王绍杰，霍朝宾，田晓娜

(工业控制系统信息安全技术国家工程实验室，北京 100083)

0 引言

习总书记在2016年4月19日的网络安全和信息化工作座谈会中明确指出：“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”“物理隔离”防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。因此必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。

毫无疑问，工控系统安全是国家安全的重要组成部分，是推动“中国制造2025”、制造业与互联网融合发展的基础保障。但是，随着“工业4.0”时代的来临和“两化融合”脚步的加快, 互联网、云计算等新兴技术与传统的工控系统相结合的同时，也带来了前所未有的安全隐患，国外设备后门、工控及IT设备的漏洞、黑色产业链共享协作的工业蠕虫病毒、国外势力资助的高级持续性攻击愈演愈烈。本文通过2017年一次实际发生的马吉斯病毒感染事件来探讨工控安全的问题和对策。

1 案例分析

2017年，某电厂某机组DCS处于检修期，按计划对工程师站组态软件例行升级，升级完成后重启计算机，发现计算机运行缓慢且组态软件无法运行。经安全测评人员检查发现某机组DCS工程师站受到病毒影响，脱硫、辅网、电量接口机及SIS系统服务器均感染病毒。检测人员及时对此病毒进行隔离、验证、安全加固和恢复等多种操作，未造成其他严重后果。此次事件再次给电力甚至整个工控行业敲响警钟——关键信息基础设施没有安全“孤岛”。

1.1 病毒分析

病毒名称：马吉斯，病毒文件约50 KB，利用了多个反跟踪技巧，查杀难度很大。该病毒属蠕虫病毒，既具有病毒的特性又具有木马的特性，能够感染本地系统的所有.exe和.scr扩展名的文件，一旦执行，即快速感染Windows的系统文件，在C盘Windows系统文件夹中释放 (如图1、图2所示)，加载之并检查病毒是否在进程explorer.exe中，若是则启动病毒主线程，否则继续。该病毒具有监听特定端口的功能并能够连接到特定的IP地址，可利用IPCMYM扫描局域网中的主机，如果命中则继续感染其他主机。病毒感染过程示意图如图3所示。

图1 病毒释放文件

图2 病毒释放文件及系统正常文件

图3 感染过程示意图

1.2 感染原因分析

根据事件发生的现象，安全测评人员分别从网络结构、边界防护、主机配置、敞口和人员访谈五个方面进行处置和分析。

(1)网络结构

安全X区DCS与安全X区SIS之间通过防火墙隔离。结构满足能源局36号文相关要求。X机DCS拓扑结构与SIS系统拓扑结构分别如图4和图5所示。

图4 X机组DCS拓扑结构

图5 SIS系统拓扑结构

(2)边界防护

检查发现防火墙安全配置存在两个问题：防火墙的源地址和目的地址未进行限制；防火墙的防DOS攻击未进行配置，故防火墙的逻辑隔离效果削弱。

(3)主机配置

工程师站和接口机均开启默认共享，开启端口445端口(业务需要，不允许关闭)，且主机无任何防恶意代码措施。操作系统(Windows XP)补丁无法更新。

(4)敞口

工程师站和接口机的USB口部分未封闭，SIS交换机多余网口未封闭。

(5)人员访谈

询问软件升级方式，存在通过U盘进行升级的现象，且U盘非专用(严重问题)。

2 事件启示

实验室EOF团队针对该病毒特点，现场通过隔离、验证、安全加固和恢复等措施，限制病毒传播并清除之，使病毒事件造成的损失降低到最小程度，体现了电子六所的优良的安全服务水平并得到用户的肯定，同时得到如下一些启示：

(1)工控系统仍然存在严重的管理漏洞，严密的规则制度和严格的制度执行缺一不可，管理人员安全规范意识急需提升。

(2)移动存储介质在生产控制大区与管理信息大区交叉使用，使工控系统仍然面临造成感染病毒的风险，安全“孤岛”并不存在。

(3)工控企业缺乏工控信息安全防护技能，例如防火墙等安全设备策略配置管理。

(4)主机缺乏必要的安全防护，基于白名单防恶意代码软件建议重点考虑。

(5)网络边界缺乏必要的安全审计，缺少网络安全事件的追溯措施。

(6)工控企业缺乏必要应急保障措施。

(7)工控企业缺少系统上线前的安全检测和验收测试。

3 面临的挑战及建议

此次安全事件只是揭开工控安全的“冰山一角”，从一个侧面折射出我国工控安全领域诸多显现和潜在的安全问题，以及相关产业面临的艰巨挑战和潜在的发展机遇。

(1)工控安全标准体系有待进一步完善。

目前我国工控安全标准规范不够完善， 建议深入各行业调研我国工控安全问题和行业特点，制定出台一系列行业标准体系，逐步完善行业工控安全管理、防护等标准体系。

(2)工控系统安全管理防护体系仍不健全。

目前工控系统仍然存在安全管理防护意识薄弱，仍然存在工控信息安全及网络威胁感知不足，安全防护技能薄弱的问题。建议继续发挥国家相关部门的行政指导职能，通过政策法规和行业标准规范的制定和贯彻实施，提高各行业工控企业安全管理防护意识。持续推进国家关键信息基础设施工控网络安全审查评估工作，督促企业落实工控安全主体责任，逐步健全工控安全常态化审查评估机制，建立完善的工控安全管理防护体系。

(3)工控系统安全仍未做到“三同时”——同步规划、同步建设和同步运行。工控系统缺少充分的安全规划，存在安全防护滞后的问题。建议在工控系统规划、建设和运行的同时，综合考虑已制定的工控安全标准，结合行业特点，同步进行安全风险分析、安全设计和安全措施部署。

(4)工控系统安全服务保障体系不规范。

工控安全支撑力量分散、缺乏专业的工控安全保障机构承担安全检查评估、事件应急响应、风险预警通报、风险消减等工作。建议持续开展工控厂商与安全厂商、安全厂商与工业企业等服务对接系列活动，提供供需双方交流对接平台。以工控安全专项资金支持工控网络靶场建设，组织开展攻防演练、应急响应、教育培训等多种技术服务，推动工控企业安全试点建设，逐步规范各项服务，培育工控安全服务保障体系。

(5)关键信息基础设施安全隐患严重。

据统计，我国有近86%的重要信息系统选用国外操作系统、数据库和服务器等关键信息产品，有60%重要信息系统运行维护依赖国外厂商，部分网络产品已深度渗透至我国电信、金融、能源等关键信息基础设施。针对这些国外产品及系统可能存在的后门及漏洞问题，缺乏有力监管，缺少必要的技术检测措施和安全可控方案，安全风险难以掌控。建议支持高等院校、科院院所、研发企业等机构自主研发工控安全技术和产品。通过工控安全专项资金支持，引导研发机构加强创新能力建设，加快构建工控安全技术产品研发体系。

4 结论

通过此次实际案例的处置，我们进一步认识到工业控制领域面临的风险是实实在在存在的，作为关键信息基础设施的管理部门，在实际工作中需要进一步完善规则制度，严格制度流程的执行，加强移动存储介质管理，落实设备专用，尤其严禁在生产控制大区与管理信息大区交叉使用移动存储介质，切勿心存侥幸；防火墙等安全设备策略配置要完整，除开启访问控制策略外，还需开启日志记录功能，便于事后追溯；主机白名单防恶意代码软件建议重点考虑。DCS与SIS边界交换机处部署安全审计设备，便于事后追溯。在此基础上，制定应急响应措施尤为关键。同时要切实加强人员教育，提升安全防范意识。