工業(yè)控制系統(tǒng)信息安全大事件

據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計(jì)，截止到2011年10月，全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。2001年后，通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使針對(duì)工業(yè)控制系統(tǒng)（ICS）的病毒、木馬等攻擊行為大幅度增長，結(jié)果導(dǎo)致整體控制系統(tǒng)的故障，甚至惡性安全事故，對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。比如伊朗核電站的震網(wǎng)病毒事件，給全球工業(yè)界控制系統(tǒng)的信息安全問題敲響了警鐘。工控系統(tǒng)信息安全的需求變得更加迫切。

我國工控領(lǐng)域的安全可靠性問題突出，工控系統(tǒng)的復(fù)雜化、IT化和通用化加劇了系統(tǒng)的安全隱患，潛在的更大威脅是我國工控產(chǎn)業(yè)綜合競爭力不強(qiáng)，嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)受制于國外，缺乏自主的通信安全、信息安全、安全可靠性測試等標(biāo)準(zhǔn)。工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強(qiáng)與國計(jì)民生緊密相關(guān)的多個(gè)重點(diǎn)領(lǐng)域內(nèi)工業(yè)控制系統(tǒng)信息安全管理。事實(shí)告訴我們，只有做到居安思危、未雨綢繆，才能保證工業(yè)控制系統(tǒng)健康穩(wěn)定地運(yùn)行。

·2007年，攻擊者入侵加拿大一個(gè)水利SCADA控制系統(tǒng)，破壞了取水調(diào)度的控制計(jì)算機(jī)

·2008年，攻擊者入侵波蘭某城市地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，致四節(jié)車廂脫軌

·2010年，西門子首次監(jiān)測到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒，也稱為震網(wǎng)病毒

·2010年，伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒，嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營

·2011年，黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)，使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞

·2011年，微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報(bào)數(shù)據(jù)

·2012年，兩座美國電廠遭USB病毒攻擊，感染了每個(gè)工廠的工控系統(tǒng)，可被竊取數(shù)據(jù)

·2012年，發(fā)現(xiàn)攻擊多個(gè)中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息。

我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker病毒，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。

2011年9月29日，工信部特編制下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)［2011］451號(hào)）》文件。明確指出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢，要求切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。

信息安全成為企業(yè)的焦點(diǎn)

如果以前不確定，那么參加了信息安全會(huì)議之后，現(xiàn)在你應(yīng)該足以相信，社會(huì)上確實(shí)有這樣一些人，他們不但沒有為所做的壞事對(duì)公司或個(gè)人造成傷害而愧疚，甚至幸災(zāi)樂禍。在信息安全的話題上，我們不得不要預(yù)防對(duì)工業(yè)控制和自動(dòng)化系統(tǒng)的威脅。

關(guān)鍵的工業(yè)流程和基礎(chǔ)設(shè)施，諸如石油、化工、電力、交通、通信等，這些關(guān)系到國計(jì)民生的重要地方，隨時(shí)都面臨著安全威脅。霍尼韋爾（Honeywell）收購美特利康（Matrikon）就明確顯示了過程控制供應(yīng)商和他們的用戶正在面臨這樣的威脅。請(qǐng)不要忘記發(fā)生在工業(yè)控制系統(tǒng)中最知名的攻擊：“震網(wǎng)”蠕蟲通過外圍設(shè)備U盤，侵入控制網(wǎng)絡(luò)，更改PLC中的程序和數(shù)據(jù)，對(duì)伊朗的核設(shè)施造成了嚴(yán)重的破壞。

蓄意的攻擊和意外的事故，輕者會(huì)造成設(shè)備的停機(jī)，重者會(huì)造成人員傷亡和環(huán)境破壞的后果。例如：聯(lián)合化工子公司山東新泰聯(lián)合化工有限公司在2011年11月19日所發(fā)生的安全事故，導(dǎo)致該子公司全面進(jìn)入停產(chǎn)狀態(tài)。已有14人死亡，5人受傷。2011年日本福島核能電廠發(fā)生的核輻射事故，漏出的放射量是遭到原子彈轟炸時(shí)廣島的一百六十八倍。我們還可以列舉很多這樣的例子，但對(duì)于普通公眾，不一定意識(shí)到問題的嚴(yán)重性。

網(wǎng)絡(luò)攻擊可能來自多種原因；黑客，職業(yè)罪犯，遭公司解雇或?qū)静粷M而離開的員工，企圖傷害公司信譽(yù)或盜竊公司機(jī)密的競爭對(duì)手。攻擊有時(shí)候是明顯的，你能發(fā)現(xiàn)某些地方出了問題，有時(shí)候是隱秘的，如某人潛入一臺(tái)控制器、PC或通信設(shè)備中，偷聽會(huì)話，竊取數(shù)據(jù)，甚至進(jìn)行破壞操作。這種威脅比千年蟲的威脅要大的多，因?yàn)閅2K的背后沒有犯罪和政治動(dòng)機(jī)。

IEC從2009年起發(fā)布IEC62443標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的標(biāo)題是：工業(yè)通信網(wǎng)絡(luò)－網(wǎng)絡(luò)和系統(tǒng)的信息安全（Industrialcommunicationnetworks–Networkandsystemsecurity）。該標(biāo)準(zhǔn)為系列標(biāo)準(zhǔn)，有些部分已經(jīng)完成發(fā)布，有些部分編寫工作正在進(jìn)行，今后會(huì)不斷推出。流程工業(yè)將是第一批采用這些標(biāo)準(zhǔn)的行業(yè)。據(jù)保守的估計(jì)，對(duì)大型分布式控制系統(tǒng)（DCS）實(shí)施信息安全比可編程控制器（PLC）系統(tǒng)要容易得多，因?yàn)樗鼈兌鄶?shù)部署在大型廠內(nèi)，且DCS系統(tǒng)的設(shè)計(jì)安裝要依據(jù)最佳工程實(shí)踐，有一致性的標(biāo)準(zhǔn)和驗(yàn)收流程。而多數(shù)安裝在工廠的PLC系統(tǒng)，則沒有統(tǒng)一的設(shè)計(jì)、規(guī)劃、實(shí)施和驗(yàn)收，因?yàn)橘徺I金額相對(duì)較小，安裝和調(diào)試的管理相對(duì)簡單粗狂，因此留下諸多隱患。

為了防止網(wǎng)絡(luò)攻擊，信息安全項(xiàng)目需要一種有效和切實(shí)可行的機(jī)制，包括人員、規(guī)程和技術(shù)。我們不能指望多數(shù)制造商很快就對(duì)他們的自動(dòng)化系統(tǒng)實(shí)施網(wǎng)絡(luò)信息安全項(xiàng)目。對(duì)信息安全的理解和從成功的案例中學(xué)習(xí)也需要時(shí)間。重要的是我們不能有僥幸的想法，總認(rèn)為網(wǎng)絡(luò)信息安全的問題不可能在我這里出現(xiàn)。我們需要積極地面對(duì)當(dāng)前的形勢，認(rèn)真研究和討論IEC62443標(biāo)準(zhǔn)，檢查工廠的自動(dòng)化系統(tǒng)，對(duì)工廠整體的運(yùn)行情況進(jìn)行評(píng)估，發(fā)現(xiàn)可能存在的隱含漏洞，和你的團(tuán)隊(duì)一起討論信息安全策略和解決方案，這不僅能提高工廠運(yùn)行的效率，而且隨時(shí)防止有一天可能出現(xiàn)的網(wǎng)絡(luò)攻擊，保護(hù)工廠的資產(chǎn)、人員和環(huán)境。

黑客如何攻擊工控系統(tǒng)網(wǎng)絡(luò)

網(wǎng)絡(luò)攻擊的基本步驟和方法同樣適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)；不過，由于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)使用專門的系統(tǒng)和協(xié)議，其攻擊步驟和方法也有一定的差異性。

1、信息搜集

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)、協(xié)議和系統(tǒng)都比較特殊，攻擊者要搜集到相關(guān)信息并不容易，他們通常會(huì)從企業(yè)的公開信息、輪班時(shí)間表、合作服務(wù)和貿(mào)易往來，尤其是企業(yè)供應(yīng)商所提供產(chǎn)品的協(xié)議規(guī)范等入手。

遺憾的是，搜集這些信息變得越來越容易。如搜索引擎SHODAN，可以根據(jù)端口、協(xié)議、國家和其他條件搜索與互聯(lián)網(wǎng)關(guān)聯(lián)的所有設(shè)備。任何使用HTTP、FTP、SSH或Telnet協(xié)議的服務(wù)器、網(wǎng)絡(luò)交換機(jī)、路由器或其他網(wǎng)絡(luò)設(shè)備都可以被它檢索到，進(jìn)而輕易找到應(yīng)用SCADA協(xié)議的設(shè)備。雖然很難置辦整個(gè)控制系統(tǒng)來實(shí)施逆向工程，但攻擊者可以通過各種公開或地下渠道了解控制系統(tǒng)相關(guān)設(shè)備的漏洞和后門。

2、網(wǎng)絡(luò)掃描

利用網(wǎng)絡(luò)掃描可以通過端口、協(xié)議等信息快速定位SCADA和DCS系統(tǒng)。例如，如果掃描出某設(shè)備的502端口使用的是Modbus協(xié)議，那么可以推斷，與該設(shè)備連接的很可能是HMI系統(tǒng)或某些監(jiān)管工作站。

值得注意的是，很多工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議對(duì)時(shí)延非常敏感，如果硬掃描，很可能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。所以，如果攻擊者只是想中斷系統(tǒng)服務(wù)，那么，只要進(jìn)行簡單的網(wǎng)絡(luò)掃描就可以達(dá)到目的；或者，若掃描發(fā)現(xiàn)，實(shí)時(shí)協(xié)議只受到防火墻的保護(hù)，那么只憑基本的黑客技術(shù)，實(shí)施DOS攻擊就可以奏效。如果攻擊者另有圖謀，那就只能采取軟掃描方式，以避免系統(tǒng)崩潰。

目標(biāo)系統(tǒng)定位之后，再根據(jù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議的特點(diǎn)進(jìn)行后續(xù)掃描，就可以獲取相關(guān)設(shè)備信息。如：可以根據(jù)以太網(wǎng)／IP流量識(shí)別出關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）設(shè)備及屬性；可以根據(jù)DNP3響應(yīng)結(jié)果發(fā)現(xiàn)DNP3的從屬地址；可以通過截取EtherCAT幀信息或SERCOSⅢ主站數(shù)據(jù)電報(bào)得到所有隸屬設(shè)備及其時(shí)間同步信息。

3、賬戶破解

很多工業(yè)控制系統(tǒng)是基于Windows的，那些專門破解Windows賬戶信息的方法和工具也可以應(yīng)用到工業(yè)控制系統(tǒng)上。尤其是運(yùn)行在WindowsOLE和DCOM上的OPC系統(tǒng)，只要通過主機(jī)認(rèn)證就可以全面控制OPC環(huán)境。如果無法獲得底層協(xié)議認(rèn)證，也可以通過枚舉方式破解控制系統(tǒng)內(nèi)其他用戶和角色。如HMI用戶、ICCP服務(wù)器憑據(jù)（雙向表）、主節(jié)點(diǎn)地址（任何主／從工業(yè)協(xié)議）、以往數(shù)據(jù)庫認(rèn)證信息等。

進(jìn)入HMI，就可以直接控制HMI管理的進(jìn)程，并竊取信息；進(jìn)入ICCP服務(wù)器，就可以竊取或操縱控制中心之間的傳輸數(shù)據(jù)。所以說，從功能上將物理設(shè)備和邏輯設(shè)備全部隔離到安全區(qū)域是非常重要的。NIST800－82（工業(yè)控制系統(tǒng)安全防護(hù)指南）還建議采用賬戶復(fù)合認(rèn)證方式。有了物理和數(shù)字的雙重保護(hù)，賬戶就很難破解；也就是說，即使知道了某個(gè)用戶名或某個(gè)密碼，也很難通過賬戶認(rèn)證。

4、實(shí)施攻擊

正如前面所述，一次簡單的網(wǎng)絡(luò)掃描就可以破壞工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。因?yàn)楣I(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議非常敏感，信息流稍有變化，協(xié)議就會(huì)失效。所以，攻擊者利用硬掃描來破壞系統(tǒng)，利用軟掃描來偵測信息。另外，也可以通過防火墻實(shí)施網(wǎng)絡(luò)掃描，因?yàn)橥ㄟ^防火墻的開放端口進(jìn)行分組交換更加容易。一旦掃描通過，黑客就可偽裝合法通訊，對(duì)控制網(wǎng)絡(luò)實(shí)施DOS攻擊。

如果攻擊目的是侵入網(wǎng)絡(luò)或者潛伏網(wǎng)絡(luò)，我們以“震網(wǎng)”（Stuxnet）為例，了解黑客可能會(huì)應(yīng)用的滲透技術(shù)。“震網(wǎng)”是一種專門針對(duì)工業(yè)控制系統(tǒng)的、基于Windows平臺(tái)的蠕蟲病毒，它具有多種掃描和滲透機(jī)制，能自我復(fù)制，傳播能力強(qiáng)，極具隱身性。入侵網(wǎng)絡(luò)后，“震網(wǎng)”會(huì)根據(jù)不同環(huán)境做出不同反應(yīng)，如在“企業(yè)環(huán)境”，它會(huì)尋找目標(biāo)HMI，然后入侵HMI；在“工業(yè)環(huán)境”，它會(huì)感染HMI，尋找目標(biāo)PLCs，然后將惡意代碼植入其中；在“運(yùn)行環(huán)境”，它會(huì)利用PLC尋找某個(gè)帶特定參數(shù)運(yùn)行的IEDs，然后植入代碼，進(jìn)行破壞活動(dòng)。

簡單來說，“震網(wǎng)”的攻擊手段可以總結(jié)為：以常見的黑客技術(shù)發(fā)動(dòng)初次攻擊；入侵SCADA和DCS后，利用其資源再侵入其他工業(yè)控制系統(tǒng)；對(duì)“非路由”系統(tǒng)（如有PLCs和IEDs中組成的總線），它也可以進(jìn)行感染，并滲透進(jìn)更深層的工業(yè)生產(chǎn)過程中。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的九大誤區(qū)

近年來，由于能源需求持續(xù)增長、管理模式不斷變化以及對(duì)信息通訊技術(shù)（ICT）的廣泛應(yīng)用，工業(yè)控制系統(tǒng)正在經(jīng)受一場快速而深刻的變革。原本相對(duì)簡單、相對(duì)獨(dú)立的工控系統(tǒng)正在向自動(dòng)化、信息化和網(wǎng)絡(luò)化發(fā)展。雖然工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題已經(jīng)引起很多國家和權(quán)威機(jī)構(gòu)的高度重視，但是對(duì)相關(guān)企業(yè)和從業(yè)者來說，仍是一個(gè)很新的領(lǐng)域，工作上還存在著很多誤區(qū)。

誤區(qū)一：工業(yè)控制系統(tǒng)（ICS）是與外界隔離的

實(shí)際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場分析、財(cái)務(wù)計(jì)劃等信息管理系統(tǒng)。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu)，與外界完全隔離幾乎不可能。另外，維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦也會(huì)打破系統(tǒng)與外界的隔離，打開網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門。

事實(shí)證明，不管多嚴(yán)格的隔離措施也會(huì)有隱患發(fā)生。2003年Davis－Besse核電站被Slammer蠕蟲病毒侵入；2006年13家Daimler－Chrysler汽車企業(yè)因感染Zotob蠕蟲病毒被迫停工；2008年有超過千萬臺(tái)的設(shè)備，包括所謂隔離了的設(shè)備，受到Conficker蠕蟲病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國宇航局證實(shí)其國際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。

誤區(qū)二：沒有人會(huì)襲擊我們

上個(gè)世紀(jì)，雖然有些零星事件發(fā)生，公眾對(duì)ICS網(wǎng)絡(luò)安全問題并沒有足夠認(rèn)識(shí)。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報(bào)道之后，人們才意識(shí)到ICS系統(tǒng)一旦受襲擊有可能造成嚴(yán)重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)（SCADA）受到攻擊，導(dǎo)致800，000升污水直接排放到環(huán)境中。

另外，ICS系統(tǒng)并不是堅(jiān)不可摧。2006年以來，美國計(jì)算機(jī)應(yīng)急響應(yīng)小組對(duì)外公布的ICS系統(tǒng)安全漏洞越來越多。2009底其數(shù)據(jù)庫顯示的24條SCADA相關(guān)漏洞都是已經(jīng)預(yù)警的，而且，主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法。

越來越多的跡象表明，ICS系統(tǒng)已經(jīng)受到黑客、政治對(duì)手、不滿的員工或犯罪組織等各類攻擊者的目標(biāo)關(guān)注。

誤區(qū)三：黑客不懂我們的協(xié)議／系統(tǒng)，系統(tǒng)非常安全

實(shí)際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件（COTS）和IT技術(shù)；除開某些特殊環(huán)境，大部分通訊采用的是以太網(wǎng)和TCP／IP協(xié)議；ICS、監(jiān)控站以及嵌入式設(shè)備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過智能能源參考架構(gòu)（SERA）打進(jìn)電力行業(yè)，意圖將微軟技術(shù)安插到未來智能電網(wǎng)架構(gòu)的核心中。

那些特殊環(huán)境采用的內(nèi)部協(xié)議其實(shí)也有公開的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標(biāo)準(zhǔn)中都可以找到。象Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細(xì)說明，其內(nèi)容也早已被黑客圈子熟知。

另外，由于ICS設(shè)備功能簡單、設(shè)計(jì)規(guī)范，只需少許計(jì)算機(jī)知識(shí)和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護(hù)特征。甚至某些應(yīng)急工具都可以自動(dòng)完成逆向工程。

即使經(jīng)過加密處理的協(xié)議也可以實(shí)施逆向工程。例如，GSM手機(jī)全球系統(tǒng)、繳費(fèi)終端及汽車點(diǎn)火裝置的射頻信號(hào)、DVD反復(fù)制保護(hù)機(jī)制，他們都采用專門的加密技術(shù)，但最終都被破解。

誤區(qū)四：ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了；我們的防火墻會(huì)自動(dòng)提供保護(hù)等

認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一（系統(tǒng)是隔離的）和誤區(qū)三（黑客不了解系統(tǒng)）有關(guān)。實(shí)際上，除了Window平臺(tái)易受攻擊，Unix／Linux都有過病毒或跨平臺(tái)病毒攻擊的經(jīng)歷。Proof－of－concept病毒則是專門針對(duì)SCADA和AMI系統(tǒng)的。所以對(duì)ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時(shí)更新。

那么，有了防病毒軟件是否就高枕無憂了？雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對(duì)更隱蔽或鮮為人知的病毒的防御還遠(yuǎn)遠(yuǎn)不夠。而且，防病毒軟件本身也有弱點(diǎn)存在。從最近一次安全會(huì)議得知，在對(duì)目前使用最多的7個(gè)防病毒軟件進(jìn)行防病毒能力挑戰(zhàn)時(shí)，有6個(gè)可以在2分鐘內(nèi)被攻破。

另外，雖然防火墻也是應(yīng)用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設(shè)置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設(shè)置規(guī)則比較復(fù)雜，目前80％的防火墻都沒有正確配置，都沒有真正起到安全防護(hù)的作用。

誤區(qū)五：網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行

事實(shí)證明，ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行，還可能導(dǎo)致嚴(yán)重后果。前面提到的澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件就是一例；2003年Davis－Besse核電站因Slammer蠕蟲病毒入侵導(dǎo)致系統(tǒng)計(jì)算機(jī)停機(jī)6小時(shí)以上；2007年美國愛達(dá)荷國家實(shí)驗(yàn)室一臺(tái)為13．8KV網(wǎng)格測試臺(tái)供電的柴油發(fā)電機(jī)因網(wǎng)絡(luò)攻擊而被毀；2008年Hatch核電廠一工程師在數(shù)據(jù)采集服務(wù)器上測試軟件更新時(shí)，在其不知情的情況下，測試值被供應(yīng)商軟件同步設(shè)置到生產(chǎn)系統(tǒng)上，結(jié)果導(dǎo)致反應(yīng)堆自動(dòng)停機(jī)事故。另外，攻擊者也會(huì)想法設(shè)法接近ICS設(shè)備，如將攜有惡意軟件的U盤以禮相送；或是向收集到的目標(biāo)企業(yè)工作人員郵寄地址發(fā)送電子郵件，一旦郵件內(nèi)鏈接被打開，惡意軟件就會(huì)下載到工作站。攻擊者聲稱，通過這些惡意軟件，他們可以全面控制工作站和SCADA系統(tǒng)。

誤區(qū)六：ICS組件不需要特別的安全防護(hù)，供應(yīng)商會(huì)保證產(chǎn)品的安全性

人們能夠理解ICS系統(tǒng)核心組件（如數(shù)據(jù)庫、應(yīng)用軟件、服務(wù)器等）安全性的重要，但常常會(huì)忽視ICS系統(tǒng)外圍組件（如傳感器、傳動(dòng)器、智能電子設(shè)備、可編程邏輯控制器、智能儀表、遠(yuǎn)程終端設(shè)備等）的安全防護(hù)。其實(shí)這些外圍設(shè)備很多都內(nèi)置有與局域網(wǎng)相聯(lián)的網(wǎng)絡(luò)接口，采用的也是TCP／IP協(xié)議。這些設(shè)備運(yùn)行時(shí)可能還有一些調(diào)試命令，如telnet和FTP等，未及時(shí)屏蔽。這種情況在網(wǎng)絡(luò)服務(wù)器上也很常見。網(wǎng)絡(luò)服務(wù)器一般隱含有一項(xiàng)特殊功能，即允許用戶通過定位某個(gè)網(wǎng)址重新啟動(dòng)遠(yuǎn)程終端設(shè)備（RTU）。

用戶通常以為供應(yīng)商會(huì)對(duì)他們產(chǎn)品的缺陷和安全性了如指掌，實(shí)際上供應(yīng)商對(duì)他們產(chǎn)品的認(rèn)識(shí)僅限于產(chǎn)品所能提供的功能方面，而且對(duì)出現(xiàn)的安全問題也做不到快速響應(yīng)。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通訊協(xié)議（WonderwareSuitlink）存在漏洞后，立即聯(lián)系了供應(yīng)商Wonderware，但是Wonderware1個(gè)月后才開始回應(yīng)；等到Wonderware認(rèn)識(shí)到產(chǎn)品缺陷，并知會(huì)Suitlink用戶相關(guān)補(bǔ)救措施時(shí)，已是三個(gè)月以后的事了。這件事讓很多供應(yīng)商開始關(guān)注自己產(chǎn)品的安全性，但對(duì)大部分供應(yīng)商來說，還是任重道遠(yuǎn)。

誤區(qū)七：ICS系統(tǒng)的接入點(diǎn)容易控制

ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn)，如維護(hù)用的手提電腦可以直接和ICS網(wǎng)絡(luò)聯(lián)接、可不經(jīng)過防火墻的接入點(diǎn)、遠(yuǎn)程支持和維護(hù)接入點(diǎn)、ICS設(shè)備和非ICS設(shè)備的連接點(diǎn)、ICS網(wǎng)絡(luò)設(shè)備中的可接入端口等。實(shí)際上，ICS系統(tǒng)的所有者并不知曉有多少個(gè)接入點(diǎn)存在以及有多少個(gè)接入點(diǎn)正在使用，也不知道個(gè)人可以通過這種方式訪問ICS系統(tǒng)。

誤區(qū)八：系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決

以前，ICS系統(tǒng)功能簡單，外部環(huán)境穩(wěn)定，現(xiàn)場維護(hù)設(shè)備也非智能型，所以，針對(duì)某一問題的解決方案可以維持很長一段時(shí)間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復(fù)雜，外部環(huán)境經(jīng)常變化，現(xiàn)場維護(hù)設(shè)備也需要定期更新和維護(hù)。不僅ICS系統(tǒng)和現(xiàn)場維護(hù)設(shè)備需要安全防護(hù)，其管理和維護(hù)工作也需要安全防護(hù)，而且是動(dòng)態(tài)管理的安全防護(hù)，即一旦有新的威脅或漏洞產(chǎn)生，就要及時(shí)采取安全措施。

近些年，雖然ICS項(xiàng)目建設(shè)開始關(guān)注系統(tǒng)安全，但是由于工期較長，通常在最后階段才開始考慮安全防護(hù)問題，但此時(shí)不僅實(shí)施不易，而且成本頗高。因?yàn)樾枨笞兏酵砘蚵┒窗l(fā)現(xiàn)越遲，更改或彌補(bǔ)的費(fèi)用越高。

誤區(qū)九：單向通信100％安全

某些情況下，極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)域聯(lián)接。但是，這種聯(lián)接方式是很不嚴(yán)密的，其安全程度高低取決于單向通信的實(shí)現(xiàn)方式。方式一為限制發(fā)起方方式，即通信只能由某一方發(fā)起，然后雙方可以互相通信；方式二為限制負(fù)載流方式，即在方式一基礎(chǔ)上，對(duì)方只能發(fā)送控制信號(hào)，不能發(fā)送數(shù)據(jù)或應(yīng)用信息；方式三最嚴(yán)格，僅允許一方發(fā)送信息，不允許另一方發(fā)送任何信息。方式一采用基本防火墻就能實(shí)現(xiàn)，方式二需要進(jìn)行信息包檢測，方式三需要采用特殊設(shè)備實(shí)現(xiàn)。通常認(rèn)為，將前兩種方式結(jié)合起來將是最安全的防護(hù)措施。但是，即使它們可以提供很強(qiáng)的安全保護(hù)，網(wǎng)絡(luò)攻擊還是有可能發(fā)生。因?yàn)榭刂坪托盘?hào)信息允許進(jìn)入受保護(hù)區(qū)域，經(jīng)過設(shè)備編譯后，惡意代碼就有可能得到運(yùn)行。所以，單向通信并不能提供100％的安全保護(hù)。