01

事件背景

2023年11月1日，亲巴勒斯坦黑客组织“Soldiers of Solomon”在其Telegram频道上宣布入侵了以色列海法湾最大的面粉生产厂–Flour Mills Ltd，该公司是一家从事面粉相关食品加工和销售的跨国公司，“Soldiers of Solomon”组织成功控制了其生产工厂的基础设施，并造成该面粉厂生产停滞。该组织在Telegram频道上发布一段视频，展示了该面粉厂工业控制系统的多个截图。

“所罗门战士”组织展示该面粉厂的工业控制系统截图

这类攻击对于公司和社区都会造成重大影响，因为其目标是食品供应链中的重要组成部分。这家面粉厂是从事面粉和相关食品加工销售的跨国企业，其产品直接影响到消费者的日常生活和饮食习惯。由于攻击者已经破坏了该公司的生产周期，这将导致供应链的中断和延迟，进而可能引发产品短缺和价格上涨，对消费者和相关企业带来不便和经济损失。此外，由于该公司的基础设施受到入侵，可能会导致敏感信息泄露和其他安全风险。

02

面粉厂工业控制系统业务架构

面粉工业控制系统是一个基于工业网络的实时分布式系统。该系统采用了分散控制和集中管理的分层分布式控制结构，包括运行和控制中心系统、电机控制系统、保护和安全检测系统、数据显示和处理系统等多个组成部分。控制系统的组成包括工程师站、操作站、现场控制站、通信控制站、打印服务站、系统服务器、管理网络以及系统网络等。这些组件在系统中相互连接，实现了工业过程的监控和控制。请参考下图所示的控制系统构成：

面粉厂工业控制网络示例图

面粉工业控制系统是基于Profibus/DP体系结构的大型分布式控制系统。该系统按照逻辑结构划分为现场控制层、监控层和管理层三层网络。在管理层中，采用了TCP/IP以太网作为通信方式。在监控层中，操作站、工程师站、中央处理服务器以及不同系统之间采用工业以太网进行连接，以实现强大的网络互联能力。而现场采集控制层则采用了高速现场总线作为通信协议。对于设备保护安全级系统和非安全级系统之间的数据通信，通过安全级网关进行实现。整个系统的网络信息安全主要采用了普通IT领域的网络信息安全技术。然而，面对不断变化的黑客攻击威胁，这些措施很难有效地防御。

根据制粉工业的需求，系统硬件规划采用了过程控制系统来实现原粮工作塔、立筒库、清理车间、制粉车间、配粉车间和成品库等工艺流程的自动化控制。系统结构包括公司管理层、设备控制层和现场设备控制层等组成部分。这些层次的组合实现了对整个制粉工艺的有效控制和管理。

面粉厂制作工艺图

清洗和筛选：原料麦粒需要经过清洗和筛选，以去除杂质。这个过程涉及到物料输送和筛分控制系统。

研磨：清洗后的麦粒需要研磨成面粉。这个过程通常使用磨粉机进行，需要粉碎和研磨控制系统。

面粉分级：研磨后的面粉需要进行分级，以获得不同细度的面粉产品。这个过程涉及到分级设备和粒度控制系统。

除尘和过滤：面粉生产过程中会产生粉尘，需要进行除尘和过滤处理，保持生产环境清洁。这个过程需要除尘设备和过滤控制系统。

包装和包装控制：最后，面粉需要进行包装。这个过程通常使用自动包装机进行，需要包装控制系统来控制包装过程，如计量、封口、标记等。

在这些过程中，工业控制系统起着关键的作用，帮助确保生产过程的稳定性、精确性和效率。这些系统可能包括传感器、执行器、计量设备、PLC（可编程逻辑控制器）等，以配合整个制作工艺的顺利进行。

03

工业控制架构体系中的安全隐患

基于巴勒斯坦黑客组织入侵面粉厂事件，我们从被入侵者业务背景分析，该面粉厂以色列最大制作面粉公司，小麦等原材料制作工业智能化程度较高，对于与互联网的深度融合且未加防范的业务系统，一旦遭到中断或停产，可能导致面粉供应减少，进而影响到面包、面团、糕点等食品制造商的生产。对于消费者群体也会带来较大的影响。

巴勒斯坦黑客组织希望从重要的、涉及民生的基础设施方面进行网络打击，从而能够更快的达到效果。面对此次入侵事件，巴勒斯坦黑客组织极有可能通过从企业的公开信息、合作服务和贸易往来，尤其是企业供应商所提供产品的协议规范等着手入侵。

可能的入侵步骤如下：

入侵过程示例

• 信息收集

任何使用HTTP、FTP、SSH或Telnet协议的服务器、网络交换机、路由器或其他网络设备都可以被它检索到，进而轻易找到应用SCADA协议的设备。攻击者可以通过各种公开或地下渠道了解控制系统相关设备的漏洞和后门。

• 网络扫描

利用网络扫描可以通过端口、协议等信息快速定位SCADA和DCS系统。例如，如果扫描出某设备的502端口使用的是Modbus协议，那么可以推断，与该设备连接的很可能是HMI系统或某些监管工作站。很多工业控制系统的网络协议对时延非常敏感，如果硬扫描，很可能导致整个网络瘫痪。所以，如果攻击者只是想中断系统服务，那么只要进行简单的网络扫描就可以达到目的；或者，若扫描发现实时协议只受到防火墙的保护，那么只凭基本的黑客技术，实施DOS攻击就可以奏效。如果攻击者另有图谋，那就只能采取软扫描方式，以避免系统崩溃。目标系统定位之后，再根据工业控制系统网络协议的特点进行后续扫描，就可以获取相关设备信息

• 账号破解

很多工业控制系统是基于Windows的，那些专门破解Windows账户信息的方法和工具也可以应用到工业控制系统上。尤其是运行在WindowsOLE和DCOM上的OPC系统，只要通过主机认证就可以全面控制OPC环境。如果无法获得底层协议认证，也可以通过枚举方式破解控制系统内其他用户和角色。如HMI用户、ICCP服务器凭据（双向表）、主节点地址（任何主／从工业协议）、以往数据库认证信息等。进入HMI，就可以直接控制HMI管理的进程，并窃取信息，进入ICCP服务器，就可以窃取或操纵控制中心之间的传输数据。

• 实施攻击

一次简单的网络扫描就可以破坏工业控制系统网络。因为工业控制系统网络协议非常敏感，信息流稍有变化，协议就会失效。所以，攻击者利用硬扫描来破坏系统，利用软扫描来侦测信息。另外，也可以通过防火墙实施网络扫描，因为通过防火墙的开放端口进行分组交换更加容易。一旦扫描通过，黑客就可伪装合法通讯，对控制网络实施DOS攻击。

黑客通常以常见的黑客技术发动初次攻击，入侵SCADA和DCS后，利用其资源再侵入其他工业控制系统。针对这些手段，我们需要注意到存在工业控制系统当中的一些安全风险隐患。这些安全风险包括以下几点：

1）未经授权的访问：黑客可能会尝试通过猜测密码、利用弱口令或者利用已知的安全漏洞来获取对ICS的访问权限。一旦成功，他们就可以控制系统，篡改数据，甚至可能导致物理损害。

2）恶意软件攻击：黑客可能会通过电子邮件、恶意网站或者其他方式将恶意软件植入ICS。这些恶意软件可能会破坏系统，窃取数据，或者用于进行其他形式的攻击。

3）供应链攻击：黑客可能会通过攻击ICS供应链中的某个环节来感染整个系统。例如，他们可能会在设备的生产过程中植入恶意代码，然后在设备安装后激活这些代码。

4）中间人攻击：黑客可以通过在通信链路中拦截和篡改数据流，伪装成合法的控制设备或监控站点与工业控制系统通信，从而控制或操纵工业过程。

5）命令和数据篡改：黑客可以通过修改传输的控制命令或数据，对工业控制系统进行干扰、损坏或破坏，导致操作错误、设备故障或事故发生。

04

工业控制系统安全防护建议

根据面粉行业的特点，结合工业控制系统的网络结构，在纵深防御战略的基础上，构造白环境的工业控制系统安全。

4.1

企业管理层和数采监控层之间的安全防护

通过引入工业互联防火墙，在企业管理层和数采监控层之间实现网络区域的划分。这有助于隔离不同网络环境，减少未经授权的访问和攻击风险的可能性。防火墙通过严格的访问控制策略，仅允许合法的数据交换和通信。这对于阻止企业管理层对数采监控层的未经授权非法访问十分重要。防火墙确保只有经过授权的设备和用户能够与数采监控层进行通信。考虑到企业管理层通常采用通用以太网，并要求较高的通信速度和带宽，因此，建议在这方面采用工业互联防火墙，以满足通信需求，并提供强大的安全保护。但是具体的安全防护策略还应基于实际的安全需求和风险评估进行综合考虑。此外，及时的安全更新和持续的网络监控和管理也非常重要，以确保安全防护机制的有效性。

管理层和数采监控层边界防护

4.2

数采监控层和控制层之间的安全防护

OPC通讯使用动态端口号，这给传统防火墙造成了困扰。工业防火墙具有特定的OPC协议识别功能，可以识别和管理OPC通讯的动态端口号。通过正确配置和管理，工业防火墙可以允许OPC通讯的合法流量通过，同时阻止非法的访问。专业的工业防火墙配备了强大的安全功能，如入侵检测和防御系统、深度数据包检查等。它们能够监测和阻止来自控制层以外的恶意流量和非法访问，确保数采监控层的安全。工业防火墙的部署可以提升网络的区域划分能力。它能够有效地隔离数采监控层和控制层，防止病毒感染和安全威胁从一个区域扩散到另一个区域。通过安装专业的工业防火墙，可以保证OPC通讯的安全性，阻止病毒和其他非法访问，同时加强网络的区域划分能力。但需要注意的是，选择合适的工业防火墙并正确配置它们的规则和策略非常重要。

数采监控层和控制层边界防护

4.3

保护关键控制器

为了保护关键的控制器系统免受恶意访问和网络攻击，通常需要使用工业防火墙和工控安全监测与审计系统。这些系统可针对制造商专有的工业通讯协议或标准（如Modbus）进行特定配置，工业防火墙可以针对制造商专有协议进行规则配置，只允许合法的协议流量通过，并阻止来自操作站的任何非法访问。这样可以限制系统仅接收来自授权的操作站的通信请求，提高系统安全性。可以指定只有具备访问权限的专有操作站才能连接和访问指定的控制器。通过对网络通讯流量的管控，可以防止未经授权的设备或站点对控制器进行访问，即实现网络访问的受限和控制。

工控安全监测与审计系统能够实时检测针对工业通讯协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫病毒等恶意软件的传播，并及时发送报警通知。这样可以帮助管理员及时采取措施阻止和应对安全威胁，保持系统的稳定和可靠性。详实记录所有网络通信行为，用于安全审计和故障排查，帮助发现潜在的安全风险和故障问题。

核心交换节点流量检测

4.4

工业主机安全加固

生产现场业务服务器、工程师站及操作员站会开启许多非必要的高危端口，类似TCP139、TCP445等，另外很多自动化厂商在调试过程中为了调试方便会建立文件共享和调试账户，在测试结束后并未关闭文件共享和调试账户，在高可用的便利却下带来了很大的安全隐患。工控主机卫士可针对工作站、服务器等设备进行网络白名单配置管理，配置出入站规则，关闭非必要的高危端口。同时，进行基线配置管理。

工程师站、操作员站及服务器主机加固

4.5

系统加固、补丁管理和账号管理

目前工程师站、HMI终端、OPC、SCADA、应用服务器等设备都可能存在相应的安全漏洞，定期检查工程师站、HMI终端、OPC、SCADA、应用服务器等设备上的安全补丁，确保已安装最新的补丁并修补已知的安全漏洞。同时，加固系统，关闭不必要的服务和端口，并配置防火墙策略，限制网络访问。根据工作职责与权限，为不同的人员设定细粒度的访问权限。只允许授权的人员访问关键工控应用、过程和资源。这可以通过系统的账号管理来实现，例如为每个用户分配独立的账号和密码，并定期更新口令，严格限制访问权限。建立安全审计机制，对工控系统的操作行为进行监控和记录。安全审计日志应包括用户登录、操作行为、系统事件等信息，以便及时发现潜在的安全威胁和异常行为，并能对安全事件进行溯源以便追踪和分析。确保所有设备和系统都使用强密码，密码应该包含大小写字母、数字和特殊字符，并定期更换密码。此外，采用多因素身份验证（如密码加指纹、卡片等）可以增加访问控制的安全性。

05

结语

工业自动化和控制系统的安全性是一个复杂且动态的问题。它涉及到多个方面，包括意识培训、管理流程、架构设计、技术应用、产品选择和系统工程等。在工业自动化控制系统的生命周期中，各个参与方如业务方、集成商和零部件供应商需要共同努力，不断加强系统的安全性。意识培训是重要的一环，通过培训员工和管理层，提高其对安全风险的认识和应对能力。同时，建立合适的管理流程，明确安全责任和权限，并进行安全漏洞扫描和渗透测试，及时修复漏洞，并对系统进行持续改进。在系统架构设计和技术应用方面，采用各种安全措施，如访问控制、加密通信、安全审计和溯源等，以保护工业基础设施运营的安全。同时，集成商和零部件供应商需要提供可靠的产品和解决方案，符合安全标准和要求。

随着技术的发展和系统的演化，系统升级和设备变更可能导致新的安全威胁。因此，安全性是一个动态的过程，需要在工业自动化控制系统的整个生命周期中持续实施和改进。

总结来说，工业自动化和控制系统的安全性需要通过意识培训、管理流程、架构设计、技术应用等多个方面的综合措施来提高，并需要持续不断地进行改进，以保护中国的工业基础设施运营的安全。同时，我们也要认识到信息安全是一个复杂的问题，不能期望达到百分之百的安全性，而是需要持续实施和改进来降低安全风险。