2015年12月27日，烏克蘭電力公司網絡系統遭到黑客攻擊，導致烏克蘭西部地區大規模停電。據路透社報道，烏克蘭西部電力公司表示，他們服務區域的一部分，包括Ivano-Frankivsk的總部，因為工控系統受到干擾而停電。烏克蘭國家安全局譴責俄羅斯黑客應對此次事件負責，俄羅斯方面 則未對此置評。

    克里米亞和烏克蘭的這兩次停電事故是否有聯系，折射出目前錯綜復雜的國際形勢，在此我們不做分析，但停電事故中所暴露出的工業控制系統的安全問題，則足以給予我們警示。工業控制系統（Industrial Control Systems,ICS）是幾種類型控制系統的總稱，包括監控和數據采集（SCADA）系統、分布式控制系統（DCS）和其它控制系統如可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）等，以及確保各組件通信的接口技術。工業控制系統普遍應用在電力、石油天然氣、自來水和污水處理、化工、交通運輸、造紙等行業，是工業基礎設施能夠正常運作的關鍵。

最初的工業控制系統采用專門的硬件和軟件來運行專有的控制協議，而且由于是孤立的系統，不太容易受到外部的攻擊。隨著信息技術的發展，通用的計算機、操作系統（如Windows）和網絡協議（TCP/IP）在工業控制系統中得到了廣泛應用，大大增加了網絡安全漏洞和事故出現的可能。另外，工業控制系統也開始與企業管理網絡、生產監控網絡互聯互通，而這些網絡本身又具備相當的開放性，甚至存在同互聯網的接口，這為信息系統的安全威脅向生產系統擴散提供了便利條件。可以說，傳統的IT系統所面臨的信息安全風險，在工業控制系統中都是存在的，而且工業控制系統直接同生產設備交互，決定了其安全性還存在自己的特點。

工業控制系統中存在比較多的工業控制協議如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。絕大多數工控協議在設計之初，僅關注效率、實時性和可靠性以滿足工業生產的需求，而忽視了安全性的需求，缺少諸如認證、授權和加密等安全機制，這使得工業控制協議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產品，比如防火墻、IDS等，對于工業控制協議的識別和檢測時不夠的，比如對Modbus、OPC、DNP3等協議字段級別的識別和防護。在工業控制系統中，還需采用支持工業控制協議的專用安全產品來彌補通用安全技術的不足，實現對網絡邊界的完全保護。

根據網絡上已有的分析，黑客組織很有可能利用了臭名昭著的BlackEnergy的惡意軟件來發動攻擊。早在2007年BlackEnergy就開始在俄羅斯的地下網絡中流通，最初它被設計為一個能夠進行DDoS攻擊的僵尸網絡工具，隨著時間的推移，該惡意軟件已經演變為可以支持各種插件，并且基于攻擊的意圖進行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對格魯吉亞實施網絡攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個xls文檔，通過與控制端的交互產生了后續的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統，致使其無法恢復。烏克蘭電力系統不得不使用備份系統，大大延長了電力系統恢復運行的時間。

針對此類攻擊，一方面需要強化對電力專用網絡的隔離和監控，BlackEnergy運轉的前提是內網同CC服務器的交互，根據我國的電力系統二次防護規定，電力調度數據網應當在專用通道上使用獨立的網絡設備組網，在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。如果真正實現了物理隔離，那么通過網絡途徑是無法侵入調度系統的。另一方面需要對調度網內部的網絡訪問加強防護，比如對SCADA系統、EMS系統的準入控制，除了傳統的IT防護手段，必然還需要通過部署專業的工業控制防護產品來加強。

作為國內最早推出專業工控安全產品和安全服務的廠商，力控華康的工業防火墻和工業網絡安全防護網關是目前比較成熟的工業控制網絡邊界防護產品，在鋼鐵冶金、石油化工、電力、市政等領域有著廣泛的應用。

力控華康HC-ISG工業防火墻是國內首款專門應用于工業控制安全領域的自主知識產權的防火墻產品，能有效針對SCADA、DCS、PLC、RTU提供安全保護。HC-ISG支持對常見工業控制協議的識別、過濾和深度防御，可以對工業協議內部的指令、寄存器等信息進行檢查，防止應用層協議被篡改或破壞，保證工業協議通訊的可控性和準確性。

力控華康PSL工業網絡安全防護網關是一款安全隔離產品，用于解決工業控制系統接入信息網絡時的安全問題。PSL安全防護網關采用“2+1”的安全隔離技術架構，阻斷網絡間直接的TCP/IP連接，通過專有協議實現對OPC、Modbus等工業控制協議的封裝和安全的數據傳輸。

關注更多工控安全資訊，請關注力控華康官方微信公眾號！