比较）。随着商用现成信息技术引入工控系统领域，此类威胁变得更加突出。在水净化设施、医院中的 X射线和正电子发射断层扫描（PET）系统控制、自动取款机以及桥梁控制系统中，仍可发现基于486的系统以及未打补丁的Windows XP SP1系统配置。
您家中早已更换的硬件系统和操作系统，在工控系统领域仍在全天候运行。

问题在于，这些系统的日益缩短的技术寿命与所监控和控制的工艺设备的技术寿命不匹配。此外，为了与老旧工业控制系统兼容，可能需要新工业控制系统不启用某些安全功能。关于如何应对工控系统遗留系统威胁的问题， Oosterink 2012年）进行了讨论，他将遗留系统定义为“无法通过常规措施和技术完全保护，因而对受控过程的连续性、完整性和保密性带来更大风险的系统”。无论如何，要说服高层管理为老旧工业控制系统的更换和升级分配预算都十分困难，因为受工控系统控制的生产系统或工业企业的大规模改造仍需多年才能进行。正如Anderson和Moore 2006 ）以及Moore 2010 ）所指出的那样，在负责（工控系统）网络安全的人员与从防护中受益的人员之间，存在严重的激励机制不匹配问题。因此，工业控制系统部门作为一个功能领域，在分配投资预算时常被排在最后。

这些组织面临的工控系统威胁需要通过以下方式加以解决：
• 高级管理层应遵循世界经济论坛提出的原则（世界经济论坛 2014），展
现领导力并提升网络安全意识。• 在考虑总体拥有成本的同时，根据对工业控制系统的网络风险及其对企业、形象和利益相关者价值的潜在影响，确定保持工业控制系统技术更新的合理投资水平。

5.3.6 信息技术安全标准

严格实施基于ICT的安全标准到工控系统领域可能对企业目标构成威胁，这是一种不太明显的威胁，我们将在下文进行解释。ISO27001（2013）标准是信息安全管理体系中广泛采用的标准。该标准配套有ISO27002（2013）标准，其中包含一系列信息安全控制措施，分类涵盖访问控制、通信安全、物理安全、人力资源安全等主题。这些标准最初是为办公环境开发的，但IS O/IEC 27001:2013标准可适用于ICT和ICS两个领域。然而，存在的组织性威胁是：信息通信技术部门强制要求在工控系统领域严格执行全套ICT控制措施。尽管ISO/IEC 27002:2013中的安全控制措施具有通用性，适用于各类信息系统和应用领域，但在工控系统领域实施某些控制措施并非易事，甚至可能适得其反。障碍包括前文讨论过的全天候运行要求、老旧工业控制系统以及工业控制系统有限的资源能力。例如，某项安全控制规定用户连续三次登录失败后需封锁其用户访问权限。如果这种情况发生在深夜某工业控制系统主控台（HMI）上，则数小时内将失去操作监控和控制能力。显然，在工控系统领域需要对ICT安全控制措施的严格实施做出一定的调整。此外，安全性至关重要的工控系统领域与ISO/IEC 27002控制措施之间存在不匹配的问题，这一点早在2003年工业计算机系统可靠性、安全与保障欧洲研讨会（EWICS2015）上就已指出。目前，国际自动化学会（ISA）正在制定针对工控系统领域的国际标准，以弥补标准与工控系统领域实际适用性之间的差距（Luiijf和Te Paske2015，第43–45页）。

5.3.7 采购

在采购新的工业控制系统及相关服务（例如，维护、支持、外包）时，本应是提升网络安全的恰当时机。然而，与投资和经常性成本水平相关的商业压力是一种企业相关威胁，可能导致网络安全要求被放宽甚至完全取消。同样，在合同续签期间，由于缺乏适当的企业驱动力，可能错失将工业控制系统安全议题纳入合同的机会。这种组织层面的工业控制系统威胁源于安全投资回报率（ROSI）的不平衡：安全带来的收益由与承担成本不同的部门享有（ MSB 2014 ，第21、42–43页；Sonnenreich等 2006 ）。

5.4 架构与技术威胁

我们将看到，在较大的由工业控制系统管理的环境中，例如炼油厂，一系列威胁源于使旧的工业控制技术与新技术兼容的需求、老化及遗留问题，以及无意中使用未配置的新功能。较小的工业控制系统环境也可能遇到其中一些挑战。然而，缓解大多数与技术相关的威胁并不需要技术上的改变，而是需要组织领导力（内部问题）的转变，以及制造商文化和系统集成商文化的改变（对外部采购服务的控制）。（BSI 2014）表明了朝这一方向迈出的第一步。

5.4.1 旧技术

由于工业控制系统组件的使用寿命较长，其处理和内存容量可能不足以运行较新的工控系统应用。此类组件的使用限制了加密安全模块的实施或激活，而这些模块需要处理器性能和内存，而这二者对于过程控制至关重要。此外，许多工业控制系统组件和应用软件是在部署于良性环境时期开发的，当时只有少数人了解工业控制系统的内部情况。出厂默认密码被深度嵌入硬件和软件中。即使提供了更改选项，替换这些出厂默认密码也并不常见。震网病毒（参见第 6.3 节）利用了西门子WinCC SCADA产品中的这种硬编码密码，该产品用于控制伊朗纳坦兹的铀浓缩离心机（尼古拉斯·法利埃2011）。西门子长期未允许其他用户更改产品的出厂默认密码，因为他们无法评估更改密码对运行系统造成的影响（Espiner2010）。

工业控制组件的老化带来了另一个威胁：制造商可能不复存在，或因其他原因无法提供备件。作者遇到过一些组织，其维护工程师精通焊接以及更换可编程逻辑控制器和相关组件中的故障晶体管、电容器和分立逻辑芯片。
当维修变得不可行时，受工业控制系统控制的过程可能需要很长时间才能恢复正常运行。这些组织的管理层表示，当发生故障时，可以采用手动控制受控过程作为替代方案。但他们似乎忽视了一个事实：由于过程自动化，劳动力已在多年前被削减，目前在岗人员已完全丧失了手动操作的实际经验。

5.4.2 设计上的不安全性

另一个工业控制系统威胁是组件出厂时带有出厂默认密码。安全选项默认处于禁用状态。因此，在工控系统领域安装组件虽然容易，但本质上不安全。经验法则是，百分之三十的
公用事业未采取措施、技术上无法更改，或因合同限制而不允许更改出厂默认密码。
很难说服工业控制系统制造商转向开箱即安全的组件。直到最近，一些工业控制系统制造商才开始改变其产品，使其具有默认安全状态，并在安装期间要求进行密码更改。

一个密切相关的威胁是，包括密码在内的认证信息通常未被加密，网络攻击者可以在内存中或被窃听的通信中以明文形式找到这些认证信息。
此类威胁的一个示例是某知名制造商的可编程逻辑控制器，其包装纸上印有钻孔模板，并标明了电源插头和UTP电缆的连接位置。一张光盘和一份双页安装指南说明，应将该光盘在与可编程逻辑控制器相连的网络中的个人电脑上运行。
网络上的可执行程序随后尝试发现该可编程逻辑控制器。一个基于网页的界面协助配置可编程逻辑控制器。只有在手册（位于光盘中的PDF文件）的第52页，才能找到如何设置或删除（四个空格）密码的方法。由于大多数人不阅读手册，这类可编程逻辑控制器通常在没有任何密码保护的情况下被安装，并直接连接到互联网。利用Shodan工具（Shodan 2015），黑客发现了比利时和荷兰境内一些没有任何认证防护或仅使用用户名 = owner、密码 = owner的可编程逻辑控制器。
这些可编程逻辑控制器控制着热带游泳胜地的水泵、阿姆斯特丹救世军总部的供暖系统、风力发电机、污水泵以及其他功能（Luiijf 2013）。

5.4.3 旧外壳中的新功能

许多工业控制系统在六十年代基于晶体管板技术开发为专有硬件（Russel 2015）。对于十年或更久的设备，其替换组件内部将基于更现代的技术，但仍具有现场兼容的接口。制造商可能已在组件中添加了新功能，但这些功能仅在手册深处有所记录。例如，如今的可编程逻辑控制器可能包含一个芯片上的Web服务器，提供对可编程逻辑控制器功能的用户友好访问、嵌入式电子邮件客户端和SNMP代理。工程师可能并未意识到这一变化。他们可能会在半夜尽快用新的替换组件更换故障部件。新功能将以未配置的开箱状态等待第一个未授权人员连接。

5.4.4 协议

如本卷先前所述，许多工业控制系统及其协议是在专有产品和良性封闭环境时期设计的。在讨论工业控制系统协议的威胁时，我们需要区分硬
用于纠正工业控制系统协议规范中的错误以及协议实现中的弱点（Igure等，2006，
第50关2页于）协。议规范，工业控制系统架构和设计假设了隐蔽式安全、对工业控制系统技术缺乏了解以及没有攻击者有兴趣且愿意攻击和破坏工业控制系统的安全态势。因此，各种工业控制系统协议既不保护协议消息内容，也不防范中间人攻击，且未规定在检测到不合逻辑的协议元素时应采取的措施。最近的研究分析了诸如 Modbus和基于TCP的Modbus（Fovino 2014 ，第460页；Huitsing等 2008 ； Shayto等 2008 ）、KNX/IP和KNX/EIB（Judmayer等 2014 ）以及其他工业控制系统协议的安全性。这些研究表明，工业控制系统协议在面对网络攻击时并不安全且缺乏弹性。这些不安全的工业控制系统协议构成了工业控制系统威胁向量，被黑客（SCADAhacker.com 2015 ）和木马软件所利用。

除了基本的协议错误和弱点之外，工业控制系统的协议实现也并未做到足够稳健。根据制造商和系统集成商的说法，工业控制系统的终端用户通常只关注新的功能，而忽视了协议实现的安全性和稳健性。互联网领域通过长期的惨痛教训才吸取了经验，例如死亡之Ping攻击和DNS BIND漏洞。然而，这些教训尚未被应用到工业控制系统协议的实现中。在信息与通信技术领域，网络管理者经常使用网络嗅探器来扫描网络中的活跃系统和端口。但是，当工业控制系统接收到此类工具发送的意外数据包，或接收到不符合工业控制系统协议的数据包时，工业控制系统可能会忽略该数据包，也可能停止通信，甚至完全停止运行（崩溃）。
欧洲核子研究中心2 在其TOCSSiC测试平台对来自七家不同制造商的25 台工业控制系统设备进行的测试表明，32%的工业控制系统设备在遭受拒绝服务攻击时崩溃：“必须通过断电重启设备来重启。”“在21%的Nessus测试中，设备在扫描期间崩溃。断电重启设备后，再次重复扫描但不使用相应
的插件。其余18%的情况下，Nessus报告了严重的安全漏洞{..}”（
Lüders 2005年）。例如，当扫描Modbus端口502时，Modbus服务器崩溃，而向工业控制系统设备上的其他各种协议输入超出预期长度的数据也会导致类似ping‐of‐death的工业控制系统崩溃。

同样，渗透测试导致工业机器人发生意外旋转（Duggan 2005），城市照明熄灭以及其他问题。
尽管工业控制系统所控制的流程涉及安全性，但缺乏输入验证这一威胁（早在多年前就已识别出的问题，Luiijf 2014）以及缺乏
欧洲核子研究中心在瑞士日内瓦运行大型强子对撞机（LHC），其中高能粒子束以相当于 85公斤TNT的能量，每秒10,000次穿过27公里环形路径上的3毫米孔径。一套复杂的工业控制系统（ICS）用于控制该粒子束，并监控和控制这台独特而复杂机器的许多方面。大型强子对撞机被用于发现希格斯粒子并理解自然界的其他基本组成部分。

5.5 网络与通信

本节讨论与网络技术和远程通信相关的特定工业控制系统威胁。我们不会讨论使用TCP/IP和WiFi等网络技术的一般风险；有关这些安全方面的问题，请参考现有的网络技术安全书籍。该领域中的大多数工控系统威胁源于薄弱的协议及协议实现，以及过于乐观地使用基于无线通信的不安全功能（参见第 3 章）。

5.5.1 运行环境

多年前，关于工业控制系统运行环境的一个架构假设是：工控系统领域是一个与其他网络完全隔离的良性封闭环境。随后，为支持广域操作的远程连接和用于远程维护的调制解调器组逐渐被引入。这些通信需求是由工艺工程需求推动的，旨在提高可靠性和工艺质量。
目前存在将运行数据从工控系统领域传输到业务应用的业务需求。例如，根据法律法规，大型发电公司需要向其输电系统运营商（TSO）提供关于状态、可用备用容量和可用黑启动容量的实时信息，以满足N‐1准则并降低停电风险。这些信息也可用于现货市场的能源交易。此类通信流需要打开防火墙或非军事区（DMZ），以实现从工控系统领域到业务域的信息传输。工业控制系统威胁在于，如果此类开放配置不当或监控薄弱且维护不足，则可能使未授权外部人员和恶意软件得以访问工控系统领域。管理这种互联关系比看起来更为复杂，因为并非所有防火墙都支持工业控制系统专用协议（ Igure等，2006，第502页）。同时，在大型工业控制系统网络中的审计经常发现两个域之间以及与公共网络之间存在多个未授权连接。

在工业控制系统中使用短距离无线通信打开了另一扇威胁之门（ Reaves和Morris 2012年）。再次出现的是协议弱点和弱实现，这次位于 ISO/OSI 基本参考模型的底层。主要威胁在于，用户安装了无线连接，例如用于连接现场设备以避免难以维护的“圣诞树式”线缆，但却没有任何
规划并保证其后续维护。当系统正常运行时，人们往往会忽视加密密钥需要定期更换、密码算法在若干年后可能需要替换或加强等问题。随着黑客社区获得越来越复杂和强大的工具集（例如从无线流量中推导密钥），无线连接的“安装即忘”做法正成为越来越多工控系统控制的设施中的威胁。此类工具的示例包括软件定义无线电和彩虹表。

5.5.2 远程网络访问

操作员、维护工程师和第三方需要远程访问工控系统领域，以确保全天候运行和最佳处理条件。老化的工控系统领域仍在使用模拟电话拨号调制解调器，但这些设备正迅速被基于互联网的接入方式所取代。大多数组织使用虚拟专用网络（ VPN）技术从远程位置连接到企业信息通信技术网络。从组织内部网络中，授权用户可以连接到工控系统领域。一些组织允许直接“拨号”连接到其工控系统领域。
其他组织提供直接的基于远程VPN的连接到工控系统领域。从内部场所外部进行适当的访问控制至少需要双因素认证和严格的授权控制。一种结合了组织和技术层面的威胁是，此类访问未受到严格审查，导致太多人（包括未授权人员）能够访问工控系统领域。一旦进入工控系统领域，当前的工业控制系统在阻止恶意行为方面提供的控制措施非常有限。

尽管用于远程访问的VPN技术看似安全，但一旦操作员或工程师在家中的系统被黑客控制，并且合法（有时甚至是自动）建立VPN连接后，黑客便能够访问工控系统领域。此时，黑客可以启动特定的工具包，创建入口并实现持久访问，以便进一步渗透。通过这种方式，黑客曾入侵并操纵了宾夕法尼亚州哈里斯堡一家水处理厂的工业控制系统（Esposito 2006 ）。

5.5.3 信息通信系统依赖性

组织允许工控系统领域的系统使用信息通信技术领域的系统来获取受控过程的关键信息。这样做的原因可能是为了降低成本，或仅仅因为一次无休止的临时测试——人们忘记最终将系统配置并安装到工控系统领域中。这种情况一直运行良好，直到信息通信技术领域的系统工程师决定对相关系统进行升级和/或重启，或重启路由器。
在未意识到对佐治亚州巴克斯利附近哈奇核电站工业控制系统受控过程的潜在影响的情况下，提供了跨边界服务。其影响可能非常严重，正如2008年商业网络中一台计算机的简单重启所显示的那样，这导致了整个核电站48小时的紧急停机。

一种类似类型的威胁是信息与通信技术（ICT）和工业控制系统（I CSs）共享（多路复用）使用带宽容量有限的远程通信链路。如果ICT端感染了恶意软件，通信链路的ICT端可能会被大量通信数据包淹没，导致ICS流量延迟。该威胁可能导致操作失去可视性或态势感知错误。状态信息的延迟可能导致操作员基于数分钟前的状态判断情况，从而反应不同步。数据包延迟还可能导致失去控制。这种情况加剧了2003年美国大停电。根据Verton （2003）的说法，例如电网运行受到控制迟缓以及能量管理系统（EMS）人机界面（HMI）显示的态势感知不准确的阻碍。对于需要快速状态轮询周期和低延迟的行业，如电力、炼油厂和安全关键过程，这种威胁尤为严重。

5.5.4 直接连接到互联网

出乎意料的是，尽管存在恶意软件和黑客攻击的威胁，仍有数十万个工业控制系统和传感器直接连接到互联网。这一数字每天都在增长。2005年，一位负责处理150万个家庭、企业和工厂污水处理系统的工程师宣称：“如果数百万人可以通过互联网进行金融交易，那么人们也应能以类似方式控制污水处理系统。当出现警报情况时，自动化系统将被封锁，并转为手动操作流程。” 自那以后，越来越多的工业控制系统所有者走上了同样的危险道路，忽视了对工业控制系统网络安全的保护。德国柏林自由大学的工业风险评估地图（IRAM）项目利用Shodan搜索引擎在全球范围内定位连接到互联网的工业控制系统。从2012年持续至2014年10月的SHINE项目（Shodan情报提取）也进行了类似工作，发现了220万台连接互联网的工业控制系统设备（ Radvanosky和Brodsky 2014）。此处的工业控制系统威胁在于，人们将工业控制系统连接互联网视为正常现象。

5.6 人为因素

在本节中，我们将讨论人为因素如何对工业控制系统构成可信威胁的各个方面。

5.6.1 用户意识

平均而言，工业控制系统或维护工程师专注于受控过程的24/7连续运行状态。
他们的网络安全意识和接触范围通常仅限于填写工时表时对行政系统采取的一些安全控制措施，以及在家中进行电子支付时的安全控制。许多组织无论是否知情，都没有将它们的工业控制系统及其网络组件视为可能在工业控制网络中遭受未经授权活动影响的资产。管理层、系统工程师和维护工程师应负有责任，像对待工作或私人生活中使用的任何其他信息与通信技术领域一样，以“网络安全的工业控制系统”为原则来开展工作。

5.6.2 政策与流程

部分部署和使用工业控制系统的组织了解到，震网病毒（尼古拉斯·法利埃 2011）通过U盘中的恶意软件，突破了伊朗纳坦兹核浓缩工厂信息与通信技术与工控系统领域之间“防护良好”的连接。根据多项分析报告，该U盘是由一名第三方维护工程师带入内部的。自那以后，许多此类组织制定了一项规定：“禁止将U盘插入工业控制系统设备”。工程工作站可予以例外。然而，这些组织忽视了主要问题。尽管“禁用U盘”规定得到了严格遵守，但仍可看到操作人员通过USB线缆将MP3播放器和智能手机连接到工业控制系统组件进行充电。而USB接口及所连接的个人设备可能携带恶意软件这一威胁，在信息与通信技术和工业控制系统环境中均被严重忽视（Finkle 2013； Kovacs 2015）。

5.6.3 心怀不满的员工

与信息与通信技术领域类似，心怀不满的（前）员工也构成了威胁。由于工控系统领域的人员通常在合同终止或可能终止之前已长期受雇，这一威胁似乎更高。
已有多个案例显示，员工或前员工对工业控制系统设备进行了蓄意破坏或篡改，例如参见 Abrams 和 Weiss（2008年）、Potter（1997年）、King（2014年）、 Wells（2011年）、Vijayan（2009年）以及 McMillan（2007年）。

5.7 工业控制系统的运行与维护

本节重点介绍了一些与工业控制系统的运行与维护相关的工控系统威胁，涵盖技术和组织方面。

5.7.1 密码

安全措施通常需要具有逻辑性，并尽可能减少对日常操作任务的影响。否则，人们将寻求变通方法，这无疑会降低组织的整体安全态势。其中一个备受争议的问题是密码的使用、所需的密码强度（长度和熵）以及密码过期时间。
在工控系统领域，这一争论比在信息通信技术领域更加复杂。

首先，在相当多的工业控制系统环境中，运行使用单一（组）用户名和密码，这些密码是在安装期间设置的，甚至保留了出厂默认设置，并且自设置以来从未更改过。在多个公用事业部门中，尽管行业范围内的网络安全基线要求只能使用个人密码，但仍有四分之一到三分之一的公用事业公司普遍采用这种做法。其威胁在于，无论是安全负责人还是执法部门，都无法将安全事件归因于具体个人，因为日志无法显示是哪个个体执行了何种操作（ King 2014）。更严重的是，随着时间推移，许多未经授权的人员，例如外部单位的人员或已离开组织的人员，可能已经知晓该密码。即使组织使用了个人用户名和密码组合，强制密码更改也仅每年进行一次。在许多情况下，只有在超过一年甚至更长时间后才临时进行更改。拥有工业控制系统的组织很少采用在自身信息通信技术领域普遍使用、并且可能由其行业范围内的工业控制系统最佳实践所规定的3‐6个月密码更改频率。

5.7.2 谁被“授权”？

传统上，工艺工程的文化是不断进行调整以优化工艺效率，并在工艺过程趋于失控时采取纠正措施。为了实现这一点，工程师需要在工控系统中拥有超级权限，以便每天24小时持续进行修改。威胁在于，对工业控制系统所做的更改缺乏适当的变更管理流程和影响分析（MSB 2014 ，第38–39页）。在荷兰的一个案例中，由于高热值燃气与氮气的混合过程出现错误，导致仅输送了氮气，致使26000户家庭连续三天无法使用用于供暖和烹饪的燃气。在一次对运行中的ICS系统进行的实验失败后，由于缺乏适当的变更管理流程，实验性的软件修改未被及时移除。

5.7.3 变更管理

对工控系统运行的重大威胁之一是缺乏变更管理以及最新的工业控制系统配置文档和备份。鉴于复杂的工控系统和非正常时段维护需求，当前的文档以及对最新软件的了解至关重要
和配置更改可能有助于减少企业流程中断时间。如果设备被破坏，良好的配置文档和远程存储的备份可能有助于尽快恢复工控系统运行（信息和通信技术卡塔尔，第9页）。
适当的变更管理还要求将工控系统开发和测试环境与运行中的工控系统环境分开。
对运行中系统未经授权和意外更改的威胁很高（信息和通信技术卡塔尔，第9页）。

5.7.4 补丁管理

在信息通信技术领域，一旦发现漏洞，通常会尽快进行修补。而在24/7运行的工业控制系统环境中，则普遍遵循“如果没坏，就不要修理”的理念。此外，工业控制系统制造商和系统集成商通常需要花费较长时间来验证针对底层操作系统或通信软件的补丁是否会影响其工业控制系统应用的正常运行。
随后，系统和工艺工程师还需要评估应用已验证补丁所带来的本地风险，并寻找合适的维护时机来实施补丁。自动应用补丁在大多数情况下并不可行，因为这可能在受控过程的关键时期导致失去控制；只有在某些相对缓慢的过程中（例如废水流动），如果工控系统领域确实支持，才可能考虑采用自动补丁方式。

在工控系统领域中，补丁更新常常导致企业面临业务流程连续性与承担特定网络风险之间的组织性困境（MSB 2014 ，第24页）。也就是说，如果底层操作系统和应用软件仍在支持期内。存在特洛伊木马或蠕虫设法侵入工业控制网络并感染人机界面或其他工控系统应用的底层操作系统的风险。
多个关键基础设施领域的基准显示，目前有三分之一到一半的公用事业企业采取“从不应用补丁”的补丁策略，或仅在工业控制系统制造商或工控系统应用制造商以不再提供支持和保障相威胁时才应用补丁。

工控系统领域的威胁在于，组织暴露窗口期（即从应用补丁到脆弱性被公开的时间）过长，鉴于外部人员蓄意破坏的风险，这种情况极为不利（Pauna 和 Moulinos 2013）。长达数月的组织暴露窗口期屡见不鲜，而工业控制系统最佳实践建议的宽松期限应为7天（Waterschappen，第93页）或15天（ICT Qatar，第 10页）。

另一个令人意外且对组织构成威胁的情况是，某单一工业控制系统制造商的某些软件库和模块被嵌入到市场上众多不同工业控制系统制造商推出的广泛工业控制系统产品中。当此类核心模块被发现存在脆弱性时，所有使用该模块的制造商可能需要很长时间才会分发补丁。转售制造商甚至可能不会向其客户针对此类脆弱性提供补丁。

在CoDeSys控制运行时系统中发现的漏洞就是一个典型例子（Tofino Security 2012年）。工控系统领域的补丁管理是一个由ISA/IEC标准化组织制定良好实践文档的主题（ISA 2015 ）。

5.7.5 恶意软件防护

在信息通信技术领域，通常会运行反恶意软件，这些软件经常自动从互联网获取并应用更新。工业控制系统的反恶意软件解决方案需要处理器和内存容量，但由于工控系统领域中存在老化和遗留的工控系统组件，难以实施。一旦应用，反恶意软件的更新可能会占用工业控制系统过多的处理器和内存资源，导致受控过程的监控与控制出现延迟，甚至暂时中断。

由于这些原因，约有20%的公用事业公司未在其工控系统领域应用反恶意软件解决方案，另有10%的公司存在数周的暴露窗口（Pauna和Moulinos 2013），因为其恶意软件特征码仅在临时或数周后才更新。另一方面，全行业法规可能规定此类更新必须在可用后24小时内完成，例如（Waterschappen 2013，第67页）。
在使用工业控制系统的多个关键基础设施领域的基准测试表明，法规与实践之间确实存在此类差距。对企业构成的风险不容忽视，因为工控系统领域已发生过恶意软件事件，并影响了大规模运营。澳大利亚电网运营商Integral Energy的电网控制中心就曾发生一起险些发生的安全事故：由于控制中心的Windows系统受到恶意软件影响，他们几乎失去了人机界面。若因无法控制电网而导致停电，可能会影响210万家庭（Farrell 2009）。

5.7.6 硬件访问与网络

如上所述，信息通信技术与工控系统部门之间通常存在摩擦和理解不足。由于他们的服务在网络技术层面交汇，工业控制系统部门的关键组件可能由信息通信技术部门控制、维护和升级，而无需通知工控系统运行部门，因为后者仅被视为与财务部门一样的网络用户。这可能导致对完整的工控系统环境失去可视性和失去控制，从而产生影响。

信息通信技术维护人员偶尔需要进入被监控和控制的物理过程所在的房间或建筑物，对网络组件进行物理访问。在此过程中，他们可能无意中拔掉对工控系统领域至关重要的电缆，或意外关闭工业控制系统组件，这对工控系统运行的连续性构成了不容忽视的威胁。此外，信息通信技术维护人员还可能连接未经授权的设备
在忽视所有网络安全程序的情况下，将设备连接到工业控制系统的关键网络元素，例如（WBPF.com 2009）。此类事件甚至已经发生，并且未来很可能继续发生在核电站的关键工控网络中，为何不会发生在您的工业控制网络中？

5.8 工业控制系统环境

最后但同样重要的是，一组外部威胁可能危及受工业控制系统监控和控制的操作，从而对企业、通过依赖关系对关键基础设施、安全性和环境造成重大影响。

5.8.1 物理安全

对工业控制系统进行周密规划时，可能已考虑到组件的物理安全，并仅允许授权人员进行物理访问。然而，在许多设施中，人们对工业控制组件、网络设备和通信线路的物理安全考虑较少，因为没有人有兴趣破坏或操纵污水处理设施、发电厂、饮用水泵站等的工业控制系统。

几年前，在荷兰某处一条自行车道旁的一座泵站就出现了这种疏忽：一扇门未上锁。门后有几台个人电脑，运行着用于远程监控和控制人机界面应用软件，管理着分布在多个圩田中的数十个小型泵站和水闸，这些圩田海拔均低于海平面四到五米。一旦设备被盗，由于明显缺乏资产、备份和配置管理，将导致长时间的严重中断。此外，深夜骑车回家的醉酒青少年可能误入其中，随意操作导致水位变化，从而造成巨大损失。

5.8.2 依赖关系

与所有信息和通信技术一样，应急发电机和电池可以为工业控制系统的持续运行及受控过程提供电力，或实现操作的有序关闭。维护不当的发电机和电池往往在其电力容量真正需要用于工业控制系统和受控物理过程时发生故障。
备用电源故障对主要运行目标的影响可能很大，例如参见（Hrenchir 2015 ）。

工业控制系统设备通常在物理上能够在较宽的湿度和温度范围条件下运行。
随着老旧的专用设备和组件被非工业加固的现成商用工业控制系统所取代
组件，例如网络组件，可能需要为工业控制系统设备采取一些额外的保护措施。此外，由于某些工业控制系统在位于远程位置（如隧道、地下泵站）的房间内运行，人们很容易忽视适当的防雷保护需求。雷电曾损坏过工业控制系统及网络组件，而随着从分立组件转向RTU和PLC中更为敏感的微处理器，这一风险正在增加。

在工业控制系统内部，由于使用了可在场所远处被外部干扰或操纵的技术组件，隐藏着更深层次的依赖关系。第一个例子是工控网络中的精确时间，这种时间越来越多地来自廉价的基于GPS的时钟。英国的一项研究（ Vallance 2012年）表明，不应忽视外部意外或蓄意操纵或暂时失去GPS信号的威胁。GPS干扰设备的价格不到20美元，根据其范围，这些设备可能非常小巧，小到可以轻易隐藏在视线之内，例如一个废弃的饮料罐中。

GPS欺骗设备也可以商业购买。通过欺骗，可以更改GPS接收器输出端的位置和时间，从而影响受控过程。如（ICS‐CERT 2011）所述，各行业的工业控制系统容易受到GPS操纵的影响。

同样，相对廉价的无线通信被引入工控系统领域，以连接传感设备和可编程逻辑控制器，从而避免电缆丛杂。另一个原因可能是，在连续旋转设备（例如废水沉淀池）上，除24伏电源外增加更多电路在技术上不可行，而同时又希望加装现代传感器。此类无线通信容易受到干扰和操纵，成本低廉且实施简单。其中最著名的针对工业控制系统的黑客攻击案例之一是由维特克· 博登发起的、影响亨特水务科技废水系统的攻击事件，导致了多起生态事件，便是一个明证（Smith 2001 ）。

最后但同样重要的是，工业控制系统可能越来越依赖并与其工控系统领域的常规信息与通信服务（如SQL数据库服务）进行交互。有时此类依赖关系并不明显，例如在一家天然气发电厂，由于SQL数据库试用许可证到期，导致所有可编程逻辑控制器停止运行（ N.N. 2015 ）。

5.8.3 现场第三方

系统集成商和工业控制系统维护工程师等第三方可能需要访问工程站、工业控制系统硬件及组件、网络设备以及被监控和控制的设备。由于他们可能无意或有意地破坏工控系统运行，因此存在一系列相关威胁。通常情况下，他们的操作活动并未受到监控，这构成了威胁来源，因为设定值可能被更改，工业控制系统环境中可能发生其他不受控的修改。另一个威胁是，他们可能携带USB设备或笔记本电脑并将其连接到工控系统领域，导致恶意软件感染（例如Finkle 2013），或使用笔记本电脑执行破坏工业控制系统运行的网络活动，甚至建立不受控且未经授权的外部网络连接。

5.8.4 远程访问

向第三方提供用于远程访问工控系统领域的授权需要建立信任。然而，存在第三方在保护其配置信息方面疏忽大意的威胁。
对第三方的信任并不总是有根据的，这一点在某公用事业公司频繁出现服务中断的情况中得到了证实。一段时间后，人们发现这些中断与所谓的必要的“第三方维护活动”存在关联。最终真相大白：该第三方维护工程师将公用事业公司的运行中的ICS系统用作演示现场，向他人展示控制系统的工作原理；在此过程中，他/她更改了设定值和阀门设置。由于他/她粗心地忘记将数值恢复原状，导致公用事业公司的服务在数小时甚至一天后发生故障。

大型制造商、应用提供商和工业控制系统维护公司可能会在全球范围内为多个国家和地区的ICS安装提供全天候的远程支持。他们希望获得即时访问权限，这意味着工业控制网络需要具备外部连接性，以便全球各地制造商支持中心的未知人员能够进行远程认证访问。为了操作方便，这些支持中心倾向于使用“标准”用户名‐密码组合，例如support manuf –support xy，其中xy表示国家或美国州的ISO代码。一旦有人知道了加拿大(CA)的工业控制系统访问方式，就很容易推断出法国、奥地利和印度的相应支持密码。威胁显而易见：当黑客成功侵入一个受工业控制系统控制的设施后，他/她便掌握了全球范围内工业控制系统及其所控制的物理流程的钥匙。然而，要说服制造商或维护公司更改密码，甚至接受由客户控制并定期更换的用户名‐密码组合，仍然十分困难。在公用事业领域的一些合同中，制造商不仅提供了工业控制系统，还保证在若干年内维持最低性能水平，合同中规定客户不得更改制造商的（默认）用户名‐密码访问权限，否则性能合同将无效。

5.9 总结与结论

工业控制系统传统上围绕可靠性和安全性进行设计，网络安全并未被纳入设计和运行考虑因素。在组织的各个层级均存在对网络安全威胁的理解不足。大多数工业控制系统部门向执行层传达其需求，而执行层普遍缺乏理解。信息通信技术（ICT）部门与工业控制系统部门的文化往往存在较大差异。工控系统领域首先关注的是7x24小时工业控制系统受控过程的可用性、可视性和可操作性、过程效率以及安全性。而信息通信技术部门则主要关注与保密性和完整性相关的ICT控制措施，并进而强制要求将这些ICT控制措施严格应用于工控系统领域。
这些控制措施并非最佳或不适用。工控系统操作员、工程师、供应商、系统集成商和维护人员通常未接受过工业控制系统网络安全方面的培训。许多全球工业控制系统黑客事件都源于这一工业控制系统威胁。

工业控制系统硬件的技术老化是一个重大威胁，因为具有有限处理和内存容量的旧技术无法运行当前或未来时代的安全工业控制系统应用程序。威胁源于使旧的工业控制技术与新技术兼容的需求。工业控制组件配备有出厂默认密码。工业控制系统及其协议设计于专有产品和良性封闭环境时期。
安全策略（例如针对U盘的策略）未能得到良好执行，这实际上削弱了封闭环境的物理保护。当前对远程访问、第三方访问以及信息通信技术领域与工控系统领域之间更自由访问的需求和要求，给工业控制系统带来了新的威胁。总体而言，安全措施应当合理，并尽可能减少对日常操作任务的影响。
否则，人员将寻求绕行方法，这无疑会降低组织的整体安全态势。

避免其中一些威胁可以通过采取以下某些措施来实现：
1. 绘制工业控制网络的拓扑图，了解所有连接关系和性能问题。然后将外部连接缩减为单一的、逻辑上严密防护并经过审计的连接；对于较大的安装环境，应将遗留系统置于独立的防火墙隔离网络中。
2. 管理层应建立工业控制系统部门与信息通信技术部门员工之间的信任和相互理解。您需要他们！
3. 获得自上而下的领导力支持，否则任何提升工业控制系统安全性的努力都将徒劳无功。可能需要进行组织变革。
4. 开展威胁风险评估，并以均衡的方式开始管理用户意识、遗留系统、第三方访问和采购等方面的威胁。

您可能感兴趣的与本文相关的镜像