今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著工業(yè)信息化進程的快速推進,信息、網(wǎng)絡技術在工業(yè)控制領域得到了廣泛 的應用。工業(yè)控制系統(tǒng)逐漸打破了以往的封閉性,這使得工業(yè)控制系統(tǒng)也必將面臨黑客入 侵等傳統(tǒng)的信息安全威脅。本文分析了工業(yè)控制系統(tǒng)面臨的安全威脅,以及現(xiàn)有工業(yè)控制 領域安全工作的進展,然后提出了我們應對工業(yè)控制系統(tǒng)安全問題的解決思路,從根本上發(fā)現(xiàn)并解決工業(yè)控制系統(tǒng)安全問題。
關鍵詞:工業(yè)控制系統(tǒng);漏洞
一 . 工業(yè)控制系統(tǒng)安全威脅
隨著工業(yè)信息化進程的快速推進,信息、網(wǎng)絡以及物聯(lián)網(wǎng)技術 在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領域得到了廣泛的應用,極大地提高了企業(yè)的綜合效益。為實現(xiàn)系統(tǒng)間的協(xié)同和信息分享,工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性,采用標準、通用的通信協(xié)議及硬軟件系統(tǒng),甚至有些工業(yè)控制系統(tǒng)也能以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡中。
這使得工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕 服務等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應用在電力、交通、石油化工、核工業(yè)等國家重要行業(yè)中,其安全事故造成 的社會影響和經(jīng)濟損失會更為嚴重。出于政治、軍事、經(jīng)濟、信仰 等諸多目的,敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控 制系統(tǒng)作為達成其目的的攻擊目標。
根據(jù) ICS-CERT(US-CERT 下屬的專門負責工業(yè)控制系統(tǒng)的 應急響應小組)的統(tǒng)計,自 2011 年以來,工業(yè)控制系統(tǒng)相關安全事件數(shù)量大幅度上升。雖然針對工業(yè)控制系統(tǒng)的安全事件與互聯(lián)網(wǎng)上的攻擊事件相比,數(shù)量少得多,但由于工業(yè)控制系統(tǒng)對于國計民生 的重要性,每一次事件都會帶來巨大的影響和危害。
二 . 現(xiàn)有工業(yè)控制領域安全工作進展
工業(yè)控制系統(tǒng)脆弱的安全狀況以及日益嚴重的攻擊威脅,已經(jīng)引起了國家的高度重視,甚至提升到“國家安全戰(zhàn)略”的高度,并在 政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業(yè)控制系統(tǒng)信息安全管理要求的同時,國家主管部門在政策和科研層面上也在積極部署工業(yè)控制系統(tǒng)的安全保障工作。
自 2013 年以來,工業(yè)控制系統(tǒng)的安全 問題在國內許多信息安全相關的技術大會上 作為重要的研討議題頻繁出現(xiàn),已成為工業(yè) 控制系統(tǒng)相關的各行業(yè)以及信息安全領域的 研究機構、廠商所關注的熱點方向之一。同 時,國家在政策制訂、技術標準研制、科研 基金支持、促進行業(yè)內合作等方面也在逐步 加大推動的力度。其中很多廠商在工業(yè)控制 領域安全工作進展也十分明顯。
2.1 工業(yè)控制系統(tǒng)制造商
隨著工業(yè)控制系統(tǒng)安全問題越來越受關 注,各個工業(yè)控制系統(tǒng)制造商也將工業(yè)控制 系統(tǒng)安全工作納入其工作范疇之中。在研發(fā) 制造階段,很多制造商引入安全評估機制, 對其生產(chǎn)的工業(yè)控制設備進行安全評估。目 前以西門子、施耐德、羅克韋爾等為主的國 際大型工業(yè)控制系統(tǒng)制造商都已經(jīng)在積極的 進行工業(yè)控制系統(tǒng)安全研究。
以西門子為例,西門子中國研究院成立 了信息安全部,專門針對工業(yè)控制系統(tǒng)進行安全研究工作。西門子提出了縱深防御的安全理念,將工廠安全、網(wǎng)絡信息安全、系統(tǒng)完整性統(tǒng)一考慮,形成解決方案。
圖 1 西門子工業(yè)信息安全體系
但是可以看到,西門子的工業(yè)信息安全雖然宣稱貫穿自動化系統(tǒng)所有層級,但主要針對 的是西門子自身的設備產(chǎn)品,給出了基于訪問控制、密碼保護在內的信息安全解決方案。
施耐德、羅克韋爾的情況與西門子比較類似,均提出了針對自身產(chǎn)品的工業(yè)控制系統(tǒng)信 息安全解決方案。
從總體上看,先進的工業(yè)控制系統(tǒng)制造商都能夠提出自己的工業(yè)控制系統(tǒng)信息安全解決 方案。但是這些制造商做這項工作也有其不足之處 :各個廠商需要在 IT 安全領域與各種傳 統(tǒng) IT 安全廠商合作才可以實現(xiàn)其信息安全解決方案。而更為關鍵的 OT 安全領域,這些制 造商僅能夠針對自身產(chǎn)品提供解決方案,無法提供跨廠商的 OT 安全解決方案。
2.2 工業(yè)控制安全供應商
目前也有很多重點在工業(yè)控制安全開展工作的廠商,這些廠商主要為工業(yè)控制系統(tǒng)用戶 提供通用的工業(yè)控制安全產(chǎn)品或服務。
提供工業(yè)控制產(chǎn)品的典型廠商如海天煒業(yè)、力控華康等廠商。這些工業(yè)控制安全供應商一般在工業(yè)控制領域都有技術積累,因此能夠快速推出工業(yè)控制安全設備。但由于這些廠商在信息安全領域的積累不足,所以推出的 安全設備主要為訪問控制類產(chǎn)品,如工控防火墻、工控隔離網(wǎng)關等。
圖 2 Tofino 工業(yè)防火墻
三 . 工業(yè)控制系統(tǒng)安全治理的治本之道
3.1 工業(yè)控制系統(tǒng)面臨更加苛刻的安全性要求
在工業(yè)控制系統(tǒng)中,無論是一次系統(tǒng)還是二次系統(tǒng),以及間隔 層還是過程層,業(yè)務的連續(xù)性、健康性是至關重要的,尤其是石化、 電力、交通、核工業(yè)、水利等行業(yè)。而工業(yè)控制系統(tǒng)由于其長期封閉、 獨立的特性,造成了在安全方面建設的欠缺,不具備更多的容錯處理, 比如異常指令的處理,不具備較大壓力的處理,比如快速數(shù)據(jù)傳輸、 訪問等。在 Gartner 報告中,總結了工業(yè)控制系統(tǒng)安全性相比 IT 環(huán) 境的一些區(qū)別性特性 :
• 工業(yè)控制系統(tǒng)安全問題將直接對物理環(huán)境造成影響,有可能導 致死亡、受傷、環(huán)境破壞和大規(guī)模關鍵業(yè)務中斷等。
• 工業(yè)控制系統(tǒng)安全相比 IT 安全有更廣泛的威脅向量,包括安全限制和特有網(wǎng)絡協(xié)議的支持。
• 工業(yè)控制系統(tǒng)安全涉及的系統(tǒng)廠商多,測試和開發(fā)環(huán)境多種多樣。
• 一些工業(yè)控制系統(tǒng)安全環(huán)境面臨預算限制,這是與那些需要嚴格監(jiān)管的 IT 不同之處。
• 在傳統(tǒng)的安全性和可用性作為主要安全特性的 IT 行業(yè),工業(yè) 控制系統(tǒng)行業(yè)還會關注對產(chǎn)品質量的協(xié)調影響,運營資產(chǎn)和下游后 果的安全問題。
3.2 把成熟的 IT 風險評估技術移植到工業(yè)控制系統(tǒng)環(huán)境中
在面對與 IT 系統(tǒng)不一樣的安全性要求的工業(yè)控制系統(tǒng)時,如何 把成熟的 IT 風險評估技術移植到工業(yè)控制系統(tǒng)中,成為必須解決的 問題。對這些挑戰(zhàn)進行小結的話,可以歸納為兩個方面 :一個是如 何覆蓋多樣的工業(yè)控制系統(tǒng) ;一個是如何在評估時保障業(yè)務的連續(xù) 性和健康性。以下從這兩個方面分別進行探討。
3.2.1 覆蓋多樣的工業(yè)控制系統(tǒng) 在安全風險評估時,不僅需要對在工業(yè)控制系統(tǒng)中使用的傳統(tǒng)
IT 設備 / 系統(tǒng),比如操作系統(tǒng)、交換機、路由器、弱口令、FTP 服 務器、Web 服務器等,進行安全 評估,還需要覆蓋工業(yè)控制系統(tǒng) 中所特有的設備 / 系統(tǒng),比如 SCADA、DCS、PLC、現(xiàn)場總線等; 同時,不僅要覆蓋對漏洞的評估,還需要對一些關鍵系統(tǒng)的配置 進行安全性評估 ;在工控協(xié)議的支持上,需要對主流的 Modbus、 P r o f i n e t、 I E C 6 0 8 7 0 - 5 -10 4、 I E C 6 0 8 7 0 - 5 -1、 I E C 6 18 5 0、DNP3 等主 流的工控 協(xié)議 進行覆 蓋, 其覆蓋范圍可參見圖 3。
圖 3 工控系統(tǒng)評估范圍
但是,根據(jù) HIS 最近的研究報告“2013 全球工業(yè)以太網(wǎng)和現(xiàn)場總線技術”中的調查 顯示, 從 2011 年到 2016 年, 雖 然 新 增加 網(wǎng)絡節(jié)點的總數(shù) 量將會 增加超 過 30%,但 是現(xiàn)場總線和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數(shù)量將 會 基 本 維 持 不 變, 從 23% 到 26% 僅僅 增加 3 個百分點。 由于技 術更 新 的成 本、 難度,老式工業(yè)總線很難都 替 換 成支持以太 網(wǎng)的新式總線。因此,需要有一種有效地手 段,可以對基于老式總線工業(yè)控制系統(tǒng)進行 漏洞掃描。 我們的解決 思 路 是, 使用一種 有效的基于總線轉換技術的漏洞掃描技術, 也就是說通過對老式總線的接入方式的轉 換,例如 RS485 轉換成以太網(wǎng),使得采用 標 準工控總線協(xié)議的工業(yè)控制系統(tǒng), 例如PROFIBUS-DP、MODBUS 等,可以通過以太網(wǎng)的方式進行漏洞掃描。這種技術可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術引進到老式的工業(yè)控制系統(tǒng)中,實現(xiàn)更全面的安全風險 評估。轉換思路可如圖 4 所示。
圖 4 工業(yè)控制系統(tǒng)總線轉換技術
3.2.2 在評估時保障業(yè)務的連續(xù)性和健康性
在面對安全性要求更高的工業(yè)控制系統(tǒng),需要在掃描時更加安全、可靠,而工業(yè)控制系 統(tǒng)由于長期封閉建設的原因,設備 / 系統(tǒng)相比 IT 系統(tǒng)更加的脆弱。因此需要采用“零影響” 的掃描技術以保障設備的零影響。在解決思路上,如果能把安全掃描融入到正常的業(yè)務中, 也就是說掃描行為與正常的業(yè)務行為保持一致性,將很好地解決這個問題。同時,通過在 IT 系統(tǒng)中多年積累的安全掃描經(jīng)驗,能夠更好地保障業(yè)務的連續(xù)性和健康性。
3.3 如何進行成熟的安全風險評估
結合漏洞的生命周期以及漏洞管理流程,可從以下三個方面進行成熟的安全風險評估 :
3.3.1 可視化的工控風險展示
風險“可視化”是進行風險管控必不可少的特 性。科 學的風 險發(fā)現(xiàn)、風 險跟蹤 技術可以很好地提高整體風險控制的水平,可為企業(yè)帶來更高的效率, 有的甚至可以提高效果。
我們根據(jù)多年的經(jīng)驗積累,采用了更具 實效性的儀表盤技術,從不同的角度展示設 備風險及趨勢。
• 包含資產(chǎn)整體的風險值、資產(chǎn)分析趨 勢圖。
• 包含主機風險等級分布、資產(chǎn)風險分 布趨勢。
• 能夠可視化的顯示當前資產(chǎn)的風險值 及過去一段時間的變化趨勢。
3.3.2 基于工控資產(chǎn)的漏洞跟蹤 工控系統(tǒng)一般規(guī)模大,資產(chǎn)數(shù)量、漏洞數(shù)量、脆弱性問題也很多,匯總成大量的風 險數(shù)據(jù),會使安全管理人員疲于應付,又不 能保證對重要資產(chǎn)的及時修補。
因此漏洞跟蹤是需要盡量收集工控系統(tǒng) 環(huán)境信息,建立起工控資產(chǎn)關系列表,系統(tǒng) 基于資產(chǎn)信息進行脆弱性掃描和分析報告 ; 需要從風險發(fā)生區(qū)域、類型、嚴重程度進行不同維度的分類分析報告,用戶可以全局掌握安全風險,關注重點區(qū)域、重點資產(chǎn),對 嚴重問題優(yōu)先修補。對于需要定位工控資產(chǎn) 安全脆弱性的安全維護人員,通過直接點擊 儀表盤風險數(shù)據(jù),可以逐級定位風險,直至 定位到具體主機具體漏洞 ;同時需要提供了強大的搜索功能,可以根據(jù)資產(chǎn)范圍、風險程度等條件搜索定位風險。
3.3.3 完善的工控漏洞管理流程 安全管理不只是技術,更重要的是通過流程制度對安全脆弱性風險進行控制,很多 公司制定了安全流程制度,但仍然有安全事 故發(fā)生,人員對流程制度的執(zhí)行起到關鍵作 用,如何融入管理流程,并促進流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。
圖 5 工控漏洞管理流程
安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環(huán)節(jié),結合安全流程中的預警、檢測、分析管理、審計環(huán)節(jié), 并通過事件告警督促安全管理人員進行風險修補。
四 . 總結
工業(yè)控制系統(tǒng)安全是近一兩年來備受各 方關注的一個新興安全技術領域。工業(yè)控制 系統(tǒng)制造商、傳統(tǒng)安全廠商和工控安全廠商 都在這一領域投入力量展開研究,希望能夠 給工業(yè)控制系統(tǒng)用戶提供一個有效的安全解 決方案。
目前各類通用工業(yè)控制系統(tǒng)安全問題解 決思路還是從外圍的訪問控制入手,本文給 出一個從工業(yè)控制系統(tǒng)漏洞管理入手的解決 思路,希望能夠從根本上更好地解決工業(yè)控 制系統(tǒng)安全問題。我們也在依照這個思路開 展研發(fā)工作,目前已經(jīng)基本完成了工控漏洞 掃描系統(tǒng)的研發(fā)工作,并且在一些工控環(huán)境 進行驗證工作。希望在不久之后,更具針對 性、更有效的工控漏洞掃描系統(tǒng)將會更好地 在工業(yè)控制系統(tǒng)安全領域發(fā)揮作用。
北京市公安局海淀分局備案號:11010802023656號