工業(yè)控制系統(tǒng)關(guān)鍵組件安全風(fēng)險(xiǎn)綜述

唐士杰，袁方，李俊，丁勇，王會(huì)勇

（1. 桂林電子科技大學(xué)計(jì)算機(jī)與信息安全學(xué)院，廣西 桂林 541004；2. 桂林電子科技大學(xué)電子工程與自動(dòng)化學(xué)院，廣西 桂林 541004； 3. 外交部通信總臺(tái)，北京 100016；4. 國家工業(yè)信息安全發(fā)展研究中心，北京 100040； 5. 桂林電子科技大學(xué)廣西密碼學(xué)與信息安全重點(diǎn)實(shí)驗(yàn)室，廣西 桂林 541004；6. 鵬城實(shí)驗(yàn)室新型網(wǎng)絡(luò)研究部，廣東 深圳 518055； 7. 桂林電子科技大學(xué)數(shù)學(xué)與計(jì)算科學(xué)學(xué)院，廣西 桂林 541004）

0 引言

隨著工業(yè)4.0的全面推進(jìn)，越來越多的信息技術(shù)和通信技術(shù)被集成到現(xiàn)代工業(yè)控制（簡稱“工控”）系統(tǒng)（ICS，industrial control system）中。工控系統(tǒng)從單機(jī)走向互聯(lián)，從封閉走向開放，從自動(dòng)化走向智能化，為網(wǎng)絡(luò)安全威脅向其加速滲透提供了條件[1]?！?019—2021年中國工控市場預(yù)測與展望數(shù)據(jù)》[2]表明，發(fā)現(xiàn)2019—2021年，中國工控市場保持年均12%以上的快速增長。到2021年，市場規(guī)模達(dá)到2 600億元。在工控市場激增的同時(shí)，我國工控設(shè)備暴露數(shù)量明顯上升。另外，工控系統(tǒng)需求的提升促進(jìn)了數(shù)據(jù)采集與監(jiān)視控制（SCADA，supervisory control and data acquisition）系統(tǒng)、控制器、高精度傳感器等組件功能結(jié)構(gòu)的更新變革。物聯(lián)網(wǎng)、云計(jì)算和5G等新技術(shù)在工控系統(tǒng)中得到快速發(fā)展與應(yīng)用，引入了新的安全風(fēng)險(xiǎn)，也意味工控安全將迎接更為嚴(yán)峻的挑戰(zhàn)。

在文獻(xiàn)[3]中，Babu等概述了工控系統(tǒng)的新趨勢：在工控的主要領(lǐng)域，從傳統(tǒng)的機(jī)電系統(tǒng)逐步轉(zhuǎn)換到基于網(wǎng)絡(luò)的數(shù)字系統(tǒng)，數(shù)字集成系統(tǒng)因其具有實(shí)時(shí)、可靠等特點(diǎn)，在工業(yè)和制造業(yè)中發(fā)揮著關(guān)鍵作用。Ayodeji等[4]也提到：“數(shù)字產(chǎn)品引入工控系統(tǒng)，以取代老化和過時(shí)的模擬控制系統(tǒng)。數(shù)字系統(tǒng)的共享兼容性使IT設(shè)備被大量用于ICS。然而，共享設(shè)備暴露了傳統(tǒng)信息物理系統(tǒng)控制中常見的不透明性?！?/p>

ICS已從集中控制結(jié)構(gòu)轉(zhuǎn)變?yōu)楫?dāng)前的分布式控制結(jié)構(gòu)，許多計(jì)算和信息傳輸功能已逐漸分散，從中央節(jié)點(diǎn)擴(kuò)展到邊緣節(jié)點(diǎn)。ICS中的每個(gè)節(jié)點(diǎn)（如傳感器、控制器或執(zhí)行器）都可以配備物聯(lián)網(wǎng)模塊，從而具有計(jì)算和信息傳輸?shù)哪芰5]。分布式控制一般采用冗余控制器體系結(jié)構(gòu)，這是保證系統(tǒng)穩(wěn)定性的一種實(shí)用方法，但這種體系結(jié)構(gòu)擴(kuò)大了系統(tǒng)攻擊面，降低了對正在進(jìn)行的網(wǎng)絡(luò)攻擊做出響應(yīng)的敏感性[6]。

工業(yè)4.0是以智能制造為主導(dǎo)的第四代工業(yè)革命，它將信息物理系統(tǒng)、物聯(lián)網(wǎng)、云計(jì)算、工業(yè)集成、企業(yè)體系結(jié)構(gòu)、面向服務(wù)的體系結(jié)構(gòu)（SOA，service-oriented architecture）、業(yè)務(wù)流程管理、工業(yè)信息集成等技術(shù)結(jié)合應(yīng)用，推動(dòng)了制造業(yè)向智能化轉(zhuǎn)型[7]。物聯(lián)網(wǎng)云服務(wù)也正融入關(guān)鍵基礎(chǔ)設(shè)施[8]，新技術(shù)帶來新的安全理念的同時(shí)，帶來了新的安全問題。例如，云計(jì)算為ICS提供服務(wù)，包括數(shù)據(jù)傳輸、存儲(chǔ)、數(shù)據(jù)處理及分析，這引起了人們對云環(huán)境數(shù)據(jù)安全性是否可信的擔(dān)憂。物聯(lián)網(wǎng)系統(tǒng)中設(shè)備、通信協(xié)議的異構(gòu)性，以及系統(tǒng)中節(jié)點(diǎn)的規(guī)模和數(shù)量，使物聯(lián)網(wǎng)系統(tǒng)的安全性比傳統(tǒng)網(wǎng)絡(luò)更具挑戰(zhàn)性。

近年來，很多學(xué)者從不同角度對工控系統(tǒng)的安全問題進(jìn)行了歸納、總結(jié)。Asghar等[9]簡要說明了ICS中存在漏洞和威脅，重點(diǎn)論述了現(xiàn)有解決方案，并對其分類。Upadhyay等[10]以標(biāo)準(zhǔn)漏洞數(shù)據(jù)庫中報(bào)告的真實(shí)事件為例，描述了各種類型的潛在 SCADA 漏洞。Nazir等[11]對模擬SCADA攻擊進(jìn)行了分類說明，但其大部分參考文獻(xiàn)是2015年以前的。Yadav等[12]對2016年前影響較大的SCADA真實(shí)攻擊事件進(jìn)行了分析，將攻擊分為5類，即惡意軟件、非網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)的遠(yuǎn)程訪問、服務(wù)中斷和未知。Alladi等[13]分析了近20年ICS的重大攻擊案例，描述了案例中的攻擊目標(biāo)、攻擊描述、結(jié)果及解決方案。馮濤等[14]對工業(yè)以太網(wǎng)協(xié)議的脆弱性進(jìn)行了分析，并對主要防護(hù)技術(shù)進(jìn)行論述。Sajid等[8]對基于云輔助互聯(lián)網(wǎng)的工業(yè)SCADA系統(tǒng)的安全挑戰(zhàn)進(jìn)行了闡述，并提出了10項(xiàng)建議來保護(hù)SCADA系統(tǒng)。

上述文獻(xiàn)主要闡述工控網(wǎng)絡(luò)安全的漏洞、脆弱性以及防御方法，缺乏對ICS關(guān)鍵組件的攻擊方法的總結(jié)歸納。針對上述問題，本文分析了工控系統(tǒng)中存在的威脅，對關(guān)鍵工控組件攻擊方法進(jìn)行了分析和分類。

1 工控系統(tǒng)

工控系統(tǒng)基本架構(gòu)可分為3個(gè)層次，如圖1所示[15]。

圖1 工控系統(tǒng)基本架構(gòu)Figure 1 Basic architecture of industrial control system

1) 公司網(wǎng)絡(luò)層：管理者可以遠(yuǎn)程訪問監(jiān)控計(jì)算機(jī)或人機(jī)界面（HMI，human machine interface）。

2) 邏輯控制層：常見的系統(tǒng)有數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)和分布式控制系統(tǒng)（DCS，distributed control system）。該層用于監(jiān)控生產(chǎn)狀態(tài)，并利用HMI實(shí)現(xiàn)人機(jī)交互，其核心組件如下。

① SCADA控制中心：由主站單元、數(shù)據(jù)庫服務(wù)器、應(yīng)用程序服務(wù)器、工程師工作站、生產(chǎn)調(diào)度工作站、診斷服務(wù)器等組件組成，用于管理、協(xié)調(diào)和控制工控系統(tǒng)。

② 人機(jī)界面：一種圖形用戶界面系統(tǒng)，能顯示ICS環(huán)境中傳感器收集的設(shè)備狀態(tài)和歷史數(shù)據(jù)，配置、變更控制算法和參數(shù)并將其部署到控制器，監(jiān)控整個(gè)ICS。

3) 物理控制層：由控制器和現(xiàn)場儀表組成。這層設(shè)備主要包括以下組件。

① 可編程邏輯控制器（PLC，programmable logic controller）：一種用于自動(dòng)化控制的微控制器，它能監(jiān)視現(xiàn)場設(shè)備的狀態(tài)，可以根據(jù)工程師創(chuàng)建的控制邏輯，實(shí)現(xiàn)對生產(chǎn)過程的自動(dòng)控制。

② 遠(yuǎn)程終端單元（RTU，remote terminal unit）：能將遠(yuǎn)程傳感器和執(zhí)行器連接到中央系統(tǒng)，但通常不支持控制回路。與PLC相比，RTU不僅具有PLC的基本功能，更適用于在遠(yuǎn)距離通信和惡劣溫濕度環(huán)境下工作。

③ 儀表和執(zhí)行器：直接測量和執(zhí)行控制命令的組件。

工控系統(tǒng)的通信至關(guān)重要。工業(yè)通信網(wǎng)絡(luò)，特別是監(jiān)控網(wǎng)絡(luò)，大部分使用專有工控協(xié)議來交換信息和管理設(shè)備，具有快速響應(yīng)和較少網(wǎng)絡(luò)故障的特性[16-17]。常用的通信協(xié)議有Modbus、DNP3、Foundation Fieldbus、Profibus等。

2 工控系統(tǒng)安全問題

工控系統(tǒng)是由工控組件構(gòu)成的，幾乎所有的組件可能遭受網(wǎng)絡(luò)攻擊。Gonzalez 等[18]對由277個(gè)供應(yīng)商開發(fā)的988個(gè)針對工控系統(tǒng)的漏洞咨詢報(bào)告進(jìn)行了深入分析。結(jié)果顯示，人機(jī)界面、SCADA軟件和PLC是受影響最大的組件。黃家輝等[19]根據(jù)漏洞的危害性對各個(gè)因素進(jìn)行了分級(jí)，如表1所示。表中的大、中、小分別代表如果組件被利用，對工控系統(tǒng)產(chǎn)生的影響大?。▏?yán)重、一般、較?。?。從表1可以看出，PLC、RTU和服務(wù)器/數(shù)據(jù)庫等組件在遭受到攻擊時(shí)，對工控系統(tǒng)危害大。因此，本文詳細(xì)討論關(guān)鍵工控組件的安全問題。

表1 漏洞危害性打分Table 1 Score of vulnerability harmfulness

2.1 工控設(shè)備存在的安全問題

2.1.1 SCADA控制中心

控制中心的主機(jī)大多是通用的計(jì)算機(jī)，并使用通用操作系統(tǒng)，從而為SCADA中心帶來了多種安全風(fēng)險(xiǎn)。首先，微軟公司在2014 年已經(jīng)停止對Windows XP 提供升級(jí)服務(wù)，但Windows XP 的使用比例依然超過40%；Windows 7在2020年停止升級(jí)服務(wù)，但它的使用比例占據(jù)首位[20]。即使采用了最新的操作系統(tǒng)，從可用性考慮，很多企業(yè)在使用過程中也較少使用補(bǔ)丁和安全更新，這意味著大多操作系統(tǒng)存在潛在漏洞風(fēng)險(xiǎn)。其次，控制中心的軟件組件缺乏保護(hù)，很多主機(jī)未安裝殺毒軟件或安裝了殺毒軟件但使用過程中較少更新病毒庫。殺毒軟件升級(jí)更新可能與應(yīng)用軟件不兼容，導(dǎo)致出現(xiàn)應(yīng)用軟件“誤殺”或沖突的情況。另外，隨意使用不安全的移動(dòng)設(shè)備，容易導(dǎo)致主機(jī)染上病毒，從而導(dǎo)致應(yīng)用軟件被病毒篡改或惡意卸載。

SCADA軟件產(chǎn)品也可能存在代碼質(zhì)量問題導(dǎo)致缺乏安全性。一些SCADA代碼評(píng)審指出，SCADA系統(tǒng)的軟件設(shè)計(jì)和實(shí)現(xiàn)通常不遵循安全的軟件開發(fā)生命周期。專有應(yīng)用程序中的不安全函數(shù)調(diào)用，尤其是OPC動(dòng)態(tài)鏈接庫（DLL）中的不安全函數(shù)調(diào)用，容易使SCADA系統(tǒng)受到攻擊[10]。SCADA軟件產(chǎn)品維護(hù)不善也會(huì)導(dǎo)致安全風(fēng)險(xiǎn)出現(xiàn)。補(bǔ)丁通常是在發(fā)現(xiàn)漏洞后發(fā)布的，新補(bǔ)丁與漏洞發(fā)布之間可能存在時(shí)間間隔。同時(shí)，很多工控用戶不愿意打補(bǔ)丁，這歸因于補(bǔ)丁修補(bǔ)程序失敗率較高、有些補(bǔ)丁會(huì)由于未經(jīng)適當(dāng)測試引入新的未知漏洞或其他風(fēng)險(xiǎn)、打補(bǔ)丁的過程需要停機(jī)操作等。這使未打補(bǔ)丁的軟件成為系統(tǒng)最大的漏洞之一。SCADA軟件趨于采用通用、標(biāo)準(zhǔn)的商用貨架產(chǎn)品（COTS，commercial off-the-shelf）軟件作為構(gòu)成系統(tǒng)軟件的基礎(chǔ)，是使SCADA系統(tǒng)不安全的又一誘因[21]?；贑OTS的設(shè)計(jì)可能更便宜并可以減少設(shè)計(jì)時(shí)間，但會(huì)損害產(chǎn)品的整體安全性。而且，當(dāng)出現(xiàn)新的漏洞時(shí)，通常很難在SCADA系統(tǒng)中修補(bǔ)此軟件[22]。

新一代的人機(jī)界面是基于Windows的操作系統(tǒng)，可配備觸摸屏、ActiveX、數(shù)據(jù)庫和遠(yuǎn)程訪問功能[23]。HMI用戶可能使用默認(rèn)密碼和弱密碼，攻擊者可以通過查閱用戶指南、猜測、字典攻擊或暴力攻擊等方式破解；HMI相關(guān)軟件中可能存在漏洞，包括為便于調(diào)試而故意留下的后門，以及不良編程產(chǎn)生的無意漏洞[24-25]；通過Web瀏覽器連接可隨時(shí)隨地訪問系統(tǒng)，攻擊者可以通過應(yīng)用程序未經(jīng)授權(quán)訪問控制中心[26]，從而帶來SQL注入、目標(biāo)遍歷等其他與Web相關(guān)的風(fēng)險(xiǎn)。

2.1.2 控制器

控制器是基于微處理器的專用工控設(shè)備，可以對其進(jìn)行編程來自動(dòng)監(jiān)視和控制現(xiàn)場設(shè)備及過程。廠商在設(shè)計(jì)控制器時(shí)考慮的安全性，更多是對受監(jiān)視過程變化的實(shí)時(shí)響應(yīng)以及在環(huán)境中工作的能力[27]，很少會(huì)考慮抵御網(wǎng)絡(luò)攻擊的設(shè)計(jì)，如身份驗(yàn)證機(jī)制、數(shù)據(jù)加密等。即使有些PLC有安全功能，但它們通常會(huì)被忽略或禁用，因?yàn)榘踩酝ǔＥc操作不一致[28]。大多數(shù)PLC可以通過以太網(wǎng)連接到ICS，并間接連接到互聯(lián)網(wǎng)。這大大增加了PLC被攻擊的風(fēng)險(xiǎn)。在使用過程中，控制器的CPU和內(nèi)存資源限制、較長的生命周期以及嚴(yán)格的停機(jī)時(shí)間要求，使得很難在現(xiàn)場修補(bǔ)現(xiàn)有設(shè)備，也幾乎不可能安裝任何類型的端點(diǎn)保護(hù)[29]。

控制器的固件存在安全風(fēng)險(xiǎn)?？刂破骰趯Ｓ胁僮飨到y(tǒng)設(shè)計(jì)，有些修補(bǔ)程序僅僅適用于原始設(shè)備的生產(chǎn)商，其安全升級(jí)一般由生產(chǎn)商修補(bǔ)[10]，在遠(yuǎn)程更新時(shí)，容易遭受攻擊。有些供應(yīng)商為方便用戶自行更新，在其網(wǎng)站上發(fā)布了固件更新的數(shù)據(jù)，固件更新時(shí)，有些控制器僅僅在客戶端進(jìn)行驗(yàn)證和加密，攻擊者可以采用軟件逆向工程和協(xié)議逆向工程繞過它[6]，加劇了安全隱患。

固件在更新操作時(shí)面臨的威脅如下[30-31]。

1) 逆向工程：如果攻擊者能夠獲取固件映像或相應(yīng)的二進(jìn)制文件，可對固件的操作進(jìn)行逆向工程，以獲取敏感信息。

2) 固件修改：攻擊者在固件中修改其內(nèi)容，以便執(zhí)行未經(jīng)授權(quán)的操作。

3) 獲得訪問授權(quán)：某些設(shè)備在與外部設(shè)備通信時(shí)需要授權(quán)。如果攻擊者可以獲得該授權(quán)，則能夠?qū)δ繕?biāo)設(shè)備進(jìn)行不同類型的攻擊。

4) 安裝未經(jīng)授權(quán)的固件：惡意方或具有惡意目的的合法方會(huì)嘗試將未經(jīng)授權(quán)的固件安裝到設(shè)備上。一旦在設(shè)備上安裝了未經(jīng)授權(quán)的映像，攻擊者便有可能進(jìn)行其他攻擊。

5) 未經(jīng)授權(quán)的設(shè)備：非法設(shè)備可能偽裝成合法設(shè)備并取得真實(shí)固件的復(fù)件。

控制器的可編程區(qū)也是攻擊者關(guān)注的目標(biāo)之一。為獲得對物理過程的控制權(quán)，攻擊者可能會(huì)偽造、篡改PLC的控制邏輯。此類攻擊涉及的主要漏洞是PLC協(xié)議中缺少身份驗(yàn)證措施[32-33]?？刂破鞯目刂七壿嬙谏陷d、下載操作時(shí)很少通過身份驗(yàn)證，或者僅在上載、下載的一個(gè)方向上支持身份驗(yàn)證。攻擊者可以通過對PLC的物理訪問或通過網(wǎng)絡(luò)來利用此漏洞，并將惡意邏輯下載到PLC上。結(jié)構(gòu)和設(shè)計(jì)不夠完善的梯形圖邏輯代碼也會(huì)增加漏洞的風(fēng)險(xiǎn)。這方面的漏洞有：使用重復(fù)的指令、使用硬編碼值、缺乏詳盡的診斷和警報(bào)消息、未使用的標(biāo)簽或操作數(shù)、程序模式等[34]。

2.1.3 現(xiàn)場設(shè)備

現(xiàn)場設(shè)備通常是功能和資源有限的較低級(jí)別的組件。隨著嵌入式技術(shù)的快速發(fā)展，智能設(shè)備逐漸增多，使現(xiàn)場設(shè)備也能進(jìn)行本地存儲(chǔ)和少量的數(shù)據(jù)處理。攻擊者開始關(guān)注對低級(jí)設(shè)備的攻擊，這可能會(huì)對物理工業(yè)系統(tǒng)造成直接損害，并且難以發(fā)現(xiàn)[6]。對現(xiàn)場設(shè)備進(jìn)行防護(hù)的最大困難之一是資源限制：現(xiàn)場設(shè)備通常沒有足夠的內(nèi)存和資源來執(zhí)行安全功能，存在物理直接暴露或遠(yuǎn)程非法訪問的威脅；此外，現(xiàn)場設(shè)備可以運(yùn)行數(shù)年而無須重新啟動(dòng)，會(huì)造成碎片積累，從而導(dǎo)致設(shè)備存在緩沖區(qū)溢出問題。還有一個(gè)問題是關(guān)鍵組件缺乏冗余，如發(fā)電機(jī)或不間斷電源（UPS）缺乏備用電源[22]。

2.2 工控網(wǎng)絡(luò)

傳統(tǒng)的ICS網(wǎng)絡(luò)與互聯(lián)網(wǎng)是完全隔離的，其底層專有通信協(xié)議在設(shè)計(jì)之初以功能為主要目的進(jìn)行設(shè)計(jì)，協(xié)議缺乏內(nèi)置的安全性設(shè)計(jì)[35]，如缺乏認(rèn)證機(jī)制、過時(shí)的授權(quán)服務(wù)、沒有權(quán)限區(qū)分、弱口令、不必要的端口與服務(wù)、明文傳輸數(shù)據(jù)等。Modbus協(xié)議是在工控系統(tǒng)中應(yīng)用較多的一種專有協(xié)議。該協(xié)議采用輪詢方式查詢數(shù)據(jù)，每個(gè)請求之間會(huì)有一個(gè)小的時(shí)間間隔，從而為劫持通信留下一個(gè)很小的但可用的時(shí)間窗口。此外，它沒有用于身份驗(yàn)證、授權(quán)和加密的內(nèi)置機(jī)制，使攻擊者有可能分析出Modbus消息中來自物理過程的關(guān)鍵信息[36]。Biham等[37]指出西門子PLC S7-1200使用的P2協(xié)議（S7協(xié)議版本2）在下載消息時(shí)不受完整性保護(hù)，且不對運(yùn)行對象加密。作者模擬了TIA與S7-1200之間的通信，以純文本形式發(fā)送運(yùn)行對象，攻擊者在分析運(yùn)行對象的結(jié)構(gòu)后，確定其指令和操作數(shù)，能很容易地修改現(xiàn)有的運(yùn)行對象來構(gòu)建具有某些功能的控制程序。此外，其他的協(xié)議存在類似的安全性問題。

在現(xiàn)代工控系統(tǒng)中，隨著全球互聯(lián)網(wǎng)技術(shù)的發(fā)展，工控協(xié)議趨于開放和透明。基于TCP/IP或UDP/IP技術(shù)的工控協(xié)議陸續(xù)推出并成功應(yīng)用。施耐德公司推出了基于TCP/IP以太網(wǎng)的Modbus TCP。它是第一家采用TCP/IP以太網(wǎng)并用于工業(yè)自動(dòng)化領(lǐng)域的標(biāo)準(zhǔn)協(xié)議，其TCP端口是502。除此之外，還有PROFINET、OPC UA、Ethernet/IP、POWERLINK和HART/IP等協(xié)議，還有些設(shè)備使用現(xiàn)有的IP網(wǎng)絡(luò)（包括Internet）進(jìn)行通信[38]。這些新的變化，使ICS組件以及通信協(xié)議遭受外部黑客攻擊的風(fēng)險(xiǎn)比傳統(tǒng)IT系統(tǒng)高[39]。

數(shù)據(jù)加密和身份認(rèn)證是傳統(tǒng)互聯(lián)網(wǎng)絡(luò)采用的保護(hù)數(shù)據(jù)完整性和機(jī)密性的有效手段。為了保護(hù)ICS免受網(wǎng)絡(luò)攻擊，一些學(xué)者嘗試將其引入工控系統(tǒng)[40-42]。加密技術(shù)的引入，極大地減少了重放和竊聽攻擊[43]。智能電網(wǎng)中的大多數(shù)電子設(shè)備有望具有輕量級(jí)的加密功能[44]。

目前針對密碼學(xué)在工控系統(tǒng)中的應(yīng)用研究仍處于起步階段[42]。加密傳輸應(yīng)用于工控系統(tǒng)還有很多問題沒有得到很好的解決。

1) 實(shí)時(shí)響應(yīng)問題。ICS是硬實(shí)時(shí)系統(tǒng)[45]，在特定時(shí)間范圍內(nèi)沒有發(fā)出控制信號(hào)或完成某項(xiàng)操作，可能會(huì)導(dǎo)致生產(chǎn)安全方面的重大損失。

2) 有限的計(jì)算能力。工控系統(tǒng)中控制器及現(xiàn)場智能設(shè)備的內(nèi)存和計(jì)算能力有限，而加解密算法的實(shí)現(xiàn)需要比較大的開銷。

3) 系統(tǒng)穩(wěn)定性問題。Wei等[46]通過實(shí)驗(yàn)說明消息加密和解密導(dǎo)致的額外時(shí)延可能會(huì)導(dǎo)致智能電網(wǎng)的電壓崩潰概率變?yōu)樵瓉淼?0倍。這說明加解密算法可能帶來不小的負(fù)面影響，甚至嚴(yán)重的后果。

4) 系統(tǒng)可維護(hù)性問題。加密會(huì)大大增加故障排除和恢復(fù)的成本，與未加密的網(wǎng)絡(luò)相比，未加密網(wǎng)絡(luò)中的問題（如通信故障、重傳、設(shè)備故障等）可以更快、更輕松地被識(shí)別[47]。

無線技術(shù)在控制系統(tǒng)中的應(yīng)用越來越多。工業(yè)無線通信是數(shù)字化轉(zhuǎn)型的關(guān)鍵要素，但也可能帶來一些挑戰(zhàn)。傳統(tǒng)的Wi-Fi（802.11）可用于在工程便攜式計(jì)算機(jī)、移動(dòng)HMI、PLC等之間建立連接。但如果配置不正確（即安全性和傳輸范圍），它們可能會(huì)在現(xiàn)場站點(diǎn)的物理范圍之外引發(fā)額外的風(fēng)險(xiǎn)[48]。無線傳輸極易受到來自各種來源的干擾和影響，如電磁輻射、熱噪聲、快速移動(dòng)的設(shè)備等，這會(huì)導(dǎo)致傳輸錯(cuò)誤。

隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，云計(jì)算為工控系統(tǒng)帶來了很多好處?；诠?、私有或混合的云服務(wù)，使使用者可以在任何時(shí)間和任何地點(diǎn)方便地訪問ICS操作數(shù)據(jù)[49]，簡化了工業(yè)管理的流程，提高企業(yè)的經(jīng)濟(jì)效益。但是，云計(jì)算的大規(guī)模發(fā)展也帶來了許多問題。國家互聯(lián)網(wǎng)應(yīng)急中心在2020年上半年數(shù)據(jù)分析報(bào)告中指出[50]：我國根云、航天云網(wǎng)、OneNET、COSMOPlat、奧普云、機(jī)智云等大型工業(yè)云平臺(tái)持續(xù)遭受來自境外的網(wǎng)絡(luò)攻擊，平均攻擊次數(shù)達(dá)到114次/日，同比上升27%。工業(yè)云平臺(tái)承載著大量接入設(shè)備、業(yè)務(wù)系統(tǒng)，以及企業(yè)、個(gè)人信息等重要數(shù)據(jù)，使其成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。這使ICS面臨如下新的安全問題[8,51]。

1) 云通信的加入使SCADA系統(tǒng)更加開放，在通信過程中可能存在數(shù)據(jù)嗅探、數(shù)據(jù)泄露、數(shù)據(jù)修改、數(shù)據(jù)丟失或數(shù)據(jù)欺騙。

2) SCADA系統(tǒng)和云之間的網(wǎng)絡(luò)連接可能會(huì)打開ICS的后門，攻擊者可以利用這些后門進(jìn)行攻擊。

3) 運(yùn)行在云上的SCADA系統(tǒng)應(yīng)用程序很容易被攻擊者搜索和濫用。

4) 云和外部個(gè)別服務(wù)提供商都有自己的安全漏洞。

3 工控系統(tǒng)攻擊分類

3.1 SCADA控制中心

控制中心的工程師工作站可將控制程序下載到PLC 中執(zhí)行控制命令。因此，工程師工作站是部署惡意活動(dòng)的主要目標(biāo)。Biham等[37]創(chuàng)建了惡意工作站，并偽裝成工程師工作站，實(shí)現(xiàn)了對PLC遠(yuǎn)程啟動(dòng)/停止攻擊和程序下載攻擊。作者構(gòu)建了兩種惡意工作站。

1) “流氓”工作站：利用偽造的工作站，自行構(gòu)建或讀取原有的S7數(shù)據(jù)包，修改后發(fā)送給PLC，執(zhí)行PLC的啟動(dòng)/停止攻擊。

2) 高級(jí)“流氓”站：利用現(xiàn)有工作站，采用中間人攻擊，用代理工作站接管現(xiàn)有工作站，并從中接收會(huì)話密鑰；能獨(dú)立修改下載消息所包含控制邏輯的兩個(gè)副本（源代碼和二進(jìn)制代碼）；能夠按工程師期望的方式維護(hù)源程序，同時(shí)對PLC進(jìn)行編程以運(yùn)行工程師永遠(yuǎn)不會(huì)看到的惡意二進(jìn)制文件。

Zhang[52]設(shè)計(jì)了兩種針對工程師工作站的攻擊方案，其攻擊路徑如圖2所示。一種是數(shù)據(jù)泄露。攻擊者通過網(wǎng)絡(luò)釣魚攻擊，在工程師工作站與外部惡意服務(wù)器之間建立服務(wù)器?客戶端協(xié)議，從工程師工作站竊取關(guān)鍵信息。另一種是惡意數(shù)據(jù)注入攻擊。如圖2中E所示，攻擊者將虛假數(shù)據(jù)注入工程師工作站和數(shù)據(jù)存儲(chǔ)器，以覆蓋攻擊者的蹤跡。其錯(cuò)誤注入攻擊步驟如表2所示。

圖2 對工程師工作站的攻擊場景Figure 2 Attack scenario on engineer workstation

表2 錯(cuò)誤注入攻擊步驟Table 2 False data injection attack steps

HMI也是常見攻擊目標(biāo)之一。HMI容易遭受密碼竊取攻擊[3]。大多數(shù)HMI存在沒有賬號(hào)和密碼管理措施、用戶賬號(hào)權(quán)限分配不當(dāng)、密碼采用弱密碼或初始密碼或長期保持不變等問題。

針對HMI的隱形欺騙攻擊也較為常見。攻擊者利用虛假信息，讓操作員將錯(cuò)誤的情況視為真實(shí)情況。Kleinmann等[53]提出了一種基于語義網(wǎng)絡(luò)的攻擊，攻擊工具的架構(gòu)如圖3所示。在劫持HMI和PLC之間的通信通道后，攻擊者僅替換消息內(nèi)容，而不注入、刪除、擴(kuò)展或壓縮消息，同時(shí)使HMI呈現(xiàn)虛假的工業(yè)過程視圖，從而欺騙操作員采取不適當(dāng)和有害的手動(dòng)操作。但由于被攻擊者替換的消息的大小、時(shí)間及命令序列等都是100%合法的信息，攻擊是完全隱身的，很難檢測到此類攻擊。Hu等[54]也做了相似的研究。

圖3 攻擊工具的架構(gòu)Figure 3 The architecture of attack tool

3.2 PLC

可編程邏輯控制器是工控系統(tǒng)中使用最廣的一種控制器。對PLC的攻擊會(huì)影響物理過程，為工控系統(tǒng)帶來災(zāi)難性的后果。對PLC的常見攻擊有如下幾種。

1) 固件修改攻擊（firmware modification attack）：固件是嵌入式設(shè)備的底層軟件，PLC固件為系統(tǒng)輸入和物理輸出之間提供了軟件驅(qū)動(dòng)的接口[55]?，F(xiàn)在很多PLC控制器具有固件更新的功能，可以在無須對硬件進(jìn)行物理變動(dòng)的情況下，使用軟件更新包來修補(bǔ)漏洞或升級(jí)功能。攻擊者可以利用這一更新過程，通過逆向工程獲取固件更新包，然后利用重啟系統(tǒng)的控制器漏洞，獲取PLC的訪問權(quán)限，再通過遠(yuǎn)程或本地重啟固件更新將惡意代碼注入，可執(zhí)行未經(jīng)授權(quán)的操作。

Basnight等[55]介紹了一種通用的固件分析方法，通過實(shí)驗(yàn)演示了如何更新修改固件版本，說明了對PLC進(jìn)行固件修改攻擊的可行性。Garcia等[56]通過修改PLC固件，實(shí)現(xiàn)了對PLC輸入輸出的控制。Ma等[6]驗(yàn)證了分布式系統(tǒng)中冗余控制器體系結(jié)構(gòu)的缺陷，對控制器成功進(jìn)行了隱形攻擊，其攻擊過程如下。敵手首先對備用控制器B發(fā)起固件修改攻擊。攻擊備用控制器不會(huì)引起控制系統(tǒng)狀態(tài)的任何變化，因此不會(huì)引起管理員或其他監(jiān)控系統(tǒng)的注意。接著，敵手攻擊主控制器A，產(chǎn)生系統(tǒng)故障的假象，激活切換機(jī)制。然后，敵手對主控制器A發(fā)起固件修改攻擊并注入惡意代碼，再次激活切換機(jī)制。在經(jīng)過兩次切換控制器后，攻擊者能夠成功控制主控制器。

2) 有效負(fù)載攻擊（payload attack）：PLC中的控制程序稱為有效負(fù)載。通過修改或替換PLC的有效負(fù)載，可以獲得對執(zhí)行器的控制權(quán)，破壞生產(chǎn)過程，可能導(dǎo)致工控系統(tǒng)中斷、設(shè)備損壞等嚴(yán)重的事故。

Govil等[33]討論了梯形邏輯炸彈（LLB， ladder logic bomb），即以梯形邏輯編寫的惡意軟件，描述了三類LLB：拒絕服務(wù)LLB、用于處理傳感器讀數(shù)和命令的LLB、用于秘密數(shù)據(jù)記錄的LLB。由于在將新邏輯下載到PLC之前缺乏安全性檢查和身份驗(yàn)證，攻擊者可將這類惡意軟件插入PLC的現(xiàn)有控制邏輯中，然后持續(xù)更改行為，或者等待特定的觸發(fā)信號(hào)來激活惡意行為。

Yoo等[32]提出了兩種新的控制邏輯注入攻擊。① 數(shù)據(jù)執(zhí)行攻擊。如圖4所示，攻擊分為兩步：首先，攻擊者將惡意控制邏輯代碼傳輸?shù)侥繕?biāo)PLC的數(shù)據(jù)塊，因其不在代碼塊的地址范圍內(nèi)，因此不受簽名的限制；其次，攻擊者修改指向惡意控制邏輯代碼基址的指針，從而將PLC的系統(tǒng)控制流重定向到惡意邏輯，并迫使PLC執(zhí)行攻擊者的邏輯。② 碎片和噪聲填充攻擊。該攻擊通過在控制邏輯包中附加一系列填充字節(jié)來破壞深度包檢查。這兩種攻擊在不中斷數(shù)據(jù)包的傳輸過程也不修改PLC固件的情況下，操縱控制邏輯數(shù)據(jù)包，隱秘地將邏輯傳輸?shù)絇LC。

圖4 對協(xié)議頭檢測的數(shù)據(jù)執(zhí)行攻擊Figure 4 Data execution attack on protocol header inspection

Li等[57]通過仿真實(shí)驗(yàn)證明錯(cuò)誤的順序邏輯攻擊會(huì)導(dǎo)致嚴(yán)重的過程中斷或設(shè)備損壞。實(shí)施此類攻擊的基本要求如下：物理過程是周期性的，多個(gè)控制組件彼此關(guān)聯(lián)；控制操作有嚴(yán)格的順序要求且控制命令有數(shù)量限制；攻擊者可以獲得足夠的知識(shí)和背景信息（如系統(tǒng)拓?fù)洌?，并能夠更改網(wǎng)絡(luò)控制系統(tǒng)中工廠與控制器之間交換的數(shù)據(jù)等。為了成功實(shí)施該類攻擊，至少要解決3個(gè)問題。首先，攻擊者需要滲透目標(biāo)系統(tǒng)以收集所需信息，如系統(tǒng)結(jié)構(gòu)、現(xiàn)場設(shè)備的配置和參數(shù)。其次，攻擊者需要了解組件中使用的專有數(shù)據(jù)，以構(gòu)建惡意有效負(fù)載。最后，需要將惡意有效負(fù)載部署到最終目標(biāo)。這些挑戰(zhàn)使在實(shí)踐中難以成功實(shí)施此類攻擊。

有些學(xué)者通過將工程軟件與原始（未感染）控制邏輯結(jié)合使用，采用中間人攻擊的方式隱藏惡意修改。Kalle等[58]設(shè)計(jì)了一種對PLC控制邏輯實(shí)施遠(yuǎn)程攻擊的方法（CLIK）。攻擊過程如圖5所示，共分為4個(gè)步驟。① 利用零日漏洞破壞PLC的安全措施，從目標(biāo)PLC竊取原始控制邏輯。② 將竊取的控制邏輯的二進(jìn)制文件反編譯為其高級(jí)源代碼。③ 通過基于規(guī)則的自動(dòng)化方法感染源代碼，將代碼編譯為二進(jìn)制表示，再傳回PLC以感染控制邏輯。④ 使用虛擬PLC向控制中心的工程軟件提供虛假信息。當(dāng)工程軟件嘗試從PLC獲取控制邏輯時(shí)，虛擬PLC會(huì)截取該請求，然后使用捕獲的流量發(fā)送原始控制邏輯進(jìn)行響應(yīng)。虛擬PLC從工程軟件的角度模擬未感染的真實(shí)PLC的行為。作者在52個(gè)控制邏輯程序上進(jìn)行測試，結(jié)果表明CLIK能成功地處理不同的邏輯程序。平均而言，CLIK不到1 min即可完成攻擊周期并感染目標(biāo)控制邏輯。

圖5 控制邏輯感染攻擊鏈CLIK的高級(jí)總覽Figure 5 High-level overview of CLIK, a control logic infection attack

Senthivel 等[59]在PLC和運(yùn)行PLC編程軟件的工作站之間實(shí)施了中間人操作。當(dāng)梯形邏輯程序被從編程軟件下載到PLC時(shí)，攻擊者將原來的梯形邏輯的一部分替換為受感染的邏輯。當(dāng)工程師試圖將（感染的）程序從PLC上傳到編程軟件時(shí)，攻擊者將攔截流量并用原始邏輯替換感染的部分。因此，該軟件顯示正常的程序，以達(dá)到欺騙工程師的目的，如圖6所示。

圖6 DEO攻擊1-從工程軟件中隱藏受感染的梯形圖邏輯Figure 6 DEO attack 1-hiding infected ladder logic(running in a target PLC) form the engineering software

3) 引腳控制攻擊（pin control attack）[60]：該攻擊在不修改PLC邏輯指令或固件的前提下，濫用控制器的引腳控制功能，來操作物理過程。引腳控制主要由引腳多路復(fù)用和引腳配置兩方面組成。攻擊者通過更改引腳寄存器修改引腳的多路復(fù)用功能，通過將引腳連接到另一個(gè)外圍設(shè)備，來阻止控制器與外圍設(shè)備的通信，并對其進(jìn)行物理損壞。攻擊者也可以通過引腳配置攻擊，將引腳模式從輸入更改為輸出，反之亦然，以控制合法進(jìn)程從該引腳寫入或讀取信息。由于引腳配置的更改不會(huì)產(chǎn)生中斷，在運(yùn)行時(shí)復(fù)用或重新配置引腳時(shí)，系統(tǒng)會(huì)像往常一樣繼續(xù)其任務(wù)，但輸入和輸出可能會(huì)產(chǎn)生意想不到的結(jié)果。

4) 虛假數(shù)據(jù)注入（FDI，false data injection）攻擊：可以分為兩類：一類是攻擊者已經(jīng)知道PLC中的一些關(guān)鍵控制點(diǎn)，并惡意修改其值，從而導(dǎo)致控制混亂，如強(qiáng)制對寄存器地址執(zhí)行寫操作，以覆蓋寄存器的當(dāng)前值；另一類是攻擊者向PLC注入虛假的傳感器測量數(shù)據(jù)，使PLC根據(jù)虛假測量數(shù)據(jù)啟用不適當(dāng)?shù)目刂撇僮鳌?/p>

G?nen等[61]通過內(nèi)部人員對Schneider M241 PLC進(jìn)行錯(cuò)誤數(shù)據(jù)注入攻擊。如果內(nèi)部人員獲取了尋址映射，就可以讀取寄存器地址的狀態(tài)，并向內(nèi)存地址發(fā)送新值以更改這些地址的值。對PLC設(shè)備進(jìn)行FDI攻擊的步驟如圖7所示。

圖7 對PLC設(shè)備進(jìn)行FDI攻擊的步驟Figure 7 Steps of FDI attack on PLC equipment

Roomi等[62]開發(fā)了一種可模擬攻擊的網(wǎng)絡(luò)范圍，如圖8所示：通過直接篡改受感染設(shè)備（繼電器、頻率監(jiān)視器和溫度傳感器等）的數(shù)據(jù)或返回值，將其存儲(chǔ)在FDI攻擊配置中，攻擊者可以將偽造的數(shù)據(jù)動(dòng)態(tài)地注入PLC，來模擬FDI攻擊。但cyber range的模擬是輪回進(jìn)行的，平均每個(gè)回合需要4.2 s，無法提供瞬態(tài)或?qū)崟r(shí)行為，但仍可以模擬預(yù)先編程的FDI攻擊。

圖8 FDI網(wǎng)絡(luò)范圍示意Figure 8 Schematic view of FDI cyber range

5) 蠕蟲病毒攻擊：Spenneberg 等[63]基于SIMATIC S7-1200演示了PLC蠕蟲攻擊的可行性。只需引入受感染的PLC，即可使該蠕蟲在工控網(wǎng)絡(luò)中傳播。蠕蟲感染目標(biāo)PLC的執(zhí)行步驟如圖9所示。首先，蠕蟲啟動(dòng)與可能目標(biāo)的連接。一旦建立了連接，蠕蟲先檢查目標(biāo)是否已經(jīng)被感染。如果未檢測到感染，蠕蟲將停止執(zhí)行已安裝的程序，并傳輸自己的代碼。然后，再次啟動(dòng)目標(biāo)PLC。該蠕蟲僅使用PLC，不需要任何PC或服務(wù)器即可傳播，且在重啟和斷電后仍然存在。這些特性使其很難被追蹤。

圖9 蠕蟲的工作順序Figure 9 Execution sequence of the worm

針對PLC攻擊的分類如表3所示。

表3 針對PLC攻擊的分類Table 3 Classification on attacks towards PLC

3.3 現(xiàn)場設(shè)備

傳感器數(shù)值替換攻擊（sensor spoofing attack）：一種是直接替換，即攻擊者用惡意傳感器替換一個(gè)或多個(gè)傳感器，攻擊者可以操縱傳感器讀數(shù)，將虛假數(shù)值反饋到系統(tǒng)；另一種是間接替換，即將來自另一個(gè)進(jìn)程的傳感器測量值代替目標(biāo)傳感器的測量值。

故意電磁干擾（IEMI，intentional electro-magnetic interference）攻擊：通過有意地引入噪聲，干擾系統(tǒng)的正常運(yùn)行，或者向常用的電子系統(tǒng)中注入虛假數(shù)據(jù)，使攻擊者具有獨(dú)立控制電子系統(tǒng)的能力。Selvaraj等[64]證明了可以使用低功率 IEMI影響傳感器/驅(qū)動(dòng)系統(tǒng)輸出的直流或平均電壓，從而允許對模擬和數(shù)字系統(tǒng)進(jìn)行任意虛假數(shù)據(jù)注入。

緩沖區(qū)溢出攻擊（buffer overflow attack）：攻擊者可以通過拒絕服務(wù)攻擊創(chuàng)建溢出。當(dāng)數(shù)據(jù)超出分配的內(nèi)存空間時(shí)，數(shù)據(jù)的完整性將被破壞。

3.4 工控網(wǎng)絡(luò)攻擊

工控網(wǎng)絡(luò)信息安全的基本屬性包括可用性、完整性和機(jī)密性。可用性是保證ICS正常運(yùn)行的重要條件，意外中斷是不可接受的。在ICS中，可用性及完整性通常比機(jī)密性更重要。本文根據(jù)攻擊破壞工控網(wǎng)絡(luò)信息安全的基本屬性對攻擊進(jìn)行分類。

3.4.1 可用性攻擊

可用性攻擊旨在惡意占用網(wǎng)絡(luò)資源或干擾網(wǎng)絡(luò)數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)延時(shí)到達(dá)或傳輸中斷。常見的可用性攻擊有：DoS（denial of service）攻擊[65]、勒索軟件攻擊（ransomware attack）[15,66]、干擾攻擊（jamming attack）[67]等。

1) DoS攻擊：DoS攻擊指耗盡被攻擊對象的資源，以阻止授權(quán)個(gè)人或?qū)嶓w訪問某些資源（如設(shè)備、網(wǎng)絡(luò)等）。此類攻擊容易導(dǎo)致系統(tǒng)在有效時(shí)間范圍內(nèi)難以執(zhí)行控制任務(wù)。針對ICS的DoS攻擊可能旨在破壞SCADA主設(shè)備與從設(shè)備之間的通信，這可能導(dǎo)致SCADA主設(shè)備失去對本地控制系統(tǒng)和執(zhí)行器的控制[68]。針對控制器的DoS攻擊，可能會(huì)耗盡控制器的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源，干擾控制器及時(shí)發(fā)出控制命令。

2) 勒索軟件攻擊：勒索軟件是一種惡意軟件，使用加密等手段劫持工控系統(tǒng)中的重要資源和服務(wù)，致使受攻擊的對象無法訪問。然后攻擊者向受害者索要金錢以換取被鎖定的數(shù)據(jù)?；谠频奈募蚕砑夹g(shù)使用廣泛，云上勒索軟件攻擊可以在一次攻擊中加密無數(shù)文件，意味著它的傳播速度更快、危害更大。

勒索軟件攻擊可以分為兩類[66-69]。鎖定勒索軟件攻擊（locker ransomware attack）：這種類型的勒索軟件會(huì)阻止受害者訪問他自己的設(shè)備，即在支付贖金之前，不允許用戶訪問他的系統(tǒng)或設(shè)備。Zhang等[70]構(gòu)造一種勒索軟件ICS-BROCK，其攻擊步驟如下：通過漏洞檢測發(fā)現(xiàn)易受攻擊的工作站，并嘗試感染它和PLC的上位機(jī)，然后將邏輯炸彈寫入PLC并鎖定，被鎖定的PLC需要解鎖密鑰才能正常工作。該方法能用較少的信息完成勒索攻擊，更接近真實(shí)的攻擊場景。加密勒索軟件攻擊（crypto ransomware attack）：此類攻擊會(huì)搜索用戶的有用數(shù)據(jù)并對其進(jìn)行加密，除加密文件之外，用戶可以不受限制地訪問并操作系統(tǒng)。Zimba等[15]對多階段加密勒索軟件攻擊進(jìn)行了建模。通過靜態(tài)惡意軟件分析說明，勒索軟件可采用不同的技術(shù)，在不同的網(wǎng)絡(luò)分區(qū)傳播和攻擊關(guān)鍵基礎(chǔ)設(shè)施。

3) 干擾攻擊：由于無線媒體的開放性，無線通信容易受到無線電干擾的攻擊。當(dāng)惡意設(shè)備發(fā)出高功率干擾信號(hào)時(shí)，其附近的所有無線設(shè)備可能無法通信[71]。Adepu等[67]在安全水處理（SWAT，secure water treatment）實(shí)驗(yàn)臺(tái)上實(shí)現(xiàn)了對工控系統(tǒng)的網(wǎng)絡(luò)干擾攻擊。作者通過使用可配置的射頻設(shè)備、通用軟件無線電外設(shè)（USRP，universal software radio peripheral）來阻塞通信信道，實(shí)現(xiàn)了干擾攻擊。

3.4.2 完整性攻擊

完整性攻擊試圖在從源頭傳輸?shù)侥康牡氐倪^程中插入、更改或刪除數(shù)據(jù)，從而破壞數(shù)據(jù)交換和決策。常見的完整性攻擊有：重放攻擊（replay attack）[53,72]、節(jié)點(diǎn)復(fù)制攻擊（node replication attack）[73]等。

1) 重放攻擊：攻擊者可以在不篡改任何數(shù)據(jù)的情況下，將另一時(shí)段從網(wǎng)絡(luò)上竊聽的數(shù)據(jù)包發(fā)送出去，達(dá)到欺騙系統(tǒng)的目的。由于工控系統(tǒng)中傳輸?shù)臄?shù)據(jù)包沒有時(shí)間戳，只要數(shù)據(jù)格式正確，很難判斷數(shù)據(jù)包的真假[74]。

重放攻擊是PLC中典型的攻擊方式之一，攻擊包括3個(gè)步驟[75]：① 啟動(dòng)Wireshark，捕獲數(shù)據(jù)包；② 過濾掉不屬于流量命令中的指令包；③ 通過取得命令包的格式對PLC進(jìn)行重放攻擊。HMI也是重放攻擊的常見目標(biāo)。在劫持HMI和PLC之間的通信通道后，攻擊者可以僅替換消息內(nèi)容，使HMI呈現(xiàn)歷史數(shù)據(jù)視圖從而欺騙操作員[53]。

2) 節(jié)點(diǎn)復(fù)制攻擊：在無線工業(yè)網(wǎng)絡(luò)中，通常會(huì)復(fù)制一些真實(shí)節(jié)點(diǎn)，以增強(qiáng)節(jié)點(diǎn)的處理能力。但攻擊者可以使用捕獲的真實(shí)節(jié)點(diǎn)中的信息來創(chuàng)建惡意節(jié)點(diǎn)。

文獻(xiàn)[73]利用NIST開放數(shù)據(jù)集進(jìn)行汽車裝配環(huán)境下復(fù)制攻擊的仿真實(shí)驗(yàn)。攻擊者首先劫持合法節(jié)點(diǎn)，并提取其ID、密鑰、控制信息、數(shù)據(jù)信息等有關(guān)的敏感信息。隨后，攻擊者根據(jù)提取的信息來復(fù)制節(jié)點(diǎn)，并部署在工業(yè)無線網(wǎng)絡(luò)中。然后，復(fù)制的節(jié)點(diǎn)可以充當(dāng)合法節(jié)點(diǎn)與其他節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交互。當(dāng)無線網(wǎng)絡(luò)中存在大量復(fù)制節(jié)點(diǎn)時(shí)，它們可以通過連續(xù)發(fā)送訪問請求始終占據(jù)通信通道來發(fā)起拒絕服務(wù)攻擊。攻擊者還可通過在網(wǎng)絡(luò)中廣播惡意信息，以注入惡意數(shù)據(jù)或更改合法節(jié)點(diǎn)的傳輸信息，來破壞數(shù)據(jù)的完整性。

3.4.3 機(jī)密性攻擊

機(jī)密性攻擊指未經(jīng)授權(quán)的實(shí)體嗅探、網(wǎng)絡(luò)數(shù)據(jù)竊取或流量分析。常見的機(jī)密性攻擊有：竊聽攻擊（eavesdropping attack）[76]、中間人攻擊（man-in-the-middle attack）[77-78]、位置欺騙攻擊（location spoofing attack）[79]等。

竊聽攻擊：竊聽攻擊是一種被動(dòng)攻擊，攻擊者可以嗅探網(wǎng)絡(luò)通信通道，以捕獲網(wǎng)絡(luò)通信上正在發(fā)送和接收的信息。竊聽攻擊不會(huì)導(dǎo)致工控系統(tǒng)產(chǎn)生不正常的現(xiàn)象，因此很難被檢測到。

中間人攻擊：攻擊者進(jìn)入兩臺(tái)設(shè)備之間的對話，并在交換數(shù)據(jù)和控制消息的同時(shí)讓兩端認(rèn)為他們正在與對方直接對話。中間人攻擊有主動(dòng)和被動(dòng)兩種攻擊方式[80]。被動(dòng)方式是監(jiān)控控制器通信流量并獲取數(shù)據(jù)。主動(dòng)方式是通過篡改數(shù)據(jù)和命令，干擾系統(tǒng)的正常運(yùn)行。Urbina等[77]展示了如何在ICS現(xiàn)場總線網(wǎng)絡(luò)中，采用中間人攻擊從被竊聽的信息中獲取傳感器讀數(shù)，并偽造傳感器和執(zhí)行器命令。此外，作者討論了設(shè)置中間人攻擊存在的一些挑戰(zhàn)以及如何克服這些挑戰(zhàn)。

位置欺騙攻擊：通過偽造無線電信號(hào)，一方面，攻擊者可以誤導(dǎo)定位到一個(gè)錯(cuò)誤的結(jié)果，這將對依賴于位置信息的工業(yè)系統(tǒng)造成威脅[79]；另一方面，攻擊者若偽裝成具有高訪問權(quán)限的位置，則可能非法訪問機(jī)密資源。

針對工控網(wǎng)絡(luò)攻擊的分類如表4所示。

表4 針對工控網(wǎng)絡(luò)攻擊的分類Table 4 Classification on attacks towards industrial control net

4 未來攻擊趨勢

未來針對工控系統(tǒng)攻擊的主要發(fā)展趨勢主要如下。

（1）針對工控攻擊的門檻降低

攻擊者發(fā)動(dòng)ICS攻擊變得越來越容易，這歸因于越來越多的工具或示例可供使用，從而降低了入侵者所需知識(shí)和技能的門檻[81]。信息技術(shù)（IT）和運(yùn)營技術(shù)（OT）領(lǐng)域的融合將成為常態(tài)，入侵者甚至可以繞開工控底層專業(yè)知識(shí)，采用常規(guī)手段組合式攻擊來直接攻擊控制系統(tǒng)。

（2）針對設(shè)備的攻擊有所上升

工控設(shè)備使用年限較長，軟硬件存在安全漏洞、設(shè)備缺乏認(rèn)證和授權(quán)管理、數(shù)據(jù)加密和完整性檢查欠缺等問題。工控設(shè)備所處的環(huán)境安全、設(shè)備安全和管理安全任何一方面遭受攻擊，可能對整個(gè)工控系統(tǒng)造成巨大的損壞。特別是隨著智能設(shè)備大規(guī)模部署，互聯(lián)互通已成為必然趨勢，工控安全問題也會(huì)隨著連接性的增長而增加。

（3）勒索軟件攻擊日漸頻繁

近幾年，針對工控系統(tǒng)的勒索軟件攻擊逐漸上漲，其原因可能有以下兩個(gè)方面：一方面，經(jīng)濟(jì)利益是吸引攻擊者使用該類攻擊的首要因素，黑客組織采用釣魚郵件、軟件捆綁、魚叉式攻擊等方式向企業(yè)發(fā)起勒索攻擊，索要高昂的贖金；另一方面，數(shù)字貨幣的出現(xiàn)及使用，如比特幣，可使攻擊者輕松獲得非法報(bào)酬，而不必但心真實(shí)身份的暴露，有利于匿名“安全”支付[82-83]。這可能是勒索軟件攻擊在數(shù)字貨幣出現(xiàn)之后越發(fā)流行的原因之一。

（4）高級(jí)可持續(xù)威脅攻擊日趨嚴(yán)重

高級(jí)可持續(xù)威脅攻擊仍將是最復(fù)雜和最棘手的工控攻擊之一，它采用多種攻擊方式來滲透和分析目標(biāo)，具有極強(qiáng)的隱蔽性和持久性，使防御者難以檢測和防御。APT攻擊的目的性很強(qiáng)，對石油、化工、電力、核能等國家關(guān)鍵基礎(chǔ)設(shè)施的安全構(gòu)成嚴(yán)重威脅。

（5）針對企業(yè)上云的安全問題日益突出

工業(yè)和信息化部印發(fā)了《推動(dòng)企業(yè)上云實(shí)施指南（2018—2020年）》，并表示上云比例和應(yīng)用深度顯著提升，使云計(jì)算在企業(yè)中廣泛普及。隨著企業(yè)上云的普及，攻擊者利用云計(jì)算資源攻擊企業(yè)或云服務(wù)提供商也會(huì)增多，如分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚活動(dòng)、惡意托管、數(shù)據(jù)盜取等。

5 結(jié)束語

工控系統(tǒng)是電力、交通、石化等國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。對工控系統(tǒng)的攻擊，會(huì)擾亂系統(tǒng)的運(yùn)行，對工業(yè)生產(chǎn)的經(jīng)濟(jì)效益產(chǎn)生很大影響，甚至造成人員傷亡。本文對工控系統(tǒng)中關(guān)鍵組件面臨的安全問題和攻擊方法相關(guān)文獻(xiàn)進(jìn)行了綜述：首先介紹了ICS的基本概念；然后對關(guān)鍵工控組件的安全問題進(jìn)行了分析，重點(diǎn)從控制中心、PLC、現(xiàn)場設(shè)備、工控網(wǎng)絡(luò)，對現(xiàn)有文獻(xiàn)的攻擊方法進(jìn)行分類、總結(jié)；最后，指出了未來工控攻擊的發(fā)展趨勢。