今日頭條
官方微信
官方抖音
資訊頻道縱觀我國(guó)工業(yè)、能源、交通、水利以及市政等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施建設(shè),DCS、PLC等工業(yè)控制系統(tǒng)得以廣泛應(yīng)用,隨著我國(guó)兩化融合的深入發(fā)展,信息化的快速發(fā)展大大提高了公司的運(yùn)營(yíng)效率,但TCP/IP、Ethernet等通用技術(shù)和通用產(chǎn)品被大量引入工業(yè)領(lǐng)域,也將越來(lái)越多的信息安全問(wèn)題擺在了我們面前。
另一方面,長(zhǎng)久以來(lái),企業(yè)更多關(guān)注的是物理安全,信息化發(fā)展所需的信息安全防護(hù)技術(shù)卻相對(duì)滯后,近幾年來(lái)因控制系統(tǒng)感染病毒而引起裝置停車(chē)和其它風(fēng)險(xiǎn)事故的案例屢有發(fā)生,給企業(yè)造成了巨大的經(jīng)濟(jì)損失。Stuxnet病毒的爆發(fā)更是給企業(yè)和組織敲響了警鐘,工信部協(xié)[2011]451號(hào)通知明確指出要切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的要求。本文以石化行業(yè)為例,就工業(yè)控制系統(tǒng)信息安全存在的隱患,及其縱深防御架構(gòu)體系進(jìn)行簡(jiǎn)要探討。
1 工業(yè)控制系統(tǒng)面臨的信息安全漏洞
1.1 通信協(xié)議漏洞
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。
例如,OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E) 基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊,并且OPC通訊采用不固定的動(dòng)態(tài)端口號(hào),在通訊過(guò)程中可能會(huì)用到1024-65535中的任一端口,這就導(dǎo)致使用傳統(tǒng)基于端口或IP地址的IT防火墻無(wú)法確保其安全性。
因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性成為工程師的一個(gè)安全技術(shù)難題。
1.2 操作系統(tǒng)漏洞
目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是基于Windows平臺(tái)的,為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性,同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行,通常現(xiàn)場(chǎng)工程師在系統(tǒng)開(kāi)車(chē)后不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁,這樣導(dǎo)致了操作系統(tǒng)系統(tǒng)存在被攻擊的可能,從而埋下了安全隱患。
1.3 殺毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性,許多工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件,在使用過(guò)程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是,其病毒庫(kù)需要不定期的經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的,導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
1.4 應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題;另外當(dāng)軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開(kāi)放其網(wǎng)絡(luò)端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。互聯(lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其它大型設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,那么后果不堪設(shè)想。
1.5 安全策略和管理流程漏洞
追求可用性而犧牲安全,是工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象,工業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤(pán)等設(shè)備的使用缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定的威脅。
2 石化行業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析
目前,實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)在石化企業(yè)生產(chǎn)經(jīng)營(yíng)管理中得到越來(lái)越廣泛的應(yīng)用,通用通訊協(xié)議和操作系統(tǒng)也幾乎覆蓋了所有的工業(yè)控制系統(tǒng)。根據(jù)業(yè)務(wù)功能的不同,石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)一般分為三部分:控制層、數(shù)采層和管理信息層,如圖1所示。
圖1 石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
在信息安全方面,石化企業(yè)工控系統(tǒng)目前存在的安全問(wèn)題主要有:
(1)系統(tǒng)終端自身免疫力不足。目前工業(yè)計(jì)算機(jī)操作系統(tǒng)大多采用Windows操作系統(tǒng),一般不允許安裝操作系統(tǒng)的安全補(bǔ)丁和防病毒軟件,這些先天限制,使得工業(yè)計(jì)算機(jī)的操作系統(tǒng)存在很多已知或未知的漏洞無(wú)法解決,一旦發(fā)生針對(duì)性的網(wǎng)絡(luò)攻擊或病毒感染則會(huì)造成無(wú)法想象的后果;即便安裝殺毒軟件也僅能對(duì)部分病毒或攻擊有所抑制,但病毒庫(kù)存在滯后,也不能從根本上進(jìn)行防護(hù)。另一方面,項(xiàng)目實(shí)施和后期維護(hù)中頻繁使用U盤(pán)、筆記本電腦等外置設(shè)備,并且是在整個(gè)系統(tǒng)開(kāi)車(chē)情況下實(shí)施,也存在較高的安全隱患。
(2)工業(yè)網(wǎng)絡(luò)扁平化現(xiàn)象突出。雖然大多數(shù)石化企業(yè)通過(guò)Buffer數(shù)采機(jī)或OPC Server的雙網(wǎng)卡結(jié)構(gòu)對(duì)數(shù)采網(wǎng)與控制網(wǎng)進(jìn)行了隔離,部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò),但對(duì)于能夠利用 Windows系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲(chóng)及病毒等,這種配置并沒(méi)有作用,病毒仍會(huì)在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。
(3)系統(tǒng)缺乏信息安全監(jiān)控措施,網(wǎng)絡(luò)攻擊事件無(wú)法追蹤。現(xiàn)有網(wǎng)絡(luò)如果遭受病毒和黑客攻擊,維護(hù)人員無(wú)法進(jìn)行故障點(diǎn)查詢(xún)和原因分析,并采取應(yīng)急響應(yīng)措施,一些小的安全問(wèn)題直至發(fā)展成大的安全事故才會(huì)被發(fā)現(xiàn)和解決。
3 基于縱深防御的工業(yè)控制系統(tǒng)信息安全解決方案
3.1 系統(tǒng)終端安全
鑒于工業(yè)應(yīng)用的特殊性,工業(yè)控制系統(tǒng)的操作站、應(yīng)用站等終端難以采用傳統(tǒng)的打補(bǔ)丁、殺毒軟件的方式應(yīng)用層出不窮的操作系統(tǒng)漏洞、計(jì)算機(jī)后門(mén)程序、病毒、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊等多元化的風(fēng)險(xiǎn)及威脅。有別于傳統(tǒng)的安全技術(shù), 可信計(jì)算首先構(gòu)建一個(gè)信任根,再建立一條信任鏈,從信任根開(kāi)始到硬件平臺(tái),到操作系統(tǒng),再到應(yīng)用,一級(jí)認(rèn)證一級(jí),一級(jí)信任一級(jí),從而把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng),以提高系統(tǒng)整體的安全性。
InTrust工控可信計(jì)算安全平臺(tái)首創(chuàng)可信計(jì)算在工控領(lǐng)域的創(chuàng)新應(yīng)用,擁有“白名單”模式的智能可信度量系統(tǒng),并可以通過(guò)度量信息實(shí)現(xiàn)對(duì)程序進(jìn)程的全面管控,從根本上解決工控系統(tǒng)終端病毒感染、惡意代碼進(jìn)程啟動(dòng)、操作系統(tǒng)內(nèi)核漏洞隱患。
3.2 網(wǎng)絡(luò)安全
國(guó)際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99、IEC62443指出工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全要點(diǎn)如表1所示。
圖2 采用 InTrust工控可信計(jì)算安全平臺(tái)提高工控系統(tǒng)終端安全的部署示意圖
表1 ANSI/ISA-99指出的控制網(wǎng)絡(luò)安全要點(diǎn)
參照國(guó)際行業(yè)標(biāo)準(zhǔn),同時(shí)結(jié)合石化行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)以及信息安全需要,可以將其工控網(wǎng)絡(luò)劃分為控制網(wǎng)、數(shù)采網(wǎng)、工程師站、APC先控站、關(guān)鍵控制器等5個(gè)區(qū)域。
下一步就是實(shí)現(xiàn)區(qū)域之間網(wǎng)絡(luò)通訊的訪問(wèn)控制。工業(yè)防火墻是目前業(yè)界比較認(rèn)可,市場(chǎng)應(yīng)用最廣的一種網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。以Guard工業(yè)防火墻為例,其采用工業(yè)協(xié)議深度包檢查(DPI)技術(shù),支持OPC、Modbus TCP等常見(jiàn)工業(yè)協(xié)議,遠(yuǎn)遠(yuǎn)超過(guò)了端口級(jí)別的訪問(wèn)控制,能提供更加有效的工業(yè)協(xié)議應(yīng)用層防護(hù)。另外Guard工業(yè)防火墻采用無(wú)IP連接技術(shù),同時(shí)能隱藏后端保護(hù)設(shè)備的IP地址,令攻擊者無(wú)從發(fā)現(xiàn)攻擊目標(biāo),更不用談發(fā)起攻擊。
如圖3所示,在數(shù)采網(wǎng)和控制網(wǎng)之間、工程師站前端、APC先控站前端以及關(guān)鍵控制器前端部署Guard工業(yè)防火墻,可有效防止蠕蟲(chóng)、木馬等非法病毒在網(wǎng)絡(luò)上傳播擴(kuò)散;隔離工程師站,避免因工程師站感染而導(dǎo)致的病毒擴(kuò)散;保護(hù)APC先控站和關(guān)鍵控制器;從網(wǎng)絡(luò)層面構(gòu)建工控系統(tǒng)運(yùn)行的安全環(huán)境。
圖3 工業(yè)防火墻在石化行業(yè)工業(yè)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用
3.3 智能審計(jì)記錄分析
工控安全管理平臺(tái)SMP是專(zhuān)門(mén)針對(duì)工控網(wǎng)絡(luò)行為審計(jì)記錄的智能分析管理軟件,具備強(qiáng)大的審計(jì)日志存儲(chǔ)查詢(xún)功能,可以對(duì)海量的審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和網(wǎng)絡(luò)行為態(tài)勢(shì)分析,使系統(tǒng)安全運(yùn)維人員能夠通過(guò)實(shí)時(shí)日志展示畫(huà)面隨時(shí)監(jiān)控正在發(fā)生的不同級(jí)別審計(jì)日志和報(bào)警信息,也可以通過(guò)安全管理平臺(tái)的條件查詢(xún)、統(tǒng)計(jì)、篩選、圖表展示和態(tài)勢(shì)分析算法模型等強(qiáng)大的功能迅速得出網(wǎng)絡(luò)健康狀況,最終自動(dòng)獲得詳細(xì)的統(tǒng)計(jì)分析報(bào)告和事件處置方式建議,實(shí)現(xiàn)系統(tǒng)安全運(yùn)維管理的實(shí)時(shí)性、完整性、自動(dòng)化、智能化。
整體“縱深防御”工業(yè)控制系統(tǒng)信息安全部署結(jié)構(gòu)如圖4所示。
圖4 終端加固、網(wǎng)絡(luò)安全、智能監(jiān)控石化行業(yè)縱深防御工業(yè)控制系統(tǒng)信息安全防護(hù)架構(gòu)
4 結(jié)語(yǔ)
石油化工等關(guān)鍵基礎(chǔ)設(shè)施和能源行業(yè)關(guān)系國(guó)計(jì)民生,在我國(guó)兩化融合深入發(fā)展的同時(shí),如何確保工控系統(tǒng)信息安全是石化行業(yè)信息化建設(shè)重要的一部分。
本文以縱深防御的工業(yè)信息安全防護(hù)理念為核心,在充分了解石化行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和安全現(xiàn)狀的基礎(chǔ)上,對(duì)石化行業(yè)工控系統(tǒng)信息安全需求進(jìn)行了認(rèn)真分析,從終端安全、網(wǎng)絡(luò)安全和智能監(jiān)控三方面出發(fā),通過(guò)部署InTrust工控可信計(jì)算安全平臺(tái)、Guard工業(yè)防火墻以及工控安全管理平臺(tái)SMP,實(shí)現(xiàn)了石化行業(yè)工業(yè)控制系統(tǒng)信息安全的縱深防御,能切實(shí)有效地保護(hù)工控系統(tǒng)遠(yuǎn)離木馬、蠕蟲(chóng)、黑客等各種威脅和攻擊,保障企業(yè)生產(chǎn)安全穩(wěn)定運(yùn)行。
作者簡(jiǎn)介
武曉芳,女,本科,工程師,現(xiàn)就職于青島多芬諾信息安全技術(shù)有限公司,主要從事工業(yè)控制系統(tǒng)的數(shù)據(jù)采集傳輸以及工業(yè)網(wǎng)絡(luò)的信息安全防護(hù)工作。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)