德国发布《2019年工业控制系统安全面临的十大威胁和反制措施》

2019年2月27日，德国联邦信息技术安全办公室（BSI）发布《2019年工业控制系统安全面临的十大威胁和反制措施》。本文主要编译并概述十大威胁，分别介绍其产生原因、可能造成的后果及可采取的反制措施。

工业控制系统（Industrial Control Systems）即生产和过程自动化系统，涉及几乎所有的基础设施领域，目前也越来越频繁遭到网络攻击。德国联邦信息技术安全办公室（BSI）每两年发布一次该领域可能遭到的威胁报告，使有关部门更好地识别和防御危机。2019年2月27日，德国联邦信息技术安全办公室发布《2019年工业控制系统安全面临的十大威胁和反制措施》，具体内容如下。

1、数据移动储存设备及外部硬件造成的有害软件入侵

移动储存设备常会被工作人员用于办公和工业控制系统网络中，工作人员还常把此类设备带回家或将自己的移动储存设备接入系统。此外，接入带有外部信息的笔记本，也潜藏着同样的危险。

可能造成的后果：一是U盘在私人环境中遭到病毒感染，直接导入工业控制系统；二是用于系统维护的笔记本电脑在接入互联网中感染病毒，接入工业控制系统时感染系统；三是数据包含有害代码，在与工业控制系统进行传输时感染系统。

可采取下列反制措施：一是规范移动存储设备的使用，加强技术监控，具体为①为移动存储设备设立允许使用的白名单；②移动存储设备隔离筛查（使用与工业控制系统不相干的电脑系统进行移动存储设备的检测）；③个人专用与工业控制系统专用的移动存储设备分离；④物理隔绝USB接口；⑤存储设备完全加密。二是对用于系统维护的外部笔记本电脑的使用建立严格的规章和技术监控，具体为①数据交换仅适用移动存储设备，并严格遵循上述规定；②对外部服务商的接入进行隔离检疫；③接入系统前对笔记本电脑进行病毒扫描；④由工业控制系统方保管笔记本电脑，并完全加密。

2、通过网络感染病毒

企业职员在使用浏览器和电子邮件时难免会接入互联网。攻击者可以利用互联网上的漏洞侵入局域网或者传播有害软件，从而窃取重要信息。运用以太网和信息记录并接入企业网络更加剧了安全风险。一旦攻击者侵入局域网，便可以直接对工业控制系统展开攻击。

可能造成的后果：一是利用已经为人所知的漏洞或所谓零日漏洞进行攻击；二是操纵外部网页，通过“加载即下载”的形式或者无需用户交互、打开网页即感染的形式传播病毒；三是攻击企业网页；四是借助无特定目标的有害软件感染部件或损害其功能；五是已遭到病毒感染的员工安装私人硬件（手机、游戏PC等）。

可采取下列反制措施：一是尽可能分割不同的网络，借助防火墙和 VPN隔绝攻击路径；二是运用传统的保护措施，如防火墙、杀毒软件等；三是限制信息自由流动，防止重要信息的流通；四是定期、及时为系统打补丁；五是监控陌生或非寻常连接的记录文件；六是尽可能强化办公室、工业控制系统中使用的IT部件。

3、人为错误操作

在工业控制系统中工作的有关人员对于系统的安全来说地位特殊，这不仅包括系统中的职员，也包括外部人员，比如维护或设计人员。保证安全不只需要靠技术措施，还需要靠相应的组织规定。

可能造成的后果：一是安全相关部件、网络部件或工业控制系统部件的错误配置；二是未经协调进行升级或打补丁可能会对个别部件或整体运行造成影响；三是需要注意运作前的操作，如设备损伤或安装时的错误等；四是运作未经允许的软件或硬件，硬件如游戏控制台、数码相机、智能手机、路由器、个人的其他USB设备等，软件包括加载Flashplayer、安装网页游戏等；五是对基础设施或安全部件添加未经允许的设计，如增加防火墙规则使系统允许外部接入移动终端等。

可采取下列反制措施：一是建立“Need-to-Know”原则，即只有当需要的时候才告知系统细节、密码、敏感数据；二是建立框架条件以保证职员和管理员的专业能力，提供培训项目；三是关闭操作系统及生产相关系统的网络连接，如操作者个人的办公系统单走另外的网络连接；四是为新雇员、外部委托承接方等设立标准化流程；五是事前规定职员操作技术系统时的规章流程；六是事前规定工业控制系统网络中的关键步骤，如安全管理相关事项；七是自动监控系统状态；八是保证项目和系统配置信息安全存放。

4、网络传输和云传输干扰

如今，大数据的应用越来越广泛，许多安全问题也涉及云服务，云服务的问题在于，使用方对相关信息安全只拥有极其有限的控制力。

可能造成的后果：一是通过网络攻击，云端沟通遭到干预和中断，由于连带影响，当地的生产也会遭到干扰；二是利用执行错误或不安全的机制，获取外部存储的数据；三是对云端的外部攻击也可能造成侧面的影响。

可采取下列反制措施：一是通过合同确保云端安全；二是使用可靠的、经过认证的服务提供商；三是自主运行云端服务，保证拥有控制权；四是使用足够强的加密机制来保护云端储存的信息；五是使用VPN来保护本地生产与外部部件之间连接的安全。

5、社会工程（Social Engineering）和仿冒网站（Phishing）攻击

社会工程是指采用非技术手段获取未经允许的信息或者触及IT系统。社会工程主要利用了人的性格，如好奇、乐于助人、信任、害怕、尊重权威等。攻击者利用这些性格，诱使职员做一些大意或失职的行为。其中仿冒邮件就是一个经典例子，它诱骗职员打开带有害软件的附件或者有毒的网页。

可能造成的后果：一是仿冒网站攻击，攻击者利用假信件取得被害者的信息或者传播有害软件；二是传播带有看似无害的链接或附件的信息，一旦打开就会安装有害软件；三是鱼叉式网络钓鱼：攻击者只攻击少数特定目标，其发送的邮件正好针对于目标人物，常利用企业网页上的公开信息或者社交媒体；四是攻击者可以通过装出友善安全的样子或者假装走错路混入企业中。

可采取下列反制措施：一是根据不同目标群体进行特定的安全意识训练。二是建立并贯彻安全准则，具体为①对具有价值的信息进行识别和分类；②建立信息安全纲要；③对职员、合作伙伴和服务供应商引入信息衡量和信息保护声明；④规定纸质打印信息的销毁规则；⑤数字储存媒介的安全删除；⑥确定移动设备使用规章。三是建立紧急时刻的警报措施，这些措施需要事先说好并做好沟通，且不应对职员有负面作用；四是使用技术性安全机制来落实相应的规章，以及自动识别错误行为或网络攻击；五是定时检查数据情况，必要时重建数据。

6、拒绝服务攻击（DoS攻击）

工业控制系统各部件之间的沟通可以通过电缆或非电缆手段实现，一旦这种联系受到干扰，测量和操作数据之类的信息就无法传送，或者一个部件同时得到过多命令造成过载，无法及时提供回应，这类情况便叫做拒绝服务（DoS），时常被网络攻击者利用。近年来此类攻击的数量一直在上升。

可能造成的后果：一是攻击者租用僵尸网络对部件之间的网络连接进行DoS攻击；二是对某一部件平台进行DoS攻击，干扰其工作进程并造成断路，常常出现在操作设备或中心部件上；三是通过使用干扰器、假基站发送特别的数据包，攻击无线网络，打断当前连接；四是通过勒索软件进行拒绝服务攻击。

可采取下列反制措施：一是强化网络连接和沟通渠道；二是关键功能使用专门的、有线的连接；三是使用入侵检测系统识别并警告攻击；四是支线的连接使用不同的标记和沟通路径。

7、联网的中控部件

工业控制系统的部件常会直接连接网络，并且能够被搜索引擎探查到。这些中控设施的安全水平不高，且经常无法及时为被发掘的漏洞打上补丁，因此需要加强安全机制。

可能造成的后果：一是借助搜索引擎找到中控部件；二是直接触及未受保护的部件，使用公开可知的标准密码以实现操作；三是利用漏洞触及部件并实施损害。

可采取下列反制措施：一是中控部件不联网；二是强化中控设备的构成，如关闭不必要的服务、改变标准密码等；三是采用加强型措施，如防火墙或VPN；四是及时更新或打补丁。

8、通过远程维护通道入侵

在工业控制系统的安装过程中，为维护系统留出了外部通道。而通过为了特定系统留出的维护通道，经常可以不受限制地触及其他系统。其原因通常是缺乏认证和授权以及不分网络等级权限。系统的维护和部件的编程通常由生产商和外部服务商完成，这为系统的安全管理增加了难度。

可能造成的后果：一是直接通过维护通道进行攻击，比如：通过暴力破解攻击解除密码，使用以前使用的令牌（Tokens）等；二是间接通过服务商的IT系统进行攻击，比如：利用外部维护设备安装木马，盗取密码、证书或令牌以取得授权，直接盗取笔记本电脑。

可采取下列反制措施：一是删除制造商的标准密码；二是使用足够安全的身份验证方法，比如预共享密码（Pre-Shared-Keys）、证书、硬件令牌、一次性密码、多因素认证等；三是对传输通道加密；四是分割网络，限制远程通道的触及范围；五是为远程维护触及的平台设立隔离区（DMZ），使得服务商无法直接触及ICS网络，而只能连接隔离区，并通过隔离区连接目标系统；六是远程通道始终设立防火墙进行实时监控和授权，只允许维护必要的IP地址、接口和系统通过；七是内部职员只能在限定时间内打开远程通道，并且只能用于远程维护；八是及时记录远程干涉进程，并对记录进行评价和存档；九是所有通道都必须个人化，拒绝多人使用同一账户，同一时间只允许一个用户登录；十是使用审计（Audits）功能。

9、技术性错误操作和不可抗力

硬件损伤和软件错误、网络故障一样都是不可忽视的问题，且硬件受周围环境（污染、温度）的影响更大，因此出现损伤的概率也更高。

可能造成的后果：一是部件损伤，如硬盘、开关、电缆故障；二是硬件损伤和软件错误都可能长期不被发现并造成严重后果；三是软件错误可能造成整体系统的故障。这些问题多是因为组织上的缺陷而造成严重损害。

可采取下列反制措施：一是建立紧急情况管理机制，内容包括可能的应对措施、系统重建的过程、代替的沟通方式以及练习过程；二是预先准备替换的设备；三是预先准备测试系统，在安装到生产系统前测试补丁和新软件的使用；四是使用不是开发者个人开发的标准化平台，减少存在未知漏洞的风险；五是重要部件进行备份设置；六是在选择系统和部件时要有最低要求，其中重要内容应有厂商的可信度和可靠性，产品的稳固性、安全机制，及时获取补丁、开放的迁移路径，放弃不必要的产品功能。

10、智能手机在生产领域中的干扰

利用手机和平板进行运营和生产在工业控制系统中越来越频繁，这属于一种特殊的远程操作通道，手机和平板的使用又提供了一个多余的攻击平台。

可能造成的后果：一是智能手机被盗窃或遗失；二是通过程序攻击手机，读取没有被保护的信息；三是攻击手机与工业控制系统的交互渠道，如记录与工业控制系统的交流。

可采取下列反制措施：一是限制手机操作工业控制系统，禁止对参数进行修改；二是使用集成工具，防止外部干涉，防止有害软件和远程删除功能，手机上不允许安装与安全相关的控制功能（如越狱等）；三是手机App必须通过认证的来源获取，理想情况最好能有中心部门的统一检测以及IT部门的分配；四是使用加密连接；五是衡量使用手机的风险；六是不使用App干涉工业控制系统，只允许通过安全的服务器进行加密操作。（刘阳）

（图片来源：百度图库）

声明：本文来自保密科学技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。