启明星辰集团 张晔

北京时间2017年5月1 2日， 全球爆发大规模WannaCry勒索软件感染事件，已有至少100多个国家和地区的上万台电脑受到感染，我国是此次蠕虫事件受感染的重灾区，政府社会服务和企事业单位生产受到严重影响。为什么最近几年勒索软件不断涌现，而且大行其道，大有不断扩大的趋势；勒索软件会对我们的社会造成什么样的影响？勒索软件会对工业控制系统下手吗？针对勒索软件，我们应该做好哪些防范工作？本文作者将就这些问题进行分析。

1　什么是勒索软件？

勒索软件是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

勒索软件开发成本低，恶意扩散范围大，传播速度快，恢复数据成本高。相对用户通过合法途径恢复数据的成本来说，交付赎金对用户来说更合适。勒索软件对于恶意发布者来说，是一本万利，因此最近几年勒索软件不断涌现，在全世界大行其道。

随着技术的发展，新型勒索软件还会不断出现，在不久的将来，网络犯罪者可能会直接攻击关键基础设施，包括工业控制系统。除此之外，具有国家背景的攻击者，也可能会利用勒索软件，对其他国家的工业控制系统进行恶意攻击，从而隐藏其真实网络战争意图。

2　勒索软件造成的危害

勒索事件不像一般攻击事件，其发起者只想访问数据或者获取资源，勒索者有时既想要数据，更想要钱。勒索软件不管是对个人网络用户还是企业用户来说,都是一个越来越严重的犯罪问题。受影响的客户包括中小企业的业务信息系统，甚至包括个人终端，移动设备。据美国FBI的一份报告显示，2016年，勒索软件的非法收入可能达到10亿美元。这一巨大的数字，很大一部分都是由企业缴纳的赎金组成。

当用户因为勒索软件导致业务中断，企业通常会认为支付赎金是取回数据最划算的办法。这些支付出去的赎金，会助长犯罪组织加强勒索软件的开发。正因如此，勒索攻击正以惊人的速度不断发展，勒索软件家族也正在不断地进化。

3　勒索软件何时会“青睐”工业控制系统？

2016年11月28日，旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击，所有的售票站点都显示出“你被攻击了，所有数据都被加密”，攻击者发出公告索要100比特币，也就是70000多美元。

2017年1月下旬，一家奥地利豪华酒店受到攻击，阻止给客人制作新的房间钥匙卡，基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元，受害者支付大约1600美元赎金来恢复系统并继续正常的业务操作。

2017年5月13日，受WannaCry的影响，雷诺宣布法国桑都维尔和罗马尼亚的工厂停产，防止勒索软件在系统内扩散。除了雷诺还有一些受害者，日产位于英国东北部桑德兰（Sunderland）的制造工厂也受到影响。

以上事件已经说明，勒索软件已经开始逐渐向工业控制系统进行渗透。规模比较小的入侵组织，一般会选择对社会影响有限，失控后不会造成生产事故和人身事故，但数据恢复成本大于赎金成本，如门禁系统、地铁支付系统、智能楼宇系统等。如果是有国家背景的入侵组织发起，那么会对国家关键信息基础设施发起攻击，造成比较大的社会影响，如电力系统、石油石化系统、智慧城市等。

为了防止勒索软件对工业控制系统造成威胁，近期我们需要关注轨道交通自动售检票系统（AFC）、酒店门禁系统、智能楼宇系统、远程视频监控系统、智慧城市等影响到日常生活生产的控制系统。从长远来看，我们更要关注电力、水利、石油石化等关键基础设施的控制系统安全。

4　如何防范勒索软件对工业控制系统造成的威胁？

为了防范勒索软件对工业控制系统造成威胁，需要做好以下几个方面的工作：

（1）对工业控制系统的组态数据进行安全备份

组态数据作为工业控制系统正常运行的核心元素，组态数据备份和恢复措施是发生被勒索事件挽回损失的重要工作，数据备份恢复是企业的最后一道防线，在最坏的情况下，它将是企业最后的堡垒，而企业需要建立不定期进行数据备份的策略，以确保在最坏的情况有备份措施。

（2）做好第一道防线，防止勒索软件进入管理信息网

管理信息网内部要进行分区分域的细粒度划分，区域边界要做好访问控制和准入机制。同时要及时发现并修复业务系统存在的漏洞；或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程。

（3）做好第二道防线，杜绝勒索软件通过管理信息网进入生产网

管理网与生产网进行强隔离，杜绝管理网与生产网建立任何通讯连接，只能进行数据交换，这样就可以杜绝勒索软件通过管理信息网渗透到生产控制网。也就是说，生产控制网和管理信息网络之间应该通过网闸进行安全隔离。

（4）做好全面监控工作

无论是管理信息网，还是生产控制网，都要做好安全监控工作，实时监控网络异常行为、僵木蠕恶意行为、异常流量、异常网序，以及违规运维行为等，进行提前预警，把风险消灭在萌芽期。

（5）定期进行风险评估

定期对信息系统资产进行安全漏洞扫描，对发现的漏洞，要尽快进行修复，同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞修复管理工作。

作者简介：

张晔（1973-），男，本科，现就职于启明星辰集团电力事业部，主要研究方向为工业控制系统信息安全。发明了工业控制系统现场运维审计与管理系统，填补了国内该产品的空白；发明了动态安全保障体系模型和等级保护技术架构模型；在国内首次提出了工控系统信息安全的“四化”理念。

摘自《自动化博览》2017年8月刊