2018年8月3日晚間,臺灣半導體巨頭臺積電突然遭遇了一場大規模病毒襲擊。臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部生產線全數停擺,造成直接經濟損失2.5億美元。這一事件為產業鏈上下游再次敲響了警鐘。其實近些年來,全球重大工業信息安全事件繁發生在電力、水利、交通、核能、制造業等領域,給相關企業造成重大的經濟損失,甚至威脅國家的戰略安全。
2000年,黑客在俄羅斯國營天然氣工業股份公司(Gazprom)內部人員的幫助下突破了該公司的安全防護網絡,通過木馬程序修改了底層控制指令,致使該公司的天然氣流量輸出一度控制在外部用戶手中,對企業和國家造成了巨大的經濟損失。
2000年3月,澳大利亞昆士蘭新建的Maroochy污水處理廠出現故障,無線連接信號丟失,污水泵工作異常,控制系統被一位前工程師通過一臺手提電腦和一個無線發射器侵入,控制了150個污水泵站,前后三個多月,總計有100萬公升的污水未經處理直接經雨水渠排入自然水系,導致當地環境受到嚴重破壞。
2003年,美國俄亥俄州的Davis Besse核電站進行維修時,由于施工商在進行常規維護時,自行搭接對外連接線路,以方便工程師在廠外進行維護工作,結果當私人電腦接入核電站網絡時,將電腦上攜帶的SQL Server蠕蟲病毒傳入核電站網絡,致使核電站的控制網絡全面癱瘓,系統停機將近5小時。
2005年,13家美國汽車廠由于被蠕蟲感染而被迫關閉,50000名生產工人被迫停止工作,直接經濟損失超過140萬美元。
2006年8月,美國Browns Ferry核電站,因其控制網絡上的通信信息過載,導致控制水循環系統的驅動器失效,使反應堆處于“高功率,低流量”的危險狀態,核電站工作人員不得不全部撤離,直接經濟損失達數百萬美元。
2007年,攻擊者入侵加拿大的一個水利SCADA控制系統,通過安裝惡意軟件破壞了用于控制薩克拉門托河河水調度的控制計算機系統。
2008年,攻擊者入侵波蘭LodZ市的城市鐵路系統,用一個電視遙控器改變了軌道扳道器的運行,導致四節車廂脫軌。
2010年6月,德國安全專家發現可攻擊工業控制系統的Suxnet病毒,截止9月底,該病毒感染了全球超過45000個網絡,其中伊朗zui為嚴重,直接造成其核電站推遲發電。
2006至2010年,著名的震網病毒入侵伊朗核工廠長達五年之久,嚴重破壞了伊朗核計劃。
2015年3月發現的“食尸鬼”系列事件中,黑攻擊者使用“鷹眼”RAT感染企業高管電腦、郵件,用來收集企業核心情報、其他有趣信息以及控制賬號等;
2016年美國CDN服務商CloudFlare報告稱,黑客通過“TCP協議發送大規模L3/L4洪流”,使美國西海岸遭受每秒400GB的僵尸網絡攻擊。
2017年“Wanna Cry”勒索病毒肆虐全球,全球工業網絡安全總體風險持續攀升,呈現高危態勢。
由此可見,臺積電病毒事件絕不是單一偶然事件,此時此刻,在我們未知的地點,同樣的病毒事件或許就在悄然發生。
從全球發展趨勢來看,工業控制系統已然成為黑客攻擊和網絡戰的重點目標。工業可編程邏輯控制器(PLC)、分布式控制系統(DCS)、數據采集與監視控制系統(SCADA)以及相關應用軟件均被發現存在大量信息安全漏洞,如西門子(Siemens)、ABB、施耐德(Schneider)、通用電氣(GE)、研華科技(Advantech)及羅克韋爾(Rockwell)等工控系統廠商的產品均被發現包含各種信息安全漏洞。對于廠商漏洞而言,Siemens占比最多,其他廠商占比大致相同主要是Siemens的產品在全球范圍內使用占比較大。
圖 工控行業廠商漏洞數量分布(數據來源: CNVD)
工業控制系統存在的信息安全問題及特點
攻擊點較多。與傳統的病毒入侵模式相比,新型網絡病毒的傳播和擴散更加具有針對性,其中一些病毒的侵入不以減少經濟效益和破壞經濟體系為目的,而是想要借此機會損害關系到國家發展和經濟運行的核心工業系統,例如,在2012年散布的震網病毒以破壞伊朗的核電站結構為核心目的。由此可見,現代工業系統面臨的信息安全風險來自于多個方面,病毒的攻擊點較多且不容易預測和掌握,為此,技術人員需要加大對新型信息安全技術的研究和應用力度。
持續性安全風險逐漸增多。為了攻破防御等級較高的工業系統,不法分子針對高級工業系統進行了深層次的研究,旨在提高病毒的攻擊性和針對性,這些病毒一旦侵入成功將會給工業系統帶來極大的危害和影響。并且,此類攻擊一般具有持久性較強的特征,工業系統面臨的信息安全風險也在逐步增加。
網絡戰爭日漸頻繁。在計算機技術不斷發展的過程中,網絡病毒也在肆意增長,由此引發了國家之間的網絡戰爭,這種網絡戰爭不但會給工業系統的穩定運行造成不利影響,還會威脅到國家網絡體系的安全程度。
工業控制系統信息安全問題應對策略
面臨日益嚴峻的信息安全形勢,針對薄弱的工業控制系統防護現狀,加強信息安全工作迫在眉睫。
國家體系化指導:建立面向工業領域的信息安全技術支撐、產品檢測、檢查評估綜合保障體系,加強人才隊伍建設,為企業加強工業控制系統信息安全提供指導。
國家產業化引導:加快建設仿真測試、持續提升工業信息安全保障能力。推廣安全可靠的工業控制系統信息安全產品及技術,增強自主可控能力和企業信息安全水平。
企業主動配合:按照國家的統一要求,積極開展企業工業控制系統信息安全檢查評估工作,協助國家掌握和提高工業控制系統信息安全防護水平。
企業自發實踐:按照企業的業務發展需求,積極開展工業控制系統信息安全實踐應用,在保障企業安全的同時,協助國家完成工業控制系統信息安全布局。