今日頭條
官方微信
官方抖音
資訊頻道1 工業(yè)控制系統(tǒng)信息安全趨勢
隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡(luò)化、智能化發(fā)展,工業(yè)控制系統(tǒng)信息安全形勢日漸嚴峻。一方面,傳統(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延,另一方面,針對關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng),以竊取敏感信息和破壞關(guān)鍵基礎(chǔ)設(shè)施運行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統(tǒng)建設(shè)時更多的是考慮各自系統(tǒng)的可用性,并沒有充分考慮系統(tǒng)之間互聯(lián)互通的信息安全風(fēng)險和防護建設(shè),使得國際國內(nèi)針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮。“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘,促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。
2010年以前,全球工業(yè)安全事件發(fā)生頻率還較少,但這個數(shù)據(jù)在2010年以后急劇上升。據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計,截止到2013年10 月,全球已發(fā)生300余起針對工業(yè)控制系統(tǒng)的攻擊事件,而且,這個數(shù)據(jù)還在不斷刷新。這說明黑客針對工業(yè)控制系統(tǒng)的關(guān)注度在不斷提升,嚴重威脅著生產(chǎn)安全。
全球各地不斷發(fā)生的工控信息安全事件給我們3個啟示:一是黑客技術(shù)高超,制造的病毒不易被發(fā)現(xiàn);二是針對工控系統(tǒng)的攻擊不是個人所為,而是團伙作案;三是針對工控系統(tǒng)的攻擊除了個人獲利因素外,更重要的是帶有敵對思想和很強的政治色彩。
因此,如果對工控系統(tǒng)沒有嚴格的管控措施,在敵對勢力發(fā)動網(wǎng)絡(luò)攻擊,或是潛藏在工控系統(tǒng)中的木馬病毒發(fā)生作用時,其后果堪比一場戰(zhàn)爭帶來的災(zāi)難。目前,我國工控領(lǐng)域的法律規(guī)范和國家安全標(biāo)準相對欠缺,也沒有嚴格的市場準入制度,國家對國產(chǎn)工控設(shè)備的產(chǎn)業(yè)支持力度還有待加強。這種局面必須得到徹底改觀,否則,國家安全、人民的安康都將籠罩在工控系統(tǒng)安全風(fēng)險的陰霾之中。
近年來,國家非常重視工業(yè)控制系統(tǒng)信息安全問題,已經(jīng)把安全問題提升到與發(fā)展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長習(xí)近平2014年2月27日下午主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議并發(fā)表重要講話。會議中,習(xí)總書記指出,沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。
工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》([2011]451號),通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求,并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級、數(shù)據(jù)、應(yīng)急管理等六個方面提出了具體要求。
2012年6月28號國務(wù)院《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號》中明確要求:保障工業(yè)控制系統(tǒng)安全;重點保障對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)。
國家發(fā)改委從2011年開始開展工業(yè)控制系統(tǒng)信息安全專項,涉及到面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測產(chǎn)品、面向SCADA系統(tǒng)的安全采集遠程終端單元(RTU)產(chǎn)品以及工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品等產(chǎn)業(yè)化項目。在電力電網(wǎng)、石油石化、先進制造、軌道交通等領(lǐng)域,支持大型重點骨干企業(yè),按照信息安全等級保護相關(guān)要求,開展工業(yè)控制系統(tǒng)信息安全建設(shè)的試點示范。
目前已頒布了如下標(biāo)準:
GB/T 26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》;
GB/T 30976.1-2014-工業(yè)控制系統(tǒng)信息安全 第1部分:評估規(guī)范;
GB/T 30976.2-2014-工業(yè)控制系統(tǒng)信息安全 第2部分:驗收規(guī)范;
此外,《工業(yè)控制系統(tǒng)信息安全等級保護設(shè)計技術(shù)指南(草稿)》、《工業(yè)控制系統(tǒng)信息安全等級保護基本要求(草稿)》正在編寫過程中。
《集散控制系統(tǒng)(DCS)安全防護標(biāo)準》正在征求意見中。
在工控安全建設(shè)方面走在前列的電力行業(yè)早些年已經(jīng)在生產(chǎn)系統(tǒng)中建立了相關(guān)規(guī)范,如《電力二次系統(tǒng)安防護規(guī)定》(電監(jiān)會5號令)、《電力二次系統(tǒng)安全防護總體方案》(電監(jiān)會全34號文)等,發(fā)改委14號令 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。
公安部、經(jīng)信委等也在不斷對影響國計民生的公共系統(tǒng)進行滲透檢查,發(fā)現(xiàn)了眾多問題。
2 工業(yè)控制系統(tǒng)信息安全建設(shè)思路
目前,工業(yè)控制系統(tǒng)信息安全建設(shè)思路是以風(fēng)險管理為核心,通過了解自身工業(yè)控制系統(tǒng)信息安全風(fēng)險,并通過合適的管理和技術(shù)措施對這些風(fēng)險進行控制,達到企業(yè)工控系統(tǒng)信息安全風(fēng)險可控的目標(biāo)。風(fēng)險管理是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。
眾所周知,工業(yè)控制系統(tǒng)信息安全風(fēng)險和事件不可能完全避免,沒有絕對的安全。信息安全本身是高技術(shù)的對抗,有別于傳統(tǒng)安全,呈現(xiàn)擴散速度快、難控制等特點。因此,管理工業(yè)控制系統(tǒng)信息安全必須以風(fēng)險管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險,而不是完全消除風(fēng)險。好的風(fēng)險管理過程可以讓企業(yè)以最具成本效益的方式運行,并且使已知的風(fēng)險維持在可接受的水平。好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級,更好地管理風(fēng)險,而不是將寶貴的資源用于解決所有可能的風(fēng)險。
風(fēng)險,通俗講是指不幸事件發(fā)生的概率。影響風(fēng)險的發(fā)生與兩個因素密不可分,即弱點和威脅。也就是說,要做到風(fēng)險可控,就必須非常清楚地了解自身的弱點和威脅源,通過對自身弱點進行加固,并有效阻止威脅源的入侵來實現(xiàn)風(fēng)險可控。
2.1 工業(yè)控制系統(tǒng)面臨的主要威脅
(1)外部攻擊的發(fā)展
工業(yè)控制系統(tǒng)采用大量的IT技術(shù),互聯(lián)性逐步加強,神秘的面紗逐步被揭開,工業(yè)控制信息安全日益進入黑客的研究范圍,國內(nèi)外大型的信息安全交流會議已經(jīng)把工業(yè)控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術(shù)不斷進步,攻擊的手段日趨多樣,對于他們來說,入侵到某個系統(tǒng),成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、duqu、火焰、havex等病毒攻擊證明黑客開始對工控系統(tǒng)感興趣。
(2)內(nèi)部威脅的加劇
根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示,超過70%的安全威脅來自公司內(nèi)部,在損失金額上,由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據(jù)中國國家信息安全測評中心調(diào)查,信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客。
工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡(luò)準入和控制機制,上位機與下位機通訊缺乏身份鑒別和認證機制,只要能夠從協(xié)議層面跟下位機建立連接,即可以對下位機進行修改,普遍缺乏對系統(tǒng)最高權(quán)限的限制,高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈,任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露。并且缺乏事后追查的有效工具,也讓責(zé)任劃分和威脅追蹤變得更加困難。
(3)應(yīng)用軟件的威脅
設(shè)備提供商提供的應(yīng)用授權(quán)版本不可能十全十美,各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮,工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產(chǎn)品,在測試節(jié)點問題容易隱藏,且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。
(4)第三方維護人員的威脅
第三方維護人員的威脅。工業(yè)控制系統(tǒng)建設(shè)在發(fā)展的過程中,因為戰(zhàn)略定位和人力等諸多原因,越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商。如何有效地管控設(shè)備廠商和運維人員的操作行為,并進行嚴格的審計是系統(tǒng)運營面臨的一個關(guān)鍵問題。
(5)多種病毒的泛濫
病毒可通過移動存儲設(shè)備、外來運維的電腦,無線系統(tǒng)等進入工控系統(tǒng),當(dāng)病毒侵入網(wǎng)絡(luò)后,自動收集有用信息,如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹龋蚴翘綔y網(wǎng)內(nèi)計算機的漏洞,向網(wǎng)內(nèi)計算機傳播病毒。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制,極大地消耗網(wǎng)絡(luò)資源,嚴重時有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓,這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一。
2.2 工業(yè)控制系統(tǒng)自身弱點按管理和技術(shù)的分類
(1)信息安全管理方面脆弱性
·組織結(jié)構(gòu)人員職責(zé)不完善,缺乏專業(yè)人員。大部分行業(yè)未設(shè)置工控系統(tǒng)信息安全管理部門,未明確建設(shè)運維相關(guān)部門的安全職責(zé)和技能要求。同時普遍缺乏信息安全人才。
·信息安全管理制度流程欠完善。現(xiàn)在大部分行業(yè)還未形成完整的政策制度保障信息安全,缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設(shè)、運維、廢止全生命周期的信息安全需求和設(shè)計管理,欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。
·應(yīng)急響應(yīng)機制欠健全,需進一步提高信息安全事件的應(yīng)對能力。由于響應(yīng)機制不夠健全,缺乏應(yīng)急響應(yīng)組織和標(biāo)準化的事件處理流程,發(fā)生信息安全事件后人員通常依靠經(jīng)驗判斷安全事件發(fā)生的設(shè)備和影響范圍,逐一進行排查,響應(yīng)能力不高。
·人員信息安全培訓(xùn)不足,技術(shù)和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對工控系統(tǒng)的業(yè)務(wù)培訓(xùn),但是面向全員的信息安全意識宣傳,信息安全技術(shù)和管理培訓(xùn)均比較薄弱,需加強信息安全體系化宣傳和培訓(xùn)。
·尚需完善第三方人員管理體制。大部分的行業(yè)會將設(shè)備建設(shè)運維工作外包給設(shè)備商或集成商,尤其針對國外廠商,業(yè)主不了解工控設(shè)備技術(shù)細節(jié),對于所有的運維操作無控制、無審計,留有安全隱患。
(2)信息安全技術(shù)方面脆弱性
·未進行安全域劃分,區(qū)域間未設(shè)置訪問控制措施。隨著工控系統(tǒng)的集成度越來越高,呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢,系統(tǒng)的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒進行安全分區(qū),系統(tǒng)邊界不清楚,邊界訪問控制策略缺失等。
·缺少信息安全風(fēng)險監(jiān)控技術(shù),不能及時發(fā)現(xiàn)信息安全問題,出現(xiàn)問題后靠人員經(jīng)驗排查。在工控網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機制,不能及時了解網(wǎng)絡(luò)狀況,一旦發(fā)生問題不能及時確定問題所在,及時排查到故障點,排查過程耗費大量人力成本、時間成本。
·系統(tǒng)運行后,操作站和服務(wù)器很少打補丁,存在系統(tǒng)漏洞,系統(tǒng)安全配置較薄弱,防病毒軟件安裝不全面。大部分行業(yè)工控系統(tǒng)投產(chǎn)后,對操作系統(tǒng)極少升級,而操作系統(tǒng)會不斷曝出漏洞,導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面,即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。
·工程師站缺少身份認證和接入控制,且權(quán)限很大。有些行業(yè)工程師站登陸過程缺少身份認證,且工程師站對操作站、控制器等進行組態(tài)時均缺乏身份認證,存在任意工程師站可以對操作站、現(xiàn)場設(shè)備直接組態(tài)的可能性。
·存在使用移動存儲介質(zhì)不規(guī)范問題,易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中,存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象,有可能傳染病毒、木馬等威脅生產(chǎn)系統(tǒng)。
·第三方人員運維生產(chǎn)系統(tǒng)無審計措施。出現(xiàn)問題后無法及時準確定位問題原因、影響范圍及追究責(zé)任。
·上線前未進行信息安全測試。一些行業(yè)工控系統(tǒng)在上線前未進行安全性測試,系統(tǒng)在上線后存在大量安全風(fēng)險漏洞,安全配置薄弱,甚至有的系統(tǒng)帶毒工作。
·無線通信安全性不足。一些行業(yè)工控系統(tǒng)中大量使用無線網(wǎng)絡(luò),在帶來方便的同時,隨之而來的是無線網(wǎng)絡(luò)安全方面的威脅。其中包括未授權(quán)用戶的非法接入、非法AP欺騙生產(chǎn)設(shè)備接入、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取、基于無線的入侵行為等。
通過開展工控信息安全風(fēng)險評估工作,能夠詳細分析出上述威脅和弱點產(chǎn)生原因和安全風(fēng)險防御的方法,再選擇合適的管理措施和技術(shù)措施進行加固,從而實現(xiàn)工控信息安全風(fēng)險可控。
3 工業(yè)控制系統(tǒng)信息安全解決方案
啟明星辰工業(yè)控制系統(tǒng)信息安全解決方案,以工業(yè)控制信息安全管理系統(tǒng)為核心,以旁路檢測、串聯(lián)防護、現(xiàn)場防護三大引擎為支撐,全面實現(xiàn)全網(wǎng)工控設(shè)備的統(tǒng)一安全監(jiān)測和防護,安全風(fēng)險集中分析和展現(xiàn)。輔助以貫穿工業(yè)控制系統(tǒng)需求、設(shè)計、建設(shè)、運營、廢除全生命周期的工控安全風(fēng)險評估平臺,實現(xiàn)信息安全風(fēng)險的動態(tài)管理。工控信息安全防護體系如圖1所示。
圖1 工業(yè)控制信息安全管理系統(tǒng)
啟明星辰工控信息安全解決方案主要特點:一是縱深防御,集防護、監(jiān)測、管理于一體;二是基于全生命周期管理,即工控系統(tǒng)軟件開發(fā)全生命周期管理、攻擊過程全生命周期管理。
3.1 縱深防御,集防護、監(jiān)測、管理于一體
啟明星辰縱深防御思想,主要體現(xiàn)在保證系統(tǒng)可用性前提下,對工業(yè)控制系統(tǒng)進行防護,實現(xiàn)“垂直分層,水平分區(qū);邊界控制,內(nèi)部監(jiān)測;集中展現(xiàn)”。
“垂直分層、水平分區(qū)”,即按照工業(yè)控制系統(tǒng)的層次結(jié)構(gòu),垂直方向化分為四層:現(xiàn)場設(shè)備層、現(xiàn)場控制層、監(jiān)督控制層、生產(chǎn)管理層。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開,處于不同的安全區(qū)。
“邊界控制,內(nèi)部監(jiān)測”,即對系統(tǒng)邊界,即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題。
“集中展現(xiàn)”,即對工控系統(tǒng)中可能涉及的各類設(shè)備,包括工業(yè)防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、操作員站、工程師站、適時數(shù)據(jù)庫、歷史數(shù)據(jù)庫、PLC、路由器、交換機等,進行統(tǒng)一采集和識別這些設(shè)備產(chǎn)生的安全事件和告警信息、日志信息等,并通過多維度可視化的界面進行綜合展示,使監(jiān)控人員一站式的查詢檢索安全及威脅信息,了解安全態(tài)勢,指導(dǎo)企業(yè)進行工控系統(tǒng)信息安全建設(shè)。
系統(tǒng)面臨的主要安全威脅來自于黑客攻擊、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入)、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常等,因此,其安全防護應(yīng)在以下方面予以重點完善和強化。
·入侵檢測及防御;
·惡意代碼防護;
·內(nèi)部網(wǎng)絡(luò)異常行為的檢測;
·邊界訪問控制和系統(tǒng)訪問控制策略;
·工業(yè)控制系統(tǒng)開發(fā)與維護的安全;
·身份認證和行為審計;
·賬號唯一性和口令安全,尤其是管理員賬號和口令的管理;
·操作站操作系統(tǒng)安全;
·移動存儲介質(zhì)的標(biāo)記、權(quán)限控制和審計;
·設(shè)備物理安全。
結(jié)合工業(yè)控制系統(tǒng)信息安全防護思路,將典型工業(yè)控制系統(tǒng)分為四層,即生產(chǎn)管理層、監(jiān)督控制層、現(xiàn)場控制層、現(xiàn)場設(shè)備層。每一個工業(yè)控制系統(tǒng)應(yīng)單獨劃分在一個區(qū)域里。
生產(chǎn)管理層主要是生產(chǎn)調(diào)度,詳細生產(chǎn)流程,可靠性保證和站點范圍內(nèi)的控制優(yōu)化相關(guān)的系統(tǒng)。監(jiān)督控制層包括了監(jiān)督和控制實際生產(chǎn)過程的相關(guān)系統(tǒng)。包括如下設(shè)備:
·人機界面HMI,操作員站,負責(zé)組態(tài)的工程師站等;
·報警服務(wù)器及報警處理;
·監(jiān)督控制功能;
·實時數(shù)據(jù)收集與歷史數(shù)據(jù)庫,用于連接的服務(wù)器客戶機等。
現(xiàn)場控制層是對來自現(xiàn)場設(shè)備層的傳感器所采集的數(shù)據(jù)進行操作,執(zhí)行控制算法,輸出到執(zhí)行器(如控制閥門等)執(zhí)行,該層通過現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)與現(xiàn)場設(shè)備層的傳感器和執(zhí)行器形成控制回路。該層控制功能可以是連續(xù)控制、順序控制、批量控制和離散控制等類型。設(shè)備包括但不限于如下所示:
·DCS控制器;
·可編程邏輯控制器PLC;
·遠程終端單元RTU。
現(xiàn)場設(shè)備層對生產(chǎn)設(shè)施的現(xiàn)場設(shè)備進行數(shù)據(jù)采集和輸出操作的功能,包括所有連在現(xiàn)場總線或?qū)崟r網(wǎng)絡(luò)的傳感器(模擬量和開關(guān)量輸入)和執(zhí)行器(模擬量和開關(guān)量輸出)。
對單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域劃分如圖2所示。
圖2 單一工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全域
根據(jù)“邊界控制,內(nèi)部監(jiān)測,集中展現(xiàn)”的防護思路,典型的工業(yè)控制網(wǎng)絡(luò)安全防護如圖3所示。
圖3 典型的工業(yè)控制網(wǎng)絡(luò)安全防護
通過工業(yè)控制信息安全管理系統(tǒng)對整個工業(yè)控制理。對工業(yè)控制現(xiàn)場控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等進行統(tǒng)一資產(chǎn)管理,并對各設(shè)備的信息安全監(jiān)控和報警、信息安全日志信息進行集中管理。根據(jù)安全審計策略對各類安全信息進行分類管理與查詢,系統(tǒng)對各類信息安全報警和日志信息進行關(guān)聯(lián)分析,展現(xiàn)全網(wǎng)的安全風(fēng)險分布和趨勢。
防護類措施如下:
(1)在區(qū)域邊界處部署工業(yè)防火墻設(shè)備,實現(xiàn)IP/端口的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等。或者部署網(wǎng)閘設(shè)備,切斷網(wǎng)絡(luò)鏈路層鏈接,完成兩個網(wǎng)絡(luò)的數(shù)據(jù)交換。
(2)在操作站、工程師站部署操作站安全系統(tǒng)實現(xiàn)移動存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準入控制、安全配置管理等。
(3)現(xiàn)場運維審計與管理系統(tǒng)是手持移動設(shè)備,運維人員運維現(xiàn)場設(shè)備時,先接入審計系統(tǒng),再連接現(xiàn)場設(shè)備。審計系統(tǒng)可審計運維操作命令、運維工具使用錄像等,亦可進行防病毒、訪問控制等安全防護。
(4)WiFi入侵檢測與防護設(shè)備是放在基于WiFi組網(wǎng)的現(xiàn)場設(shè)備網(wǎng)絡(luò)中,可實現(xiàn)非法AP阻斷,非法外來設(shè)備接入生產(chǎn)網(wǎng)絡(luò),基于WiFi的入侵檢測等。
監(jiān)控檢查類措施如下:
(1)在工業(yè)以太網(wǎng)交換機上部署工控異常監(jiān)測系統(tǒng),監(jiān)測工業(yè)控制系統(tǒng)內(nèi)部入侵行為,異常操作行為,發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。
(2)部署工控漏洞掃描系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描,對漏洞進行修補。
(3)部署安全配置基線核查系統(tǒng),在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查,重點關(guān)注操作站、工程師站、服務(wù)器等開放的服務(wù),賬號密碼策略、協(xié)議的安全配置等問題,對風(fēng)險進行安全加固。
縱深防御的工控信息安全防護體系是建立在整體工業(yè)控制網(wǎng)絡(luò)各個關(guān)鍵環(huán)節(jié)的基礎(chǔ)之上,能夠有效發(fā)現(xiàn)、防護、監(jiān)測和審計網(wǎng)絡(luò)安全活動,對企業(yè)工控系統(tǒng)正常生產(chǎn)運行起到了非常關(guān)鍵的作用。但是對于工控系統(tǒng)本身而言,系統(tǒng)自身存在的安全缺陷卻容易被威脅利用,從根本上解決這類問題還需要從軟件開發(fā)全生命周期管理來盡可能地實現(xiàn)軟件本身的安全性。
3.2 基于全生命周期管理
3.2.1 工業(yè)控制系統(tǒng)軟件開發(fā)全生命周期管理
工業(yè)控制系統(tǒng)開發(fā)商在需求、設(shè)計、編碼、測試、上線、運行和持續(xù)完善的各個階段,存在的主要問題是重功能實現(xiàn),輕安全功能,這樣就造成了工業(yè)控制系統(tǒng)本身存在許多可以被威脅利用的漏洞,從而產(chǎn)生工控信息安全風(fēng)險。
下面通過說明應(yīng)用程序設(shè)計風(fēng)險、編碼缺陷與配置缺陷來重點闡述工業(yè)控制系統(tǒng)應(yīng)用程序的安全風(fēng)險。
(1)工業(yè)控制系統(tǒng)應(yīng)用程序設(shè)計風(fēng)險
·設(shè)計復(fù)雜,沒有達到簡單性與附加安全特征間的平衡。在系統(tǒng)中通過少數(shù)的瓶頸點實現(xiàn)安全關(guān)鍵的操作,運用少量的、復(fù)雜的、多功能軟件組件操作,在多個安全級別,在不需要時調(diào)用了組件的安全功能。
過多的用戶接口與輸出,沒有確保用戶接口僅包含需要的功能,設(shè)計接口沒有考慮是否會被用戶繞過。沒有集中向下寫到一個程序,沒有做程序信息流的分析。
·設(shè)計層次沒有防御概念,在系統(tǒng)中僅有很少的安全層次,當(dāng)一個層次被破壞的情況下,不能有效地阻止安全違背行為。沒有一系列的防御層,使得一個單層被滲透的情況下能夠造成整個系統(tǒng)被破壞的可能性。如表1所示,隨著防御機制的增強,攻擊者需要偷取數(shù)據(jù)所花費的代價也相應(yīng)加大。
表1 防御機制與攻擊者所花費代價對比
·用戶與應(yīng)用數(shù)據(jù)的驗證,沒有考察所有的潛在區(qū)域,有可能通過這些區(qū)域,不可信的信息輸入進入應(yīng)用程序,沒有驗證通過應(yīng)用程序的任意數(shù)值,沒有檢查接收的數(shù)值是否是允許的數(shù)據(jù)類型或格式。
·沒有限制特權(quán),允許不必要的特權(quán)給應(yīng)用和功能,可能會潛在地導(dǎo)致未授權(quán)的信息進入敏感區(qū)域。特權(quán)沒有給予時間限制,沒有實現(xiàn)角色概念,實現(xiàn)不同的角色關(guān)聯(lián)不同的特權(quán)。
·信任開源軟件,使用前沒有進行評估。目前由于使用開源軟件帶來的問題遠遠高于商業(yè)軟件,所以這也是導(dǎo)致應(yīng)用系統(tǒng)風(fēng)險的重要因素之一。
·無失效保護。應(yīng)用系統(tǒng)沒有考慮失效保護問題,通常攻擊者會等待他們期待的系統(tǒng)失效類型,進而來挖掘系統(tǒng)的脆弱性,比如說系統(tǒng)失效時是否允許訪問,是否恢復(fù)到安全狀態(tài)等。
·無敏感信息保護。對應(yīng)用系統(tǒng)來說阻止訪問敏感信息是非常重要的,以防止信息泄露。這方面的設(shè)計通常需要注意:當(dāng)敏感信息不再使用時沒有立即刪除;加密密鑰沒有存儲在安全區(qū)域;
沒有運用CRC或SHA算法進行完整性保護;沒有關(guān)閉調(diào)試代碼,從而導(dǎo)致應(yīng)用系統(tǒng)的關(guān)鍵信息對外部接口是開放的。
·沒有安全的保護網(wǎng)絡(luò)接口,應(yīng)用系統(tǒng)的進出點沒有很好的定義、文檔化,網(wǎng)絡(luò)端口在通信完成后還處于激活狀態(tài),通信發(fā)生時沒有相應(yīng)的審計與日志。
(2)工業(yè)控制系統(tǒng)編碼缺陷工業(yè)控制系統(tǒng)編碼缺陷包括如下幾個方面:
·未驗證的輸入。比如緩沖區(qū)溢出、整形溢出、注入缺陷(命令、SQL、LDAP)等。
·數(shù)據(jù)保護或存儲失效。在安全存儲數(shù)據(jù)時,需要考慮:需要訪問數(shù)據(jù)的權(quán)限;數(shù)據(jù)加密問題;存儲密鑰的威脅。
·不正確的錯誤處理。通常包含幾個方面:不能處理一個錯誤的條件;程序停留在一個不安全的狀態(tài);由拒絕服務(wù)導(dǎo)致應(yīng)用程序死掉。
·信息泄露。通常導(dǎo)致信息泄露的主要方式有兩種:一種是無意的,比如由于代碼或非顯而易見的通道問題導(dǎo)致有價值的信息輸出,或由于代碼中的注釋或冗長的錯誤信息導(dǎo)致;另一種是故意的,比如沒有適當(dāng)?shù)谋Wo機密信息。防止信息泄露需要深入理解黑客通常所用的技術(shù)與方法,以及對他們有用的信息類型。
·競爭條件。指的是應(yīng)用系統(tǒng)如果采用多任務(wù)的方式,需要考慮系統(tǒng)資源的管理,需要考慮不同任務(wù)的優(yōu)先級,任務(wù)的調(diào)度機制,內(nèi)存的分配,避免任務(wù)間的死鎖等情況。
·惡意代碼。有意地插入代碼以破壞應(yīng)用的安全性,通常能夠隱藏在調(diào)試軟件、加載程序、時間炸彈、特洛伊木馬等程序中。
(3)工業(yè)控制系統(tǒng)配置缺陷
工業(yè)控制系統(tǒng)配置缺陷通常是由于沒有好的配置管理導(dǎo)致,沒有建立一個專門的配置管理團隊負責(zé)不同項目配置管理分支的創(chuàng)建、更改、撤銷與維護。沒有設(shè)置不同的配置管理級別,以禁止對配置項目未授權(quán)的更改,比如說禁止測試人員在開發(fā)分支上更改代碼。另外,好的配置管理禁止開發(fā)與測試人員刪除配置項,只允許添加,對測試文檔,測試過程中使用的任何工具都需要在配置管理中進行維護。
工控系統(tǒng)本身的健壯性對工業(yè)生產(chǎn)起到?jīng)Q定性的作用,只有工控系統(tǒng)軟件在需求、設(shè)計、編碼、測試、上線、運行和不斷完善的各個階段在考慮功能實現(xiàn)的同時,充分考慮安全功能需求,才能加強工控系統(tǒng)本身的健壯性,避免漏洞被威脅利用。
3.2.2 攻擊過程全生命周期管理
工控系統(tǒng)出現(xiàn)信息安全風(fēng)險看似偶然,但肯定存在其必然性。從整個黑客攻擊過程來看,分為搜索、掃描、獲得權(quán)限、保持連接、消除痕跡五個步驟,這五個步驟又可以歸為事前(搜索、掃描)、事中(獲得權(quán)限、保持連接)和事后(消除痕跡)三個階段。
啟明星辰工控信息安全解決方案可以通過工控安全評估服務(wù),并結(jié)合工控信息安全產(chǎn)品體系,對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊過程全生命周期進行管理和控制,從而達到風(fēng)險可控的目標(biāo)。具體做法是:
(1)事前
·提供工控系統(tǒng)信息安全意識教育培訓(xùn),防止黑客搜索到企業(yè)相關(guān)信息。比如,確保系統(tǒng)不會將信息泄露到網(wǎng)絡(luò)上,其中包括:軟件版本和補丁級別;電子郵件地址;關(guān)鍵人員的姓名和職務(wù);確保紙質(zhì)信息得到妥善處理;接受域名注冊查詢時提供通用的聯(lián)系信息;禁止對來自周邊局域網(wǎng)/廣域網(wǎng)設(shè)備的掃描企圖進行回應(yīng)等。
·提供工控系統(tǒng)信息安全風(fēng)險評估服務(wù)。比如:漏洞掃描、配置核查,滲透測試、白盒測試等,發(fā)現(xiàn)自身安全漏洞,及時進行安全加固,防止被黑客掃描到漏洞信息。一般加固措施包括:關(guān)閉所有不必要的端口和服務(wù);關(guān)閉關(guān)鍵設(shè)備或處理敏感信息的設(shè)備,只容許響應(yīng)經(jīng)過核準設(shè)備的請求;加強管理系統(tǒng)的控制,禁止直接訪問外部服務(wù)器,在特殊情況下需要訪問的時間,也應(yīng)該在訪問控制列表中進行端到端連接的控制;確保局域網(wǎng)/廣域網(wǎng)系統(tǒng)以及端點的補丁級別是足夠安全的。
(2)事中
通過在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全域邊界部署網(wǎng)關(guān)設(shè)備(工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)入侵防護等設(shè)備),對網(wǎng)絡(luò)訪問活動進行細粒度過濾和控制,防止非法訪問和連接。
通過在關(guān)鍵位置部署工控異常檢測系統(tǒng),監(jiān)測工業(yè)控制系統(tǒng)網(wǎng)絡(luò)異常活動,包括監(jiān)測基于木馬、病毒特征的特征庫,可以定義針對工控系統(tǒng)業(yè)務(wù)操作的工控指令行為特征進行過濾,從而實現(xiàn)既能監(jiān)測網(wǎng)絡(luò)異常活動情況,也能同時監(jiān)測工控系統(tǒng)業(yè)務(wù)指令的合法性,及時報警,迅速處置,避免風(fēng)險的發(fā)生。
(3)事后
在黑客實現(xiàn)攻擊的目的后,攻擊者通常會采取各種措施來隱藏入侵的痕跡并為今后可能的訪問留下控制權(quán)限。所以,在這個階段需要在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中部署工控信息安全審計系統(tǒng),對所有非法、異常活動,主要包括安全事件、安全日志、安全告警等,進行全程審計,以達到追究當(dāng)事人責(zé)任和總結(jié)經(jīng)驗教訓(xùn)的目的。
另外,對設(shè)備運維人員也需要配置運維審計系統(tǒng),防止發(fā)生未授權(quán)的操作等情況發(fā)生。
“防住風(fēng)險、控住事故、保住安全”是“抓執(zhí)行、抓過程、建機制”安全風(fēng)險管控的最基本和首要要求。應(yīng)該以“事前預(yù)防”做到“防住風(fēng)險”;以“事中控制”做到“控住事故”;以“事后總結(jié)”做到“保住安全”。
4 結(jié)語
總之,工業(yè)控制系統(tǒng)信息安全事關(guān)國家安全,為有效應(yīng)對網(wǎng)絡(luò)攻擊的新變化,需要整個工控系統(tǒng)信息安全產(chǎn)業(yè)鏈迅速行動起來。加強信息安全威脅分析等基礎(chǔ)技術(shù)研究,加強關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng)的安全評估,加快推動國產(chǎn)技術(shù)產(chǎn)品對國外產(chǎn)品的替代,聯(lián)合開展針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防演習(xí),搭建工業(yè)控制系統(tǒng)漏洞檢測等公共技術(shù)平臺,為我國工業(yè)控制系統(tǒng)安全生產(chǎn)保駕護航!
作者簡介
鄭凌鵬(1978-),男,湖北云夢人,本科學(xué)歷,Security CCIE,現(xiàn)就職于啟明星辰信息技術(shù)集團股份有限公司,任工控安全首席顧問。專業(yè)從事信息安全工作7年時間,精通信息安全體系,熟悉國家和行業(yè)信息安全政策及監(jiān)管要求,熟悉國內(nèi)國際信息安全標(biāo)準。曾調(diào)研多家DCS廠商和工控企業(yè)用戶現(xiàn)場環(huán)境,能夠?qū)鹘y(tǒng)信息安全理念很好地與工業(yè)控制系統(tǒng)有機結(jié)合,形成具有不同行業(yè)用戶特色的工業(yè)控制系統(tǒng)信息安全解決方案。主要專業(yè)方向為網(wǎng)絡(luò)技術(shù)、信息安全技術(shù)、工控安全。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號