今日頭條
官方微信
官方抖音
案例頻道1 前言
工業(yè)控制系統(tǒng)主要包括集散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)和可編程控制器(PLC)等,已廣泛應用于國內(nèi)重大的基礎設施中,在工廠運行中發(fā)揮著巨大的作用。隨著信息化的推動和工業(yè)化進程的加速,越來越多的計算機和網(wǎng)絡技術應用于工業(yè)控制系統(tǒng),在為工業(yè)生產(chǎn)帶來極大推動作用的同時,也帶來了工控系統(tǒng)的安全問題,如系統(tǒng)終端平臺安全防護弱點、系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題,以及隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權限控制的接入、網(wǎng)絡安全邊界防護以及內(nèi)部非法人員、密鑰管理等各種網(wǎng)絡安全的風險和漏洞。
2 電力監(jiān)控系統(tǒng)安全概述
2.1 工業(yè)控制系統(tǒng)安全概述
近十年來,隨著信息技術的迅猛發(fā)展,信息化在企業(yè)中的應用飛速發(fā)展,互聯(lián)網(wǎng)技術的出現(xiàn),使得工業(yè)控制網(wǎng)絡中大量采用通用TCP/IP技術,ICS網(wǎng)絡和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面,傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議,設計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱,甚至幾乎沒有隔離功能,因此隨著工廠控制系統(tǒng)的開放,其安全隱患問題日益嚴峻,系統(tǒng)中任意一點受到攻擊都有可能導致整個系統(tǒng)的癱瘓。
全球頻發(fā)的工業(yè)控制系統(tǒng)安全事故讓越來越多的人們開始注意到工業(yè)控制系統(tǒng)安全的必要性。工業(yè)控制系統(tǒng)的故障可能導致大規(guī)模的生產(chǎn)中斷甚至危及人們的生命安全。例如:制造業(yè)的工業(yè)控制系統(tǒng)遭到攻擊導致物資停產(chǎn),可能會在短期內(nèi)引起物資的價格上漲;電力工控系統(tǒng)遭受攻擊可直接導致整個片區(qū)的電力供應中斷;石油和天然氣管道遭到惡意攻擊,甚至會引起爆炸,威脅到人們的生命安全。
2.2 電力監(jiān)控系統(tǒng)安全現(xiàn)狀
電力監(jiān)控系統(tǒng)工控安全的脆弱性是指工控系統(tǒng)在防護措施中和在缺少防護措施時系統(tǒng)所具有的弱點,而工控系統(tǒng)內(nèi)部的脆弱性問題是導致系統(tǒng)易受攻擊的主要因素,脆弱性問題的根源可概括為以下幾個方面:
(1)網(wǎng)絡結構:無法保證外網(wǎng)接入安全,保證對主機和應用系統(tǒng)資源的合法使用和用戶身份的合法性。通常電廠會在DCS系統(tǒng)網(wǎng)絡和外部網(wǎng)絡之間設立一個DMZ區(qū),使連接盡可能最小化。
(2)區(qū)域邊界:現(xiàn)場控制層與監(jiān)控層之間存在安全威脅互侵。缺乏邊界保護,容易受到信息網(wǎng)絡和相鄰系統(tǒng)的安全影響。
(3)通信網(wǎng)絡:按照《國家電網(wǎng)公司關于加快推進電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺建設的通知》的要求,在電力生產(chǎn)系統(tǒng)I區(qū)和II區(qū)中部署網(wǎng)絡安全監(jiān)測裝置,對電氣網(wǎng)中的服務器、工作站網(wǎng)絡設備安全防護等監(jiān)測進行數(shù)據(jù)采集和分析,但未對發(fā)電監(jiān)控系統(tǒng)進行監(jiān)控,無法及時發(fā)現(xiàn)網(wǎng)絡中的各種違規(guī)以及入侵攻擊行為,無法溯源入侵的未知設備、非法應用和軟件。
(4)終端設備:生產(chǎn)控制系統(tǒng)和生產(chǎn)監(jiān)控系統(tǒng)的操作終端大部分采用Linux和Windows系列的操作系統(tǒng),為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常現(xiàn)場工程師、操作員等在系統(tǒng)開車后不會安裝任何補丁,部分終端同時安裝多種防病毒軟件,上位機專用編程組態(tài)監(jiān)控軟件與傳統(tǒng)殺毒軟件不兼容、無嚴格的U盤等移動介質(zhì)管控、終端登錄無身份認證措施、應用軟件存在使用默認密碼和用戶口令粘貼于顯眼位置現(xiàn)象、外部設備管理采取封條方式、未部署安全技術措施,終端設備存在被攻擊的可能。
(5)通訊協(xié)議:工業(yè)協(xié)議為了滿足相應的數(shù)據(jù)實時性和周期性,往往缺乏有效的用戶安全認證、數(shù)據(jù)傳輸?shù)募用芙饷艿然拘畔踩侄巍f(xié)議的相關信息又能通過公開渠道獲取,攻擊者很有可能利用協(xié)議的漏洞對工控網(wǎng)絡發(fā)起攻擊。企業(yè)的安全網(wǎng)和非安全網(wǎng)的自動控制協(xié)議都是基于通用的服務器、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)運行于TCP/IP協(xié)議之上,TCP/IP協(xié)議的誕生主要解決網(wǎng)絡間的通信問題,而不是立足于安全,隨著TCP/IP的發(fā)展,很多方面都被一些不法分子所利用,暴露出TCP/IP中的不少安全問題。
(6)控制系統(tǒng):在系統(tǒng)維修或升級檢測過程中,第三方人員的遠程維護可能會導致相關生產(chǎn)數(shù)據(jù)的信息泄密,對運維過程中的誤操作事件缺乏證據(jù)支撐。
(7)管理中心:企業(yè)控制系統(tǒng)設備復雜,網(wǎng)絡設備、控制設備、監(jiān)控主機服務器等運行情況、告警日志等無法統(tǒng)一管理,企業(yè)大多數(shù)維護人員不具備專業(yè)安全分析能力,運維管理人員對電廠設備狀況了解不夠,一旦生產(chǎn)系統(tǒng)出現(xiàn)故障,維護人員不清楚網(wǎng)絡狀況,不能及時判斷是否有網(wǎng)絡入侵行為、病毒、業(yè)務訪問異常等問題,從而延誤生產(chǎn)。
(8)離線測試:電廠工業(yè)控制系統(tǒng)在上線前未進行安全性測試,上線后存在大量安全風險漏洞,安全配置薄弱,甚至帶毒工作。
3 電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護手段
3.1 風險緩解策略制定
風險緩解策略本質(zhì)上是機構對如何處置風險的規(guī)劃。許多機構花費了大量預算和資源用于部署安全控制措施和風險緩解策略。但是,只有與適當?shù)娘L險評估過程相結合,使用威脅建模來構建可行風險場景與使用滲透測試對這些場景進行驗證時,才能構建高效、經(jīng)濟并且具有針對性的風險緩解策略[1]。因此,在制定風險緩解策略時,需要考慮以下幾點問題:
(1)研究并對提出的每個風險緩解解決方案的成本進行預估;
(2)從最關鍵且最易于暴露的資產(chǎn)開始,將緩解成本與潛在入侵所導致的影響或成本進行比較;
(3)根據(jù)已知數(shù)據(jù),通過以下參考條件制定緩解策略:
· 總體預算;
· 最關鍵且最容易暴露的資產(chǎn);
· 入侵產(chǎn)生的總體成本或影響;
· 入侵的成功率;
· 風險緩解的成本是否會超過風險帶來的損失。
(4)根據(jù)預算和策略部署風險緩解方案由于風險并不可能完全被緩解,所以用戶必須確定哪種水平的風險是可以接受的,以及同緩解風險所需的成本相比,需要將風險降低到什么水平才可以接受。
3.2 防護方案主要依據(jù)
解決電力監(jiān)控系統(tǒng)信息化和工業(yè)化進程帶來的安全風險,結合電力行業(yè)的實際安全需求,參考《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)和《電力監(jiān)控系統(tǒng)安全防護總體方案》(國能安全〔2015〕36號),實現(xiàn)事前預警、事中防范和事后取證等安全能力。
3.3 電力監(jiān)控系統(tǒng)安全防護主要內(nèi)容
對于電力監(jiān)控系統(tǒng)網(wǎng)絡安全建設,應當以適度安全為核心,重點保護為原則,從業(yè)務的角度出發(fā),重點保護重要的業(yè)務系統(tǒng)。整個安全保障體系各部分有機結合,相互支撐,形成整體的等級化的安全保障體系,同時根據(jù)安全技術建設和安全管理建設,保障水電控制系統(tǒng)整體的安全。
3.3.1 加強網(wǎng)絡安全監(jiān)控體系建設
通過在電力監(jiān)控系統(tǒng)網(wǎng)絡關鍵節(jié)點部署工控安全審計、工業(yè)入侵檢測系統(tǒng)和日志審計系統(tǒng),對網(wǎng)絡流量進行安全審計、檢測,識別、審計、記錄生產(chǎn)控制系統(tǒng)的操作行為和異常網(wǎng)絡行為、網(wǎng)絡設備日志,便于事后進行取證和定責。提供整個控制網(wǎng)絡的總體運行情況,自動識別網(wǎng)絡設備,顯示網(wǎng)絡設備當前狀態(tài),進行網(wǎng)絡性能綜合分析,針對工業(yè)控制系統(tǒng)重要的網(wǎng)絡節(jié)點或區(qū)域,監(jiān)測所有通過的數(shù)據(jù)包,并對數(shù)據(jù)包進行深度解析,實現(xiàn)控制行為合規(guī)性檢查,針對異常或非法操作數(shù)據(jù)包,分析是否有外界入侵或人員誤操作,并對所有異常情況進行審計、發(fā)出報警,提醒現(xiàn)場安全運維人員去處置。工控安全審計系統(tǒng)不僅可輔助安全運維人員發(fā)現(xiàn)、分析與處置安全事件,可以與串行部署的安全防護類設備配合使用,為實時修正安全保護類設備的安全策略提供數(shù)據(jù)支撐。還可以提供最全面的安全事件數(shù)據(jù),支撐階段性全網(wǎng)安全風險分析與評估,為安全事件追溯提供證據(jù)。
3.3.2 加強區(qū)域邊界安全建設
采用針對工控系統(tǒng)的專業(yè)數(shù)據(jù)隔離防護產(chǎn)品來進行邊界防護,能夠深度解析工業(yè)通信協(xié)議,并且對于利用工控協(xié)議漏洞、工控系統(tǒng)漏洞進行滲透攻擊的行為進行實時攔截和告警,避免因傳統(tǒng)防火墻防護不足導致的工控異常操作和數(shù)據(jù)被惡意篡改等攻擊行為。
3.3.3 加強計算環(huán)境安全建設
計算環(huán)境安全主要體現(xiàn)在惡意代碼防護、入侵檢測、系統(tǒng)漏洞、安全審計、外設管理、剩余信息保護幾個層次。基于工業(yè)控制系統(tǒng)本身的安全特點,可以采用白名單技術,保證軟件和應用程序正常運行,對其進行充分的代碼審計、安全監(jiān)測和分析,結合完整性檢查方法,當發(fā)現(xiàn)程序被修改后,會阻止該程序的運行,從而阻止病毒的擴散;實時監(jiān)控USB端口、網(wǎng)絡端口狀況,提供自定義外設管理,嚴格控制非授權外設接入,提供完備的操作日志,當泄密事故發(fā)生后,可以從操作日志中追溯到泄密文件、設備、日期等關鍵信息,從而為事后問責提供有力依據(jù)。
此外,工控安全事件的發(fā)生,或多或少都利用了工業(yè)控制系統(tǒng)的“漏洞”,進而攻陷了整個工業(yè)控制系統(tǒng)。對于這些重要的基礎工業(yè)設施,如何在黑客攻擊之前幫助客戶發(fā)現(xiàn)漏洞,成為急需解決的問題。因此,需通過部署工控漏洞掃描系統(tǒng),在工業(yè)控制系統(tǒng)受到攻擊之前為客戶提供專業(yè)、有效的漏洞分析和修補建議,防患于未然。
3.3.4 構建縱深防御體系
在系統(tǒng)建設中事前身份不確定、授權不清晰,事中操作不透明、過程不可控,事后結果無法審計、責任不明確,導致客戶業(yè)務及運維服務面臨安全風險。因此,需在電力監(jiān)控系統(tǒng)中部署運維審計系統(tǒng),實現(xiàn)對服務器、網(wǎng)絡設備、安全設備的操作監(jiān)控,實現(xiàn)賬號集中管理、高強度認證加固、細粒度訪問授權控制、加密和圖形操作協(xié)議的審計等功能,讓內(nèi)部人員、第三方人員的操作處于可管、可控、可見、可審的狀態(tài)下,規(guī)范運維的操作步驟,避免了誤操作和非授權操作帶來的隱患。
在原有安全防御措施的基礎上,部署集中安全管理平臺,對現(xiàn)場的工控防護設備和軟件進行集中管理,提供統(tǒng)一的策略配置接口,總覽各設備和軟件的運行狀態(tài)、事件記錄和威脅日志等關鍵信息。各安全防護設備和軟件由集中管理裝置統(tǒng)一控制、配置和管理,統(tǒng)一部署安全策略,并監(jiān)測工控網(wǎng)絡的通信流量與安全事件,對工控網(wǎng)絡內(nèi)的安全威脅進行分析,消除安全孤島,從整體視角進行安全事件分析、安全攻擊溯源等,重點解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問題。
3.3.5 加強安全管理體系建設
依據(jù)國家政策法規(guī)、行業(yè)標準要求和本單位的戰(zhàn)略目標,制定工控系統(tǒng)安全方針制度,明確安全建設目標、組織架構、責任人、績效考核標準,并對制度管理、組織管理、人員管理、運維管理、建設管理提出具體的管理流程和工作實施辦法。
3.3.6 物理機房環(huán)境建設
信息網(wǎng)絡都是以一定的方式運行在一些物理設備之上,保障物理設備的安全就成為信息網(wǎng)絡安全的第一道防線。保障構成信息網(wǎng)絡的各種設備、網(wǎng)絡線路、供電連接等安全,主要包括設備的防盜、防電磁泄漏、防電磁干擾等。所有的物理設備都運行在一定的物理環(huán)境之中,環(huán)境安全是物理安全的最基本保障,是整個安全系統(tǒng)不可缺少和忽視的組成部分。保障信息網(wǎng)絡所處的環(huán)境安全,主要是對場地和機房的約束,強調(diào)對于地震、水災、火災等自然災害的預防措施,包括場地安全、防火、防水、防靜電、防雷擊、電磁防護、線路安全等。
4 電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護價值
4.1 安全防護效果
采用基于構建可信主機系統(tǒng)及可信的網(wǎng)絡環(huán)境和白名單機制的安全防護技術來設計構建安全防護體系,借助工業(yè)控制協(xié)議的深度解析與人工智能學習技術的應用,以全面的工業(yè)漏洞庫為支撐,使安全防護產(chǎn)品更具有基于行為的主動防御能力。此外,應用基于工業(yè)控制系統(tǒng)的防護手段,構建了以安全可控為目標、監(jiān)控審計為特征,持續(xù)安全運營的電力監(jiān)控系統(tǒng)新一代主動防御體系,提高了電力監(jiān)控系統(tǒng)整體安全性。安全防護體系更加貼近電力監(jiān)控控制系統(tǒng)環(huán)境應用,安全防護更加準確,在保證穩(wěn)定性要求的同時,效率更強,使用價值更高。
4.2 安全防護的示范性和推廣性價值
防護方案具有免疫特征的安全防護體系和機制、關鍵技術不僅可應用于水電電力監(jiān)控系統(tǒng),同時可應用于廣泛部署水電工業(yè)控制系統(tǒng)的工業(yè)企業(yè)與集團,有助于提高全行業(yè)工業(yè)控制系統(tǒng)整體的網(wǎng)絡安全水平。設計參照國家等級保護相關規(guī)范要求,項目建設后將滿足企業(yè)等級保護的技防要求,配合企業(yè)安全管理體系的規(guī)范化建設,技防配合人防,為工業(yè)企業(yè)工業(yè)控制系統(tǒng)安全保駕護航。
作者簡介
劉佳其(1995-),四川綿竹人,工程師,學士,現(xiàn)就職于北京珞安科技有限責任公司,主要研究方向為工業(yè)控制系統(tǒng)安全防護規(guī)劃和零信任安全架構。
參考文獻:
[1] Clint E. Bodungen, Bryan L. Singer, Aaron Shbeeb, Kyle Wilhoit, Stephen Hilt. 黑客大曝光: 工業(yè)控制系統(tǒng)安全[M]. 北京: 機械工業(yè)出版社, 2017.
摘自《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第八輯)》
北京市公安局海淀分局備案號:11010802023656號