近年來，隨著工業控制系統網絡和物聯網環境變得更加開放與多變，工業控制系統則相對變得更加脆弱，工業控制系統的各種網絡攻擊事件日益增多，暴露出工業控制系統在安全防護方面的嚴重不足。工業控制系統的安全性面臨巨大的挑戰。僅僅2018年，就爆發了多次工控安全事件。我們僅以其中比較有代表性的八次典型工控安全事件為例，以此正視工業控制系統所面臨的安全威脅。

　　1、羅克韋爾工控設備曝多項嚴重漏洞

　　2018年3月，思科Talos安全研究團隊發文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列PLC中存在多項嚴重安全漏洞，這些漏洞可用來發起拒絕服務攻擊、篡改設備的配置和梯形邏輯、寫入或刪除內存模塊上的數據等。該系列可編程邏輯控制器被各關鍵基礎設施部門廣泛運用于工業控制系統的執行過程控制，一旦被利用將會導致嚴重的損害。思科Talos團隊建議使用受影響設備的組織機構將固件升級到最新版本，并盡量避免將控制系統設備以及相關系統直接暴露在互聯網中。

　　2、俄黑客對美國核電站和供水設施攻擊事件

　　2018年3月，美國計算機應急準備小組發布了一則安全通告TA18-074A，詳細描述了俄羅斯黑客針對美國某發電廠的網絡攻擊事件。通告稱俄黑客組織通過（1）收集目標相關的互聯網信息和使用的開源系統的源代碼；（2）盜用合法賬號發送魚叉式釣魚電子郵件；（3）在受信任網站插入Java或PHP代碼進行水坑攻擊；（4）利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息；（5）構建基于操作系統和工業控制系統的攻擊代碼發起攻擊。本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關計算機的詳細信息，并在該計算機上保存有關用戶帳戶的信息。此安全事件告誡我們：加強員工安全意識教育和管理是十分必要的，如密碼定期更換且不復用，安裝防病毒軟件并確保及時更新等。

　　3、俄羅斯黑客入侵美國電網

　　2018年7月，一位美國國土安全部官員稱：“我們跟蹤到一個行蹤隱秘的俄羅斯黑客，該人有可能為政府資助組織工作。他先是侵入了主要供應商的網絡，并利用前者與電力公司建立的信任關系輕松侵入到電力公司的安全網絡系統?！?/p>

　　11月30日，火眼的分析員Alex Orleans指出“目前仍然有瞄準美國電網的俄羅斯網絡間諜活動，電網仍然會遭受到不斷的攻擊”，火眼（FireEye）已經識別出一組俄羅斯網絡集團通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進行試探和攻擊。這組黑客依賴于現成黑客工具和自制后門技術的組合，盡管美國的電網已經通過NERC發布的一系列CIP 標準增強了網絡防御能力。但是并不是每一處的電網組成設施都固若金湯，比如部分承包給本地企業的地方電網的網絡防御能力就非常差，這留給了來自俄羅斯（包括伊朗和朝鮮）的網絡黑客們可乘之機。

　　與中國情況不同，美國的電網是由很多獨立的企業管控，在安全性、可控性方面比較弱。入侵者攻擊該系統不受保護的弱點，而數以百計的承包商和分包商毫無防備。所以連美國官方都無法統計有多少企業和供應商被攻擊并蒙受損失。

　　4、臺積電遭勒索病毒入侵，致三個生產基地停擺

　　8月3日晚間，臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部的部分生產設備受到魔窟勒索病毒WannaCry勒索病毒的一個變種感染，具體現象是電腦藍屏，鎖各類文檔、數據庫，設備宕機或重復開機。幾個小時之內，臺積電位于臺中科學園區的Fab 15廠，以及臺南科學園區的Fab 14廠也陸續被感染，這代表臺積電在臺灣北、中、南三處重要生產基地，同步因為病毒入侵而導致生產線停擺。經過應急處置，截止8月5日下午2點，該公司約80%受影響設備恢復正常，至8月6日下午，生產線已經全部恢復生產。損失高達26億。

　　此次事件原因是員工在安裝新設備的過程時，沒有事先做好隔離和離線安全檢查工作，導致新設備連接到公司內部網絡后，病毒快速傳播，并最終影響整個生產線。

　　5、西門子PLC、SCADA等工控系統曝兩個高危漏洞

　　8月7日，西門子發布官方公告稱，其用于SIMATIC STEP7和SIMATIC WinCC產品的TIA Portal（Totally Integrated Automation Portal全集成自動化門戶）軟件存在兩個高危漏洞（CVE-2018-11453和CVE-2018-11454）。影響范圍包括兩款產品V10、V11、V12、V13的所有版本，以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西門子的一款可讓企業不受限制地訪問公司自動化服務的軟件。由于TIA Portal廣泛適用于西門子PLC（如S7-1200、S7-300/400、S7-1500等）、SCADA等工控系統，以上兩個漏洞將對基于西門子產品的工業控制系統環境造成重大風險。據國家工業信息安全發展研究中心監測發現，我國可能受到該漏洞影響的聯網西門子STEP 7、Wincc產品達138個。

　　本次發現的兩個高危漏洞中，CVE-2018-11453可讓攻擊者在得到訪問本地文件系統的權限后，通過插入特制文件實現對TIA Portal的拒絕服務攻擊或執行任意代碼；CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯誤文件權限配置，操縱目錄內的資源（如添加惡意負載等），并在該資源被合法用戶發送到目標設備后實現遠程控制。

　　6、Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發布通報

　　2018年9月，Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發布通報稱， Rockwell的RSLinx Classic軟件存在三個高危漏洞（CVE-2018-14829、CVE-2018-14821和CVE-2018-14827），影響范圍包括RSLinx Classic 4.00.01及之前版本，一旦被成功利用可能實現任意代碼執行甚至導致設備系統崩潰。

　　RSLinx Classic是一款Rockwell開發的專用工業軟件，用于實現對Rockwell相關設備、網絡產品的統一配置管理，具有數據采集、控制器編程、人機交互等功能，廣泛應用于能源、制造、污水處理等領域。

　　這三個高危漏洞的利用方式都是通過44818端口進行遠程攻擊或破壞，其中CVE-2018-14829為基于棧的緩沖區溢出漏洞，攻擊者可以通過發送含有惡意代碼的數據包，實現在主機上的任意代碼執行、讀取敏感信息或導致系統崩潰等；CVE-2018-14821為基于堆的緩沖區溢出漏洞，攻擊者可以通過發送含有惡意代碼的數據包，導致應用程序終止運行；CVE-2018-14827為資源耗盡漏洞，攻擊者可以通過發送特制的Ethernet/IP數據包，導致應用程序崩潰。

　　7、意大利石油與天然氣開采公司Saipem遭受網絡攻擊

　　12月10日，意大利石油與天然氣開采公司Saipem遭受網絡攻擊，主要影響了其在中東的服務器，包括沙特阿拉伯、阿拉伯聯合酋長國和科威特，造成公司10%的主機數據被破壞。Saipem發布公告證實此次網絡攻擊的罪魁禍首是Shamoon惡意軟件的變種。

　　公告顯示，Shamoon惡意軟件襲擊了該公司在中東，印度等地的服務器，導致數據和基礎設施受損，公司通過備份緩慢的恢復數據，沒有造成數據丟失，此次攻擊來自印度金奈，但攻擊者的身份尚不明確。

　　Shamoon主要“功能”為擦除主機數據，并向受害者展示一條消息，通常與政治有關，另外Shamoon還包括一個功能完備的勒索軟件模塊擦拭功能。攻擊者獲取被感染計算機網絡的管理員憑證后，利用管理憑證在組織內廣泛傳播擦除器。然后在預定的日期激活磁盤擦除器，擦除主機數據。

　　8、施耐德聯合ICS-CERT發布高危漏洞

　　2018年12月，施耐德電氣有限公司（Schneider Electric SA）和CNCERT下屬的工業互聯網安全應急響應中心ICS-CERT發布通報稱，Modicon M221全系PLC存在數據真實性驗證不足高危漏洞（CVE-2018-7798），一旦被成功利用可遠程更改PLC的IPv4配置致使通信異常。

　　Modicon M221全系PLC是施耐德電氣有限公司所設計的可編程邏輯控制器，可通過以太網和Modbus協議進行網絡通訊。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS協議的網絡配置模塊實現不合理，未對數據真實性進行充分驗證，導致攻擊者可遠程更改IPv4配置參數，例如IP地址、子網掩碼和網關等，從而攔截目標PLC的網絡流量。

　　縱觀整個2018年，各類威脅數據持續上升。但是幸運的是，政產學研各界已經紛紛意識到工控系統網絡安全的重要性，并采取措施加強預警，爭取防患于未然。工業互聯網在國內的推進無論從國家政策層面還是企業實際落地層面都得到了積極的重視，而對工業互聯網的信息安全保障也是一樣的，伴隨著國家“互聯網+制造業”等政策的不斷推進落實，工業互聯網的推進速度必將不斷加快，工控安全行業任重而道遠。