今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著自來水廠自動化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用,自來水廠控制系統(tǒng)的安全風(fēng)險問題日益突出。
2 自來水廠控制系統(tǒng)簡述
自來水處理廠的自動化生產(chǎn),主要是指使用工業(yè)控制系統(tǒng)檢測現(xiàn)場水質(zhì)狀況、控制工藝設(shè)備運(yùn)行(如加藥設(shè)備、水泵機(jī)組、閥門、電氣柜等),實現(xiàn)對現(xiàn)場實時數(shù)據(jù)采集與上傳,工藝電控設(shè)備的順序、條件、計時、計數(shù)控制、PID調(diào)節(jié)控制等功能,并按照工藝要求依次完成混凝反應(yīng)、沉淀處理、過濾處理、濾后消毒、加壓供水等環(huán)節(jié),最終將純凈衛(wèi)生的自來水可靠地送入千家萬戶的過程。
3 自來水廠控制系統(tǒng)網(wǎng)絡(luò)特點
自來水廠工業(yè)控制網(wǎng)絡(luò)有不同于IT網(wǎng)絡(luò)的很多特點,這些特點造成工業(yè)控制網(wǎng)絡(luò)安全防護(hù)的理念與IT網(wǎng)絡(luò)防護(hù)理念并不相同,具體體現(xiàn)以下幾方面。
3.1 網(wǎng)絡(luò)協(xié)議不同
工業(yè)控制網(wǎng)絡(luò)采用工業(yè)控制特有的協(xié)議,Modbus、DNP3、PROFINET以及多種私有協(xié)議,很多工業(yè)控制協(xié)議設(shè)計上并未考慮安全性,協(xié)議本身的通信不能有效驗證,從而給工業(yè)控制網(wǎng)絡(luò)帶來嚴(yán)重威脅。
3.2 設(shè)備廠商不同
工業(yè)控制網(wǎng)絡(luò)中多采用Siemens、Emerson、Rockwell Automation、Schneider Electric、GE等國外廠商的設(shè)備,這些設(shè)備中存在多種高危漏洞或后門,給系統(tǒng)安全帶來人為的嚴(yán)重威脅。
3.3 工業(yè)病毒傳播
工業(yè)控制網(wǎng)絡(luò)中缺少有效的病毒控制手段,一旦某個工業(yè)控制設(shè)備受到病毒感染,將迅速蔓延到其它控制設(shè)備,產(chǎn)生破壞作用或竊取工業(yè)數(shù)據(jù),從而給工業(yè)控制網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。
3.4 無線網(wǎng)絡(luò)接入
Wi-Fi技術(shù)等無線技術(shù)的普遍應(yīng)用,在給工業(yè)生產(chǎn)帶來便利的同時,也帶來了安全威脅,工業(yè)控制網(wǎng)絡(luò)中固有的生產(chǎn)要求使其缺少有效的認(rèn)證和控制機(jī)制,一旦通過無線接入,將使得整個系統(tǒng)暴露在非安全環(huán)境之下,給系統(tǒng)的安全性帶來重大隱患。
4 自來水廠控制系統(tǒng)面臨的安全風(fēng)險
4.1 系統(tǒng)軟件升級困難
工業(yè)控制設(shè)備廠商會定期發(fā)布工業(yè)控制軟件補(bǔ)丁,用于解決工業(yè)控制系統(tǒng)中的問題,但工業(yè)控制網(wǎng)絡(luò)以穩(wěn)定性為基礎(chǔ),頻繁升級補(bǔ)丁軟件,給系統(tǒng)的穩(wěn)定性帶來嚴(yán)重威脅,升級失敗或出錯將造成整個系統(tǒng)的不可用,給工業(yè)生產(chǎn)帶來巨大的損失。
4.2 網(wǎng)絡(luò)時延要求高
與傳統(tǒng)互聯(lián)網(wǎng)不同,工業(yè)控制系統(tǒng)中,對控制信號的傳輸時延和傳輸可靠性要求非常高,數(shù)據(jù)必須在固定的時間內(nèi)可靠到達(dá)目標(biāo)系統(tǒng),數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來嚴(yán)重的問題。
4.3 病毒控制手段缺乏
工業(yè)控制網(wǎng)絡(luò)中很多控制設(shè)備單元都是封閉的系統(tǒng),無法通過病毒軟件進(jìn)行病毒清理,同時缺少病毒在控制網(wǎng)絡(luò)中傳播的控制手段,一旦感染病毒將傳播到整個工業(yè)控制網(wǎng)絡(luò),將給工業(yè)生產(chǎn)帶來嚴(yán)重影響。
4.4 工業(yè)控制協(xié)議多樣
工業(yè)控制網(wǎng)絡(luò)中存在多種控制協(xié)議,其中有大量的公有協(xié)議和私有協(xié)議,分布在網(wǎng)絡(luò)分層模型的多個層級,針對工業(yè)控制網(wǎng)絡(luò)的攻擊和病毒,承載在工業(yè)控制協(xié)議之上,需要采用深度DPI技術(shù)對工業(yè)控制網(wǎng)絡(luò)的安全威脅進(jìn)行識別和有效控制。
4.5 設(shè)備的多樣性
工業(yè)控制網(wǎng)絡(luò)的設(shè)備多種多樣,每種設(shè)備都具有各自的特點,設(shè)備的安全等級參差不齊,給工業(yè)控制系統(tǒng)安全防護(hù)帶來很大困難。
4.6 行業(yè)工藝的多樣性
每個自來水廠都有多個工藝生產(chǎn)過程,組網(wǎng)連接及工藝設(shè)備都有一定的差異,工藝的多樣性給工業(yè)控制系統(tǒng)安全帶來隱患。
5 自來水廠控制系統(tǒng)漏洞分析
5.1 工業(yè)控制系統(tǒng)的漏洞
控制網(wǎng)絡(luò)中在運(yùn)行的電腦很少或沒有機(jī)會安裝全天候病毒防護(hù)或更新版本。另外,控制器的設(shè)計都以優(yōu)化實時的I/O功能為主,而并不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能。由于PLC等控制系統(tǒng)缺乏安全性設(shè)計,所以PLC系統(tǒng)都是非常容易受到攻擊的對象,一般的黑客初學(xué)者能很容易地獲取入侵這些系統(tǒng)的工具。并且當(dāng)前國家基礎(chǔ)實施控制系統(tǒng)基本上被國外廠商壟斷,設(shè)備都存在漏洞和固件后門。核心技術(shù)受制于人,增加了諸多不可控因素。就系統(tǒng)面臨的風(fēng)險可以暫時定位來自網(wǎng)絡(luò)的風(fēng)險和來自主機(jī)的風(fēng)險,具體可以從通信協(xié)議漏洞、操作系統(tǒng)漏洞、安全策略和管理流程漏洞、防病毒軟件漏洞、應(yīng)用軟件漏洞、多個網(wǎng)絡(luò)接口接入點、疏漏的網(wǎng)絡(luò)分割設(shè)計等方面進(jìn)行分析。
5.2 通信協(xié)議漏洞
兩化融合(企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò))和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPC Classic協(xié)議(OPC DA、OPC HAD和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
本項目中涉及的下位機(jī)控制器為SchneiderElectric的PLC,上位機(jī)監(jiān)控軟件為Siemens WinCC組態(tài)軟件,其通訊方式必然采用通用的工業(yè)通信協(xié)議。傳統(tǒng)IT防火墻基于原目的地址加端口的防護(hù)策略,不能深度檢測建立在應(yīng)用層上的數(shù)據(jù)內(nèi)容,故基于工業(yè)通信協(xié)議能夠進(jìn)行深度分析控制的工業(yè)防火墻的使用勢在必行。參考標(biāo)準(zhǔn):《NIST SP800-82工業(yè)控制系統(tǒng)安全指南》表3-12網(wǎng)絡(luò)通信方面的脆弱性。
5.3 操作系統(tǒng)漏洞
本項目控制系統(tǒng)的工程師站、操作站、HMI都是基于Windows平臺的,為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運(yùn)行,通常現(xiàn)場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補(bǔ)丁。但存在的問題是,不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
5.4 防病毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性,通常水處理相關(guān)工控系統(tǒng)操作站不允許安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點是,其病毒庫需要不定期地經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后,導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
5.5 應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對安全問題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時,就必須開放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。互聯(lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如自來水處理廠以及其他大型設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,后果將不堪設(shè)想。
5.6 多個網(wǎng)絡(luò)接口接入點
自來水生產(chǎn)供給行業(yè)最大的安全隱患在于自來水的輸、配送管網(wǎng)線路鋪設(shè)范圍廣,通常采用大量的GPRS無線通訊方式進(jìn)行管網(wǎng)狀況的數(shù)據(jù)傳輸,傳輸?shù)臄?shù)據(jù)不加密,傳輸?shù)膱笪娜菀妆唤孬@,從而給非法入侵提供了可乘之機(jī)。
其次,自來水廠多采用成套系統(tǒng),生產(chǎn)設(shè)備與控制系統(tǒng)配套使用,嚴(yán)重依賴國外的產(chǎn)品與技術(shù),部分控制系統(tǒng)存在安全漏洞與固有后門。
在多個網(wǎng)絡(luò)事件中,原因都是源于對多個網(wǎng)絡(luò)端口進(jìn)入點疏于防護(hù),包括USB鑰匙、維修連接、筆記本電腦、非法連接等。
5.7 網(wǎng)絡(luò)分割設(shè)計的缺失
實際應(yīng)用中的許多控制網(wǎng)絡(luò)都是“敞開的”,不同的子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC、ModBus、PROFIBUS等通訊的工業(yè)控制網(wǎng)絡(luò),從而造成安全故障通過網(wǎng)絡(luò)迅速蔓延。
6 結(jié)語
本文通過對自來水廠控制系統(tǒng)的安全風(fēng)險分析,自來水廠控制系統(tǒng)存在安全漏洞,面臨安全風(fēng)險,僅依靠防火墻等傳統(tǒng)互聯(lián)網(wǎng)安全設(shè)備無法滿足工業(yè)控制安全防護(hù)要求,工業(yè)控制安全防護(hù)需要針對工業(yè)控制系統(tǒng)專有的安全防護(hù)解決方案。
參考文獻(xiàn):
[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M]. 北京:國防工業(yè)出版社, 2014, 5.
[2] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016.
作者簡介
楊 超(1972-),女,天津人,高級工程師,本科,現(xiàn)就職于中國市政工程華北設(shè)計研究總院有限公司,主要從事給水、排水工程自動化系統(tǒng)的設(shè)計與研究。
劉 杰(1971-),男,山東萊州人,教授級高工,本科,現(xiàn)任中國市政工程華北設(shè)計研究總院有限公司第一設(shè)計研究院副總工程師,主要從事電氣工程及自動化方面的設(shè)計研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號