“美國供水、供電等重要社會基礎設施服務企業的控制系統發生異常,并受到來自網絡的惡意攻擊的危險性越來越高。”2013年5月9日,美國華盛頓郵報報道,美國國土安全部在5月7日發出了上述警告。
據稱,美國政府高官對國外敵對勢力最近幾個月間控制水廠、電廠、化工廠的計算機系統進行了調查,對破壞性網絡攻擊極為擔憂。而且,攻擊者的目的不僅僅局限于竊取生產制造的知識產權,還擴展到使生產控制過程發生異常等破壞性行為。
圖1美國國土安全部網站
2010年9月,伊朗納坦茲的鈾燃料濃縮施設被稱為“Stuxnet”的超級工廠病毒進行網絡攻擊。這是對控制系統進行網絡攻擊的最著名案例(圖2)。
專家分析,該攻擊中,Stuxnet通過干擾控制濃縮鈾遠心分離機的運行速度以及狀態,來妨礙鈾濃縮過程。Stuxnet利用了德國西門子開發的Step7控制系統軟件中的漏洞。
圖2Stuxnet入侵控制系統
美國Symantec公司認為,由于局域網和工廠內的控制系統是獨立的,所以該病毒應該是以U盤為介質來傳播的,并推測出,是由5~10人團隊用半年時間開發了Stuxnet病毒。
生產制造型工廠也被盯上
2012年8月,沙特阿拉伯國營石油公司Aramco受到了網絡攻擊。據紐約時報報道,攻擊者的目標為制油/制氣工程。通過使工程中止,讓石油/天然氣的生產發生異常。
這個攻擊中使用了“Shamoon”計算機病毒,所幸沒有造成生產異常,但是卻影響了該公司3萬多臺計算機,Aramco公司為此中斷了一周內部網絡訪問。
控制系統安全專家、日本VirtualEngineeringCompany(VEC)秘書長村上正志明確表示,“全球范圍內存在著許多利用網絡攻擊的犯罪組織”。這些組織為了實現對企業進行恐嚇、操縱股價等,從事有針對性的對控制系統的網絡攻擊。
村上正志進一步指出,“我們擔憂這種行為將會越來越多,許多網站出售網絡攻擊工具,無需高級技術就能進行攻擊的時代已經到來了。”這些組織或網站的存在,意味著工廠等控制系統受到攻擊將極為現實。
就像恐怖襲擊的攻擊那樣,其目的在于使社會混亂。對基礎設施的網絡攻擊今后將不斷出現,而對于從事普通生產工業產品企業的控制系統來說,也并非事不關己。
某日本企業每5分鐘受到一次攻擊
在日本,對制造業的網絡攻擊案例也在增多。村上正志稱,最近半年,有20多家日本企業咨詢過網絡攻擊應對解決方案。
據他介紹,某個日本企業每5分鐘就遭受一次網絡攻擊。而且,每5分鐘的攻擊來源并不相同。為此,制造新產品或者產品重新組裝的時候,需要輸入必要的生產信息、生產配方等工作網絡,一定要從控制系統中剝離。
為此,在生產現場需要用手工來輸入那些信息。這樣雖然有可能增加工人的工作量,提升制造成本,但是從安全角度來看,似乎沒有更好的辦法。
讓生產中止的計算機病毒
網絡攻擊對于工廠等運行著控制系統的企業來說,已經不再是事不關己了。而且,不僅僅要防范網絡攻擊,還要將視野擴大到計算機病毒造成的破壞,這方面的影響也在大幅擴大。
日本控制系統安全中心(CSSC)理事長新誠一稱,“許多工廠都曾因設備故障停產過幾天。軟件故障還是設置錯誤呢?還是計算機病毒造成的呢?由于沒弄清楚,最初就當作設備故障停產。”
“但是,通過分析發現,其中大部分是計算機病毒造成的。這種案例并非剛剛出現,多年前就開始持續了。”可見,控制系統的安全對策已經成為當今的緊迫課題。
圖3控制系統安全中心(CSSC)日本東北多賀城總部的檢測
圖3中左圖為監視座位,右圖為工廠自動化(PA)模擬工廠。
新誠一稱,CSSC將從2013年開始,開展ISASecurityComplianceInstitute(ISCI)運營的控制設備(嵌入式設備)安全認證“EDSA”(EmbeddedDeviceSecurityAssurance)的認證。CSSC著手從事的此項工作,受到日本經濟產業省的扶持。目前,已經有3家公司報名,檢測帶進該總部的設備能否抗攻擊。
2014年三四月間,CSCC計劃開始開展控制設備的自主安全認證“CSSC認證”。新誠一稱,交換了備忘錄,CSSC認證將與國際認證相互認證。實施之后,企業就可以在日本國內獲得與控制設