題記：今年9月26日，伊朗媒體報(bào)道，伊朗在建的*爾核電站遭到名為Stuxnet的病毒的攻擊，但沒有損失方面的相關(guān)報(bào)道。作為*個(gè)以攻擊工業(yè)設(shè)施為目的的病毒，Stuxnet引發(fā)了媒體的廣泛關(guān)注。以至于信息安全公司卡巴斯基的CEO卡巴斯基在德國慕尼黑舉辦的卡巴斯基安全論壇上對(duì)媒體表示：“我認(rèn)為這將是一個(gè)轉(zhuǎn)折點(diǎn)，以往只是網(wǎng)絡(luò)犯罪，而現(xiàn)在恐怕進(jìn)入到了網(wǎng)絡(luò)恐怖、網(wǎng)絡(luò)武器和網(wǎng)絡(luò)戰(zhàn)爭的時(shí)代。”

　　卡巴斯基認(rèn)為，Stuxnet病毒的出現(xiàn)意味著潘多拉之盒已經(jīng)打開。
　　網(wǎng)絡(luò)化帶給SCADA好處 物聯(lián)網(wǎng)的信息安全成問題

　　與以追求計(jì)算結(jié)果為目的通用計(jì)算不同，對(duì)工業(yè)設(shè)施進(jìn)行實(shí)時(shí)監(jiān)測(cè)與控制則是工業(yè)控制應(yīng)用扮演的角色。
　　
　　通常工控應(yīng)用被稱為數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervision，Control And Data Acquision，SCADA）。SCADA通過對(duì)運(yùn)行設(shè)備的多種環(huán)境數(shù)據(jù)的傳感、采集和分析，按照既定的控制邏輯對(duì)現(xiàn)場的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測(cè)量、參數(shù)調(diào)節(jié)以及各類信號(hào)報(bào)警等各項(xiàng)功能。

　　歷經(jīng)數(shù)十年的發(fā)展，SCADA已經(jīng)從zui初的主機(jī)控制系統(tǒng)、分布式控制系統(tǒng)，發(fā)展到了今天的網(wǎng)絡(luò)化的控制系統(tǒng)。SCADA也從專有協(xié)議的封閉系統(tǒng)演變?yōu)橐砸蕴W(wǎng)和TCP/IP協(xié)議為主流的開發(fā)系統(tǒng)。

　　另一方面，SCADA也從傳統(tǒng)的生產(chǎn)過程控制，延伸到了包括通信網(wǎng)、電網(wǎng)、油氣管線、供水與污水處理管線、交通、疫情監(jiān)測(cè)等的基礎(chǔ)設(shè)施應(yīng)用，以及包括房屋、機(jī)場、船舶、空間站等涉及到門禁、空調(diào)和能源消耗監(jiān)測(cè)和控制的設(shè)施應(yīng)用。

　　網(wǎng)絡(luò)化的開放環(huán)境在給SCADA帶來諸多好處的同時(shí)，也讓信息安全成為不可回避的問題，而SCADA應(yīng)用日益廣泛，其中大多涉及到數(shù)字城市、智慧城市等當(dāng)今的信息化熱點(diǎn)應(yīng)用，因此，物聯(lián)網(wǎng)的信息安全問題就成為一個(gè)不容回避的問題。

　　PLC如何讓Stuxnet得逞

　　盡管單片機(jī)（微控制器，MCU）、單板機(jī)乃至工控機(jī)（IPC）都能在小至電視機(jī)遙控器，大至工業(yè)控制等領(lǐng)域找到它們的蹤影，但在工業(yè)生產(chǎn)過程控制中應(yīng)用的是可編程邏輯控制器（Programmable Logic Controller，PLC）。這是因?yàn)橹挥蠵LC可以在溫差大、濕度高、電磁干擾強(qiáng)等復(fù)雜惡劣的工業(yè)生產(chǎn)現(xiàn)場環(huán)境中可靠地工作。

　　PLC實(shí)際上就是模塊化的計(jì)算機(jī)控制系統(tǒng)。大多數(shù)PLC采用的是電工熟悉的繼電器邏輯，編程極為簡單，而PLC的硬件系統(tǒng)采用模塊化設(shè)計(jì)，可以便捷地按需選擇不同的傳感模塊和執(zhí)行模塊，與處理模塊共同搭建成所需的控制系統(tǒng)。

　　所謂繼電器邏輯，就是利用多個(gè)繼電器上不同觸點(diǎn)的“吸合”與“斷開”構(gòu)成的邏輯組合來實(shí)現(xiàn)控制功能，而在PLC中，則是用“1”和“0”來構(gòu)成虛擬繼電器觸點(diǎn)的“吸合”與“斷開”。與通常計(jì)算機(jī)通過程序來實(shí)現(xiàn)控制功能不同的是，PLC是通過“1”和“0”的組合來實(shí)現(xiàn)控制的。通常，開發(fā)人員在PC平臺(tái)上進(jìn)行PLC的開發(fā)，然后將控制邏輯傳輸?shù)絇CL中，由PLC執(zhí)行。

　　僅用“可靠”來形容PLC是不夠的，事實(shí)上，PLC還很“忠厚”。PLC并不像PC那樣可以有多種安全軟件來監(jiān)測(cè)應(yīng)用程序的運(yùn)行，PLC是按順序方式掃描執(zhí)行，沒有安全軟件來檢測(cè)。退一步說，即便是有安全軟件檢測(cè)，也無法從代表控制邏輯的“1”和“0”的組合代碼中查到惡意行為。從另一方面說，PLC本身是不會(huì)感染惡意病毒的，病毒只能通過PC在對(duì)PLC進(jìn)行編程時(shí)，移花接木地用惡意的控制代碼替代原有的控制代碼，再由PLC執(zhí)行時(shí)達(dá)到預(yù)期的破壞目的。

　　賽門鐵克刊登的《解密Stuxnet的PLC感染過程》一文對(duì)Stuxnet復(fù)雜的感染機(jī)理進(jìn)行了詳盡的描述。簡而言之，病毒制造者就是利用Windows的漏洞，通過多種復(fù)雜的技術(shù)手段將惡意控制代碼傳輸?shù)轿鏖T子PLC中，zui終在PLC運(yùn)行時(shí)進(jìn)行破壞。

　　顛覆原有的觀念

　　在Stuxnet出現(xiàn)之前，人們對(duì)SCADA在信息安全上存在認(rèn)識(shí)上的誤區(qū)：他們過于相信可以通過使用特殊的協(xié)議和專門的接口來提高安全性，過于相信物理上可靠的SCADA在安全上也同樣可靠，過于相信沒有與互聯(lián)網(wǎng)相連的SCADA網(wǎng)絡(luò)是安全的，因而在現(xiàn)有SCADA網(wǎng)絡(luò)的設(shè)計(jì)、實(shí)施和運(yùn)行中忽略了信息安全和認(rèn)證。

　　事實(shí)上，安全和可靠*是兩回事。互聯(lián)網(wǎng)可靠毋庸置疑，因?yàn)榛ヂ?lián)網(wǎng)的建設(shè)初衷就是要建立一個(gè)打不垮、炸不斷的通信網(wǎng)絡(luò)，但互聯(lián)網(wǎng)上信息安全形勢(shì)也日趨嚴(yán)峻。因此，盡管SCADA網(wǎng)絡(luò)在物理上很安全，但因?yàn)橛芯W(wǎng)絡(luò)的存在因而存有安全隱患，雖然SCADA跟互聯(lián)網(wǎng)在物理上是隔離的，病毒依舊可以通過U盤、局域網(wǎng)等途徑，發(fā)起蛙跳式攻擊。

　　以往病毒總是在同一種操作平臺(tái)上傳播，這是因?yàn)椴《疽貌僮飨到y(tǒng)的漏洞。而Stuxnet則橫跨PC和PLC兩個(gè)不同的硬件體系架構(gòu)進(jìn)行“跨界”攻擊。通常病毒是通過執(zhí)行惡意程序而主動(dòng)實(shí)施攻擊，而Stuxnet則是通過下載到PLC的惡意代碼，“被動(dòng)”地等待PLC順序掃描后引發(fā)判斷失誤。

　　與PC平臺(tái)開放的軟硬件架構(gòu)不同，PLC因控制對(duì)象不同，構(gòu)成的控制邏輯也不同，因此，每個(gè)虛擬繼電器“觸點(diǎn)”代表的功能也不同，而且，PC與PLC之間只是在編程時(shí)相連，PLC運(yùn)行時(shí)兩者已經(jīng)斷開，因此，對(duì)于蓄意攻擊*爾核電站的Stuxnet制造者來說，首先要借助于跳板進(jìn)入該核電站西門子PLM的編程平臺(tái)，還必須清楚控制系統(tǒng)的電路圖，這樣才能決定在哪些執(zhí)行觸點(diǎn)上“使壞”，而且還要利用PC與PLC之間難得的連接機(jī)會(huì)，因?yàn)橹挥性诰幊陶{(diào)試時(shí)，兩者才需要通信。

　　總之，這些技術(shù)上的難點(diǎn)足以證實(shí)了卡巴斯基所說，這一病毒的制造不僅需要技術(shù)高手，而且需要雄厚的財(cái)力，因此，很難是個(gè)人行為。

　　曾經(jīng)事件回顧

　　今年7月，英國《經(jīng)濟(jì)學(xué)家》在題為《第五空間之戰(zhàn)——鼠標(biāo)和鍵盤能否成為沖突的新武器？》的文章中開門見山地提到，曾在1976年~1977年出任美國*部長的托馬斯·里德在其回憶錄中談及蘇聯(lián)天然氣管道大爆炸。

　　1982年6月，一顆美國早期預(yù)警衛(wèi)星在蘇聯(lián)西伯利亞地區(qū)探測(cè)到一次大爆炸。“這是一場非常大的非核爆炸，甚至從太空中都能看到火光。”里德在其回憶錄中寫道。這場天然氣管道的劇烈爆炸是由計(jì)算機(jī)控制系統(tǒng)故障引發(fā)的。蘇聯(lián)間諜在從加拿大一家公司竊取控制軟件之前，并不清楚美國情報(bào)局已經(jīng)在軟件中做了手腳。這枚“邏輯炸彈”重新設(shè)定了氣泵的速度和閥門的參數(shù)，使得管道中產(chǎn)生的壓力遠(yuǎn)遠(yuǎn)超過天然氣管道接頭和焊縫所能承受的限度，從而引發(fā)了爆炸。由于控制軟件“來路不明”，蘇聯(lián)人只得吃個(gè)啞巴虧。