关键词: 工业控制系统安全
摘要:近年来,随着两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受企业关注。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。据统计,过去一年,国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。
近年来,随着两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受企业关注。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。据统计,过去一年,国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。
一、工业控制系统安全现状及挑战
两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的D协议,D协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
工业控制系统安全不是“老系统碰上新问题”,而是传统信息安全问题在工业控制领域的延伸。当前信息技术已广泛应用于石油、化工、电力等众多领域,为传统工业控制系统优化升级提供了重要的支撑,同时也带来了网络环境下的信息安全问题,蠕虫、木马、黑客攻击等网络威胁对工业控制系统的冲击呈现出愈演愈烈的发展态势。
提到工控安全问题,很多人可能会简单地理解为直接用于控制的实时操作系统设备的安全。然而,从整个架构上看,工业控制系统是由服务器、终端、前端的实时操作系统等共同构成的网络体系,同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。在整个工业控制系统中,大多数工控软件都是运行在通用操作系统上,例如操作员站一般都是采用Linux或Windows平台,由于考虑到系统运行的稳定性,一般系统运行后不会对Linux或Windows平台打补丁;另外,大多工业控制网络都属于专用内部网络,不与互联网相连,即使安装反病毒软件,也不能及时地更新病毒数据库,并且杀毒软件对未知病毒和恶意代码也无能为力。操作系统漏洞无法避免,加之传统防御技术和方式的滞后性,给病毒、恶意代码的传染与扩散留下了空间。
据了解,在2010年爆发的“震网”事件中,病毒导致部分用于铀浓缩的离心机无法运行,直击伊朗核工业。由此可见,针对工业控制系统的攻击行为,已经对国家经济和社会发展产生深远的影响。事实上,不仅仅是“震网(Stuxnet)”病毒,近年来相继涌现出的著名恶意软件如“毒区(Duqu)”、“火焰(Flame)”等等,也将攻击重心向石油、电力等国家命脉行业领域倾斜,工业控制系统面临的安全形势越来越严峻。
二、工业控制系统安全风险分析
1、风险分析
工业控制系统是我国重要基础设施自动化生产的基础组件,安全的重要性可见一斑,然而受到核心技术限制、系统结构复杂、缺乏安全与管理标准等诸多因素影响,运行在 ICS系统中的数据及操作指令随时可能遭受来自敌对势力、商业间谍、网络犯罪团伙的破坏。根据工信部 关于加强工业控制系统信息安全管理的通知)要求,我国工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。这些领域中的工业控制系统一旦遭到破坏,不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害。
通过分析可以发现,造成工业控制系统安全风险加剧的主要原因有两方面:
第一,传统工业控制系统的出现时间要早于互联网,它需要采用专用的硬件、软件和通信协议,设计上以物理安全为主,基本没有考虑互联互通所必须考虑的通信安全问题。
第二,互联网技术的出现,导致工业控制网络中大量采用通用 TCP/IP技术 ,工业控制系统与各种业务系统的协作成为可能,愈加智能的 ICS网络中各种应用、工控设备以及办公用 PC系统逐渐形成一张复杂的网络拓扑。
仅基于工控协议识别与控制的安全解决方案在两方面因素的合力下,已无法满足新形势下ICS网络运维要求,确保应用层安全是当前 ICS系统稳定运营的基本前提。利用工控设备漏洞、TCP/IP协议缺陷、工业应用漏洞,攻击者可以针对性地构建更加隐蔽的攻击通道。以 Stuxnet蠕虫为例 ,其充分利用了伊朗布什尔核电站工控网络中工业 PC与控制系统存在的安全漏洞 (LIK文件处理漏洞、打印机漏洞、RPC漏洞、WinCC漏洞、S7项目文件漏洞以及 Autorun.inf漏洞),为攻击者入侵提供了七条隐蔽的通道。
2、脆弱性分析
工业控制系统的安全性和重要性直接影响到国家战略安全实施,但为兼顾工业应用的场景和执行效率,在追求 ICS系统高可用性和业务连续性的过程中,用户往往会被动地降低 ICS系统的安全防御需求。识别 ICS存在的风险与安全隐患,实施相应的安全保障策略是确保 ICS系统稳定运行的有效手段。
2.1安全策略与管理流程的脆弱性
追求可用性而牺牲安全,这是很多工业控制系统存在普遍现象,缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题,很多已经实施了安全防御措施的ICS网络仍然会因为管理或操作上的失误,造成ICS系统出现潜在的安全短板。例如,工业控制系统中的移动存储介质的使用和不严格的访问控制策略。
作为信息安全管理的重要组成部分,制定满足业务场景需求的安全策略,并依据策略制定管理流程,是确保ICS系统稳定运行的基础。参照 NERCCIP、ANSI/ISA一99、IEC 62443等国际标准,目前我国安全策略与管理流程的脆弱性表现为:
(1)缺乏ICS的安全策略;
(2)缺乏ICS的安全培训与意识培养;
(3)缺乏安全架构与设计
(4)缺乏根据安全策略制定的正规、可备案的安全流程;
(5)缺乏ICS安全审计机制;
(6)缺乏针对ICS的业务连续性与灾难恢复计地
(7)缺乏针对ItS配置变更管理。
2.2工控平台的脆弱性
随着TCP/IP等通用协议与开发标准引入工业控制系统,开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上,绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。
目前,多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制,例如基于 DC0M 编程规范的 0PC接口几乎不可能使用传统的 IT防火墙来确保其安全性。数据加密效果不佳 ,工业控制协议的识别能力不理想,加之缺乏行业标准规范与管理制度,工业控制系统的安全防御能力十分有限。
旨在保护电力生产与交通运输控制系统安全的国际标准NERC CIP明确要求,实施安全策略确保资产安全是确保控制系统稳定运行的最基本要求。将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容是目前工业控制领域普遍被认可的安全防御措施。
另一种容易忽略的情况是,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是,工业控制系统的补丁管理效果始终无法令人满意,考虑到 ICS补丁升级所存在的运行平台与软件版本限制,以及系统可用性与连续性的硬性要求,ICS系统管理员绝不会轻易安装非ICS设备制造商指定的升级补丁。与此同时,工业系统补丁动辄半年的补丁发布周期,也让攻击者有较多的时间来利用已存在的漏洞发起攻击。著名的工业自动化与控制设备提供商西门子就曾因漏洞公布不及时而饱受质疑。
无论是针对工业系统的攻击事件,还是更隐蔽且持续威胁的APT攻击行为,基于黑名单或单一特征比对的信息安全解决方案都无法有效防御,更不要说利用 0day漏洞的攻击行为。而 IT领域广泛采用的主动防御技术,因为其存在较大的误杀风险,并不适用于工业控制系统的高性能作业。目前,惟有基于白名单机制的安全监测技术是被工业控制系统用户普遍任何的解决方案。
2.3网络的脆弱性
通用以太网技术的引入让ICS变得智能,也让工业控制网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。此外,工业控制网络的专属控制协议更为攻击者提供了了解工业控制网络内部环境的机会。确保工业网络的安全稳定运营,必须针对 ICS网络环境进行实时异常行为的 “发现 、检测、清除、恢复、审计”一体化的保障机制。当前 ICS网络主要的脆弱性集中体现为:
(1)边界安全策略缺失;
(2)系统安全防御机制缺失;
(3)管理制度缺失或不完善;
(4)网络配置规范缺失;
(5)监控与应急响应制度缺失;
(6)网络通信保障机制缺失;
(7)无线网络接入认证机制缺失;
(8)基础设施可用性保障机制缺失。
2.4潜在威胁分析
作为国家关键基础设施自动化控制的基本组成部分,由于其承载着海量的操作数据,并可以通过篡改逻辑控制器控制指令而实现对目标控制系统的攻击,针对工业控制网络的定向攻击目前正成为敌对势力和网络犯罪集团实施渗透攫取利益的重点对象。稍有不慎就有可能对涉及国计民生的重要基础设施造成损害。可导致 ICS系统遭受破坏的威胁主要有:
(1)控制系统发生拒绝服务;
(2)向控制系统注入恶意代码;
(3)对可编程控制器进行非法操作;
(4)对无线 AP进行渗透;
(5)工业控制系统存在漏洞;
(6)错误的策略配置;
(7)人员及流程控制策略缺失。
三、工业控制系统安全防范策略
1、白名单机制
白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。
“白名单”安全机制是一种安全规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员信任可识别的身份,未经授权的行为将被拒绝。
2、物理隔离
网络物理隔离类技术诞生较早,最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网络物理隔离由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融等多个行业部门,其主要功能支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业控制领域,网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护。因此,它只提供控制网络常用通信功能,如OPC、Modbus等,而不提供通用互联网功能,因此,更适合于控制网络与办公网络,以及控制网络各独立子系统之间的隔离。
其主要特点有几种:
1)独立的运算单元和存储单元,各自运行独立的操作系统和应用系统;
2)安全隔离区采用私有加密的数据交换技术,数据交换不依靠TCP/IP协议;
3)工业通信协议,OPC/Modbus/60870-5-104等;
4)与信息层上传数据时,可实现断线缓存、续传;
5)实时数据交换、延迟时间小于1ms;
6)访问控制、身份认证以及安全审计与日志管理;
3、工业协议深度解析
商用防火墙是根据办公网络安全要求设计的一种防火墙,它可以对办公网络中传输使用的大部分通用网络协议(如http、ftp等)进行完全包过滤,能给办公网络提供有效的保护。但是,对于工业网络上使用的工业通信协议(如Modbus、OPC等应用层协议)的网络包,商用防火墙只能做网络层和传输层的浅层包过滤,它无法对网络包中应用层数据进行身材检查,因此,商用防火墙有一定的局限性,无法满足工业网络的要求。因此,自动化行业内迫切需要一款专用工业防火墙,可以针对工业通信协议进行有效的过滤检查,以保证工业控制系统的运行安全。
4、漏洞扫描
通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
5、云管理服务平台
构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基础建设,兼顾包括中断与链路、威胁与异常、安全与可用性等综合因素的功能考虑。
安全管理私有云服务平台的建立要求包括:
1)方便地对整个系统里所有的安全设备模块、控制器和工作站,进行部署、监控和管理;
2)规则辅助生产,指导应用方便快捷地从权限、授权管理报告中,创建防火墙的规则;
3)自动阻止并报告任何与系统流量不匹配的规则;
4)接收、处理和记录由安全模块所上传的报警信息;
5)全网流量是区及识别能力;
6)基于白名单的终端控制能力;
7)实时ICS协议与内容识别能力;
8)异常行为的仿真能力;
9)可视化配置、组态;
10)安全事件搜索、跟踪和预处理能力;
四、总结
随着以太网技术在工业控制网络中的应用,以及两化深入融合的持续推进,未来的工业控制系统将会融入更多的新兴信息技术和安全技术。工业系统的安全关系到国家的安全发展和稳定。为此,政府应该不断加强对工业控制领域安全法律法规的建设,同时国内的技术厂商应该借助新一轮IT发展浪潮,提升工控安全技术的自主研发创新能力,为企业的工业控制应用保驾护航。