斯諾登丨「稜鏡計劃」看工業控制系統網路安全

2013年6月，愛德華·斯諾登曝光美國稜鏡計劃。

2015年2月，斯諾登獲2015年諾貝爾和平獎提名。

2015年9月6日，斯諾登獲挪威「比昂松言論自由獎」 ，空椅子代其領獎。

可見各國各結構對信息安全的重視程度。

1稜鏡計劃

稜鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年小布希時期起開始實施的絕密電子監聽計劃，該計劃的正式名號為「US-984XN」。英國《衛報》和美國《華盛頓郵報》2013年6月6日報道，美國國家安全局（NSA）和聯邦調查局（FBI）於2007年啟動了一個代號為「稜鏡」的秘密監控項目，直接進入美國網際網路公司的中心伺服器里挖掘數據、收集情報，包括微軟、雅虎、谷歌、蘋果等在內的9家國際網路巨頭皆參與其中。

2監控類型

受到美國國安局信息監視項目-"稜鏡"監控的主要有10類信息：電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網路資料的細節都被政府監控。通過稜鏡項目，國安局甚至可以實時監控一個人正在進行的網路搜索內容。

在稜鏡計劃之下，全世界每個人都處於被監視之下，毫無信息安全可言。

3工業控制系統安全思考

那麼我們的自動化控制系統網路安全又如何呢？一旦類似於"稜鏡"的監視甚至控制系統隱藏在我們的工業網路中。一旦爆發，後果不堪設想。

用圖說話，以下已經曝光的安全漏洞各廠家反饋都已經解決，但矛與盾的循環交替在持續，仍然值得我們思考。工控技術交流，共同學習進步，公眾號：易維通訂閱號 / industry-care。

西記

施家

AB

4工業控制網路安全事件7個實例

近年來，針對工業控制系統的各種網路攻擊事件日益增多，暴露出工業控制系統在安全防護方面的嚴重不足。總結世界七大典型的世界工控網路安全事件，以了解工業控制系統所面臨的安全威脅，促進國內工控網路安全事業不斷發展。

1）澳大利亞馬盧奇污水處理廠非法入侵事件

2000年3月，澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障，無線連接信號丟失，污水泵工作異常，報警器也沒有報警。本以為是新系統的磨合問題，後來發現是該廠前工程師Vitek Boden因不滿工作續約被拒而蓄意報復所為。

這位前工程師通過一台手提電腦和一個無線發射器控制了150個污水泵站；前後三個多月，總計有100萬公升的污水未經處理直接經雨水渠排入自然水系，導致當地環境受到嚴重破壞。

2） 美國Davis-Besse核電站受到Slammer 蠕蟲攻擊事件

2003年1月，美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQL Slammer蠕蟲病毒攻擊，網路數據傳輸量劇增，導致該核電站計算機處理速度變緩、安全參數顯示系統和過程式控制制計算機連續數小時無法工作。

經調查發現，一供應商為給伺服器提供應用軟體，在該核電站網路防火牆後端建立了一個無防護的T1鏈接，病毒就是通過這個鏈接進入核電站網路的。這種病毒主要利用SQL Server2000中1434埠的緩衝區溢出漏洞進行攻擊，並駐留在內存中，不斷散播自身，使得網路擁堵，造成SQL Server無法正常工作或宕機。實際上，微軟在半年前就發布了針對SQLServer 2000這個漏洞的補丁程序，但該核電站並沒有及時進行更新，結果被Slammer病毒乘虛而入。

3）美國Browns Ferry核電站受到網路攻擊事件

2006年8月，美國阿拉巴馬州的Browns Ferry核電站3號機組受到網路攻擊，反應堆再循環泵和冷凝除礦控制器工作失靈，導致3號機組被迫關閉。

原來，調節再循環泵馬達速度的變頻器（VFD）和用於冷凝除礦的可編程邏輯控制器（PLC）中都內嵌了微處理器。通過微處理器，VFD和PLC可以在以太區域網中接受廣播式數據通訊。但是，由於當天核電站區域網中出現了信息洪流，VFD和PLC無法及時處理，致使兩設備癱瘓。

4）美國Hatch核電廠自動停機事件

2008年3月，美國喬治亞州的Hatch核電廠2號機組發生自動停機事件。

當時，一位工程師正在對該廠業務網路中的一台計算機（用於採集控制網路中的診斷數據）進行軟體更新，以同步業務網路與控制網路中的數據信息。當工程師重啟該計算機時，同步程序重置了控制網路中的相關數據，使得控制系統以為反應堆儲水庫水位突然下降，自動關閉了整個機組。

5）震網病毒攻擊美國Chevron、Stuxnet等四家石油公司

2012年，位於美國加州的Chevron石油公司對外承認，他們的計算機系統曾受到專用於攻擊伊朗核設施的震網病毒的襲擊。不僅如此，美國Baker Hughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計算機系統也感染了震網病毒。他們警告說一旦病毒侵害了真空閥，就會造成離岸鑽探設備失火、人員傷亡和生產停頓等重大事故。

雖然美國官員指這種病毒不具有傳播用途，只對伊朗核設施有效，但事實證明，震網病毒已確確實實擴散開來。

6）Duqu病毒（Stuxnet變種）出現

2011年安全專家檢測到Stuxnet病毒的一個新型變種—Duqu木馬病毒，這種病毒比Stuxnet病毒更加聰明、強大。與Stuxnet不同的是，Duqu木馬不是為了破壞工業控制系統，而是潛伏並收集攻擊目標的各種信息，以供未來網路襲擊之用。前不久，已有企業宣稱他們的設施中已經發現有Duqu代碼。目前，Duqu殭屍網路已經完成了它的信息偵測任務，正在悄然等待中……。沒人知曉下一次攻擊何時爆發。

7）比Suxnet強大20倍的Flame火焰病毒肆虐中東地區

Flame火焰病毒具有超強的數據攫取能力，不僅襲擊了伊朗的相關設施，還影響了整個中東地區。據報道，該病毒是以色列為了打聾、打啞、打盲伊朗空中防禦系統、摧毀其控制中心而實施的高科技的網路武器。以色列計劃還包括打擊德黑蘭所有通訊網路設施，包括電力、雷達、控制中心等。

Flame火焰病毒最早誕生於2010年，迄今為止還在不斷發展變化中。該病毒結構非常複雜，綜合了多種網路攻擊和網路間諜特徵。一旦感染了系統，該病毒就會實施一系列操作，如監聽網路通訊、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等等；所有相關數據都可以遠程獲取。

各類資訊資料很多，進行合理的篩選提煉可以有效的提高效率節約時間。關注公眾號，industry-care。