随着工业自动化技术和信息技术的发展，传统工业控制领域正不可避免的发生着变化。工业DCS、SCADA、PLC等自动化控制管理系统已在生产制造等涉及百姓民生的领域全面普及，其基础性、全局性在企业日常生产经营中的作用也日益增强。

  物联网、工业互联、5G等新兴信息技术的产生和应用，自动化、信息化两化融合正快速走向实践，传统工业控制领域正在迎来全面融合与剧变，为公司能够带来管理便捷和高生产效率的同时，伴生的网络安全风险也日益明显。

  近年来，国内外工业控制领域网络安全风险日益猖獗，“Stuxnet”震网病毒、“永恒之蓝”勒索病毒等工业内网安全事件频频发生。纵观整个工业控制网络，作为人机交互入口的工程师站、操作员站等终端主机已成为最脆弱、最容易受到攻击和入侵的系统组件，工控系统主机的安全防护研究已成为工控网络安全的重要课题。

  没有网络安全就没有国家安全，没有信息化就没有现代化。《网络安全法》的出台标志着我国互联网空间安全已由安全实践上升为法律制度，并引入了“关键信息基础设施概念”，关键信息基础设施是国家重要资产，关乎国计民生，是国之重器，其重要程度不言而喻。

  《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；2019年12月正式实施的等保2.0版本对云计算、物联网、移动互联、工业控制管理系统提出了新的安全扩展要求，标志着工业控制领域网络安全进入了全新的时代。

  工业主机设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备没办法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；

  应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理；

  身份鉴别信息应具有复杂度要求并定期更换；应重命名或删除默认账户，修改默认账户的默认口令，及时删除或停用多余的、过期的账户，避免共享账户的存在；应能发现有几率存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备做补丁更新、固件更新等工作；

  应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

  作为人与机器的交互接口，工作站、操作员站是工业控制管理系统操作最频繁，人员使用记录最复杂的设备，且多采用通用windows操作系统，USB等外设接口是工控系统与外界摆渡数据最重要的通道，也是病毒流入的主要途径。

  2010年6月，伊朗遭震网病毒攻击事件即由U盘携带病毒进入核电站工控网络，攻击了西门子公司的数据采集与监控系统SIMATIC WinCC，最后导致离心机受损的难以处理的后果，该事件也成为了工控网络安全风险的标志性事件。

  使用U盘作为数据摆渡方式是最基本的需求，对USB等存储外设的管理已成为病毒防御的第一道防线。

  基于此类需求我们大家可以采用终端管理类软件对外设端口进行集中统一管理，既可批量管理外设端口的使用，又能保证可信U盘等设备的认证接入。

  用户密码作为身份认证的口令，是守护工业控制管理系统安全的大门，攻击者攻击目标时常常把破译用户的口令作为攻击的开始，只要攻击者能猜测或者确定用户的口令，就可获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。

  因此密码的安全是守卫工控系统安全的重中之重，立思辰工控终端防护软件提供了密码强度和操作系统账号统一管理功能，为工业控制管理系统入口安全提供了重要保障。

  2019年3月7日下午5时许，包括首都加拉加斯在内的委内瑞拉发生全国性大规模停电。全国超一半地区完全停电，且持续超过6小时。据专家分析本次事故是由于委内瑞拉最大的古里水电站受到网络攻击导致机组停机所致，利用电力系统的漏洞植入恶意软件是本次网络攻击的主要手段。

  根据国家信息安全漏洞库（CNNVD）数据统计，近年来系统漏洞呈逐年增加趋势、特别是工控系统漏洞，呈明显地增加趋势。

  针对工业控制管理系统无法直接联接互联网现状，立思辰工控终端防护系统能实现集中监控计算机补丁安装情况及补丁管理，支持安全补丁自动更新、补丁漏洞扫描、补丁文件离线下载及分发。

  部分工业控制管理系统需要7×24小时不间断运转，无法及时验证和修复补丁，众多的工控设备漏洞也缺乏官方获取更新补丁渠道。

  针对此类系统，立思辰工控终端防护系统推出了“零信任”解决方案，在有漏洞的前提下，通过设立应用程序白名单机制，只有可信任的软件，才被允许运行，此举既能保证工控系统“带洞运行”的有效防护，也能抵御利用“0day漏洞”的高级形式的网络攻击。

  当边界隔离防线失守，病毒偷偷潜入了工业控制管理系统，应用程序的白名单机制也能有效阻止病毒的发作，通过对可执行文件哈希值的校验，确保只有通过合法校验的文件才能运行，无论是病毒文件自身还是被病毒感染的其他可执行文件，均无法运行。相对于传统杀毒软件，应用程序白名单机制无需联网更新病毒库，也避免了杀毒软件误杀引起工业控制管理系统故障，既能充分满足工业控制管理系统恶意威胁的阻断需求，也能保障生产的全部过程的持续和稳定，提供了良好的恶意代码防范实践体验。

  自“WannaCry”勒索病毒肆虐以来，陆续出现了多种原理类似的变种病毒，不但严重威胁着企业内网数据的安全，也有从企业内网蔓延至工控网络的趋势，危害巨大。此类病毒在网络中利用操作系统的漏洞和部分共享端口（如135、137、138、139、445等）传播，采用不一样算法对终端文件进行加密以索要赎金。此类病毒蔓延至工控网络，会立即引发工业控制管理系统故障，造成不可估量的损失，甚至引发安全生产事故。

  通过立思辰工控终端防护系统提供的终端防火墙功能，可以批量关闭主机的所有高危端口，完全阻断勒索病毒的入侵路径。如已有主机被感染，配合应用程序白名单机制，还可以完全阻止病毒在工控网络的扩散和发作，有很大成效避免生产事故和财产损失的发生。

  随着工业数字化、网络化、智能化全方面推进，我国工控安全形势也面临着安全漏洞不断增多、攻击手段复杂多样的挑战，工业控制网络没有绝对的安全，工业控制管理系统安全研究与实践永远在路上。

  根据外国媒体报道，SolarWinds供应链攻击背后的民族国家黑客也损害了美国国家航空航天局（NASA）和美国联邦航空管理局（FAA）的利益。

  去年，这两次袭击是针对和破坏多个美国政府机构的更广泛间谍活动的一部分。NASA（美国国家航空航天局的缩写）是美国独立的联邦机构，负责协调其民用航天计划。FAA是美国民航和国际水域监管机构。

  尽管美国政府尚未公开披露NASA和FAA受到入侵，但在白宫副国家安全顾问安妮·纽伯格（Anne Neuberger）说有9个联邦机构遭到SolarWinds黑客入侵之后，邮局与美国官员确认了邮局＆机构的身份和活动。

  美国运输部发言人表示，该机构正在调查情况。美国国家航空航天局的一位女发言人补充说，联邦机构正在与CISA合作，以“减轻保护美国国家航空航天局数据和网络安全的努力”。自从发现间谍活动以来，已经确认了另外七个遭遇黑客入侵的机构，这两个联邦机构是最后确定的两个。

  微软分享了攻击的详细时间表，并显示状态黑客于2020年2月对公司的Orion IT监视平台做了木马化，随后于3月下旬使用该软件的更新机制在受感染的网络上部署了后门程序。

  确认在SolarWinds供应链攻击中受到入侵其他七个美国政府机构名单包括：

  1月份，美国联邦法院行政办公室披露了一项正在进行的调查，此前联邦法院的案件管理和电子案件档案系统可能受到损害。

  上周，微软还透露，SolarWinds黑客访问并下载了数量有限的Azure，Intune和Exchange组件的源代码。

  │ 中国社会科学院世界经济与政治研究所国际政治经济学研究室主任、研究员 徐秀军

  党的十九届五中全会审议通过的《关于制定国民经济与社会持续健康发展第十四个五年规划和二〇三五年远大目标的建议》提出，坚定维护国家政权安全、制度安全、意识形态安全，全面加强网络安全保障体系和能力建设。这表明，在新发展阶段，全面加强网络安全保障体系和能力建设对维护国家政权安全、制度安全、意识形态安全具备极其重大意义。但是，当前和未来一段时间，我国面临的国际环境日趋复杂，不稳定性不确定性显著增加，对我国全面加强网络安全保障体系和能力建设提出了更高要求。

  早在 2014 年 4 月，习在中央国家安全委员会第一次会议上发表重要讲话，精确指出“保证国家安全是头等大事”，要“既重视发展问题，又重视安全问题”。在党的历史上，这是首次将国家安全上升到“头等大事”的战略高度。2019 年 1月，习在省部级主要领导干部坚持底线思维着力防范化解重大风险专题研讨班开班式上发表重要讲话，强调要统筹国内国际两个大局、发展安全两件大事。当今世界，安全已成为与发展并重的明显问题。同时，习将“治理赤字”上升到“全人类面临的严峻挑战之一”来认识。国际社会突出的问题已不再局限于和平与发展问题，安全与治理挑战已变得十分突出，并在互联网空间得到深刻反映。

  在安全方面，互联网使传统安全威胁和非传统安全威胁更加错综复杂、相互交织。当前，国际安全形势仍未根本改善，部分地区和国家安全还呈恶化趋势，地区冲突和局部战争连续不断。国际社会接二连三发生的无人机攻击事件，使传统的战争形式出现重大改变，也使很多国家越来越难以防范自身面临的安全威胁。在国家内部，很多国家正处于发展转型、调整变革的矛盾多发期，各种社会思潮相互激荡，社会矛盾和冲突加剧，党派政治走向极化，致使政坛乱象丛生，社会骚乱此起彼伏。这样一些问题和矛盾以及各种安全事件形式，在互联网空间得以放大，又进一步催生更多的不安全因素。同时，粮食安全、能源资源安全、网络安全、气候平均状态随时间的变化、重大疫情和自然灾害等非传统的全球安全问题更突出。尤其是在新冠肺炎疫情暴发后，人们对数字技术和虚拟空间更依赖，并由此推升了网络安全风险。

  在治理方面，现有全球治理体系、规则和能力越来越难以有效应对互联网时代的全球性挑战。现行全球治理体系是二战后以美国为首的西方国家主导设计制定的，体现了西方的价值理念和主导地位。随着全球性问题的凸显和新兴经济体的崛起，这种体系越来越难以满足国际社会的需要，代表性、公平性、合法性、有效性严重缺失。在美国等西方大国阻挠下，世界贸易组织、国际货币基金组织、世界银行等传统全球多边机制改革难以取得实质性进展，无法适应数字贸易、数字金融、数字货币、数字发展等不断涌现的新兴领域治理的需要。作为最重要的全球治理机制之一，二十国集团的建设性作用难以得到一定效果发挥。同时，少数西方大国漠视规则、迷信强权、推卸责任，在全球性问题的应对上推行单边主义、拉小团伙，不仅导致全球治理失效，还使自身治理陷入混乱。

  关于世界格局发展，很多学者曾认为，经济全球化让信息变得更分散，全世界也因为这样变得更为扁平。但是，随着全球化经济活动和信息交互的增多，一些信息汇聚的“中央节点”日益凸显，占据节点的国家因此拥有约束他国行为的“监视权”和“阻断权”。随着网络用户数量的日益增加，跨境支付、电子商务等与互联网相关的全球商业活动的控制权越来越集中于少数国家手中。尤其是由金融科技推动的金融体系全球化，并没有让权力分散，反而让权力集中起来了。信息技术的发展不仅没有使国家之间的竞争更加公平，相反，却拉大了国家之间的差距。

  信息技术的发展使国家之间的相互依存格局呈现出新的动向。互联网是全球相互依存的重要方法，也是全球相互依存的重要领域。网络世界以及网络化的全球经济活动越来越呈现出层级结构，有的国家处于较高层级，而更多的国家则处于底层，只可以通过较高层级国家才能与世界建立联系。并且，这种不对称的相互依存关系还可成为一种对他国进行制裁的武器。例如，在全球金融系统中，环球同业银行金融电讯协会（SWIFT）系统就具备这种功效。自 1973 年一些欧洲和美国银行联合建立 SWIFT 系统以来，至今已有 200 多个国家、11000 家金融机构都在使用这套系统。SWIFT 相当于全球金融交易的信息汇总中心，在全球金融系统中扮演关键的中央节点角色。这使控制这一系统的国家不仅可能追踪各国、各机构之间的交易记录，还能够最终靠停止提供金融信息服务向特定国家和机构进行制裁。

  可见，以AI、网络信息等新技术为代表的新一轮科技革命为国家发展提供了机遇，也使未来国际竞争尤其是大国竞争，具有高度复杂性和不确定性。一方面，在新科技革命的推动下，一些国家通过不断的提高自主创造新兴事物的能力，能够为经济社会的跨越式发展提供更有力的技术支撑。另一方面，新技术的突破给人类社会带来难以估量的负面影响。它既能增加人类的安全保障能力，也可能会引发更加难以应对的灾难性后果。在国际竞争格局中，信息技术领先的国家拥有更大的破坏力，可以通过“没有硝烟的战争”给竞争对手致命打击。

  面对网络安全治理的国际新形势，我国加强网络安全保障体系和能力建设的任务十分艰巨而紧迫。为夯实网络安全保障体系和能力建设的基础，营造更加良好的网络安全环境，应热情参加全球网络安全治理。

  一是增强网络信息技术自主创造新兴事物的能力。近年来，在“自主创新、重点跨越、支撑发展、引领未来”方针指引下，我们国家科技创新实现跨越式发展。根据2020 年彭博创新指数，中国创新能力已升至第 15 位。世界知识产权组织（WIPO）评估显示，2019 年，我国创新指数位居世界第 14 位。这表明，我国正进入创新型国家行列。但是，我国在关键核心技术方面对外依存度较大，一些技术还受制于他国。为此，要进一步明确科学技术创新的战略方向，在原创性、集成性和引进性创新方面齐头并进，全面提升自主创造新兴事物的能力。

  二是加快提升全球网络控制力。在网络领域占据相互依存的优势地位，才能有很大成效避免我国成为相互依存武器的打击目标。与伊朗等国不同，依托现存技术，我国有能力在部分领域主动增加自身的中心节点和网络控制力，强化对美国利用相互依存武器的反击能力。为此，我国应依托高性能计算、移动通信、量子通信、北斗导航、核心芯片、操作系统等网络信息领域核心研发技术和应用取得的重大突破，不断的提高网络控制力，并形成防范他国滥用网络武器制造安全威胁的强大威慑力。

  三是热情参加国际互联网规则和标准制定。在国际标准化组织（ISO）的 160 多个成员国中，少数发达国家制定的国际标准占了标准总数的 95%，我国制定的标准数量占比不足 1%，我国企业在国际标准制定方面的话语权严重缺位。在互联网规则与标准方面，我国同样没改变制度性话语权不足的局面。为减少对外规则和标准依赖，实现从达到标准、符合规定标准向制定标准迈向，迫切地需要发挥企业在国际规则和标准制定的作用。一方面，要加强中国标准“走出去”的顶层设计，制定公司参与国际互联网标准制定的扶持政策；另一方面，要充分的发挥行业协会在协调相关部门和企业之间的协调作用，为公司参与国际互联网标准制定、争取行业话语权排忧解难。

  本文旨在分享工控协议安全问题的思想，并不着重于协议的详细解析，有以下几点原因：

  1、分析协议各个字段的内容十分繁复，各个功能码、子功能码下对应的协议结构不完全一样，最终文章会变成长达几十页的手册。

  2、工控协议基本都是私有协议，或在公开的协议上实现的私有化，并不能够确保对其字段含义解析得完全正确，且很多协议字段对安全研究毫无意义。

  3、目前已经有很多工控协议结构的分析文章，Wireshark也已经支持大部分协议。虽然知识零碎，但足以认识协议整体结构。

  本篇漫谈，我们来讲一下S7Comm协议。它是西门子在1993年推出的私有协议，应用于S7-300/400系列及200系列PLC(各系列协议略有不同)，监听于102端口。

  它在OSI七层模型中是实现了应用层、表示层和会话层的协议。实际上更为准确的说，S7Comm建立在传输层的COTP协议(RFC905)之上，作为其Payload进行传输。自S7Comm推出起，TCP/IP已被大范围的应用，为了能让协议适配TCP/IP，S7Comm采用在TCP之上模拟COTP服务，并用TPKT(RFC1006)来作为过渡，封装COTP。此处的TCP已经和我们熟知的TCP有些不同，它没有确认机制，被称为ISO-on-TCP协议(RFC1006)。当然，脱离TCP/IP的架构，S7Comm也是可完全通信的，理论上它是属于COTP的载荷，只不过要使用特殊接口/设备。

  目前关于S7Comm的文章都将TPKT划归会话层，将COTP划归表示层，这是不对的。仔细想想会发现这样划分，它们各自都未达到OSI对该层协议规定的作用。

  下面粗略地介绍与S7Comm相关协议。同文首所述，不会把精力放在协议字段解析上。

  TPKT被作为COTP和TCP之间的过渡，用于在TCP之上模拟COTP协议。

  它是一种可靠传输协议，和TCP相似，已经随时代演进逐渐淡出人们视野。小端序，不定长，协议第二个字段为功能码，总共四个：

  S7Comm是极其繁复的协议，但我们大家可以抛开无用的东西，关注于关键字段。它大体上分为三部分：

  简单总结，S7Comm通讯需要先握手三次，先后分别是TCP、COTP、S7Comm。随后才开始发送S7Comm的功能包。通常来说，S7Comm的控制指令只有必要进行单次通讯，并没什么必须要格外注意的地方，但多次通讯就涉及到上文所述的PDUR修正，比如Write Block通讯流程下：

  当作为上位机时，处理PLC发送来的请求必须要格外注意修正PDUR，否则PLC将拒收并断开TCP连接。例如上图处理Downlaod Block时，就需要将响应包的PDUR改为和请求包一致。

  经过上文简单的讲述，已对S7Comm协议整体有了初步了解。下面，我们从多个角度来看待这个协议的安全问题。

  作为一个应用层协议，最后服务的对象就是一个应用程序(Application)，在S7Comm的场景下，这个应用程序就是S7-300/400系列PLC。身份验证准确上来讲，理应由应用程序(PLC)实现，它本身不能称为协议问题，但既然S7Comm是和S7 PLC绑定的私有协议，也可以宽泛的把它作为漏洞的一部分。通过上文学习了解到，上位机和PLC建立通讯以后，接收上位机请求并处理，并不存在验证请求来自可信对象，这就是S7-300/400系列PLC(甚至可以说目前大部分PLC)最严重的问题所在。

  例如，把PLC比作Web服务器，上位机比作Web浏览器，通过浏览器访问Web服务器后，管理员操作(上传下载/开关机)按钮直接显示在了网页上，直接点击执行即可，这就毫无安全性可言。恶意攻击者通过个人的上位机软件即可控制PLC，甚至不需要上位机软件，直接发送/重放流量即可，这就是工控安全的由来和亟待解决的重大问题。

  2011年Blackhat上的一篇WP[1]成为了工控安全的开端，时至今日，解析协议后组包攻击的手段层出不穷，由于缺乏身份认证，工控领域黑客已经完全接管了S7-300。

  互联网早期时代，中间人攻击屡见不鲜，正是因为当年协议缺乏完整性保护，随后出现了数字签名等有关技术。回看S7Comm，同样缺乏完整性保护，所以流量被劫持后修改传输数据，若改动长度再修正一下length，即可被PLC或上位机认可。有没有真实的案例呢？当年震网病毒(Stuxnet)想必部分读者还有印象，核电站设施超负荷运作/宕机为什么没有被工程师站检测到呢？是因为中间人攻击修改Read SZL/Var/Block传输至上位机的多个方面数据显示为正常状态。可见，完整性保护也是一大痛点。

  S7Comm作为不公开的私有协议，当年的工程师可能认为这已经对协议进行了加密，难以分析。实践证明，对S7Comm协议的研究已经让它和公开协议没有区别，形同明文传输。工程师们犯了密码学的一个认知错误：私有实现的加密算法(比喻可能不太恰当)并不能像理论验证安全的公开加密算法一样保证安全。公开的数据交换大幅度的降低了黑客的研究成本，所以S7CommPlus的快速更迭也赶不上被攻破的速度。并且随工业互联网的推进，流量传输在互联网上将会带来数据泄漏等等安全风险隐患。为什么Web应用推荐采用HTTPS作加密和完整性保护？这都是有历史经验的，而工控协议远远落后于时代。

  S7Comm协议诞生于上世纪90年代，过去这么多年，西门子设备已经占领了工控行业半壁江山，加之工控设备更替缓慢，遗留下来的隐患设备数不胜数，它们正运行在各国、各行各业的生产线上。变革是工控行业时代发展的需求，而工控安全出现正是未解决这些生根已久的隐患。返回搜狐，查看更加多