（一）工业网络安全威胁

1．工业网络安全威胁的来源

工业控制网络和IT网络在设备类型、通信协议、性能要求、可用性要求等方面的区别，使得当前已经很成熟的IT网络安全防护手段无法完全适配于工业控制网络。同时，由于工业网络的信息化程度加深，一些原本仅存在于IT网络中的风险被引入了工业控制网络，导致工业控制网络面临更加严峻、复杂的威胁。

下面依据工业网络的体系架构，由低到高逐层分析工业控制网络正在面临的安全威胁的来源。

（1）现场总线控制网络的脆弱性

首先是工业控制网络的现场控制层，对应的是现场总线控制网络。该层网络通常处于作业现场，包含了大量的工业控制设备，采用多种通信接入方式，环境比较复杂，其安全威胁来源如下。

① 工业控制设备存在大量安全漏洞，包括PLC漏洞、RTU漏洞、串口服务器漏洞等，这些漏洞为进入现场控制层的攻击者提供了大量的可攻击点。

② PLC等现场设备在现场维护时，使用不安全的串口连接，如缺乏连接认证或有效的配置核查，这可能允许攻击者直接通过硬件连接便取得设备的控制权。

③ 现场总线控制网络内传输的工业控制系统数据没有进行加密，因此面临被攻击者篡改和泄露的威胁。

④ 应用无线和微波等接入技术，入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。

⑤ 缺乏工控安全审计、检测及入侵防御的措施，难以及时发现并拦截攻击者的攻击行为。

（2）过程控制与监控网络的脆弱性

其次是工业控制网络的过程监控层，对应过程控制与监控网络。该层网络负责工业控制系统的管控，是现场总线控制网络和企业信息网络之间数据交互与展示的桥梁。该网络通常含有SCADA系统服务器、历史数据库、实时数据库以及HMI等关键工业控制组件。该层的安全威胁来源如下。

① 该层网络可能使用老旧的信息资产作为控制服务器，如Windows XP、Windows 7等，从而引入了安全风险。

② 运维人员使用不安全的移动维护设备，如包含恶意代码的笔记本电脑、移动U盘等，从而造成木马、病毒等恶意代码在网络中传播。

③ 该层网络与现场总线控制网络的RTU/PLC等设备使用不安全的无线通信。

④ 使用不安全的通信协议。由于工业通信协议在设计时大多没有考虑安全因素，因此存在缺乏认证、授权和加密机制，数据与控制系统以明文方式传递，在处理有效/无效的格式化消息等方面存在缺陷的问题，容易被攻击者利用。

（3）企业信息网络的脆弱性

最后是工业控制网络的企业管理层，对应企业信息网络。该层网络主要负责企业日常的商业计划、物流管理、工程系统，涉及企业的应用资源，包括MES、ERP和办公自动化（Office Automation，OA）等与企业运营相关的系统，通常由各种功能的计算机构成。由于使用了传统的IT资产，又与工业控制网络连接，可以发现其面临的安全威胁来源如下。

① 企业信息网络与工业控制网络连接，企业信息网络中的病毒、木马等恶意代码可通过横向传播渗透进工业控制网络破坏生产。

② 针对IT技术人员的安全教育多注重信息的保密性，缺乏工业控制网络安全意识培训，可能会使IT技术人员出现误操作，甚至是人为恶意的破坏操作。

2．工业网络安全威胁分析

网络系统面临的威胁主要分为来自外部的人为影响（尤其是人为攻击）和自然环境的影响。人为攻击的范围包括随意（非法）浏览信息，使用特殊技术对系统进行渗透以得到有针对性的信息等。工业网络安全威胁的对象主要包括网络协议、网络拓扑、网络设备和网络软件等，如网络接口程序故障、连接错误、电磁辐射等都属于典型的工业网络安全威胁。这里主要针对工业网络协议和网络防护边界可能面临的威胁进行分析。

（1）工业网络协议威胁

工业网络协议根据其应用厂商的服务领域不同，具有明显的行业特点，如Modbus、S7COMM、通用工业协议（Common Industrial Protocol，CIP）常用于过程自动化，使用领域较广；楼宇自动化和控制网络（Building Automation and Control network，BACnet）、OPC统一架构（OPC-Unified Architecture，OPC-UA）常用于智能楼宇；IEC 60870-5-104、IEC 60870-5-101、DNP3常用于电力行业。协议厂商涉及西门子、施耐德、罗克韦尔等，由于协议开发之初各个安全厂商默认工业控制网络与互联网隔离，或者说默认工业控制网络是安全的，因此在设计协议时缺乏安全考量，导致协议在认证、授权、加密和完整性等方面存在不足。部分工业网络协议常用端口及设计缺陷见表1-4。

表1-4　部分工业网络协议常用端口及设计缺陷

绝大多数基于工业网络协议漏洞的威胁，从技术原理来说，都是利用了网络中所使用的协议栈的漏洞，以及各种传输协议之间的不一致性，从而影响信息的安全质量。针对协议栈的漏洞所衍生的威胁主要包括如下3个方面。

① 拒绝服务（Denial of Service，DoS）。这种攻击方式由于技术门槛低，实现起来相对容易，因此是工业网络中出现频率较高的一类攻击。攻击者通过消耗系统性能或网络带宽两种方式，使目标网络系统无法提供正常服务。

② 重放。也叫回放攻击，指攻击者重新发送一个接收者已经接收过的数据包，一般用于进行认证欺骗或者破坏业务逻辑。

③ 欺骗。通常指地址欺骗，也包括业务层的认证欺骗等技术，在工业以太网环境中常见的协议欺骗威胁方式包括地址解析协议（Address Resolution Protocol，ARP）欺骗、IP欺骗、路由欺骗、OPC欺骗、SNMP欺骗、域名系统（Domain Name System，DNS）欺骗、Web欺骗等。

（2）网络防护边界威胁

在理想状况下，工业网络中的重要系统都应采取完善的边界划分和隔离措施，从而能够具备强大的防御机制去抵御各类攻击。但在现实情况下，攻击者可以通过众多接入方式渗透到工业控制系统中。比较常见的是通过业务网络，利用多种接入方式，直接进入高安全级别工业控制系统的非军事区（Demilitarized Zone，DMZ），甚至控制网络中。造成这种情况的重要原因之一是网络的防护边界划分不清，这种边界模糊的情况可使攻击者极易绕过边界防御措施，而且不对网络防护边界进行正面破坏，就能使得所有隔离防御措施无法起到有效保护系统的作用。除了边界划分不清的原因之外，边界防御机制不足也会导致类似情况出现。这种在工业网络边界区域之间的威胁基本上涵盖了所有常见的技术攻击手段，按照威胁类别来看，包括非法信息泄露、非法分析、非法修改、非法破坏、篡改控制组件、冒充合法用户、抵赖、DoS、提升权限、病毒感染、非法物理存取等。