從震網病毒看工業控制系統安全
東軟NetEye安全服務部資深咨詢顧問 胡甜
在機場、酒店大堂、時尚的咖啡廳,可以看到人們很自在地用筆記本電腦享受著上網沖浪的便捷,同時電信運營商們也在積極推廣城市熱點的接入覆蓋訪問。但隨著無線網絡嗅探變得輕而易舉,你是否考慮過網絡環境是否安全?
伊朗布舍爾核電站的遭遇為我們敲響警鐘,黑客攻擊正在從開放的互聯網向封閉的工控網蔓延,黑客動機從技術展示到利益獲取再到如今的高端性攻擊。因此,在關系到國計民生與國家安全的重大項目中,對國外品牌的選擇需要更加謹慎,并對中國自主研發的產品有足夠的重視。目前,許多國家對引進國外產品帶來的國家安全隱患都十分重視。在同類項目中,可以分別采用不同的品牌、不同的技術,把雞蛋放在不同的籃子里,以分散風險。應該在一定程度上,采取多種品牌、多種技術的策略,權衡項目成本與項目安全,使二者達到最大程度的優化與平衡。
據權威工業安全事件信息庫RISI統計,截止到2011年10 月,全球已發生200 余起針對工業控制系統的攻擊事件。2001年后,通用開發標準與互聯網技術的廣泛使用,使針對ICS 系統的攻擊行為出現大幅度增長,ICS 系統對于信息安全的需求變得更加迫切。
近年來典型工業控制系統入侵事件:
- 2005年,美國水電溢壩事件;
- 2007年,攻擊者入侵加拿大的一個水利SCADA 控制系統,破壞了用于取水調度的控制計算機;
- 2008年,攻擊者入侵波蘭某城市地鐵系統,通過電視遙控器改變軌道扳道器,導致四節車廂脫軌;
- 2010年,“網絡超級武器”Stuxnet 病毒針對性的入侵ICS 系統,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營;
- 2011年,黑客通過入侵數據采集與監控系統,使美國伊利諾伊州城市供水系統的供水泵遭到破壞。
工業控制系統(ICS)概述
工業控制系統(ICS)是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件,共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。其核心組件包括SCADA、DCS、PLC、RTU、IED以及接口技術等。
對工業控制系統中IT基礎設施的運行狀態進行監控,是工業工控系統穩定運行的基礎,其中核心組件就是數據采集與監視控制系統(SCADA),典型的SCADA系統由以下組件構成:
目前工業控制系統廣泛應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造等行業中,據不完全統計,超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,工業控制系統已是國家安全戰略的重要組成部分。
一次典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成,控制回路用以控制邏輯運算、HMI執行信息交互、遠程診斷與維護工具,確保出現異常操作時進行診斷和恢復。
隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,通過各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制系統擴散。其風險主要來源于:
ICS風險的主要根源
- 漏洞隱蔽性和嚴重性;采用專用的硬件、軟件和通信協議。
- 安全重視不夠、連接無序、數據保護和應急管理不足;設計上考慮到封閉性、主要以傳統安全為主。
- 默認配置、連接、組網、采購升級無序;主要基于工業應用的場景和執行效率。
工控平臺的脆弱性
- 平臺本身的安全漏洞問題;
- 殺毒軟件安裝及升級更新問題;
- 大量默認配置和默認口令;
- 專用平臺和通用平臺漏洞。
工控網絡的脆弱性
TCP/IP等通用協議與開發標準引入工業控制系統,特別是物聯網、云計算、移動互聯網等新興技術,使得理論上絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。傳統的威脅同樣會在工業網絡中重現。
- 邊界安全策略缺失;
- 系統安全防御機制缺失;
- 管理制度缺失或不完善;
- 網絡配置規范缺失;
- 監控與應急響應機制缺失;
- 網絡通信(無線接入+撥號網絡)保障機制缺失;
- 基礎設施可用性保障機制缺失。
安全管理、標準和人才的脆弱性
缺乏完整有效安全管理、標準和資金投入是當前我國工業控制系統的難題之一。其次,過多的強調網絡邊界的防護、內部環境的封閉,讓內部安全管理變得混亂。另外,既了解工控系統原理和業務操作又懂信息安全的人才少之又少,為混亂的工控安全管理埋下了伏筆。最后,內網審計、監控、準入、認證、終端管理等缺失也是造成工控系統安全威脅的重要原因。如:使用U盤、光盤導致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監控和審計等問題。
為了加強工控網防護,工信部緊急下發了工信部協【2011】451號文《關于加強工業控制系統信息安全管理的通知》,指出我國目前工控系統現狀:對工業控制系統信息安全問題重視不夠;管理制度不健全;相關標準規范缺失;技術防護措施不到位;安全防護能力和應急處置能力不高等。工信部要求工業、能源、交通、水利以及市政等加強工業控制系統安全管理。
工控網安全基本安全防護原則
ICS網絡中有代表性的EPA(Ethernet for Plant Automation)網絡由企業信息管理層、過程監控層和現場設備層三個層次組成,采用分層化的網絡安全管理措施。
EPA現場設備采用特定的網絡安全管理功能,對其接收到的任何報文進行訪問權限、訪問密碼等的檢測,使只有合法的報文才能得到處理,其他非法報文將直接予以丟棄,避免了非法報文的干擾。
在過程監控層,采用EPA網絡對不同微網段進行邏輯隔離,以防止非法報文流量干擾EPA網絡的正常通信,占用網絡帶寬資源。
對于來自于互聯網上的遠程訪問,則采用EPA代理服務器以及各種可用的信息網絡安全管理措施,以防止遠程非法訪問。
美國《工業控制系統安全指南》也提出了ICS系統如下縱深防護體系架構(如下圖),可供我們參考。
電力二次系統防護方案是工業控制系統安全防護的典型案例
電力二次系統方案遵循“安全分區、網絡專用、橫向隔離、縱向認證”的原則,涵蓋電力監控系統、電力調度管理信息系統、電力通信及調度數據網絡等,該方案為電力信息安全搭建了最為基礎的安全框架,但由于電力二次系統基本原則出臺較早,基本搭建在網絡安全防護的基礎上,對系統、業務應用、數據安全以及安全管理方面考慮較少,目前面臨著新的安全威脅,需要更全面的解決方案應對。
總而言之,工控系統安全要做到“進不來、拿不走、看不到、改不了、走不脫”。只有管理體系、技術體系、運維體系三管齊下,有機融合,方能保一方平安。
