今日頭條
官方微信
官方抖音
資訊頻道1 工業(yè)控制系統(tǒng)信息安全威脅
隨著工業(yè)信息化進(jìn)程的快速推進(jìn),信息、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用,極大地提高了企業(yè)的綜合效益。為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享,工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性:采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng),甚至有些工業(yè)控制系統(tǒng)以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中。
這使得工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油化工、核工業(yè)等國家重要的行業(yè)中,其安全事故造成的社會(huì)影響和經(jīng)濟(jì)損失會(huì)更為嚴(yán)重。出于政治、軍事、經(jīng)濟(jì)、信仰等諸多目的,敵對(duì)的國家、勢(shì)力以及恐怖犯罪分子都可能把工業(yè)控制系統(tǒng)作為達(dá)成其目的的攻擊目標(biāo)。
根據(jù)ICS-CERT(US-CERT下屬的專門負(fù)責(zé)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)小組)的統(tǒng)計(jì),自2011年以來,工業(yè)控制系統(tǒng)相關(guān)信息安全事件數(shù)量大幅度上升,如圖1所示。雖然針對(duì)工業(yè)控制系統(tǒng)的信息安全事件與互聯(lián)網(wǎng)上的攻擊事件相比,數(shù)量少得多,但由于工業(yè)控制系統(tǒng)對(duì)于國計(jì)民生的重要性,每一次事件都會(huì)帶來巨大的影響和危害。
圖1 ICS-CERT統(tǒng)計(jì)的工控信息安全事件(按財(cái)年)
2 現(xiàn)有工業(yè)控制領(lǐng)域信息安全工作進(jìn)展
工業(yè)控制系統(tǒng)脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅,已經(jīng)引起了國家的高度重視, 甚至提升到“國家安全戰(zhàn)略”的高度,并在政策、標(biāo)準(zhǔn)、技術(shù)、方案等方面展開了積極應(yīng)對(duì)。在明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求的同時(shí),國家主管部門在政策和科研層面上也在積極部署工業(yè)控制系統(tǒng)的信息安全保障工作。
自2013年以來,工業(yè)控制系統(tǒng)的信息安全問題在國內(nèi)許多信息安全相關(guān)的技術(shù)大會(huì)上作為重要的研討議題頻繁出現(xiàn),已成為工業(yè)控制系統(tǒng)相關(guān)的各行業(yè)以及信息安全領(lǐng)域的研究機(jī)構(gòu)、廠商所關(guān)注的熱點(diǎn)方向之一。同時(shí),國家在政策制定、技術(shù)標(biāo)準(zhǔn)研制、科研基金支持、促進(jìn)行業(yè)內(nèi)合作等方面也在逐步加大推動(dòng)的力度。其中很多廠商在工業(yè)控制信息安全領(lǐng)域工作進(jìn)展十分明顯。
2.1 工業(yè)控制系統(tǒng)制造商
隨著工業(yè)控制系統(tǒng)信息安全問題越來越受關(guān)注,各個(gè)工業(yè)控制系統(tǒng)制造商也將工業(yè)控制系統(tǒng)信息安全工作納入其工作范疇之中。在研發(fā)制造階段,很多制造商引入信息安全評(píng)估機(jī)制,對(duì)其生產(chǎn)的工業(yè)控制設(shè)備進(jìn)行信息安全評(píng)估。目前以西門子、施耐德電氣、羅克韋爾自動(dòng)化等為主的國際大型工業(yè)控制系統(tǒng)制造商都已經(jīng)在積極進(jìn)行工業(yè)控制系統(tǒng)信息安全研究。
以西門子為例,西門子中國研究院成立了信息安全部,專門針對(duì)工業(yè)控制系統(tǒng)進(jìn)行信息安全研究工作,并提出了縱深防御的安全理念,將工廠安全、網(wǎng)絡(luò)信息安全、系統(tǒng)完整性統(tǒng)一考慮,形成解決方案[2],如圖2所示。
可以看到,西門子主要針對(duì)的是其自身的設(shè)備產(chǎn)品,給出了基于訪問控制、密碼保護(hù)在內(nèi)的信息安全解決方案。
施耐德電氣、羅克韋爾自動(dòng)化的情況與西門子比較類似,均提出了針對(duì)自身產(chǎn)品的工業(yè)控制系統(tǒng)信息安全解決方案。
從總體上看,先進(jìn)的工業(yè)控制系統(tǒng)制造商都能夠提出自己的工業(yè)控制系統(tǒng)信息安全解決方案。但是這些制造商做這項(xiàng)工作也有其不足之處:各個(gè)廠商需要在IT安全領(lǐng)域與各種傳統(tǒng)IT安全廠商合作才可以實(shí)現(xiàn)其信息安全解決方案。而更為關(guān)鍵的OT(操作技術(shù))安全領(lǐng)域,這些制造商僅能夠針對(duì)自身產(chǎn)品提供解決方案,無法提供跨廠商的OT安全解決方案。
2.2 工業(yè)控制信息安全供應(yīng)商
目前也有很多重點(diǎn)在工業(yè)控制信息安全開展工作的廠商,這些廠商主要為工業(yè)控制系統(tǒng)用戶提供通用的工業(yè)控制信息安全產(chǎn)品或服務(wù),如海天煒業(yè)、力控華康等廠商。這些工業(yè)控制信息安全供應(yīng)商一般在工業(yè)控制領(lǐng)域都有技術(shù)積累,因此能夠快速推出工業(yè)控制信息安全設(shè)備。但由于這些廠商在信息安全領(lǐng)域的積累不足,所以推出的安全設(shè)備主要為訪問控制類產(chǎn)品,如工控防火墻、工控隔離網(wǎng)關(guān)等。
3 工業(yè)控制系統(tǒng)信息安全治理的治本之道
3.1 工業(yè)控制系統(tǒng)面臨更加苛刻的安全性要求
在工業(yè)控制系統(tǒng)中,無論是一次系統(tǒng)還是二次系統(tǒng),以及間隔層還是過程層,業(yè)務(wù)的連續(xù)性、健康性是至關(guān)重要的。而工業(yè)控制系統(tǒng)由于其長(zhǎng)期封閉、獨(dú)立的特性,造成了在信息安全方面建設(shè)的欠缺,不具備更多的容錯(cuò)處理,比如異常指令的處理;不具備較大壓力的處理,比如快速數(shù)據(jù)傳輸、訪問等。在Gartner報(bào)告中 [4],總結(jié)了工業(yè)控制系統(tǒng)安全性相比IT環(huán)境的一些區(qū)別性特性:
圖2 西門子工業(yè)信息安全體系
·工業(yè)控制系統(tǒng)安全問題將直接對(duì)物理環(huán)境造成影響,有可能導(dǎo)致死亡、受傷、環(huán)境破壞和大規(guī)模關(guān)鍵業(yè)務(wù)中斷等;
·工業(yè)控制系統(tǒng)安全相比IT安全有更廣泛的威脅向量,包括安全限制和特有網(wǎng)絡(luò)協(xié)議的支持;
·工業(yè)控制系統(tǒng)安全涉及的系統(tǒng)廠商多,測(cè)試和開發(fā)環(huán)境多種多樣;
·一些工業(yè)控制系統(tǒng)安全環(huán)境面臨預(yù)算限制,這是與那些需要嚴(yán)格監(jiān)管的IT的不同之處;
·在傳統(tǒng)的安全性和可用性作為主要安全特性的IT行業(yè),工業(yè)控制系統(tǒng)行業(yè)還會(huì)關(guān)注對(duì)產(chǎn)品質(zhì)量的協(xié)調(diào)影響,運(yùn)營(yíng)資產(chǎn)和下游后果的安全問題。
3.2 把成熟的 IT風(fēng)險(xiǎn)評(píng)估技術(shù)移植到工業(yè)控制系統(tǒng)環(huán)境中
在面對(duì)與IT系統(tǒng)不一樣的安全性要求的工業(yè)控制系統(tǒng)時(shí),如何把成熟的IT風(fēng)險(xiǎn)評(píng)估技術(shù)移植到工業(yè)控制系統(tǒng)中成為必須要解決的問題。對(duì)這些挑戰(zhàn)進(jìn)行小結(jié)的話,可以歸納為三個(gè)方面:一是如何覆蓋多樣的工業(yè)控制系統(tǒng);二是如何在評(píng)估時(shí)保障業(yè)務(wù)的連續(xù)性和健康性;三是如何進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估。以下將從這三個(gè)方面分別進(jìn)行探討。
3.2.1 覆蓋多樣的工業(yè)控制系統(tǒng)
在安全風(fēng)險(xiǎn)評(píng)估時(shí),不僅需要對(duì)在工業(yè)控制系統(tǒng)中使用的傳統(tǒng)IT設(shè)備/系統(tǒng),比如操作系統(tǒng)、交換機(jī)、路由器、弱口令、FTP服務(wù)器、Web服務(wù)器等進(jìn)行安全評(píng)估,還需要覆蓋工業(yè)控制系統(tǒng)中所特有的設(shè)備/系統(tǒng),比如SCADA、DCS、PLC、現(xiàn)場(chǎng)總線等;同時(shí),不僅要覆蓋對(duì)漏洞的評(píng)估,還需要對(duì)一些關(guān)鍵系統(tǒng)的配置進(jìn)行安全性評(píng)估;在工控協(xié)議的支持上,需要對(duì)主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協(xié)議,其覆蓋范圍可參見圖3。
圖3 工控系統(tǒng)評(píng)估范圍
但是,根據(jù)IHS最近的研究報(bào)告“2013全球工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)總線技術(shù)”[5]中的調(diào)查顯示,從2011年到2016年,雖然新增加網(wǎng)絡(luò)節(jié)點(diǎn)的總數(shù)量將會(huì)超過30%,但是現(xiàn)場(chǎng)總線和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數(shù)量將會(huì)基本維持不變,從23%到26%僅僅增加3個(gè)百分點(diǎn)。由于技術(shù)更新的成本、難度,老式工業(yè)總線很難都替換成支持以太網(wǎng)的新式總線。因此,需要一種有效地手段,可以對(duì)基于老式總線工業(yè)控制系統(tǒng)進(jìn)行漏洞掃描。綠盟科技的解決思路是,使用一種有效的基于總線轉(zhuǎn)換技術(shù)的漏洞掃描技術(shù),也就是說通過對(duì)老式總線的接入方式的轉(zhuǎn)換,例如RS485轉(zhuǎn)換成以太網(wǎng),使得采用標(biāo)準(zhǔn)工控總線協(xié)議的工業(yè)控制系統(tǒng),例如Profibus-DP、Modbus等,可以通過以太網(wǎng)的方式進(jìn)行漏洞掃描。這種技術(shù)可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術(shù)引進(jìn)到老式的工業(yè)控制系統(tǒng)中,實(shí)現(xiàn)更全面的安全風(fēng)險(xiǎn)評(píng)估。轉(zhuǎn)換思路如圖4所示。
圖4 工業(yè)控制系統(tǒng)總線轉(zhuǎn)換技術(shù)
3.2.2 在評(píng)估時(shí)保障業(yè)務(wù)的連續(xù)性和健康性
面對(duì)安全性要求更高的工業(yè)控制系統(tǒng),需要在掃描時(shí)更加安全、可靠,而工業(yè)控制系統(tǒng)由于長(zhǎng)期封閉建設(shè)的原因,設(shè)備/系統(tǒng)相比IT系統(tǒng)更加的脆弱。因此需要采用“零影響”的掃描技術(shù)以保障設(shè)備的零影響。在解決思路上,如果能把安全掃描融入到正常的業(yè)務(wù)中,也就是說掃描行為與正常的業(yè)務(wù)行為保持一致性,將很好地解決這個(gè)問題。同時(shí),通過在IT系統(tǒng)中多年積累的安全掃描經(jīng)驗(yàn),能夠更好地保障業(yè)務(wù)的連續(xù)性和健康性。
3.3 如何進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估
結(jié)合漏洞的生命周期以及漏洞管理流程,可從以下三個(gè)方面進(jìn)行成熟的安全風(fēng)險(xiǎn)評(píng)估:
3.3.1 可視化的工控風(fēng)險(xiǎn)展示
風(fēng)險(xiǎn)“可視化”是進(jìn)行風(fēng)險(xiǎn)管控必不可少的特性。科學(xué)的風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)跟蹤技術(shù)可以很好地提高整體風(fēng)險(xiǎn)控制水平,可為企業(yè)帶來更高效率,有的甚至可以達(dá)到更好的效果。
綠盟科技根據(jù)多年的經(jīng)驗(yàn)積累,采用了更具實(shí)效性的儀表盤技術(shù),從不同的角度展示設(shè)備風(fēng)險(xiǎn)及趨勢(shì)。
·包含資產(chǎn)整體的風(fēng)險(xiǎn)值、資產(chǎn)分析趨勢(shì)圖;
·包含主機(jī)風(fēng)險(xiǎn)等級(jí)分布、資產(chǎn)風(fēng)險(xiǎn)分布趨勢(shì);
·能夠可視化的顯示當(dāng)前資產(chǎn)的風(fēng)險(xiǎn)值及過去一段時(shí)間的變化趨勢(shì)。
3.3.2 基于工控資產(chǎn)的漏洞跟蹤
工控系統(tǒng)一般規(guī)模大,資產(chǎn)數(shù)量、漏洞數(shù)量、脆弱性問題也很多,匯總成大量的風(fēng)險(xiǎn)數(shù)據(jù),會(huì)使安全管理人員疲于應(yīng)付,又不能保證對(duì)重要資產(chǎn)的及時(shí)修補(bǔ)。
因此在漏洞跟蹤時(shí)需要盡量收集工控系統(tǒng)環(huán)境信息,建立起工控資產(chǎn)關(guān)系列表,系統(tǒng)基于資產(chǎn)信息進(jìn)行脆弱性掃描和分析報(bào)告;需要從風(fēng)險(xiǎn)發(fā)生區(qū)域、類型、嚴(yán)重程度進(jìn)行不同維度的分類分析報(bào)告,用戶可以全局掌握安全風(fēng)險(xiǎn),關(guān)注重點(diǎn)區(qū)域、重點(diǎn)資產(chǎn),對(duì)嚴(yán)重問題優(yōu)先修補(bǔ)。對(duì)于需要定位工控資產(chǎn)安全脆弱性的安全維護(hù)人員,通過直接點(diǎn)擊儀表盤風(fēng)險(xiǎn)數(shù)據(jù),可以逐級(jí)定位風(fēng)險(xiǎn),直至定位到具體主機(jī)具體漏洞;同時(shí)需要提供強(qiáng)大的搜索功能,可以根據(jù)資產(chǎn)范圍、風(fēng)險(xiǎn)程度等條件搜索定位風(fēng)險(xiǎn)。
圖5 工控漏洞管理流程
3.3.3 完善的工控漏洞管理流程
安全管理不只是技術(shù),更重要的是通過流程制度對(duì)安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制,很多公司制定了安全流程制度,但仍然有安全事故發(fā)生,人員對(duì)流程制度的執(zhí)行起到關(guān)鍵作用,如何融入管理流程,并促進(jìn)流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。
安全管理流程制度一般包括預(yù)警、檢測(cè)、分析管理、修補(bǔ)、審計(jì)等幾個(gè)環(huán)節(jié),結(jié)合安全流程中的預(yù)警、檢測(cè)、分析管理、審計(jì)環(huán)節(jié),并通過事件告警督促安全管理人員進(jìn)行風(fēng)險(xiǎn)修補(bǔ)。
4 結(jié)語
工業(yè)控制系統(tǒng)信息安全是近一兩年來備受各方關(guān)注的一個(gè)新興安全技術(shù)領(lǐng)域。工業(yè)控制系統(tǒng)制造商、傳統(tǒng)信息安全廠商和工控信息安全廠商都在這一領(lǐng)域投入力量展開研究,希望能夠給工業(yè)控制系統(tǒng)用戶提供一個(gè)有效的信息安全解決方案。
目前各類通用工業(yè)控制系統(tǒng)信息安全問題解決思路還是從外圍的訪問控制入手,本文給出一個(gè)從工業(yè)控制系統(tǒng)漏洞管理入手的解決思路,希望能夠從根本上更好地解決工業(yè)控制系統(tǒng)信息安全問題。綠盟科技也在依照這個(gè)思路開展研發(fā)工作,目前已經(jīng)基本完成了工控漏洞掃描系統(tǒng)的研發(fā)工作,并且在一些工控環(huán)境進(jìn)行驗(yàn)證工作。希望在不久之后,更具針對(duì)性、更有效的工控漏洞掃描系統(tǒng)將會(huì)更好的在工業(yè)控制系統(tǒng)信息安全領(lǐng)域發(fā)揮作用。
作者簡(jiǎn)介
張旭(1983-),男,北京人,現(xiàn)任北京神州綠盟科技有限公司風(fēng)險(xiǎn)與合規(guī)產(chǎn)品線推廣經(jīng)理,具有多年安全運(yùn)維、風(fēng)險(xiǎn)管理工作經(jīng)驗(yàn)。
向智(1978-),男,湖南邵陽人,現(xiàn)任北京神州綠盟科技有限公司風(fēng)險(xiǎn)與合規(guī)產(chǎn)品線產(chǎn)品經(jīng)理,具有十年以上網(wǎng)絡(luò)安全行業(yè)的產(chǎn)品規(guī)劃、研究、開發(fā)和市場(chǎng)營(yíng)銷管理工作經(jīng)驗(yàn),在漏洞掃描、漏洞分析、協(xié)議分析、網(wǎng)絡(luò)攻擊檢測(cè)、威脅防護(hù)技術(shù)、網(wǎng)絡(luò)審計(jì)、防火墻領(lǐng)域有較多積累,對(duì)各種互聯(lián)網(wǎng)協(xié)議、工控系統(tǒng)協(xié)議、終端安全有深入了解。
參考文獻(xiàn)
[1]李鴻培,忽朝儉,王曉鵬.2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[Z].綠盟科技,2014.
[2]工業(yè)信息安全貫穿自動(dòng)化系統(tǒng)所有層級(jí). http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.
[3]Tofino工業(yè)防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.
[4]Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.
[5]The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)