宏国兴胜：物理断网后工控系统就安全了吗？

    工控网络与互联网、办公网是物理断开的，难道还会有网络安全问题吗？答案是否定的，物理断网并不能保证工控网络信息安全。

　　美国利用“震网(Stuxnet)”病毒攻击了伊朗的铀浓缩设备（以及其他重要工业设施，如核电站、国家电网）。在攻击过程中，此病毒表现出如下功能：一、使设备（浓缩铀离心机）失控；二、掩盖真实故障情况，以“运转正常”状态回传给管理部门，进而导致管理层作出错误决策。

　　被攻击的伊朗纳坦兹铀浓缩工厂，采用了西门子WinCC SCADA控制离心机的运转，制造浓缩铀，为伊朗的核电站提供“核燃料”。作为伊朗核计划的关键部分，纳坦兹铀浓缩工厂采取了最严格的措施保证工控网络的信息安全，即物理断网。但是，Stuxnet病毒仍然成功突破物理断网，攻击了WinCC SCADA，最后损坏了1000多台离心机，导致伊朗的核工业发展被延迟了2年。

　　以“震网(Stuxnet)”病毒为例，这种（类）病毒专门用于攻击重要工业设施，在成功入侵一台电脑后，它会自动寻找用于控制工业系统（如工厂、发电站）的一种软件（如西门子公司的SIMATICWinCC监控与数据采集系统），通过对软件重新编程实施攻击，这类病毒能控制关键过程并开启一连串执行程序，最终导致整个系统自我毁灭。

    值得关注的是病毒的隐身传播形式和躲避查杀能力，目标软件即使在局域网内也可被感染。其传播过程为：首先感染外部主机，然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络，在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播，最后抵达安装了目标软件的主机，展开攻击。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会自动运行，不会有任何其他操作要求或者提示出现。

　　由此可知，物理断网并不能保证工控网络信息安全。工控系统网络信息安全，并非仅限于防范“震网(Stuxnet)”病毒或黑客组织（如俄罗斯黑客组织“蜻蜓”曾攻击了欧洲、北美1000多家能源公司，通过使用一个按键就能够使水电大坝停运、核电站过载，甚至关闭一个国家的电网），它有着更广泛的内涵，我们需要不断的研究该领域内共性风险点及其安全防护技术，来提升工控系统的漏洞发现和风险防范能力，提高安全保障水平。

    宏国兴胜深耕于工业自动化领域及军工领域，目前主要产品线包括：军工加固平板电脑,军工加固显示器,军工加固越轻KVM切换器,加固笔记本.工业触摸平板电脑、工业显示器、一体化工作站、工业控制计算机及相关辅助设备。提供多尺寸的产品；凭借优越的研发实力，针对不同行业的需求量身定制个性化的OEM/ODM方案.