遗憾的是，搜集这些信息

　　随着信息安全被提升到国家安全的层面，工业控制系统作为关系国之命脉的重要体系，其安全防御也日益成为信息安全领域关注的热点。然而，与传统的信息安全相比，工控系统安全又有其独特之处。我们又该如何对工控系统安全进行有效防御？

　　虽然工控系统与传统信息安全有出入，但普通网络攻击的基本步骤和方法其实同样适用于工业控制系统网络，只不过由于工业控制系统网络使用专门的系统和协议，其攻击步骤和方法有一定的差异性。

　　所谓“知己知彼，百战不殆”，只有了解了黑客攻击的步骤和方法，才能有效采取防御措施，保障工业控制系统的网络安全。

　　信息搜集

　　工业控制系统的网络、协议和系统都比较特殊，攻击者要搜集到相关信息并不容易，他们通常会从企业的公开信息、轮班时间表、合作服务和贸易往来，尤其是企业供应商所提供产品的协议规范等入手。

　　遗憾的是，搜集这些信息变得越来越容易。如搜索引擎SHODAN，可以根据端口、协议、国家和其他条件搜索与互联网关联的所有设备。任何使用HTTP、FTP、SSH或Telnet协议的服务器、网络交换机、路由器或其他网络设备都可以被它检索到，进而轻易找到应用SCADA协议的设备。虽然很难置办整个控制系统来实施逆向工程，但攻击者可以通过各种公开或地下渠道了解控制系统相关设备的漏洞和后门。

　　网络扫描

　　利用网络扫描可以通过端口、协议等信息快速定位SCADA和DCS系统。例如，如果扫描出某设备的502端口使用的是Modbus协议，那么可以推断，与该设备连接的很可能是HMI系统或某些监管工作站。

　　值得注意的是，很多工业控制系统的网络协议对时延非常敏感，如果硬扫描，很可能导致整个网络瘫痪。所以，如果攻击者只是想中断系统服务，那么，只要进行简单的网络扫描就可以达到目的；或者，若扫描发现，实时协议只受到防火墙的保护，那么只凭基本的黑客技术，实施DOS攻击就可以奏效。如果攻击者另有图谋，那就只能采取软扫描方式，以避免系统崩溃。

　　目标系统定位之后，再根据工业控制系统网络协议的特点进行后续扫描，就可以获取相关设备信息。如：可以根据以太网/IP流量识别出关键基础设施保护（CIP）设备及属性；可以根据DNP3响应结果发现DNP3的从属地址；可以通过截取EtherCAT帧信息或SERCOSⅢ主站数据电报得到所有隶属设备及其时间同步信息。

　　账户

　　很多工业控制系统是基于Windows的，那些专门Windows账户信息的方法和工具也可以应用到工业控制系统上。尤其是运行在WindowsOLE和DCOM上的OPC系统，只要通过主机认证就可以控制OPC环境。如果无法获得底层协议认证，也可以通过枚举方式控制系统内其他用户和角色。如HMI用户、ICCP服务器凭据(双向表)、主节点地址（任何主/从工业协议）、以往数据库认证信息等。

　　进入HMI，就可以直接控制HMI管理的进程，并窃取信息；进入ICCP服务器，就可以窃取或操纵控制中心之间的传输数据。所以说，从功能上将物理设备和逻辑设备全部隔离到安全区域是非常重要的。NIST800-82(工业控制系统安全防护指南)还建议采用账户复合认证方式。有了物理和数字的双重保护，账户就很难；也就是说，即使知道了某个用户名或某个密码，也很难通过账户认证。

　　实施攻击

　　正如前面所述，一次简单的网络扫描就可以破坏工业控制系统网络。因为工业控制系统网络协议非常敏感，信息流稍有变化，协议就会失效。所以，攻击者利用硬扫描来破坏系统，利用软扫描来侦测信息。另外，也可以通过防火墙实施网络扫描，因为通过防火墙的开放端口进行分组交换更加容易。一旦扫描通过，黑客就可伪装合法通讯，对控制网络实施DOS攻击。

　　如果攻击目的是侵入网络或者潜伏网络，我们以“震网”（Stuxnet）为例，了解黑客可能会应用的渗透技术。“震网”是一种专门针对工业控制系统的、基于Windows平台的蠕虫病毒，它具有多种扫描和渗透机制，能自我，传播能力强，极具隐身性。入侵网络后，“震网”会根据不同环境做出不同反应，如在“企业环境”，它会寻找目标HMI，然后入侵HMI；在“工业环境”，它会感染HMI，寻找目标PLCs，然后将恶意代码植入其中；在“运行环境”，它会利用PLC寻找某个带特定参数运行的IEDs，然后植入代码，进行破坏活动。

　　简单来说，“震网”的攻击手段可以总结为：以常见的黑客技术发动初次攻击；入侵SCADA和DCS后，利用其资源再侵入其他工业控制系统；对“非路由”系统（如有PLCs和IEDs中组成的总线），它也可以进行感染，并渗透进更深层的工业生产过程中。