隨sui著zhe信xin息xi安an全quan被bei提ti升sheng到dao國guo家jia安an全quan的de層ceng麵mian，工gong業ye控kong製zhi係xi統tong作zuo為wei關guan係xi國guo之zhi命ming脈mai的de重zhong要yao體ti係xi，其qi安an全quan防fang禦yu也ye日ri益yi成cheng為wei信xin息xi安an全quan領ling域yu關guan注zhu的de熱re點dian。然ran而er

，與yu傳chuan統tong的de信xin息xi安an全quan相xiang比bi
，工gong控kong係xi統tong安an全quan又you有you其qi獨du特te之zhi處chu。我們又該如何對工控係統安全進行有效防禦？

　　雖sui然ran工gong控kong係xi統tong與yu傳chuan統tong信xin息xi安an全quan有you出chu入ru，但dan普pu通tong網wang絡luo攻gong擊ji的de基ji本ben步bu驟zhou和he方fang法fa其qi實shi同tong樣yang適shi用yong於yu工gong業ye控kong製zhi係xi統tong網wang絡luo，隻zhi不bu過guo由you於yu工gong業ye控kong製zhi係xi統tong網wang絡luo使shi用yong專zhuan門men的de係xi統tong和he協xie議yi，其qi攻gong擊ji步bu驟zhou和he方fang法fa有you一yi定ding的de差cha異yi性xing。

　　所謂“知己知彼

，百戰不殆”，隻有了解了黑客攻擊的步驟和方法
，才能有效采取防禦措施
，保障工業控製係統的網絡安全。

　　信息搜集

　　工業控製係統的網絡、協議和係統都比較特殊，攻擊者要搜集到相關信息並不容易，他們通常會從企業的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業供應商所提供產品的協議規範等入手。

　　遺憾的是，搜集這些信息變得越來越容易。如搜索引擎SHODAN，可以根據端口
、協議、國家和其他條件搜索與互聯網關聯的所有設備。任何使用HTTP、FTP、SSH或Telnet協議的服務器、網絡交換機
、路由器或其他網絡設備都可以被它檢索到，進而輕易找到應用SCADA協xie議yi的de設she備bei。雖sui然ran很hen難nan置zhi辦ban整zheng個ge控kong製zhi係xi統tong來lai實shi施shi逆ni向xiang工gong程cheng，但dan攻gong擊ji者zhe可ke以yi通tong過guo各ge種zhong公gong開kai或huo地di下xia渠qu道dao了le解jie控kong製zhi係xi統tong相xiang關guan設she備bei的de漏lou洞dong和he後hou門men。

　　網絡掃描

　　利用網絡掃描可以通過端口
、協議等信息快速定位SCADA和DCS係統。例如
，如果掃描出某設備的502端口使用的是Modbus協議，那麼可以推斷
，與該設備連接的很可能是HMI係統或某些監管工作站。

　　值zhi得de注zhu意yi的de是shi，很hen多duo工gong業ye控kong製zhi係xi統tong的de網wang絡luo協xie議yi對dui時shi延yan非fei常chang敏min感gan，如ru果guo硬ying掃sao描miao
，很hen可ke能neng導dao致zhi整zheng個ge網wang絡luo癱tan瘓huan。所suo以yi，如ru果guo攻gong擊ji者zhe隻zhi是shi想xiang中zhong斷duan係xi統tong服fu務wu，那na麼me
，隻zhi要yao進jin行xing簡jian單dan的de網wang絡luo掃sao描miao就jiu可ke以yi達da到dao目mu的de；或者

，若掃描發現，實時協議隻受到防火牆的保護

，那麼隻憑基本的黑客技術，實施DOS攻擊就可以奏效。如果攻擊者另有圖謀，那就隻能采取軟掃描方式，以避免係統崩潰。

　　目標係統定位之後
，再根據工業控製係統網絡協議的特點進行後續掃描，就可以獲取相關設備信息。如：可以根據以太網/IP流量識別出關鍵基礎設施保護（CIP）設備及屬性
；可以根據DNP3響應結果發現DNP3的從屬地址；可以通過截取EtherCAT幀信息或SERCOSⅢ主站數據電報得到所有隸屬設備及其時間同步信息。

　　賬戶破解

　　很多工業控製係統是基於Windows的，那些專門破解Windows賬戶信息的方法和工具也可以應用到工業控製係統上。尤其是運行在WindowsOLE和DCOM上的OPC係統，隻要通過主機認證就可以全麵控製OPC環境。如果無法獲得底層協議認證，也可以通過枚舉方式破解控製係統內其他用戶和角色。如HMI用戶
、ICCP服務器憑據(雙向表)、主節點地址（任何主/從工業協議）
、以往數據庫認證信息等。

　　進入HMI，就可以直接控製HMI管理的進程
，並竊取信息；進入ICCP服務器，就可以竊取或操縱控製中心之間的傳輸數據。所以說，從功能上將物理設備和邏輯設備全部隔離到安全區域是非常重要的。NIST800-82(工業控製係統安全防護指南)還建議采用賬戶複合認證方式。有了物理和數字的雙重保護，賬戶就很難破解；也就是說，即使知道了某個用戶名或某個密碼，也很難通過賬戶認證。

　　實施攻擊

　　正(zheng)如(ru)前(qian)麵(mian)所(suo)述(shu)，一(yi)次(ci)簡(jian)單(dan)的(de)網(wang)絡(luo)掃(sao)描(miao)就(jiu)可(ke)以(yi)破(po)壞(huai)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)網(wang)絡(luo)。因(yin)為(wei)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)網(wang)絡(luo)協(xie)議(yi)非(fei)常(chang)敏(min)感(gan)，信(xin)息(xi)流(liu)稍(shao)有(you)變(bian)化(hua)，協(xie)議(yi)就(jiu)會(hui)失(shi)效(xiao)。所(suo)以(yi)，攻(gong)擊(ji)者(zhe)利(li)用(yong)硬(ying)掃(sao)描(miao)來(lai)破(po)壞(huai)係(xi)統(tong)
，利(li)用(yong)軟(ruan)掃(sao)描(miao)來(lai)偵(zhen)測(ce)信(xin)息(xi)。另(ling)外(wai)，也(ye)可(ke)以(yi)通(tong)過(guo)防(fang)火(huo)牆(qiang)實(shi)施(shi)網(wang)絡(luo)掃(sao)描(miao)
，因(yin)為(wei)通(tong)過(guo)防(fang)火(huo)牆(qiang)的(de)開(kai)放(fang)端(duan)口(kou)進(jin)行(xing)分(fen)組(zu)交(jiao)換(huan)更(geng)加(jia)容(rong)易(yi)。一(yi)旦(dan)掃(sao)描(miao)通(tong)過(guo)，黑(hei)客(ke)就(jiu)可(ke)偽(wei)裝(zhuang)合(he)法(fa)通(tong)訊(xun)

，對(dui)控(kong)製(zhi)網(wang)絡(luo)實(shi)施(shi)DOS攻擊。

　　如果攻擊目的是侵入網絡或者潛伏網絡，我們以“震網”（Stuxnet）為例
，了解黑客可能會應用的滲透技術。“震網”是一種專門針對工業控製係統的、基於Windows平台的蠕蟲病毒，它具有多種掃描和滲透機製，能自我複製，傳播能力強，極具隱身性。入侵網絡後，“震網”會根據不同環境做出不同反應
，如在“企業環境”，它會尋找目標HMI
，然後入侵HMI；在“工業環境”，它會感染HMI，尋找目標PLCs
，然後將惡意代碼植入其中；在“運行環境”，它會利用PLC尋找某個帶特定參數運行的IEDs，然後植入代碼，進行破壞活動。

　　簡單來說
，“震網”的攻擊手段可以總結為：以常見的黑客技術發動初次攻擊
；入侵SCADA和DCS後，利用其資源再侵入其他工業控製係統
；對“非路由”係統（如有PLCs和IEDs中組成的總線）
，它也可以進行感染
，並滲透進更深層的工業生產過程中。