行業(yè)概述

自來水廠的自動化生產(chǎn)，主要是指使用工業(yè)控制系統(tǒng)檢測現(xiàn)場水質(zhì)狀況、控制工藝設(shè)備運行（如加藥設(shè)備、水泵機組、機組電氣柜等），實現(xiàn)對現(xiàn)場實時數(shù)據(jù)采集與上傳，工藝電控設(shè)備的順序、條件、計時、計數(shù)控制、PID調(diào)節(jié)控制等功能，并按照工藝要求依次完成混凝反應(yīng)、沉淀處理、過濾處理、濾后消毒、加壓供水等環(huán)節(jié)，最終將純凈衛(wèi)生的自來水可靠地送入千家萬戶的過程。

安全隱患與關(guān)鍵設(shè)備

自來水生產(chǎn)供給行業(yè)最大的安全隱患在于自來水的輸、配送管網(wǎng)線路鋪設(shè)范圍廣，通常采用大量的GPRS無線通訊方式進行管網(wǎng)狀況的數(shù)據(jù)傳輸，傳輸?shù)臄?shù)據(jù)不加密，傳輸?shù)膱笪娜菀妆唤孬@，從而給非法入侵提供了可乘之機。其次，水務(wù)行業(yè)大多時成套系統(tǒng)，生產(chǎn)設(shè)備與控制系統(tǒng)配套使用，嚴(yán)重依賴國外的產(chǎn)品與技術(shù)，部分控制系統(tǒng)存在安全漏洞與固有后門，一旦被黑客利用，后果不堪設(shè)想。

典型安全事件

據(jù)英國《每日郵報》11月21日報道，美國基礎(chǔ)設(shè)施控制體系專家稱，黑客通過一臺位于俄羅斯的電腦入侵了美國伊利諾伊州斯普林菲爾德市（Springfield）的公共供水網(wǎng)絡(luò)系統(tǒng)，毀掉了一個向數(shù)千戶家庭供水的水泵。這是國外黑客首次瞄準(zhǔn)美國工業(yè)設(shè)施網(wǎng)絡(luò)監(jiān)控系統(tǒng)。黑客從一家軟件公司獲得授權(quán)信息，竊取用戶姓名和密碼，約在9月初開始侵入伊利諾伊州首府斯普林菲爾德以西一處農(nóng)村地區(qū)水利控制系統(tǒng)，頻繁開關(guān)一個水泵，直至11月8日馬達報廢，公司職員才發(fā)現(xiàn)水泵的監(jiān)控與數(shù)據(jù)采集系統(tǒng)異常。這次攻擊事件表明，這家美國公司的“監(jiān)控和數(shù)據(jù)采集系統(tǒng)”（SCADA）軟件系統(tǒng)存在漏洞。這種軟件也在核電站、天然氣管道、水壩和火車運行、鉆油平臺等關(guān)鍵設(shè)施中使用。

典型的攻擊方式

遠(yuǎn)程控制攻擊

攻擊者利用別人的計算機隱藏他們真實的IP地址后，尋找在企業(yè)內(nèi)網(wǎng)中且聯(lián)接外網(wǎng)的目標(biāo)主機，通過使用掃描器工具，獲取目標(biāo)主機操作系統(tǒng)、帳戶、WWW、FTP、Telnet 、SMTP等服務(wù)器程式版本等資料，為入侵作好充分的準(zhǔn)備。進而利用社會工程學(xué)、工具和漏洞對賬號進行破解，通過FTP、Telnet等工具利用系統(tǒng)漏洞進入目標(biāo)主機系統(tǒng)獲得控制權(quán)之后，清除記錄并留下后門，以便日后可以再次進入系統(tǒng)。通過類似手法層層向下滲透，直到基礎(chǔ)控制層，最終直接控制DCS系統(tǒng)控制器，造成生產(chǎn)破壞、生產(chǎn)數(shù)據(jù)和工藝流程數(shù)據(jù)被泄露。

U盤攻擊

典型的U盤攻擊主要有三種：

1）USB RUBBER DUCKY：簡稱USB橡皮鴨，是最早的按鍵注入工具，通過嵌入式開發(fā)板實現(xiàn)，后來發(fā)展成為一個完全成熟的商業(yè)化按鍵注入攻擊平臺。它的原理是將USB設(shè)備模擬成為鍵盤，讓電腦識別成為鍵盤，然后進行腳本模擬按鍵進行攻擊。

2）TEENSY：TEENSY是攻擊者在定制攻擊設(shè)備時，向USB設(shè)備中置入一個攻擊芯片，此攻擊芯片是一個非常小而且功能完整的單片機開發(fā)系統(tǒng)。通過TEENSY可以模擬出一個鍵盤和鼠標(biāo)，當(dāng)插入這個定制的USB設(shè)備時，電腦會識別成一個鍵盤，利用設(shè)備中的微處理器與存儲空間和編程進去的攻擊代碼，就可以向主機發(fā)送控制命令，從而完全控制主機，無論自動播放是否開啟，都可以成功。

3）Bad USB：最新出現(xiàn)的一種攻擊手段，不需要進行硬件定制，更具有普遍性。通過對U盤的固件進行逆向重新編程，改寫了U盤的操作系統(tǒng)進行攻擊。惡意代碼存在于U盤的固件中，由于PC上的殺毒軟件無法訪問到U盤存放固件的區(qū)域，因此也就意味著普通殺毒軟件和U盤格式化都無法應(yīng)對BadUSB進行攻擊。

U盤的入侵攻擊通常會給上位機和控制器植入病毒，造成數(shù)據(jù)泄露和文件丟失，導(dǎo)致現(xiàn)場生產(chǎn)異常等情況。

中間人攻擊

中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的計算機放置在網(wǎng)絡(luò)連接中的兩臺通信計算機或上位機與DCS系統(tǒng)控制器之間。當(dāng)兩者通訊時其實由中間人計算機進行轉(zhuǎn)發(fā)，中間人不僅可以監(jiān)聽兩者通訊的內(nèi)容，甚至可以偽造通訊信息轉(zhuǎn)發(fā)給雙方，對雙方進行欺騙從而達到自己的目的。中間人攻擊會造成數(shù)據(jù)泄露、現(xiàn)場上傳數(shù)據(jù)與實際數(shù)據(jù)不符等情況。

水坑攻擊

水坑攻擊是指黑客通過分析企業(yè)內(nèi)部人員的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點，例如工控論壇或供應(yīng)商網(wǎng)站。先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。一旦被攻擊用戶訪問了事先被植入攻擊代碼的網(wǎng)站，并將帶木馬的文件或軟件安裝到現(xiàn)場主機上，木馬病毒就會一邊采集現(xiàn)場數(shù)據(jù)一邊將信息加密并傳輸?shù)紺&C服務(wù)器上。

拓?fù)浣Y(jié)構(gòu)

安全審計設(shè)計

建立專門針對本廠的三中網(wǎng)安智能監(jiān)測審計平臺，可以實現(xiàn)以下目標(biāo)：

（1）可以提供整個控制網(wǎng)絡(luò)的總體運行情況，自動識別網(wǎng)絡(luò)設(shè)備，顯示網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài)，進行網(wǎng)絡(luò)性能綜合分析。?

（2）針對工業(yè)控制系統(tǒng)重要的網(wǎng)絡(luò)節(jié)點或區(qū)域，監(jiān)測所有數(shù)據(jù)包，并對數(shù)據(jù)包進行深度解析，發(fā)現(xiàn)異常或非法操作數(shù)據(jù)包，分析是否有外界入侵或人員誤操作，并對所有異常情況發(fā)出報警，提醒現(xiàn)場操作人員。?

（3）對網(wǎng)絡(luò)中存在的所有活動提供行為審計、內(nèi)容審計，產(chǎn)生完整記錄便于事件追溯。?

入侵防范設(shè)計

針對于工業(yè)控制系統(tǒng)設(shè)備的專業(yè)防護，三中網(wǎng)安工控智能監(jiān)測審計平臺為工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護，并且完整覆蓋了工業(yè)控制系統(tǒng)整個漫長的生命周期。?

智能監(jiān)測審計平臺能夠保障DCS控制器安全，根據(jù)自帶的漏洞特征庫，智能識別出自來水廠控制系統(tǒng)網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包，及時對其進行告警和阻斷，并能為后續(xù)的安全威脅排查提供依據(jù)。?

互聯(lián)接口安全功能設(shè)計

數(shù)據(jù)采集隔離平臺是針對工控系統(tǒng)在數(shù)據(jù)采集過程中進行數(shù)據(jù)交換時遇到的安全難題，并結(jié)合自來水廠的工業(yè)控制系統(tǒng)現(xiàn)狀，進行開放式全方位綜合防御及保護的平臺。數(shù)據(jù)采集隔離平臺可對自來水廠大規(guī)模的無線數(shù)據(jù)采集及與調(diào)度中心通訊過程中可能遇到的數(shù)據(jù)泄露、病毒入侵等威脅提供全方位的監(jiān)測、過濾、報警和阻斷。?

上位機安全防護

工業(yè)控制系統(tǒng)內(nèi)的上位機和服務(wù)器一般具有下列顯著特征：運行時間長；操作系統(tǒng)版本控制混亂；因為不能聯(lián)網(wǎng)而無法進行補丁升級操作；U盤、USB硬盤等便攜式可插拔存儲設(shè)備無法嚴(yán)格管理；運維人員對主機內(nèi)后臺運行的程序不甚了解；沒有安裝專業(yè)的工控防病毒軟件，無法檢測主機是否存在病毒威脅。正是這些嚴(yán)重威脅工業(yè)控制系統(tǒng)整體安全的問題，導(dǎo)致系統(tǒng)內(nèi)的主機成為攻擊者最佳攻擊跳板。??

“工控安全衛(wèi)士”是三中網(wǎng)安依托技術(shù)優(yōu)勢，充分研究、吸收工控網(wǎng)絡(luò)安全攻防技術(shù)的前沿成果，專門為工控主機提供的一款防護產(chǎn)品，實現(xiàn)對工控上位機與工控服務(wù)器全面的安全防護。將防護軟件安裝在所有上位機，即可實現(xiàn)對工業(yè)控制系統(tǒng)主機進行防護的目的。?