在水泵的嗡鸣声中,伊朗黑客组织Cyber Av3ngers通过以色列制造的Unitronics PLC人机界面漏洞,完成了这次针对关键基础设施的攻击。操作员紧急切断PLC的互联网连接,切换为手动操作才避免了一场公共灾难。
这仅是工业控制系统安全威胁的冰山一角。随着数智化转型的深入,曾封闭运行的PLC系统正面临前所未有的网络安全挑战。工控系统网络安全防护指南中,PLC被列入第一批网络关键设备目录,其指令执行时间甚至被严格要求“小于0.08微秒”。
01 震网警钟,PLC安全威胁的演进史
2010年,卡巴斯基实验室在白俄罗斯发现了一种前所未有的计算机蠕虫——震网病毒Stuxnet。这种被称为“世界上第一个数字武器”的病毒专门针对西门子监控和数据采集系统。
它巧妙避开了所有常规防御,通过四个零日漏洞侵入PLC,最终导致伊朗纳坦兹核电站约1000台离心机转速异常直至损毁。
震网病毒展示了针对工业控制系统的网络攻击如何从虚拟世界跨越到物理世界,实现物理破坏。更令人担忧的是,其攻击手法为后续工业控制系统攻击提供了“教科书式”的模板。
攻击者不再满足于数据窃取,而是直接瞄准物理设备的摧毁。美国网络安全和基础设施安全局的报告显示,60%的工业网络攻击导致运营中断,40%造成未授权访问或数据泄露。
工控系统安全威胁呈现国家背景行为体主导的特点。罗克韦尔自动化的数据显示,60%针对工业部门的攻击是由与国家有关联的恶意行为者实施的。
攻击目标高度集中,能源行业(39%)、关键制造业(11%)、交通运输(10%)成为重灾区。
02 解剖威胁,PLC面临的四类攻击模式
PLC作为工业控制系统的“末梢神经”,其安全防线一旦被突破,整个生产系统将面临瘫痪风险。当前针对PLC的攻击主要呈现四大形态:
网络暴露攻击利用Shodan等工具扫描暴露在互联网上的PLC设备。网络安全分析师发现的“FrostyURL”漏洞,仅需一个恶意网址就能发起攻击。这种攻击可导致PLC崩溃或允许执行任意代码,对工业系统造成直接威胁。
有效载荷篡改通过恶意软件工具远程修改PLC控制程序。2016年黑帽欧洲大会上,荷兰特文特大学研究人员展示的PLC rootkit病毒比震网更危险。
它驻留在PLC动态内存中,直接操纵I/O和控制过程,攻击开销低于1%,几乎无法被检测。
高级持续威胁(APT) 具有长期潜伏性。震网病毒可能早在2005年就已存在,直到2010年才被发现。这类攻击通常分“进入-映射-操纵”三步进行,攻击者获取PLC底层操控权后,通过改变I/O初始化顺序实现控制。
供应链漏洞成为新风险点。2024年《工业控制系统网络安全防护指南》明确要求,使用纳入网络关键设备目录的PLC时,必须采用“安全认证合格或安全检测符合要求的设备”。
中国PLC市场44%份额被西门子占据,核心设备依赖进口带来潜在后门风险。
03 脆弱之源,PLC为何成为安全薄弱环节
PLC的安全脆弱性源于其设计理念与新型网络环境的根本冲突。工业控制系统在架构上存在天然缺陷:
架构与协议层面,PLC遵循普渡模型的分层架构。传统多层隔离结构因实时数据远程存取需求被打破,工业物联网设备直接接入控制层(Level 0和Level 1),使原有防御机制被旁路。
技术层面,碎片化问题突出。工业领域存在RS-232、RS-485、CAN、Modbus、PROFINET等多种通信协议标准。这种封闭性、排他性使安全防护技术难以形成统一规范。
操作层面,33%的安全事件是由内部人员无意中引起的。台积电曾因新机台安装软件过程中未完成病毒扫描就连网上线,导致WannaCry变种病毒扩散,损失近1.7亿美元。
更新机制层面,工业设备要求全时段运行,导致安全更新严重滞后。中国存在大量缺乏维护的老旧工业控制设备,无法立即停机更新。ICS-CERT发现的SQL注入漏洞允许攻击者创建新用户、删除用户或升级权限,但修复进度缓慢。
04 防御演进,从纵深防御到零信任架构
面对日益复杂的攻击手段,PLC安全防护策略正在经历范式转变:
纵深防御体系仍是基础。2024年工信部《工业控制系统网络安全防护指南》要求:对工业控制网络实施分区分域管理,部署工业防火墙、网闸实现域间横向隔离;当工业控制网络与外部网络连通时,实施网间纵向防护。
零信任架构成为新方向。美国国防部2019-2023年《数字现代化战略》将零信任安全列为优先发展技术。零信任架构的核心是“从不信任,始终验证”,通过软件定义边界、增强身份管理和微隔离技术重构PLC防护体系。
中国等保2.0标准中,零信任架构可满足工业控制系统扩展要求。在管理信息区、工业互联网部署零信任架构,能实现传输加密、身份零信任管理和细粒度访问控制。
主动防护技术持续升级:
- 主机防护:在工程师站、操作员站部署防病毒软件,实施应用软件白名单技术
- 认证强化:关键主机或终端访问采用双因子认证
- 接口管控:拆除不必要的外部设备接口,关闭非必要网络服务端口
人员培训构筑最后防线。34%的OT/ICS事件源于网络钓鱼攻击。《防护指南》明确要求定期开展工控安全专业技能培训及考核,增强全员网络安全意识。
05 未来之路,PLC安全的防御方向
随着数智化转型深入,PLC安全防御呈现三大发展趋势:
国产化替代加速推进。2025年6月,量云能源与国电南自合作完成华电集团首台主控系统100%国产化的明阳智能风电机组改造,采用国产PLC硬件系统搭配自主开发的主控软件。
这标志着中国在工控系统自主可控领域取得实质性突破,为破解“44%PLC市场被西门子垄断”的困局提供可能。
IT/OT安全框架融合势在必行。80%以上的OT/ICS安全事件始于IT系统受损。罗克韦尔自动化指出:“仅仅在IT和OT环境之间实施防火墙已经不够了”。
未来需要建立覆盖“企业资源层-生产管理层-过程监控层-现场控制层-现场设备层”的端到端防护体系。
动态协同防御成为关键。美国CISA推出针对供水设施的免费安全扫描计划,通过持续监测暴露在互联网上的端点并提供行动建议。
企业需建立资产清单定期核查机制,内容覆盖系统配置、权限分配、日志审计等要素,并根据资产状态变化及时更新。
阿利基帕事件后,美国水务部门开始更换PLC设备;台积电痛定思痛重建了供应链安全评估流程;华电风电场里,搭载国产PLC的风机主控系统稳定运转。
随着等保2.0将工业控制系统纳入等级保护体系,2024年《工业控制系统网络安全防护指南》进一步明确了设备认证、网络隔离、动态授权等要求。
工业控制系统的战场已从车间延伸到云端,攻防博弈的天平将向深谙“零信任”之道、掌握核心技术的守护者倾斜。数智化浪潮下,那条连接PLC的网线,已成为工业命脉与网络安全的最新交汇点。
中研高科教育
