今日頭條
官方微信
官方抖音
資訊頻道隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接;在工業(yè)控制系統(tǒng)愈發(fā)智能的同時,其網(wǎng)絡(luò)也變得更加透明、開放、互聯(lián)。病毒、木馬等威脅開始向工業(yè)控制系統(tǒng)擴散,信息安全問題日益突出。工業(yè)控制系統(tǒng)信息安全是多行業(yè)、多領(lǐng)域和多學(xué)科融合的新興領(lǐng)域,我國關(guān)于工業(yè)控制系統(tǒng)信息安全研究仍然處于起步發(fā)展階段。
1 工業(yè)控制系統(tǒng)(ICS)簡介
工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)是由各種自動化組件和對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件,共同構(gòu)成的對工業(yè)生產(chǎn)過程實現(xiàn)檢測、控制、優(yōu)化、調(diào)度、管理和決策的生產(chǎn)流程管控系統(tǒng),用以實現(xiàn)增加產(chǎn)量、提高質(zhì)量、降低消耗等目的。ICS包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(Supervisory Control And Data Acquisition,SCADA)、分布式控制系統(tǒng)(Distributed Control Systems,DCS)、可編程邏輯控制器(Programmable Logic Controller,PLC)以及其他控制系統(tǒng)等,目前已廣泛應(yīng)用于電力、水力、鋼鐵、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域,成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,是這些基礎(chǔ)設(shè)施運行的“中樞”和“大腦”。
2 ICS信息安全典型案例
最為著名的ICS信息安全案例就是“震網(wǎng)(Stuxnet)”病毒襲擊事件。“震網(wǎng)”病毒于2010年6月首次被檢測出來,是第一個專門定向攻擊真實世界中基礎(chǔ)設(shè)施的“蠕蟲”病毒,比如核電站、水壩、國家電網(wǎng)等。2011年2月,伊朗突然宣布暫時推遲首座核電站——布什爾核電站的使用,原因就是核設(shè)施遭到“震網(wǎng)”病毒攻擊,病毒侵入了西門子公司為核電站設(shè)計的工業(yè)控制軟件,并奪取了一系列核心生產(chǎn)設(shè)備的關(guān)鍵控制權(quán),1/5的離心機報廢。“震網(wǎng)”病毒使用了4個未公開漏洞、1個Windows Rootkit、一個可編程邏輯控制器(PLC)Rootkit、防病毒免殺技術(shù)、P2P更新,從可信認證中心(Certificate Authority,CA)竊取證書,并不斷演變進化;該病毒是通過移動存儲設(shè)備進入到同其他網(wǎng)絡(luò)物理隔離的計算機中,自動查找西門子的SIMATIC WinCC工控系統(tǒng)軟件,使用PLCRootkit修改控制系統(tǒng)參數(shù)并隱藏PLC變動,從而對真實物理設(shè)備和系統(tǒng)造成物理損害。“震網(wǎng)”病毒的出現(xiàn)和傳播,威脅的不僅是自動化系統(tǒng)的安全,而且使自動化系統(tǒng)的安全性上升到國家安全的高度。
ICS信息安全事件數(shù)量逐年大幅上升,據(jù)來源于美國國土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)的數(shù)據(jù)表明,如圖1所示,自2010年起,重大ICS信息安全事件呈爆炸式增長,由2010年的39起增加到2013年的256起。
圖1 ICS-CERT歷年的 ICS信息安全事件統(tǒng)計(按財年)
3 產(chǎn)生ICS信息安全問題的原因
對ICS的信息安全攻擊是對傳統(tǒng)IT攻擊的一種自然發(fā)展。近十年來,隨著信息技術(shù)的迅猛發(fā)展,ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)的聯(lián)系越來越緊密,信息化在我們企業(yè)中的應(yīng)用取得了飛速發(fā)展,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)的出現(xiàn),使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)。此外,傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議,設(shè)計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱,甚至幾乎沒有隔離功能,因此在ICS開放的同時,也減弱了控制系統(tǒng)與外界的隔離,ICS的安全隱患問題日益嚴峻。系統(tǒng)中任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)的癱瘓。在當(dāng)前ICS標(biāo)準(zhǔn)化和互聯(lián)互通的趨勢下,采用信息安全攻擊對攻擊者來說更便宜、風(fēng)險更低、不受地理限制,并且更容易復(fù)制和操作,因而導(dǎo)致了ICS信息安全問題近些年來頻頻發(fā)生。ICS系統(tǒng)安全問題嚴峻的主要原因有以下幾點:
(1)管理缺失
沒有足夠健全的安全政策、管理制度,人員安全意識缺乏。由于ICS不像互聯(lián)網(wǎng)或與傳統(tǒng)企業(yè)IT網(wǎng)絡(luò)那樣備受黑客的關(guān)注,在2010年“震網(wǎng)”事件發(fā)生之前,很少有黑客攻擊工業(yè)控制網(wǎng)絡(luò)的事件發(fā)生;ICS在設(shè)計時多考慮系統(tǒng)的可用性,普遍對安全性問題考慮不足,更不用提制定完善的ICS安全政策、管理制度以及對人員的安全意識培養(yǎng)了,天長日久造成人員的信息安全意識淡薄。其中,人員安全意識薄弱、缺乏定期安全培訓(xùn)是造成ICS信息安全風(fēng)險的一個重要因素,特別是重要崗位人員容易淪為外部威脅入侵的跳板。
(2)網(wǎng)絡(luò)設(shè)計不完善,深度保護不夠
相較于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng),大多數(shù)的ICS在開發(fā)設(shè)計時,需要兼顧應(yīng)用環(huán)境、控制管理等多方面因素,首要考慮效率和實時特性。因此,ICS普遍缺乏有效的工業(yè)信息安全防御及數(shù)據(jù)通信保密措施。ICS早期和企業(yè)管理系統(tǒng)是隔離的,但近年來為了實現(xiàn)實時的數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求以及管理的方便,通過邏輯隔離的方式,使ICS和企業(yè)管理系統(tǒng)可以直接進行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet。在這種情況下,ICS接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨著來自Internet的威脅。
(3)ICS的自身特點所致
ICS的設(shè)計開發(fā)之初并未將系統(tǒng)防護、數(shù)據(jù)保密等安全指標(biāo)納入其中。兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來的通信協(xié)議漏洞問題也日益突出。而且ICS網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)連接,防護措施的薄弱(如TCP/1P協(xié)議缺陷、工業(yè)應(yīng)用漏洞等)導(dǎo)致攻擊者很容易通過企業(yè)網(wǎng)絡(luò)間接入侵ICS。
(4)ICS設(shè)備的通用性在ICS中多采用通用協(xié)議、通用軟件、通用硬件,這些通用設(shè)備的漏洞給系統(tǒng)的信息安全帶來極大隱患。
通信網(wǎng)絡(luò)是ICS中連接監(jiān)測層與控制層的紐帶,目前ICS多采用IEC 61158中提供的20種工業(yè)現(xiàn)場總線標(biāo)準(zhǔn),例如Modbus系列、Profibus系列等。如利用這些通用協(xié)議的缺陷、漏洞即可入侵ICS,獲得控制器的控制權(quán),進而破壞整個系統(tǒng)。
組態(tài)軟件作為ICS監(jiān)控層的軟件平臺和開發(fā)環(huán)境,針對不同的控制器設(shè)備,其應(yīng)用具有一定的通用性。目前使用比較廣泛的有WinCC、InTouch、iFix等。“震網(wǎng)”病毒即利用了西門子WinCC的漏洞。
通用控制器硬件設(shè)備主要采用西門子、羅克韋爾自動化、施耐德電氣等公司產(chǎn)品,因此這些通用控制器所具有的漏洞極易成為惡意攻擊的突破口。如施耐德電氣Quantum以太網(wǎng)模塊漏洞可以使任何人全方位地訪問設(shè)備的硬編碼密碼。
4 ICS信息安全問題的應(yīng)對措施
要提高整個ICS的信息安全,必須從技術(shù)和管理兩個方面來綜合解決問題。一般采用的關(guān)鍵技術(shù)為信息安全風(fēng)險評估,具體實施采用縱深防御體系。
4.1 ICS信息安全風(fēng)險評估
ICS信息安全風(fēng)險評估屬于風(fēng)險評估范疇,因此它在風(fēng)險概念、風(fēng)險評估的基本流程方面基本繼承了通用信息安全風(fēng)險評估中的相關(guān)內(nèi)容;但另一方面,ICS是工業(yè)領(lǐng)域的生產(chǎn)運行系統(tǒng),在生產(chǎn)運行系統(tǒng)中執(zhí)行傳統(tǒng)IT信息安全技術(shù)測試(如漏洞掃描、滲透測試)可能會對生產(chǎn)運行系統(tǒng)造成損害甚至引發(fā)安全事故,因此在風(fēng)險評估實施指南方面的工作都要具體指出ICS風(fēng)險評估實施的特點。
安全風(fēng)險評估最為常用的是定性和定量風(fēng)險評估技術(shù)方法。定性風(fēng)險評估技術(shù)方法是在確定風(fēng)險時采用高、中、低等定性分級方法,定量風(fēng)險評估技術(shù)方法是使用數(shù)值定量計算的評估技術(shù)和方法。
在風(fēng)險評估中,確定風(fēng)險總的來說就是回答三個問題:什么會出錯?出錯的可能性有多大?后果會是什么?定性風(fēng)險評估方法主要是憑借評估者和專家的經(jīng)驗、直覺來主觀判斷,對這些問題給出高、中、低等定性分析與判斷,定性方法通常操作簡單、直觀、容易掌握。但其評價結(jié)果通常很大程度依賴于評估者和專家的經(jīng)驗,更具主觀性,對負面事件發(fā)生的可能性和后果不能給出量化結(jié)果。定量風(fēng)險評估技術(shù)方法也稱概率風(fēng)險評估,它主要是對負面事件的可能性用概率或頻率表達,并給出后果的數(shù)字化值,從而得出風(fēng)險的量化值。概率風(fēng)險評估包括故障樹分析、攻擊樹分析、事件樹分析、漏洞樹分析、失效模式和影響分析、失效模式影響和關(guān)鍵性分析、因果分析等方法,以及一些基于這些方法的擴展或組合等。定量風(fēng)險評估技術(shù)和方法能從數(shù)量上說明評估對象的危險程度、精確描述系統(tǒng)的危險性,因此它也是當(dāng)前ICS信息安全風(fēng)險評估的主要研究方向。
ICS信息安全研究,采用樹、圖等圖形化方式,能夠更加可視化、結(jié)構(gòu)化地進行定性/定量(特別是定量方法)風(fēng)險評估研究,這是當(dāng)前ICS風(fēng)險評估研究和實踐的兩個熱點。根據(jù)具體方法不同,樹、圖等圖形化方法可以從攻擊者、防御者和中立第三方等不同用戶視角可視化、結(jié)構(gòu)化地展示ICS的攻擊路徑、系統(tǒng)漏洞、防御措施和消控措施等,還可以進一步進行定性或定量風(fēng)險分析和評價。最為人熟知的圖形化風(fēng)險建模和分析方法是攻擊樹(Attack trees)方法,它是一種基于攻擊的、形式化分析系統(tǒng)和子系統(tǒng)安全風(fēng)險的方法。攻擊樹已經(jīng)在各種不同ICS風(fēng)險評估工作中得以應(yīng)用,例如美國專家使用攻擊樹對SCADA系統(tǒng)進行了漏洞分析和測試,其實驗結(jié)果表明,攻擊樹方法極大改進了研究人員發(fā)現(xiàn)SCADA系統(tǒng)新漏洞利用和危害評估的能力。
4.2 ICS信息安全縱深防御體系
ICS環(huán)境和傳統(tǒng)IT環(huán)境之間存在著一些關(guān)鍵性的不同之處,如高實時性、高可用性、有限的資源、專用的協(xié)議、較長的生命周期等。正是由于這些不同,導(dǎo)致了ICS信息安全問題的復(fù)雜性,僅依賴于單一的安全技術(shù)和解決方案,簡單地將IT信息安全技術(shù)配置到ICS中并不是高效可行的解決方案,必須綜合多種安全技術(shù),分層分域地部署各種安全防護措施,才能提升系統(tǒng)的整體防御能力。國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99明確提出目前工業(yè)控制領(lǐng)域普遍認可的安全防御措施要求:將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過控制區(qū)域間管道中的通信內(nèi)容來確保ICS信息安全,也就是要建立縱深防御體系。
建立縱深防御體系有兩個主要目的:
(1)即使在某一點發(fā)生信息安全事故,也能保證網(wǎng)絡(luò)的其他區(qū)域正常安全穩(wěn)定運行。該防護目標(biāo)在于當(dāng)工業(yè)網(wǎng)絡(luò)的某個局部存在病毒感染或其它不安全因素時,不會向其它設(shè)備或網(wǎng)絡(luò)擴散。
(2)維護人員能夠及時準(zhǔn)確地確認故障點,并排除問題。能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的信息安全問題并準(zhǔn)確找到故障點,是維護控制系統(tǒng)信息安全的前提。
一般來說,工業(yè)系統(tǒng)網(wǎng)絡(luò)從總體結(jié)構(gòu)上可分為三個層次:企業(yè)管理層、數(shù)采信息層和控制層。企業(yè)管理層主要是辦公自動化系統(tǒng),一般使用通用以太網(wǎng)通訊,可以從數(shù)采信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策;數(shù)采信息層主要是從控制層獲取數(shù)據(jù),完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能。控制層負責(zé)A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補償、PID控制、數(shù)據(jù)采集等各種功能。系統(tǒng)的每一個安全漏洞都會導(dǎo)致不同的后果,所以將它們單獨隔離防護十分必要。
將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”體系。結(jié)合ICS的信息安全需要,可以將ICS網(wǎng)絡(luò)劃分為以下不同的安全區(qū)域:企業(yè)IT網(wǎng)絡(luò)區(qū)域、過程信息/歷史數(shù)據(jù)區(qū)域、管理/HMI區(qū)域、DCS/PLC控制區(qū)域和第三方控制系統(tǒng)區(qū)域(如安全儀表系統(tǒng)SIS),如圖2所示。
圖2 工業(yè)系統(tǒng)網(wǎng)絡(luò)安全區(qū)域劃分
針對企業(yè)流程的特點,同時結(jié)合ICS的網(wǎng)絡(luò)結(jié)構(gòu),基于縱深防御體系,工業(yè)控制網(wǎng)絡(luò)需要以下五個層面的安全防護,如圖3中A、B、C、D、E所示。
圖3 工業(yè)控制系統(tǒng)信息安全的縱深防御
(1)企業(yè)管理層和數(shù)采信息層之間的安全防護
這里是IT信息系統(tǒng)與工業(yè)信息系統(tǒng)的分界線,其重要程度不言而喻,所以采取了常規(guī)IT防火墻加上入侵檢測系統(tǒng)(Intrusion Detection System,IDS)的雙重防護措施。防火墻是第一道防線,串接在網(wǎng)絡(luò)中,只允許兩個網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換,阻擋企業(yè)管理層對數(shù)采信息層的未經(jīng)授權(quán)的非法訪問,同時也防止管理層網(wǎng)絡(luò)的病毒擴散到數(shù)采信息網(wǎng)絡(luò)。IDS置于數(shù)采信息層的網(wǎng)絡(luò)交換機上,主動收集、分析網(wǎng)內(nèi)的數(shù)據(jù)是否有異常,以防止內(nèi)部攻擊的發(fā)生。
(2)數(shù)采信息層和控制層之間的安全防護
數(shù)采信息層與控制層之間要交互大量的設(shè)備機組生產(chǎn)數(shù)據(jù)及工藝參數(shù)數(shù)據(jù),要求較高的通訊帶寬,對此部位的信息安全防護使用常規(guī)的IT防火墻。加入防火墻,一方面提升了網(wǎng)絡(luò)的區(qū)域劃分,另一方面保證只有被允許的流量才能通過防火墻。
(3)關(guān)鍵控制器的安全防護
控制器通常使用工業(yè)專用通訊協(xié)議,使用傳統(tǒng)的IT防火墻進行防護時,不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下,防火墻提供的安全保障被降至最低。因此,在控制器的前端應(yīng)安裝專業(yè)的工業(yè)防火墻,才能夠解決該類安全防護問題。工業(yè)防火墻一方面是對工業(yè)專用通訊協(xié)議的支持,目前主要通過規(guī)則更新的方式進行兼容;另一方面,由于ICS對實時性要求較高,傳統(tǒng)基于包過濾和應(yīng)用層網(wǎng)關(guān)的IT防火墻技術(shù)無法滿足實時性要求,而工業(yè)防火墻采用了類似深度報文檢測(Deep Packet Inspection,DPI)的技術(shù),它對封裝在TCP/IP協(xié)議負載內(nèi)的信息進行檢測,然后進行識別、分類,對連接的狀態(tài)進行動態(tài)維護和分析,一旦發(fā)現(xiàn)異常的流量或連接,就動態(tài)生成過濾規(guī)則,在提高準(zhǔn)確率的同時,也降低了工作負載。
(4)隔離工程師站,保護APC先控站
考慮到工程師站和APC先控站在項目實施階段通常需要接入第三方設(shè)備(U盤、筆記本電腦等),而且是在整個控制系統(tǒng)試運行的情況下實施,受到病毒入侵和攻擊的概率很大,存在較高的信息安全隱患。在工程師站和APC先控站前端增加IT防火墻,可以將工程師站和APC先控站單獨隔離,防止病毒擴散,保證網(wǎng)絡(luò)安全。
(5)與第三方控制系統(tǒng)之間的安全防護
使用工業(yè)防火墻將SIS安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進行隔離,主要是為了確保兩個區(qū)域之間數(shù)據(jù)交換的安全,管控通訊數(shù)據(jù),保證只有合法可信的、經(jīng)過授權(quán)的訪問和通訊才能通過網(wǎng)絡(luò)通信管道。
5 結(jié)語
隨著工業(yè)化和信息化的深度融合以及網(wǎng)絡(luò)技術(shù)的不斷進步,ICS信息安全的重要性與其普遍存在的安全防護措施不足的矛盾日漸突出,加強ICS信息安全工作無疑是一項非常艱巨的任務(wù)。在參考IT信息安全業(yè)內(nèi)的最佳實踐基礎(chǔ)上,結(jié)合ICS自身的特點,從技術(shù)和管理上雙管齊下,才能切實提升運維部門的管理效率和服務(wù)技能,有效降低ICS所面臨的信息安全問題。
作者簡介
李云峰(1977-),男,內(nèi)蒙古赤峰人,工程師,碩士學(xué)位,現(xiàn)就職于北京首鋼冷軋薄板有限公司,主要從事冷軋薄板工業(yè)生產(chǎn)信息化技術(shù)管理工作。
暢通(1976-),男,工程師,碩士學(xué)位,現(xiàn)就職于北京首鋼冷軋薄板有限公司,主要負責(zé)信息化項目、維護、安全管理工作。
參考文獻:
[1] Eric D.Knapp.工業(yè)網(wǎng)絡(luò)安全——智能電網(wǎng),SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全[M].國防工業(yè)出版社, 2014.
[2]蔡皖東.工業(yè)控制系統(tǒng)安全等級保護方案與應(yīng)用[M].國防工業(yè)出版社, 2015.
[3]向宏,傅鸝,詹榜華.信息安全測評與風(fēng)險評估[M].電子工業(yè)出版社, 2014.
[4]彭勇,江常青,謝豐,戴忠華,熊琦,高洋.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學(xué)學(xué)報(自然科學(xué)版), 2012, (52)10: 1396 -1408.
[5]劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全, 2012, (8): 41 -43.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號