今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著電氣化、自動(dòng)化、信息化技術(shù)能力發(fā)展,工業(yè)自動(dòng)化技術(shù)和信息化技術(shù)全面融合,工業(yè)控制系統(tǒng)的基礎(chǔ)性、全局性的作用也日益增強(qiáng),自動(dòng)化與信息化控制系統(tǒng)PLC、DCS、SCADA等全面普及。在面臨不斷發(fā)生的網(wǎng)絡(luò)攻擊事件形勢(shì)下,習(xí)總書記提出“沒有網(wǎng)絡(luò),就沒有國(guó)家安全”、“網(wǎng)絡(luò)安全與信息化是一體之雙翼”核心思想,開啟了我國(guó)網(wǎng)絡(luò)安全理念和安全保障理念的進(jìn)步,網(wǎng)絡(luò)安全發(fā)展將面臨前所未有的機(jī)遇和挑戰(zhàn)。本文針對(duì)控制系統(tǒng)中的終端主機(jī)的安全及防護(hù)實(shí)踐進(jìn)行概述。
關(guān)鍵詞:工控主機(jī)安全;電力工控安全
1 引言
伴隨我國(guó)經(jīng)濟(jì)的快速發(fā)展,工業(yè)自動(dòng)化控制技術(shù)進(jìn)步日新月異,自動(dòng)化與信息化控制系統(tǒng)PLC、DCS、SCADA等在電力行業(yè)的發(fā)電側(cè)已經(jīng)全面普及。發(fā)電行業(yè)隨著工業(yè)自動(dòng)化技術(shù)和信息化技術(shù)的高速發(fā)展而全面融合,工業(yè)控制系統(tǒng)的基礎(chǔ)性、全局性在生產(chǎn)經(jīng)營(yíng)中的作用也日益增強(qiáng),為企業(yè)帶來管理和提高生產(chǎn)效率的同時(shí),伴隨而來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)亦不容忽視。近年來,國(guó)內(nèi)外發(fā)生“Stuxnet”震網(wǎng)病毒入侵伊朗布什爾核電站、“BalckEnergy”惡意攻擊導(dǎo)致烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)大面積停電等網(wǎng)絡(luò)攻擊安全事件給全世界敲響了網(wǎng)絡(luò)安全的警鐘。習(xí)近平總書記多次提出網(wǎng)絡(luò)安全的重要性:沒有網(wǎng)絡(luò)安全,就沒有國(guó)家安全;沒有信息化,就沒有現(xiàn)代化。電力行業(yè)的安全生產(chǎn)涉及百姓民生,而保障電力安全生產(chǎn)的重要環(huán)節(jié)正是這基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng),而整個(gè)控制系統(tǒng)的最脆弱、最危險(xiǎn)、最不可控、最容易受到攻擊和入侵的正是控制系統(tǒng)的工程師站和操作員站等終端主機(jī)。
2 工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)是指由計(jì)算機(jī)與工業(yè)過程控制部件組成的自動(dòng)控制系統(tǒng)。工業(yè)控制系統(tǒng)(ICS)主要包括常見的SCADA系統(tǒng)、DCS和其他較小的自動(dòng)控制系統(tǒng),如PLC,是工業(yè)生產(chǎn)中使用的所有類型控制系統(tǒng)的總稱。SCADA系統(tǒng)通常作為工業(yè)控制的核心系統(tǒng),實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視和控制及設(shè)備參數(shù)調(diào)節(jié)、數(shù)據(jù)采集、數(shù)據(jù)測(cè)量、各類反饋信號(hào)報(bào)警等。DCS分布式控制系統(tǒng)主要應(yīng)用在流程生產(chǎn)行業(yè)的控制系統(tǒng),主要實(shí)現(xiàn)對(duì)各子系統(tǒng)在運(yùn)行過程中的控制功能。PLC廣泛應(yīng)用于實(shí)現(xiàn)工業(yè)設(shè)備的具體操作與工藝控制,其作用主要是從遠(yuǎn)程站點(diǎn)獲取數(shù)據(jù)和接受自動(dòng)化或者操作者命令。例如控制生產(chǎn)設(shè)備啟停、監(jiān)測(cè)生產(chǎn)環(huán)境、接收傳感器數(shù)據(jù)。工業(yè)過程控制部件對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè),在計(jì)算機(jī)的調(diào)配下,實(shí)現(xiàn)設(shè)備自動(dòng)化運(yùn)行以及對(duì)業(yè)務(wù)流程的管理與監(jiān)控,其特點(diǎn)主要表現(xiàn)在數(shù)據(jù)傳送的實(shí)時(shí)性、數(shù)據(jù)的事件驅(qū)動(dòng)及數(shù)據(jù)源主動(dòng)推送等。隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和控制技術(shù)的發(fā)展,傳統(tǒng)的控制領(lǐng)域正經(jīng)歷著一場(chǎng)前所未有的變革,開始向網(wǎng)絡(luò)化方向發(fā)展。控制系統(tǒng)的結(jié)構(gòu)從最初的計(jì)算機(jī)集中控制系統(tǒng)(CCS),到第二代的分散控制系統(tǒng)(DCS),發(fā)展到現(xiàn)在流行的現(xiàn)場(chǎng)總線控制系統(tǒng)(FCS)。伴隨著自動(dòng)化程度和控制系統(tǒng)的進(jìn)步發(fā)展,工業(yè)控制系統(tǒng)的管理、控制及操作端的功能越來越豐富,權(quán)限越來越大。集中、遠(yuǎn)程管理在帶來高效、便捷性的同時(shí),也帶來主機(jī)管理的多個(gè)安全風(fēng)險(xiǎn)性,如何管理好工業(yè)控制系統(tǒng)的“城門入口”,成為確保工業(yè)控制系統(tǒng)安全穩(wěn)定生產(chǎn)的重要工作。
3 主機(jī)安全要求
等保2.0版本的更迭意味著等級(jí)保護(hù)制度已進(jìn)入全新的時(shí)代,原有的制度已無法滿足當(dāng)下工控環(huán)境安全的要求,政策依據(jù)工控環(huán)境安全需求而制定,而工控環(huán)境的安全亦需將制度切實(shí)落地,兩者相互依賴。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GBT22239-2019和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GBT28448-2019等系列等保2.0相關(guān)標(biāo)準(zhǔn)對(duì)主機(jī)安全防護(hù),尤其是工業(yè)控制系統(tǒng)中主機(jī)的安全防護(hù)提出防護(hù)要求。本文對(duì)從安全風(fēng)險(xiǎn)及可整改性角度進(jìn)行部分闡述。
從控制設(shè)備的主機(jī)安全總體層面,應(yīng)否具有身份鑒別、訪問控制和安全審計(jì)等功能,如不具備上述功能,則核查是否由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制。
從主機(jī)的物理層面應(yīng)對(duì)主機(jī)是否關(guān)閉或拆除設(shè)備的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng),保留的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng)口等是否通過相關(guān)的措施實(shí)施嚴(yán)格的監(jiān)控管理。
從主機(jī)的身份鑒別層面,應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換,應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。
從主機(jī)的安全策略配置層面,應(yīng)重命名默認(rèn)賬戶,刪除、停用默認(rèn)賬戶和多余的、過期的賬戶,避免共享賬戶的存在。應(yīng)授予管理用戶所需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。并啟用登錄失敗處理功能,啟用安全控制策略限制非法登錄功能,非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作,如賬戶鎖定等。
從主機(jī)的安全審計(jì)層面,應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理。
從安全建設(shè)采購(gòu)管理方面層面,工業(yè)控制系統(tǒng)重要設(shè)備應(yīng)通過專業(yè)機(jī)構(gòu)的安全檢測(cè)后方可采購(gòu)使用。
4 主機(jī)安全風(fēng)險(xiǎn)
經(jīng)過多年的主機(jī)安全防護(hù)實(shí)踐發(fā)現(xiàn),很多高危的風(fēng)險(xiǎn)隱患依然存在,由于近幾年來對(duì)網(wǎng)絡(luò)安全的重視,新建工業(yè)控制系統(tǒng)在建設(shè)時(shí),會(huì)將網(wǎng)絡(luò)安全作為重要的一環(huán)進(jìn)行考慮設(shè)計(jì),主機(jī)多采用Linux操作系統(tǒng)或國(guó)產(chǎn)主機(jī)及控制系統(tǒng),風(fēng)險(xiǎn)隱患相對(duì)較低。但存量的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)隱患尤為明顯,尤其是距今10年左右建設(shè)的工業(yè)控制系統(tǒng),建設(shè)時(shí)設(shè)計(jì)多偏向功能和應(yīng)用,對(duì)主機(jī)安全設(shè)計(jì)較為忽略,多數(shù)為工業(yè)主機(jī)、商用臺(tái)式機(jī),多采用Windows7、XP、2008操作系統(tǒng),由于受控制系統(tǒng)平臺(tái)制約無法更換主機(jī)的操作系統(tǒng),同時(shí)常見的安全防護(hù)軟件在很多存量的工業(yè)控制系統(tǒng)中無法進(jìn)行很好的應(yīng)用,主要是管理員或廠家無法接受在控制主機(jī)端安裝安全防護(hù)軟件,或部分老舊主機(jī)安裝防護(hù)軟件后會(huì)嚴(yán)重占用系統(tǒng)資源導(dǎo)致影響業(yè)務(wù)應(yīng)用,所以存在極大的安全隱患。以電力行業(yè)為例,發(fā)現(xiàn)存在很多相似的安全風(fēng)險(xiǎn)隱患,如電力監(jiān)控系統(tǒng)中工程師站、操作員站、歷史站存在不必要的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口、無線、藍(lán)牙等未拆除或關(guān)閉,必要使用端口沒有采用技術(shù)措施確保安全;電力監(jiān)控系統(tǒng)中工程師及操作員站無密碼或弱口令登錄,缺乏技術(shù)手段實(shí)現(xiàn)雙因子認(rèn)證登錄;電力監(jiān)控系統(tǒng)中工程師及操作員站存在默認(rèn)賬戶及訪客用戶,未使用合理策略控制安全風(fēng)險(xiǎn);電力監(jiān)控系統(tǒng)中工程師站、操作員站,終端I/O設(shè)備操作權(quán)限缺乏技術(shù)管控手段,存在內(nèi)部惡意人員非授權(quán)操作及越權(quán)操作的安全威脅;電力監(jiān)控系統(tǒng)中工程師站或操作員站的系統(tǒng)配置、運(yùn)行監(jiān)控、重大操作等行為操作、U口使用、數(shù)據(jù)交換等操作缺乏行為監(jiān)管,無法做到行為審計(jì),無法實(shí)現(xiàn)過程追溯;電力監(jiān)控系統(tǒng)中工程師站、操作員站、歷史站、OPCSERVER主機(jī)、工作站、一般都采用Windows系統(tǒng),由于處于電廠內(nèi)部的隔離網(wǎng)絡(luò),存在補(bǔ)丁升級(jí)更新不及時(shí)或不能更新、無補(bǔ)丁可更新的狀況,設(shè)備或系統(tǒng)存在來自操作系統(tǒng)層面的漏洞;在特定工作中如部分系統(tǒng)調(diào)試和維護(hù)時(shí),通常需要本地或遠(yuǎn)程接入筆記本電腦。而對(duì)這些接入的移動(dòng)終端缺乏有效的安全監(jiān)管。這些常見隱患給工業(yè)控制系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)。
5 面臨的難題
針對(duì)目前比較主流的工業(yè)控制系統(tǒng)工程師站和操作員的設(shè)計(jì),多采用Linux操作系統(tǒng),但是由于早年工業(yè)控制系統(tǒng)在建設(shè)設(shè)計(jì)時(shí),全行業(yè)對(duì)網(wǎng)絡(luò)安全、信息安全要求并不高,針對(duì)工業(yè)控制系統(tǒng)的功能和應(yīng)用更為重視,所以在規(guī)劃設(shè)計(jì)時(shí)對(duì)信息安全環(huán)節(jié)投入不足,主機(jī)多采用當(dāng)時(shí)流行的工業(yè)主機(jī)、商用塔式機(jī)、辦公臺(tái)式機(jī),操作系統(tǒng)Windows2000、2008、XP、7都較為常見,且很多系統(tǒng)都是破解版、OEM版或是非商業(yè)版本。但是由于工業(yè)控制系統(tǒng)制約無法輕易更換主機(jī)的操作系統(tǒng),很多早年工業(yè)控制系統(tǒng)的工程師站無法從Windows下改變Linux操作系統(tǒng)。
主機(jī)安全防護(hù)技術(shù)經(jīng)過多年的發(fā)展,出現(xiàn)了安全防護(hù)、白名單等多種安全防護(hù)解決方案,在新建系統(tǒng)中應(yīng)用廣泛。但針對(duì)于存量的工業(yè)控制系統(tǒng),在安全管理大區(qū)的非控制大區(qū)尚有應(yīng)用,但在生產(chǎn)的控制大區(qū)則相對(duì)較少,還存在一些問題,無法大面積廣泛采用,主要是由于工業(yè)控制系統(tǒng)特性原因,管理員或廠家認(rèn)為在工程師站或操作員站的操作系統(tǒng)下安全防護(hù)軟件或具有“白名單”功能的防護(hù)軟件會(huì)對(duì)原有系統(tǒng)產(chǎn)生一定影響業(yè)務(wù)系統(tǒng)的隱患,所以無法接受在控制主機(jī)端安裝安全防護(hù)軟件,部分較為陳舊主機(jī)存在兼容或安裝防護(hù)軟件后會(huì)嚴(yán)重占用系統(tǒng)資源導(dǎo)致主機(jī)操作系統(tǒng)變慢的問題,所以存量工業(yè)控制系統(tǒng)的主機(jī)安全成為工業(yè)控制系統(tǒng)中的一大重要難題。
6 實(shí)踐技術(shù)路線
通過研發(fā)發(fā)現(xiàn)大量的存量工業(yè)控制無法更換安全操作系統(tǒng)和主機(jī)管理,或研發(fā)廠家無法接受安裝軟件及存在的安全風(fēng)險(xiǎn)隱患。同時(shí)根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GBT22239-2019和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GBT28448-2019等系列制度中,對(duì)主機(jī)應(yīng)否具有身份鑒別、訪問控制和安全審計(jì)等功能,如不具備上述功能,則核查是否由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制的要求,選擇從工業(yè)控制系統(tǒng)的上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制的技術(shù)路線來實(shí)現(xiàn)工業(yè)控制系統(tǒng)主機(jī)的安全防護(hù)。
通過“一對(duì)一”部署純硬件式“鎧甲式外掛”防護(hù)裝置的方式,不接入原有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)及主機(jī)系統(tǒng),對(duì)工業(yè)控制系統(tǒng)實(shí)現(xiàn)人員身份鑒別密碼+智能卡,滿足“雙因子認(rèn)證”且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)要求,同時(shí)替代性解決工業(yè)控制系統(tǒng)缺少人員訪問控制、雙因子認(rèn)證、人員權(quán)限管理等要求。并且針對(duì)USB口管理、數(shù)據(jù)安全交換提供了在線監(jiān)測(cè)和殺毒等技術(shù)手段管理,滿足對(duì)主機(jī)用戶操作、人員行為審計(jì)要求。在注重采用技術(shù)手段解決問題的同時(shí),同樣注重產(chǎn)品安全、可靠性,產(chǎn)品通過了公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心和中國(guó)電力科學(xué)研究院信息安全實(shí)驗(yàn)室檢驗(yàn),確保了自身安全和對(duì)原有工業(yè)控制系統(tǒng)無影響。
7 實(shí)踐解決的問題
此技術(shù)路線和實(shí)踐,通過理論研究和大量的現(xiàn)場(chǎng)實(shí)踐,獲得了用戶廣泛的認(rèn)可,解決了工業(yè)控制系統(tǒng)主機(jī)無法更換,無法安裝安全防護(hù)軟件,缺少人員身份鑒別、訪問控制、USB口管理、數(shù)據(jù)安全交換、操作系統(tǒng)及人員操作行為審計(jì)等場(chǎng)景下的工業(yè)控制系統(tǒng)主機(jī)安全防護(hù)問題。
網(wǎng)絡(luò)安全建設(shè)亦是日積月累逐漸完善的過程,工業(yè)控制系統(tǒng)在不斷發(fā)展,隨之而來安全風(fēng)險(xiǎn)不斷增加,所以工控網(wǎng)絡(luò)安全防護(hù)工作必將永遠(yuǎn)在路上。
作者簡(jiǎn)介
謝云龍(1987-),江蘇人,本科,現(xiàn)就職于北京中電瑞鎧科技有限公司,研究方向?yàn)榫W(wǎng)絡(luò)安全、工業(yè)互聯(lián)網(wǎng)、工控安全、信息化建設(shè)。
參考文獻(xiàn):
[1] 公安部, 國(guó)家保密局, 國(guó)家密碼管理局, 國(guó)務(wù)院信息化工作辦公室.信息安全等級(jí)保護(hù)管理辦法[Z]. 2007.
[2] GB/T22239-2019, 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].
[3] GB/T28448-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)