像癌症一样传播：世界首个PLC病毒问世工控网络安全成网络空间对抗的重要战场

■ 文 / 彭 华

像癌症一样传播：世界首个PLC病毒问世工控网络安全成网络空间对抗的重要战场

■ 文 / 彭 华

工控网络安全技术是衡量一个国家综合实力的重要组成部分，是国家安全的重要命题，也是信息安全与工业自动化的跨学科的集成，涉及到国家安全、经济安全、民生安全，是新经济时代一个基础性的、亟待解决的问题，需要各级政府部门、各行业一起来加速推动。

当人人都在说互联网时代的时候，这是一个好的时代，也是一个坏的时代。近十多年，互联网的发展不断突破现实与虚拟的边界，而这个世界，早已运行着，一个更大更久远的极具潜力的O2O的体系——工业。

2010年的“震网”病毒，不仅把网震了，也震惊了全世界。现实世界的精准打击，在网络上得到复制。工业世界不是网络虚拟世界，就是一个现实世界。如果一个电站被攻破，电网可能因为一个节点的损坏而造成全局破坏；如果化工厂的生产流程工艺被入侵，剧毒原料外泄，一座城市的居民就会有生命危险，于是工控安全就尤其重要了。

最近半年来发生的工控安全事件，如乌克兰电厂，已证明工控安全形势岌岌可危，甚至个人都可以发起对关键基础设施的毁灭性打击。应对这种攻击，需要替换西门子S7 1200可编程控制器中的硬件，以能够检测到更高的频率，并且在作动器(actuator)和PLC周围安装低通滤波器。这种需要实施硬件的更新换代的应对，成本非常之高，而这对于庞大陈旧的工控系统来说，代价之大难以想象。工控安全已成为工业互联网暗处的冰山。

世界首个PLC病毒问世

据外媒报道，日前，世界首个PLC病毒，即工控蠕虫病毒问世，它能够对关键基础设施产生灾难性的后果，通过制造指数级增长的攻击，而且难以检测和制止。所幸的是，它现在还只是个POC（概念验证）。

这个POC已经被两起独立的研究测试证实，能够以静默模式实现端到端的攻击。有人会说，震网不就是工控病毒吗？话虽这样说，但震网之类的工控恶意软件，包括“黑色能量”等要依赖于一台被感染的计算机才能传播并感染PLC（可编程控制器），也就是说把被感染的计算机移除即可制止病毒的传播。

开发出这个真正工控蠕虫POC的两位研究人员，Spenneberg（斯班伯格）和Brüggeman（布鲁格曼）表示，该病毒可以在西门子 S7 1200 可编程控制器之间像癌症一样的扩散，并在改编之后作用于其他系统。而且还可以在代理链接中使用，作为立足点以进入基础设施的网络系统。

这是第一个无需借助PC或其他系统，即可实现在PLC之间进行传播的蠕虫病毒。想象一下，如果你的工控系统中的一台PLC被感染，你是很难检测到的，而且很快它就能扩散到整个系统中。

“利用这个病毒，可以发起拒绝服务，停止PLC的工作等等，我们都知道这对大型工厂或关键基础设施意味着什么。”两位研究人员制作了一个仿真电厂构造来演示蠕虫的攻击过程。随着蠕虫在PLC之间的跳跃，LED灯在150毫秒的最大时间周期内闪烁后熄灭。

更加可怕的是，这种蠕虫攻击还可以被PLC产生的电波频率和振幅所掩盖。另两位安全研究人员Bolshev和Krotofil的研究表明，攻击者可以通过石油管道入侵远程站，判断正常的频率模式，然后重复用高频率组件重复这些电波，以掩盖攻击破坏行为。

工控网络安全成网络空间对抗的重要战场

当今社会,国家安全边界已经超越地理空间限制，延伸到了信息网络，而在信息技术与传统工业融合的过程中，工业控制系统正面临越来越多的网络安全威胁。

从业内公开的数据来看，2014年，工控用户在控制系统中发生网络安全事故的比例有所提升，受网络安全事件影响的企业占比达到了28.6%，因病毒造成工控网络停机的企业高达19.1%。2015年仅美国国土安全部的工业控制系统网络应急响应小组（ICS-CERT）就收到了295起针对关键基础设施的攻击事件。

美国从2008年就建立了国家级的工业控制系统攻防靶场——“曼哈顿计划”，与其核武器计划同名可见重视程度。工控网络安全不仅是国家间对抗的前沿和焦点，也正成为网络空间对抗的重要场和反恐新战场。

中国工控网络安全如何弯道超车？

2015年国家明确提出“互联网+”、“中国制造2025”等重大战略举措，十八届五中全会和“十三五”规划明确指出，把拓展网络发展空间作为一个重大战略举措，“互联网+”在各个领域的深度渗透，大家一直在期待一个万物互联、互联互通的社会，期待一个基于“互联网+”的新的经济形态出现。但当所有设备、所有系统互联互通以后，安全问题就显得至关重要。

·两位研究人员制作了一个仿真电厂构造来演示蠕虫的攻击过程。随着蠕虫在PLC之间的跳跃，LED灯在150毫秒的最大时间周期内闪烁后熄灭。

·2010年的“震网”病毒，不仅把网震了，也震惊了全世界。

在今年全国两会召开期间，多名政协委员就已联名提交《关于加强我国工控网络安全，应纳入国家战略的建议》的提案。提案建议是从国家战略高度加强工业控制网络安全顶层设计，明确责任部门；建立完备的工控网络安全体系，掌握芯片级核心技术；大力扶持新兴工控网络安全企业，鼓励技术创新和产业化；在各行业建设中同步进行工控网络安全规划和验收等。

4月19日，习近平总书记在京主持召开的网信工作座谈会并发表了重要讲话，强调要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。对于这次座谈会及其所强调的网络安全问题，我国信息行业高度关注，实业界也在特别关注。

日前，国内一研究院召开了以“工业控制网络安全”为主题的新经济圆桌会议，各界专家就目前国际安全新趋势、我国工业控制网络安全面临的挑战和机遇、以及如何促进工控网络安全产业发展等，进行了交流与研讨。与会专家一致认为，应对这样一个复杂的局面，要有一些新的举措，一是深化工控网络安全的研究，加大宣传力度，进一步增加社会共识；二是加快制定国家网络经济安全的标准；三是提高技术手段和防御能力，重点支持本土技术的创新和产业化；四是建立工控安全责任体系，从政府层面、企业层面如何来固化体系合理分工、合理推进；五是建立完备的工控网络安全体系，要技术设备一体化，要解决工控设备结构安全、本体安全、行为安全，实现基因安全和运行维护的可持续性。