今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著工業(yè)信息化進(jìn)程的快速推進(jìn),信息、網(wǎng)絡(luò)技術(shù)在工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用。工業(yè)控制系統(tǒng)逐漸打破了以往的封閉性,這使得工業(yè)控制系統(tǒng)必將面臨黑客入侵等傳統(tǒng)的信息安全威脅。本文分析了工業(yè)控制系統(tǒng)面臨的信息安全威脅,以及現(xiàn)有工業(yè)控制領(lǐng)域信息安全工作的進(jìn)展,提出了綠盟科技應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題的解決思路,從根本上發(fā)現(xiàn)并解決工業(yè)控制系統(tǒng)信息安全問(wèn)題。
關(guān)鍵詞:工業(yè)控制系統(tǒng);漏洞
Abstract: With the rapid development of industrial informatization, the information and network technology has been widely adopted in the industrial control area. The isolation of the industrial control system (ICS) has gradually been broken down, which incurs information security threats for the traditional industrial control system, such as hacker intrusions. This paper analyzes the security threats to the industrial control system as well as the progress of the current industrial control system security. And this paper also puts forward NSFOCUS's solutions to the ICS security
issues in order to detect and eliminate the threats from the root.
Key words: Industrial control system; Vulnerability
1 工業(yè)控制系統(tǒng)信息安全威脅
隨著工業(yè)信息化進(jìn)程的快速推進(jìn),信息、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用,極大地提高了企業(yè)的綜合效益。為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享,工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性:采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng),甚至有些工業(yè)控制系統(tǒng)以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中。
這使得工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油化工、核工業(yè)等國(guó)家重要的行業(yè)中,其安全事故造成的社會(huì)影響和經(jīng)濟(jì)損失會(huì)更為嚴(yán)重。出于政治、軍事、經(jīng)濟(jì)、信仰等諸多目的,敵對(duì)的國(guó)家、勢(shì)力以及恐怖犯罪分子都可能把工業(yè)控制系統(tǒng)作為達(dá)成其目的的攻擊目標(biāo)。
根據(jù)ICS-CERT(US-CERT下屬的專門負(fù)責(zé)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)小組)的統(tǒng)計(jì),自2011年以來(lái),工業(yè)控制系統(tǒng)相關(guān)信息安全事件數(shù)量大幅度上升,如圖1所示。雖然針對(duì)工業(yè)控制系統(tǒng)的信息安全事件與互聯(lián)網(wǎng)上的攻擊事件相比,數(shù)量少得多,但由于工業(yè)控制系統(tǒng)對(duì)于國(guó)計(jì)民生的重要性,每一次事件都會(huì)帶來(lái)巨大的影響和危害。
2 現(xiàn)有工業(yè)控制領(lǐng)域信息安全工作進(jìn)展
工業(yè)控制系統(tǒng)脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅,已經(jīng)引起了國(guó)家的高度重視, 甚至提升到“國(guó)家安全戰(zhàn)略”的高度,并在政策、標(biāo)準(zhǔn)、技術(shù)、方案等方面展開了積極應(yīng)對(duì)。在明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求的同時(shí),國(guó)家主管部門在政策和科研層面上也在積極部署工業(yè)控制系統(tǒng)的信息安全保障工作。
自2013年以來(lái),工業(yè)控制系統(tǒng)的信息安全問(wèn)題在國(guó)內(nèi)許多信息安全相關(guān)的技術(shù)大會(huì)上作為重要的研討議題頻繁出現(xiàn),已成為工業(yè)控制系統(tǒng)相關(guān)的各行業(yè)以及信息安全領(lǐng)域的研究機(jī)構(gòu)、廠商所關(guān)注的熱點(diǎn)方向之一。同時(shí),國(guó)家在政策制定、技術(shù)標(biāo)準(zhǔn)研制、科研基金支持、促進(jìn)行業(yè)內(nèi)合作等方面也在逐步加大推動(dòng)的力度。其中很多廠商在工業(yè)控制信息安全領(lǐng)域工作進(jìn)展十分明顯。
2.1 工業(yè)控制系統(tǒng)制造商
隨著工業(yè)控制系統(tǒng)信息安全問(wèn)題越來(lái)越受關(guān)注,各個(gè)工業(yè)控制系統(tǒng)制造商也將工業(yè)控制系統(tǒng)信息安全工作納入其工作范疇之中。在研發(fā)制造階段,很多制造商引入信息安全評(píng)估機(jī)制,對(duì)其生產(chǎn)的工業(yè)控制設(shè)備進(jìn)行信息安全評(píng)估。目前以西門子、施耐德電氣、羅克韋爾自動(dòng)化等為主的國(guó)際大型工業(yè)控制系統(tǒng)制造商都已經(jīng)在積極進(jìn)行工業(yè)控制系統(tǒng)信息安全研究。
以西門子為例,西門子中國(guó)研究院成立了信息安全部,專門針對(duì)工業(yè)控制系統(tǒng)進(jìn)行信息安全研究工作,并提出了縱深防御的安全理念,將工廠安全、網(wǎng)絡(luò)信息安全、系統(tǒng)完整性統(tǒng)一考慮,形成解決方案[2],如圖2所示。
可以看到,西門子主要針對(duì)的是其自身的設(shè)備產(chǎn)品,給出了基于訪問(wèn)控制、密碼保護(hù)在內(nèi)的信息安全解決方案。
施耐德電氣、羅克韋爾自動(dòng)化的情況與西門子比較類似,均提出了針對(duì)自身產(chǎn)品的工業(yè)控制系統(tǒng)信息安全解決方案。
從總體上看,先進(jìn)的工業(yè)控制系統(tǒng)制造商都能夠提出自己的工業(yè)控制系統(tǒng)信息安全解決方案。但是這些制造商做這項(xiàng)工作也有其不足之處:各個(gè)廠商需要在IT安全領(lǐng)域與各種傳統(tǒng)IT安全廠商合作才可以實(shí)現(xiàn)其信息安全解決方案。而更為關(guān)鍵的OT(操作技術(shù))安全領(lǐng)域,這些制造商僅能夠針對(duì)自身產(chǎn)品提供解決方案,無(wú)法提供跨廠商的OT安全解決方案。
2.2 工業(yè)控制信息安全供應(yīng)商
目前也有很多重點(diǎn)在工業(yè)控制信息安全開展工作的廠商,這些廠商主要為工業(yè)控制系統(tǒng)用戶提供通用的工業(yè)控制信息安全產(chǎn)品或服務(wù),如海天煒業(yè)、力控華康等廠商。這些工業(yè)控制信息安全供應(yīng)商一般在工業(yè)控制領(lǐng)域都有技術(shù)積累,因此能夠快速推出工業(yè)控制信息安全設(shè)備。但由于這些廠商在信息安全領(lǐng)域的積累不足,所以推出的安全設(shè)備主要為訪問(wèn)控制類產(chǎn)品,如工控防火墻、工控隔離網(wǎng)關(guān)等。
3 工業(yè)控制系統(tǒng)信息安全治理的治本之道
3.1 工業(yè)控制系統(tǒng)面臨更加苛刻的安全性要求
在工業(yè)控制系統(tǒng)中,無(wú)論是一次系統(tǒng)還是二次系統(tǒng),以及間隔層還是過(guò)程層,業(yè)務(wù)的連續(xù)性、健康性是至關(guān)重要的。而工業(yè)控制系統(tǒng)由于其長(zhǎng)期封閉、獨(dú)立的特性,造成了在信息安全方面建設(shè)的欠缺,不具備更多的容錯(cuò)處理,比如異常指令的處理;不具備較大壓力的處理,比如快速數(shù)據(jù)傳輸、訪問(wèn)等。在Gartner報(bào)告中[4],總結(jié)了工業(yè)控制系統(tǒng)安全性相比IT環(huán)境的一些區(qū)別性特性:
·工業(yè)控制系統(tǒng)安全問(wèn)題將直接對(duì)物理環(huán)境造成影響,有可能導(dǎo)致死亡、受傷、環(huán)境破壞和大規(guī)模關(guān)鍵業(yè)務(wù)中斷等;
·工業(yè)控制系統(tǒng)安全相比IT安全有更廣泛的威脅向量,包括安全限制和特有網(wǎng)絡(luò)協(xié)議的支持;
·工業(yè)控制系統(tǒng)安全涉及的系統(tǒng)廠商多,測(cè)試和開發(fā)環(huán)境多種多樣;
·一些工業(yè)控制系統(tǒng)安全環(huán)境面臨預(yù)算限制,這是與那些需要嚴(yán)格監(jiān)管的IT的不同之處;
·在傳統(tǒng)的安全性和可用性作為主要安全特性的IT行業(yè),工業(yè)控制系統(tǒng)行業(yè)還會(huì)關(guān)注對(duì)產(chǎn)品質(zhì)量的協(xié)調(diào)影響,運(yùn)營(yíng)資產(chǎn)和下游后果的安全問(wèn)題。
3.2 把成熟的IT風(fēng)險(xiǎn)評(píng)估技術(shù)移植到工業(yè)控制系統(tǒng)環(huán)境中
在面對(duì)與IT系統(tǒng)不一樣的安全性要求的工業(yè)控制系統(tǒng)時(shí),如何把成熟的IT風(fēng)險(xiǎn)評(píng)估技術(shù)移植到工業(yè)控制系統(tǒng)中成為必須要解決的問(wèn)題。對(duì)這些挑戰(zhàn)進(jìn)行小結(jié)的話,可以歸納為三個(gè)方面:一是如何覆蓋多樣的工業(yè)控制系統(tǒng);二是如何在評(píng)估時(shí)保障業(yè)務(wù)的連續(xù)性和健康性;三是如何進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估。以下將從這三個(gè)方面分別進(jìn)行探討。
3.2.1 覆蓋多樣的工業(yè)控制系統(tǒng)
在安全風(fēng)險(xiǎn)評(píng)估時(shí),不僅需要對(duì)在工業(yè)控制系統(tǒng)中使用的傳統(tǒng)IT設(shè)備/系統(tǒng),比如操作系統(tǒng)、交換機(jī)、路由器、弱口令、FTP服務(wù)器、Web服務(wù)器等進(jìn)行安全評(píng)估,還需要覆蓋工業(yè)控制系統(tǒng)中所特有的設(shè)備/系統(tǒng),比如SCADA、DCS、PLC、現(xiàn)場(chǎng)總線等;同時(shí),不僅要覆蓋對(duì)漏洞的評(píng)估,還需要對(duì)一些關(guān)鍵系統(tǒng)的配置進(jìn)行安全性評(píng)估;在工控協(xié)議的支持上,需要對(duì)主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協(xié)議,其覆蓋范圍可參見圖3。
但是,根據(jù)IHS最近的研究報(bào)告“2013全球工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)總線技術(shù)”[5]中的調(diào)查顯示,從2011年到2016年,雖然新增加網(wǎng)絡(luò)節(jié)點(diǎn)的總數(shù)量將會(huì)超過(guò)30%,但是現(xiàn)場(chǎng)總線和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數(shù)量將會(huì)基本維持不變,從23%到26%僅僅增加3個(gè)百分點(diǎn)。由于技術(shù)更新的成本、難度,老式工業(yè)總線很難都替換成支持以太網(wǎng)的新式總線。因此,需要一種有效地手段,可以對(duì)基于老式總線工業(yè)控制系統(tǒng)進(jìn)行漏洞掃描。綠盟科技的解決思路是,使用一種有效的基于總線轉(zhuǎn)換技術(shù)的漏洞掃描技術(shù),也就是說(shuō)通過(guò)對(duì)老式總線的接入方式的轉(zhuǎn)換,例如RS485轉(zhuǎn)換成以太網(wǎng),使得采用標(biāo)準(zhǔn)工控總線協(xié)議的工業(yè)控制系統(tǒng),例如Profibus-DP、Modbus等,可以通過(guò)以太網(wǎng)的方式進(jìn)行漏洞掃描。這種技術(shù)可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術(shù)引進(jìn)到老式的工業(yè)控制系統(tǒng)中,實(shí)現(xiàn)更全面的安全風(fēng)險(xiǎn)評(píng)估。轉(zhuǎn)換思路如圖4所示。
3.2.2 在評(píng)估時(shí)保障業(yè)務(wù)的連續(xù)性和健康性
面對(duì)安全性要求更高的工業(yè)控制系統(tǒng),需要在掃描時(shí)更加安全、可靠,而工業(yè)控制系統(tǒng)由于長(zhǎng)期封閉建設(shè)的原因,設(shè)備/系統(tǒng)相比IT系統(tǒng)更加的脆弱。因此需要采用“零影響”的掃描技術(shù)以保障設(shè)備的零影響。在解決思路上,如果能把安全掃描融入到正常的業(yè)務(wù)中,也就是說(shuō)掃描行為與正常的業(yè)務(wù)行為保持一致性,將很好地解決這個(gè)問(wèn)題。同時(shí),通過(guò)在IT系統(tǒng)中多年積累的安全掃描經(jīng)驗(yàn),能夠更好地保障業(yè)務(wù)的連續(xù)性和健康性。
3.3 如何進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估
結(jié)合漏洞的生命周期以及漏洞管理流程,可從以下三個(gè)方面進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估:
3.3.1 可視化的工控風(fēng)險(xiǎn)展示
風(fēng)險(xiǎn)“可視化”是進(jìn)行風(fēng)險(xiǎn)管控必不可少的特性。科學(xué)的風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)跟蹤技術(shù)可以很好地提高整體風(fēng)險(xiǎn)控制水平,可為企業(yè)帶來(lái)更高效率,有的甚至可以達(dá)到更好的效果。
綠盟科技根據(jù)多年的經(jīng)驗(yàn)積累,采用了更具實(shí)效性的儀表盤技術(shù),從不同的角度展示設(shè)備風(fēng)險(xiǎn)及趨勢(shì)。
·包含資產(chǎn)整體的風(fēng)險(xiǎn)值、資產(chǎn)分析趨勢(shì)圖;
·包含主機(jī)風(fēng)險(xiǎn)等級(jí)分布、資產(chǎn)風(fēng)險(xiǎn)分布趨勢(shì);
·能夠可視化的顯示當(dāng)前資產(chǎn)的風(fēng)險(xiǎn)值及過(guò)去一段時(shí)間的變化趨勢(shì)。
3.3.2 基于工控資產(chǎn)的漏洞跟蹤
工控系統(tǒng)一般規(guī)模大,資產(chǎn)數(shù)量、漏洞數(shù)量、脆弱性問(wèn)題也很多,匯總成大量的風(fēng)險(xiǎn)數(shù)據(jù),會(huì)使安全管理人員疲于應(yīng)付,又不能保證對(duì)重要資產(chǎn)的及時(shí)修補(bǔ)。
因此在漏洞跟蹤時(shí)需要盡量收集工控系統(tǒng)環(huán)境信息,建立起工控資產(chǎn)關(guān)系列表,系統(tǒng)基于資產(chǎn)信息進(jìn)行脆弱性掃描和分析報(bào)告;需要從風(fēng)險(xiǎn)發(fā)生區(qū)域、類型、嚴(yán)重程度進(jìn)行不同維度的分類分析報(bào)告,用戶可以全局掌握安全風(fēng)險(xiǎn),關(guān)注重點(diǎn)區(qū)域、重點(diǎn)資產(chǎn),對(duì)嚴(yán)重問(wèn)題優(yōu)先修補(bǔ)。對(duì)于需要定位工控資產(chǎn)安全脆弱性的安全維護(hù)人員,通過(guò)直接點(diǎn)擊儀表盤風(fēng)險(xiǎn)數(shù)據(jù),可以逐級(jí)定位風(fēng)險(xiǎn),直至定位到具體主機(jī)具體漏洞;同時(shí)需要提供強(qiáng)大的搜索功能,可以根據(jù)資產(chǎn)范圍、風(fēng)險(xiǎn)程度等條件搜索定位風(fēng)險(xiǎn)。
3.3.3 完善的工控漏洞管理流程
安全管理不只是技術(shù),更重要的是通過(guò)流程制度對(duì)安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制,很多公司制定了安全流程制度,但仍然有安全事故發(fā)生,人員對(duì)流程制度的執(zhí)行起到關(guān)鍵作用,如何融入管理流程,并促進(jìn)流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問(wèn)題。
安全管理流程制度一般包括預(yù)警、檢測(cè)、分析管理、修補(bǔ)、審計(jì)等幾個(gè)環(huán)節(jié),結(jié)合安全流程中的預(yù)警、檢測(cè)、分析管理、審計(jì)環(huán)節(jié),并通過(guò)事件告警督促安全管理人員進(jìn)行風(fēng)險(xiǎn)修補(bǔ)。
4 結(jié)語(yǔ)
工業(yè)控制系統(tǒng)信息安全是近一兩年來(lái)備受各方關(guān)注的一個(gè)新興安全技術(shù)領(lǐng)域。工業(yè)控制系統(tǒng)制造商、傳統(tǒng)信息安全廠商和工控信息安全廠商都在這一領(lǐng)域投入力量展開研究,希望能夠給工業(yè)控制系統(tǒng)用戶提供一個(gè)有效的信息安全解決方案。
目前各類通用工業(yè)控制系統(tǒng)信息安全問(wèn)題解決思路還是從外圍的訪問(wèn)控制入手,本文給出一個(gè)從工業(yè)控制系統(tǒng)漏洞管理入手的解決思路,希望能夠從根本上更好地解決工業(yè)控制系統(tǒng)信息安全問(wèn)題。綠盟科技也在依照這個(gè)思路開展研發(fā)工作,目前已經(jīng)基本完成了工控漏洞掃描系統(tǒng)的研發(fā)工作,并且在一些工控環(huán)境進(jìn)行驗(yàn)證工作。希望在不久之后,更具針對(duì)性、更有效的工控漏洞掃描系統(tǒng)將會(huì)更好的在工業(yè)控制系統(tǒng)信息安全領(lǐng)域發(fā)揮作用。
參考文獻(xiàn)
[1] 李鴻培, 忽朝儉, 王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[Z].綠盟科技,2014.
[2] 工業(yè)信息安全貫穿自動(dòng)化系統(tǒng)所有層級(jí). http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.
[3] Tofino工業(yè)防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.
[4] Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.
[5] The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.
作者簡(jiǎn)介
張旭(1983-),男,北京人,現(xiàn)任北京神州綠盟科技有限公司風(fēng)險(xiǎn)與合規(guī)產(chǎn)品線推廣經(jīng)理,具有多年安全運(yùn)維、風(fēng)險(xiǎn)管理工作經(jīng)驗(yàn)。
向智(1978-),男,湖南邵陽(yáng)人,現(xiàn)任北京神州綠盟科技有限公司風(fēng)險(xiǎn)與合規(guī)產(chǎn)品線產(chǎn)品經(jīng)理,具有十年以上網(wǎng)絡(luò)安全行業(yè)的產(chǎn)品規(guī)劃、研究、開發(fā)和市場(chǎng)營(yíng)銷管理工作經(jīng)驗(yàn),在漏洞掃描、漏洞分析、協(xié)議分析、網(wǎng)絡(luò)攻擊檢測(cè)、威脅防護(hù)技術(shù)、網(wǎng)絡(luò)審計(jì)、防火墻領(lǐng)域有較多積累,對(duì)各種互聯(lián)網(wǎng)協(xié)議、工控系統(tǒng)協(xié)議、終端安全有深入了解。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)