《智慧城市与信息安全》——“工业控制系统安全实践”笔记

本书为一位BOSS主编的信息安全类的书，我特别关注了第九章“智慧城市工业控制系统安全实践”，所谓不动笔墨不读书，在BLOG上记录一些关键信息吧。

本章9.1是介绍了工控系统，包括DCS\SCADA\PLC和常见工控网络协议，9.2介绍了工控系统信息安全标准发展的情况，9.3介绍了工控网络现状，9.4介绍了几种工控系统的信息安全解决方案，9.5介绍了APT攻击，9.6介绍了应用案例，9.7介绍了从技术、生产、运维管理多角度提出的安全防护建议。

作者有过自控工程师的经验，以前觉得有些小厂工控网络是封闭的，不连接互联网的，应该不存在信息安全的隐患，看了这章后彻底颠覆了。文中介绍了APT攻击。

APT(Advanced Persistent Threat)是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。大致的周期活动如下：

1.侦查：在发动攻击行动之前，必要的信息收集作为社工的一部分，大部分的APT是以组织员工为切入口，因此攻击者收集员工的个人信息、社会关系以及爱好等。

2.初始入侵：采用恶意代码攻击组织员工的个人电脑，攻击方法包括：！）社会工程学方法，通过email给员工发送包含恶意代码的文件附件等。2）远程漏洞攻击方法，比如在员工经常访问的网站上挂马。

3.站稳脚跟：在网络中植入远程访问工具，帮助攻击者开启网络后门。

4.提权：攻击者将员工电脑当做跳板，通过利用漏洞和破解密码获得电脑权限。

5.内部勘察：攻击者在内部渗透和长期潜伏的过程中，有意识地收集其他设施、安全信任关系等信息。

6.横向发展：攻击者将控制权扩展到其他工作站、服务器及设施，收集数据。

7.保持现状：巩固之前获取的访问权限和登录凭证。

8.任务完成： 成功盗取数据。

看似黑客大片，其实早已在现实中上演，如2010年著名的伊朗Stuxnet（震网）病毒，就是APT攻击的典型案例。震网病毒利用了windows操作系统的5个漏洞和西门子wincc软件的2个漏洞，配合多个数字签名，最后寻找到一个特别信号的“变频转速器”，并对其数据进行了修改，从而无法生成浓缩铀，且这种修改使机组转速突然下降，造成了设备的永久损坏。

由此看到，关系国家和民生的工业系统确实在遭受着越来越大的威胁，提升工控系统的信息安全防护能力迫在眉睫，技术和管理双通道都需要提升。国家也已出台了2项相关标准，后续还有更多的细则标准。

我看目前工业中信息安全建设的实际案例中用到的安全产品并不多，还主要是网关、防火墙类的，后续看看态势感知类的产品是否能赢得市场认可。

工控行业的信息安全，让我们拭目以待吧。

欢迎大家批评指正，共同进步^^