您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
淺談工業(yè)控制系統(tǒng)安全與實(shí)踐
隨著現(xiàn)代計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展及與工業(yè)控制系統(tǒng)(以下也稱(chēng)“ICS”系統(tǒng))的深度融合,極大地提高了工業(yè)控制系統(tǒng)的工作效率,但同時(shí)也帶來(lái)了嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。隨著國(guó)與國(guó)的競(jìng)爭(zhēng)日益激烈和黑客水平的不斷提高,網(wǎng)絡(luò)攻擊已經(jīng)不僅僅以獲取經(jīng)濟(jì)利益為目的,近年來(lái)還呈現(xiàn)出以破壞敵對(duì)國(guó)家基礎(chǔ)設(shè)施和能源供給的趨勢(shì),通過(guò)不斷滲透或潛伏到電力、能源、鐵路、化工、冶金、智能制造等領(lǐng)域的工業(yè)控制系統(tǒng),展開(kāi)具有針對(duì)性的破壞攻擊活動(dòng)。因此,世界各國(guó)均正努力采取措施用以加強(qiáng)工業(yè)控制系統(tǒng)的安全,強(qiáng)化其網(wǎng)絡(luò)系統(tǒng)的防護(hù)能力,變被動(dòng)防御為主動(dòng)防御,構(gòu)造有足夠縱深的立體化網(wǎng)絡(luò)防護(hù)體系,力爭(zhēng)將網(wǎng)絡(luò)攻擊造成的損失降低到最小。
本文通過(guò)介紹工業(yè)控制系統(tǒng)的安全現(xiàn)狀和安全挑戰(zhàn),討論工業(yè)控制系統(tǒng)自身潛在的風(fēng)險(xiǎn)和可能導(dǎo)致入侵的薄弱環(huán)節(jié),分析工業(yè)控制系統(tǒng)發(fā)生安全事件帶來(lái)的影響,并結(jié)合國(guó)內(nèi)現(xiàn)有的安全標(biāo)準(zhǔn)規(guī)范提出一些應(yīng)對(duì)風(fēng)險(xiǎn)的可行性實(shí)踐措施。
一、ICS系統(tǒng)的現(xiàn)狀與挑戰(zhàn)
1 . ICS系統(tǒng)的安全現(xiàn)狀
在工業(yè)控制技術(shù)和設(shè)備方面,由于國(guó)內(nèi)尚未掌握工業(yè)控制核心技術(shù),工業(yè)控制技術(shù)和設(shè)備主要由西門(mén)子、施耐德、羅克韋爾等國(guó)際廠商主導(dǎo)工業(yè)控制技術(shù)的發(fā)展和占領(lǐng)大部分的工業(yè)控制領(lǐng)域市場(chǎng)。工業(yè)生產(chǎn)企業(yè)選擇設(shè)備供應(yīng)商后,在運(yùn)行維護(hù)和設(shè)備升級(jí)更換等多方面面臨被工業(yè)設(shè)備廠商控制,無(wú)法輕易更換的局面。
在工業(yè)控制系統(tǒng)安全建設(shè)方面,工業(yè)控制網(wǎng)絡(luò)普遍是絕對(duì)“物理隔離”為核心安全手段的獨(dú)立工業(yè)控制系統(tǒng),在安全防護(hù)上普遍處于缺乏狀態(tài)。隨著兩化融合和智能制造在我國(guó)相關(guān)領(lǐng)域的探索,以及云計(jì)算、大數(shù)據(jù)和人工智能等新一代信息技術(shù)的迅速發(fā)展,新技術(shù)的應(yīng)用使得原來(lái)封閉的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)越來(lái)越開(kāi)放,尤其是“兩化融合”的深入以及“中國(guó)制造2025”等戰(zhàn)略的推進(jìn),工業(yè)控制系統(tǒng)開(kāi)始逐漸開(kāi)始采用以太網(wǎng)、通用協(xié)議、無(wú)線設(shè)備、遠(yuǎn)程配置等。OT生產(chǎn)系統(tǒng)和IT辦公管理系統(tǒng)開(kāi)始進(jìn)行連接以提升生產(chǎn)效率,這一過(guò)程切實(shí)地提升了業(yè)務(wù)生產(chǎn)水平,但是在互聯(lián)互通、縱向集成等新的生產(chǎn)模式下,工業(yè)控制系統(tǒng)正逐漸暴露于互聯(lián)網(wǎng)中,對(duì)應(yīng)的安全建設(shè)跟不上,工業(yè)控制系統(tǒng)下的安全問(wèn)題所包含的軟件隱患、網(wǎng)絡(luò)邊界隱患、環(huán)境和硬件隱患等問(wèn)題,以及工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全協(xié)議問(wèn)題,如操作系統(tǒng)的落后、補(bǔ)丁的更新不及時(shí)、緩沖區(qū)溢出問(wèn)題、拒絕服務(wù)漏洞、關(guān)鍵設(shè)備沒(méi)有冗余備份,不安全的遠(yuǎn)程訪問(wèn)ICS組件等問(wèn)題帶來(lái)的安全隱患問(wèn)題開(kāi)始不斷顯現(xiàn)。
在該類(lèi)型探索中進(jìn)展最大的智能制造工廠往往采用傳統(tǒng)IT系統(tǒng)邊界網(wǎng)關(guān)防護(hù)設(shè)備對(duì)IT、OT網(wǎng)絡(luò)進(jìn)行邏輯隔離,但策略設(shè)置上缺乏經(jīng)驗(yàn),控制粒度上設(shè)備能力不足,尤其是OT網(wǎng)絡(luò)內(nèi)部缺乏保護(hù),導(dǎo)致保護(hù)深度不到位,保護(hù)廣度不足與網(wǎng)絡(luò)安全保護(hù)相關(guān)要求仍存在較大的差距。
2 . ICS系統(tǒng)的安全挑戰(zhàn)
(1)針對(duì)ICS系統(tǒng)安全事件頻發(fā)
根據(jù)權(quán)威工業(yè)安全事件信息庫(kù)RISI的披露,針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊行為增長(zhǎng)明顯,而且針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊更多的發(fā)生在電力、能源、水利和交通等重要行業(yè)和領(lǐng)域。
◇ 2010年,伊朗布什爾核電站感染“震網(wǎng)(Stuxnet)”病毒,嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng),摧毀了伊朗濃縮鈾工廠五分之一的離心機(jī),導(dǎo)致該國(guó)的核工業(yè)進(jìn)程遭到重大影響。
◇ 2014年,德國(guó)境內(nèi)的鋼鐵廠遭遇到網(wǎng)絡(luò)黑客攻擊,惡意軟件攻擊了工廠鋼鐵熔爐控制系統(tǒng),讓鋼鐵熔爐無(wú)法正常關(guān)閉,導(dǎo)致遭受到“大規(guī)?!蔽锢砥茐?。
◇ 2015年,烏克蘭電網(wǎng)遭“Black Energy(黑暗力量)病毒”攻擊,受影響家庭70萬(wàn)戶(hù),成為有史以來(lái)首次導(dǎo)致大規(guī)模停電的網(wǎng)絡(luò)攻擊。
◇ 2017年,WannaCry勒索病毒蔓延全球,感染了150個(gè)國(guó)家的30多萬(wàn)臺(tái)計(jì)算機(jī),中石油公司超過(guò)2萬(wàn)座加油站遭受到攻擊,在斷網(wǎng)約36小時(shí)左右才慢慢恢復(fù)。
◇ 2018年,臺(tái)積電遭受WannaCry病毒攻擊,使其工廠生產(chǎn)線受損,預(yù)計(jì)損失10多億元人民幣。
◇ 2019年,委內(nèi)瑞拉國(guó)內(nèi)發(fā)生全國(guó)范圍的大規(guī)模停電,導(dǎo)致全國(guó)交通癱瘓,地鐵系統(tǒng)關(guān)閉,醫(yī)院手術(shù)中斷,通訊線路中斷,給委內(nèi)瑞拉帶來(lái)了重大損失。
除此之外,各大安全攻防研究機(jī)構(gòu)還先后提取了火焰病毒、sandworm病毒、格盤(pán)病毒、“方程式”組織病毒庫(kù)、red October病毒、Cleaver系列病毒等一系列工業(yè)控制網(wǎng)絡(luò)病毒,工業(yè)控制系統(tǒng)的安全形勢(shì)是十分嚴(yán)峻。
(2)工業(yè)控制系統(tǒng)面臨嚴(yán)重威脅
工業(yè)控制系統(tǒng)面臨的嚴(yán)重威脅主要包括外部威脅和內(nèi)部威脅兩大方面。其中外部威脅方面,工業(yè)控制系統(tǒng)主要面臨的是網(wǎng)絡(luò)攻擊的威脅,我們通過(guò)對(duì)一些客戶(hù)網(wǎng)絡(luò)中的攻擊分析發(fā)現(xiàn),目前對(duì)工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工業(yè)控制數(shù)據(jù)篡改;而根據(jù)相關(guān)網(wǎng)絡(luò)安全調(diào)查結(jié)果顯示,大多的安全威脅來(lái)自組織內(nèi)部,包括無(wú)意識(shí)的外部風(fēng)險(xiǎn)引入,第三方維護(hù)人員的威脅,管理制度漏洞、安全策略無(wú)法有效落地等內(nèi)部因素。
(3)國(guó)內(nèi)外對(duì)ICS防護(hù)高度重視
工業(yè)控制系統(tǒng)脆弱的安全狀況以及面臨的日益嚴(yán)重的攻擊威脅,已經(jīng)引起了國(guó)家的高度重視,甚至提升到國(guó)家安全戰(zhàn)略的高度,在政策、標(biāo)準(zhǔn)、技術(shù)等方面展開(kāi)了積極應(yīng)對(duì)。德國(guó)提出“德國(guó)工業(yè)4.0戰(zhàn)略”,美國(guó)提出“先進(jìn)制造業(yè)國(guó)家戰(zhàn)略計(jì)劃”,日本和英國(guó)也分別提出“制造業(yè)白皮書(shū)”和“英國(guó)工業(yè)2050戰(zhàn)略”等概念。
我國(guó)政府對(duì)于工業(yè)控制系統(tǒng)的安全性予以高度重視,先后出臺(tái)了多項(xiàng)政策、標(biāo)準(zhǔn)和指導(dǎo)意見(jiàn),對(duì)工業(yè)控制網(wǎng)絡(luò)安全提出了重要的建設(shè)性意見(jiàn)和指導(dǎo)標(biāo)準(zhǔn),并強(qiáng)調(diào)了工業(yè)控制網(wǎng)絡(luò)安全的戰(zhàn)略地位。國(guó)家發(fā)展和改革委員會(huì)2010年起開(kāi)始組織信息安全專(zhuān)項(xiàng),將工業(yè)控制系統(tǒng)安全問(wèn)題作為獨(dú)立領(lǐng)域重點(diǎn)支持。2011年年底,工信部下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))的通知,強(qiáng)調(diào)加強(qiáng)工業(yè)信息安全的重要性、緊迫性。國(guó)家發(fā)展和改革委員會(huì)也開(kāi)始從政策和科研層面上積極部署工業(yè)控制系統(tǒng)的安全保障工作,研究和制定相關(guān)規(guī)范及要求,其中對(duì)電力行業(yè)、石油石化行業(yè)、煙草行業(yè)及先進(jìn)制造業(yè)的規(guī)范尤為突出。2015年,隨著“互聯(lián)網(wǎng)+”、“中國(guó)制造2025”等國(guó)家戰(zhàn)略方針的出臺(tái),隨著“兩化融合”政策的深入推進(jìn),國(guó)內(nèi)工業(yè)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)化、智能化水平快速提高。2016年4月19日,習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表了重要講話,進(jìn)一步表明工控行業(yè)的相關(guān)問(wèn)題已經(jīng)上升到國(guó)家高度。李克強(qiáng)總理在2017年政府工作報(bào)告中強(qiáng)調(diào)“深入實(shí)施《中國(guó)制造2025》,加快大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)應(yīng)用,以新技術(shù)新業(yè)態(tài)新模式,推動(dòng)傳統(tǒng)產(chǎn)業(yè)生產(chǎn)、管理和營(yíng)銷(xiāo)模式變革?!?/span>
二、ICS系統(tǒng)安全風(fēng)險(xiǎn)分析
1 . 發(fā)電行業(yè)ICS系統(tǒng)安全風(fēng)險(xiǎn)分析
(1)SIS系統(tǒng)與電氣系統(tǒng)、鍋爐汽輪機(jī)系統(tǒng)等所有發(fā)電控制系統(tǒng)連接在一區(qū),無(wú)分區(qū)分域設(shè)計(jì),并且缺乏安全防護(hù)措施,其中一個(gè)系統(tǒng)受到破壞,面臨著所有發(fā)電控制系統(tǒng)受到破壞的風(fēng)險(xiǎn);
(2)電氣系統(tǒng)、鍋爐汽輪機(jī)等系統(tǒng)的操作員站、工程師站等大多采用Windows的操作系統(tǒng),長(zhǎng)期不更新系統(tǒng)補(bǔ)丁且無(wú)任何防病措施,面臨感染病毒的風(fēng)險(xiǎn);
(3)大多電廠的發(fā)電控制系統(tǒng)通過(guò)OPC協(xié)議和上層管理系統(tǒng)通訊,很多電廠中用來(lái)做邏輯隔離的防火墻不支持OPC動(dòng)態(tài)端口機(jī)制,導(dǎo)致安全控制策略無(wú)法有效實(shí)施;
(4)多數(shù)電廠未明確網(wǎng)絡(luò)安全管理機(jī)構(gòu),網(wǎng)絡(luò)安全管理人員職責(zé)分工不明確、安全意識(shí)缺乏,網(wǎng)絡(luò)安全管理制度體系缺失或不完善。
2 . 軌交行業(yè)ICS系統(tǒng)安全風(fēng)險(xiǎn)分析
(1)軌道交通采用控制系統(tǒng)通信協(xié)議自身存在漏洞,黑客可利用漏洞對(duì)相關(guān)工業(yè)控制系統(tǒng)發(fā)送非法控制命令;
(2)軌道交通采用控制系統(tǒng)工業(yè)協(xié)議廣泛,如西門(mén)子、和利時(shí)等PLC、DCS等協(xié)議均缺乏身份認(rèn)證機(jī)制,面臨著被非法控制的風(fēng)險(xiǎn);
(3)工業(yè)控制系統(tǒng)中的工程師站、操作員站以及部分服務(wù)器均采用Windows系統(tǒng),而且很多還是早期的Windows XP系統(tǒng)、Windows 2000系統(tǒng),微軟官方早已停止漏洞和補(bǔ)丁更新,面臨著漏洞被利用風(fēng)險(xiǎn);
(4)主機(jī)外聯(lián)接口如USB接口無(wú)管控,U盤(pán)、光盤(pán)隨意使用;擔(dān)心殺毒軟件誤殺業(yè)務(wù)程序影響業(yè)務(wù)連續(xù)性,幾乎無(wú)防病毒措施,面臨著引入病毒攻擊風(fēng)險(xiǎn);
(5)IT和OT網(wǎng)絡(luò)責(zé)任主體不清楚,安全管理和運(yùn)維相對(duì)混亂,沒(méi)有專(zhuān)門(mén)為工業(yè)控制系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)安全管理方面的管理部門(mén)和工作流程。
3 . 煙草行業(yè)ICS系統(tǒng)安全風(fēng)險(xiǎn)分析
(1)目前多數(shù)卷煙廠均建有MES系統(tǒng),業(yè)務(wù)上需要MES系統(tǒng)和各車(chē)間工業(yè)控制系統(tǒng)互聯(lián),但管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間、生產(chǎn)網(wǎng)絡(luò)生產(chǎn)區(qū)與控制區(qū)之間缺乏必要的隔離控制措施,缺乏有效的訪問(wèn)控制和安全防護(hù)手段,導(dǎo)致辦公網(wǎng)中安全風(fēng)險(xiǎn)極易傳播到生產(chǎn)網(wǎng);
(2)大多卷煙廠的工業(yè)控制系統(tǒng)缺乏安全審計(jì)檢測(cè)類(lèi)產(chǎn)品,無(wú)法對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行威脅感知和故障檢測(cè),不能及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的異常行為及入侵行為,并進(jìn)行及時(shí)處理;
(3)制絲集控系統(tǒng)中幾乎所有主機(jī)在病毒防護(hù)方面做的并不到位,工控上位機(jī)大多數(shù)處于“裸奔”狀態(tài),很多都沒(méi)有安裝統(tǒng)一的防病毒軟件,即便安裝了防病毒軟件,病毒庫(kù)也未及時(shí)更新,實(shí)際病毒木馬的防護(hù)相當(dāng)脆弱;
(4)部分卷煙廠沒(méi)有制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度,以及對(duì)人員的安全意識(shí)培養(yǎng)缺乏,造成人員的安全意識(shí)淡薄。
4 . 共性安全風(fēng)險(xiǎn)分析與確認(rèn)
通過(guò)對(duì)電力、城市軌道交通、煙草等行業(yè)工業(yè)現(xiàn)場(chǎng)安全隱患的調(diào)研與分析,我們發(fā)現(xiàn)目前工業(yè)控制系統(tǒng)中存在多方面的風(fēng)險(xiǎn)。
(1)安全邊界模糊無(wú)分層分區(qū)設(shè)計(jì)
大多數(shù)行業(yè)的工業(yè)控制系統(tǒng)各子系統(tǒng)之間沒(méi)有安全隔離防護(hù),未根據(jù)區(qū)域重要性和業(yè)務(wù)需求對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分,網(wǎng)絡(luò)和區(qū)域邊界不清晰,邊界訪問(wèn)控制策略缺失,重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段,一旦出現(xiàn)網(wǎng)絡(luò)安全事件,安全威脅無(wú)法控制在特定網(wǎng)絡(luò)區(qū)域內(nèi)。
(2)對(duì)ICS系統(tǒng)多種漏洞缺乏應(yīng)對(duì)
◇ 工控設(shè)備漏洞
工業(yè)控制系統(tǒng)安全的價(jià)值已經(jīng)被普遍認(rèn)可,在這樣的背景下,從2010年“震網(wǎng)病毒”事件開(kāi)始針對(duì)工控設(shè)備的漏洞挖掘成果大量被披露,設(shè)備現(xiàn)場(chǎng)的漏洞,通過(guò)網(wǎng)絡(luò)、外設(shè)等方式被順利利用后,將導(dǎo)致系統(tǒng)過(guò)載、設(shè)備故障停擺等嚴(yán)重影響,從而影響企業(yè)的整體安全生產(chǎn)。
例如,以目前在油氣田中普遍使用的Siemens S7-300 PLC為例,作為市場(chǎng)占有率極高的一款工業(yè)控制設(shè)備,其漏洞數(shù)量多、影響大,且在現(xiàn)場(chǎng)普遍未被修復(fù)。
◇工控協(xié)議漏洞
工業(yè)控制協(xié)議主要傳輸?shù)母黝?lèi)協(xié)議的指令碼,使用之初未采用TCP/IP,在工業(yè)網(wǎng)絡(luò)的以太網(wǎng)化過(guò)程中,協(xié)議也基于TCP/IP協(xié)議族做了重新設(shè)計(jì),而這一過(guò)程,僅僅將工業(yè)控制指令作為T(mén)CP/IP的數(shù)據(jù)載荷在進(jìn)行傳輸封裝,缺乏安全性考慮,導(dǎo)致存在大量的漏洞可被利用。
例如,在數(shù)據(jù)監(jiān)控與采集中經(jīng)常應(yīng)用的OPC Classic協(xié)議(OPC DA, OPC HAD和OPC A&E)基于微軟的DCOM協(xié)議,而DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊;并且,OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的安全設(shè)備來(lái)確保其安全性。
圖 工業(yè)控制系統(tǒng)各工控協(xié)議漏洞占比圖
◇工控軟件漏洞
由于工業(yè)應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開(kāi)放其應(yīng)用端口,因此常規(guī)的IT安全設(shè)備很難保障其安全性。
例如,以常見(jiàn)的工業(yè)應(yīng)用GE IFIXv5.0為例,GE IFIX公開(kāi)披露漏洞8個(gè),其中包含高危漏洞1個(gè)(CNVD-2013-14823,遠(yuǎn)程緩沖區(qū)溢出漏洞。成功利用后可使攻擊者在受影響應(yīng)用上下文中執(zhí)行任意代碼)。
◇操作系統(tǒng)漏洞
目前企業(yè)的工程師站/操作員站/HMI都是基于Windows平臺(tái)的Windows XP及Windows7操作系統(tǒng)。由于傳統(tǒng)上一般認(rèn)為工業(yè)控制主機(jī)是在隔離的“安全環(huán)境”中,又要保證上位機(jī)上各類(lèi)工控軟件的穩(wěn)定運(yùn)行,通?,F(xiàn)場(chǎng)工程師在系統(tǒng)開(kāi)始運(yùn)行后便不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁。不安裝補(bǔ)丁系統(tǒng)就存在更多被攻擊的可能,從而埋下安全隱患。目前工業(yè)控制系統(tǒng)經(jīng)常出現(xiàn)的誤中勒索病毒及“礦機(jī)病毒”事件,利用的多數(shù)都是已經(jīng)提供補(bǔ)丁的漏洞,其影響之大可見(jiàn)一斑。
(3)對(duì)ICS系統(tǒng)缺乏控制隔離機(jī)制
部分先進(jìn)制造企業(yè)的工業(yè)控制系統(tǒng)和辦公網(wǎng)絡(luò)在同一個(gè)物理網(wǎng)絡(luò)中,隔離機(jī)制僅僅依賴(lài)不具備工業(yè)系統(tǒng)防護(hù)技術(shù)的傳統(tǒng)防火墻,無(wú)法覆蓋當(dāng)前多個(gè)生產(chǎn)區(qū)域的實(shí)際環(huán)境,也導(dǎo)致實(shí)際應(yīng)用中的許多控制網(wǎng)絡(luò)都是“敞開(kāi)的”,不同的生產(chǎn)區(qū)域、不同的子系統(tǒng)之間都沒(méi)有有效的隔離。一旦發(fā)生攻擊,沒(méi)有有效的阻斷機(jī)制和隔離機(jī)制將難以遏制攻擊擴(kuò)散造成嚴(yán)重的影響。
(4)病毒與入侵行為防護(hù)能力不足
為了保證工控應(yīng)用軟件的可用性,許多石油煉化控制系統(tǒng)操作員站通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件,在使用過(guò)程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是,其病毒庫(kù)需要不定期的經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的,導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
(5)缺少新型未知威脅的防控方法
在應(yīng)對(duì)各類(lèi)已知問(wèn)題和現(xiàn)有網(wǎng)絡(luò)設(shè)計(jì)缺陷帶來(lái)的風(fēng)險(xiǎn)的同時(shí),還必須充分應(yīng)對(duì)各類(lèi)基于0-day漏洞的APT攻擊。
工業(yè)安全領(lǐng)域存在極為嚴(yán)重的信息的不對(duì)稱(chēng),工業(yè)控制系統(tǒng)中的問(wèn)題往往難以被察覺(jué),且普遍存在攻擊事件未被披露的情況,導(dǎo)致大量的安全防護(hù)知識(shí)未能被利用。這一背景,也導(dǎo)致了在工業(yè)環(huán)境中有更多可被輕易利用的0-day漏洞,未知威脅攻擊在工業(yè)互聯(lián)網(wǎng)越來(lái)越多,打通工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)絡(luò)邊界的未來(lái),將成為企業(yè)工業(yè)控制系統(tǒng)安全防護(hù)的重點(diǎn)課題之一,而企業(yè)目前針對(duì)工業(yè)控制系統(tǒng)未知威脅的防護(hù)還是空白。
(6)安全管理流程上不夠重視安全
追求可用性而不注重安全性,是目前工業(yè)控制系統(tǒng)中存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一定的威脅。例如在多個(gè)網(wǎng)絡(luò)事件中,事由都源于對(duì)多個(gè)網(wǎng)絡(luò)端口進(jìn)入點(diǎn)疏于防護(hù),包括USB鑰匙、維修連接、筆記本電腦等。
三、ICS系統(tǒng)安全解決之道
在工業(yè)控制系統(tǒng)的安全建設(shè)中,可通過(guò)“分層分區(qū)、本體保護(hù)、智能分析和集中管控”的原則進(jìn)行安全防護(hù)設(shè)計(jì),解決以上工業(yè)控制系統(tǒng)提到一些共性網(wǎng)絡(luò)安全問(wèn)題。
分層分區(qū):依據(jù)“垂直分層,水平分區(qū)”的思想對(duì)工業(yè)控制系統(tǒng)進(jìn)行細(xì)致的安全區(qū)域劃分,同時(shí)根據(jù)不同區(qū)域的安全防護(hù)需求特點(diǎn)分級(jí)別、分重點(diǎn)落實(shí)安全措施。
本體保護(hù):工業(yè)控制系統(tǒng)中的各個(gè)模塊均應(yīng)實(shí)現(xiàn)自身的安全。同時(shí),在條件不具備的條件下將各模塊本體作為安全防護(hù)的單元,應(yīng)用必要的安全技術(shù)、管理手段和應(yīng)急措施。
智能分析:在構(gòu)筑安全架構(gòu)的基礎(chǔ)上,通過(guò)對(duì)AI技術(shù)、自動(dòng)化技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為中新型未知威脅的挖掘,通過(guò)智能化的策略建議提供更高的安全防護(hù)水平。
集中管控:對(duì)部署的安全防護(hù)技術(shù)手段應(yīng)在系統(tǒng)范圍內(nèi)進(jìn)行集中管控,將各個(gè)孤立的安全模塊提供的安全能力整合成協(xié)同工作的安全防護(hù)體系。
1 . 分層分區(qū)結(jié)構(gòu)設(shè)計(jì)
對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分層分區(qū),把具有相似特點(diǎn)的信息資產(chǎn)集合起來(lái),進(jìn)行總體防護(hù),從而可更好地保障安全策略的有效性和一致性。參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)和IEC62264《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化 網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn),按照“縱向分層,橫向分區(qū)”的原則,對(duì)工業(yè)控制系統(tǒng)進(jìn)行分層分區(qū),并將不同的生產(chǎn)線進(jìn)行邏輯隔離。
圖 工業(yè)控制系統(tǒng)分層分區(qū)保護(hù)架構(gòu)模型圖
如上圖所示,“縱向分層、橫向分區(qū)”即對(duì)工業(yè)控制系統(tǒng)垂直方向化分為5層:現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層。橫向分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開(kāi),處于不同的安全區(qū)。橫向上對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全區(qū)域的劃分,根據(jù)工業(yè)控制系統(tǒng)中業(yè)務(wù)的重要性、實(shí)時(shí)性、資產(chǎn)屬性等,劃分不同的安全防護(hù)區(qū)域。一個(gè)網(wǎng)絡(luò)安全區(qū)域可以包括多個(gè)不同等級(jí)的子區(qū)域,也可以包括一個(gè)或多個(gè)功能層次的設(shè)備。
2 . 安全防護(hù)重點(diǎn)實(shí)施
(1)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離
在IT辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間部署安全隔離網(wǎng)閘,進(jìn)行技術(shù)隔離和數(shù)據(jù)交換,安全隔離網(wǎng)閘的隔離技術(shù)采用固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng),剝離了網(wǎng)絡(luò)協(xié)議,規(guī)避了基于網(wǎng)絡(luò)傳輸協(xié)議、工業(yè)控制協(xié)議的攻擊和入侵。當(dāng)然,對(duì)于安全要求不太高的工業(yè)控制系統(tǒng),在IT辦公網(wǎng)和工業(yè)控制網(wǎng)絡(luò)之間也可部署防火墻進(jìn)行網(wǎng)絡(luò)隔離。
(2)通信傳輸安全防護(hù)
在工業(yè)控制系統(tǒng)中,一般采用加密技術(shù)或其他有效的技術(shù)手段保證通信數(shù)據(jù)傳輸?shù)陌踩?。在生產(chǎn)管理層和過(guò)程監(jiān)控層中通常采用IPSec、SSL或RPC等技術(shù)的VPN網(wǎng)關(guān)技術(shù)保證通信過(guò)程中數(shù)據(jù)傳輸?shù)耐暾?,?shí)現(xiàn)通信網(wǎng)絡(luò)和非現(xiàn)場(chǎng)總線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾员Wo(hù)。對(duì)數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場(chǎng)總線網(wǎng)絡(luò),通常采用能滿(mǎn)足實(shí)時(shí)性要求的物理保護(hù)機(jī)制或數(shù)據(jù)加密方式,以適應(yīng)現(xiàn)場(chǎng)總線報(bào)文小、時(shí)延短的特點(diǎn)。
(3)通信網(wǎng)絡(luò)異常檢測(cè)
工業(yè)控制系統(tǒng)中通信網(wǎng)絡(luò)異常監(jiān)測(cè)主要通過(guò)在現(xiàn)場(chǎng)控制層的網(wǎng)絡(luò)部署入侵防護(hù)設(shè)備或采用相應(yīng)的檢測(cè)技術(shù)措施,對(duì)不同的通信網(wǎng)絡(luò)異常監(jiān)測(cè)對(duì)象進(jìn)行檢查和管控,對(duì)異常情況進(jìn)行捕獲并報(bào)警;部署流量監(jiān)控軟件,對(duì)現(xiàn)場(chǎng)總線的流量進(jìn)行監(jiān)控,對(duì)惡意流量進(jìn)行阻斷;可在網(wǎng)絡(luò)邊界部署工控異常監(jiān)測(cè)系統(tǒng)進(jìn)行惡意代碼的防范,以及監(jiān)測(cè)網(wǎng)絡(luò)的異常情況。
(4)控制設(shè)備自身安全
工業(yè)控制系統(tǒng)里大量使用工業(yè)主機(jī)進(jìn)行控制操作和監(jiān)控,這些主機(jī)都使用通用操作系統(tǒng)尤其是Windows系統(tǒng)存在大量漏洞,很容易被病毒感染,目前保護(hù)這類(lèi)工業(yè)控制主機(jī)的方法有兩種:安裝防病毒軟件、或者使用基于進(jìn)程白名單技術(shù)的防護(hù)軟件。由于防病毒軟件占用資源較多、也存在病毒庫(kù)升級(jí)不便的問(wèn)題,在工業(yè)環(huán)境里,更多的推薦使用基于進(jìn)程白名單技術(shù)的防護(hù)軟件針對(duì)工業(yè)主機(jī)的病毒感染和入侵防范,并實(shí)現(xiàn)對(duì)光盤(pán)、USB接口、串行口等監(jiān)控管理和外設(shè)接入控制管理。
(5)集中管控
在工業(yè)控制系統(tǒng)中,一般通過(guò)部署運(yùn)維管理系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)和日志審計(jì)系統(tǒng),對(duì)工業(yè)控制網(wǎng)絡(luò)中部署的安全防護(hù)措施進(jìn)行集中管控,對(duì)用戶(hù)的真實(shí)身份進(jìn)行統(tǒng)一管理,對(duì)工業(yè)控制網(wǎng)絡(luò)中的日志進(jìn)行統(tǒng)一收集和存儲(chǔ),將孤立的安全能力整合成協(xié)同工作的安全防護(hù)體系。
(6)安全審計(jì)
在工業(yè)控制系統(tǒng)中,一般通過(guò)在生產(chǎn)管理層和過(guò)程監(jiān)控層的不同區(qū)域分布部署工業(yè)控制系統(tǒng)信息安全監(jiān)測(cè)和審計(jì)系統(tǒng)進(jìn)行安全審計(jì),實(shí)現(xiàn)上下位系統(tǒng)的安全審計(jì)、工業(yè)控制系統(tǒng)報(bào)警審計(jì)、上下位機(jī)通信協(xié)議的審計(jì)、程序異常行為檢測(cè)及審計(jì)、審計(jì)報(bào)表的生成等功能。
(7)應(yīng)急響應(yīng)機(jī)制
隨著入侵技術(shù)的復(fù)雜性、隱蔽性越來(lái)越高,對(duì)于系統(tǒng)安全事故的處理不能只停于解決故障上,而應(yīng)該要分析原因,查清入侵來(lái)源,提高整個(gè)工業(yè)控制系統(tǒng)安全水平。有條件的工業(yè)生產(chǎn)企業(yè)應(yīng)建立安全事件響應(yīng)團(tuán)隊(duì)和機(jī)制,在突發(fā)的安全事件中能夠應(yīng)急響應(yīng),迅速處理被破壞的系統(tǒng)和網(wǎng)絡(luò),消除入侵隱患。
(8)網(wǎng)絡(luò)安全培訓(xùn)
鑒于近年來(lái)入侵技術(shù)的升級(jí),以及部分工業(yè)生產(chǎn)企業(yè)相關(guān)安全人員安全意識(shí)淡薄以及技術(shù)存儲(chǔ)不足,可進(jìn)行網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。
◇ 信息安全意識(shí)培訓(xùn)
通過(guò)大量的當(dāng)前典型安全事件導(dǎo)入,從感性認(rèn)知層面對(duì)目前的信息安全威脅給予形象的描述,能對(duì)當(dāng)前的網(wǎng)絡(luò)安全威脅形成深刻的認(rèn)識(shí)。同時(shí)通過(guò)對(duì)日常工作、生活中經(jīng)常用到的一些安全威脅進(jìn)行分析,最終協(xié)助建立起適合個(gè)人、企業(yè)的用戶(hù)行為基準(zhǔn)。
◇ 信息安全技術(shù)培訓(xùn)
面向工業(yè)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)類(lèi)用戶(hù),例如安全管理員和審計(jì)管理員等,通過(guò)培訓(xùn)讓其在網(wǎng)絡(luò)層面、系統(tǒng)層面及應(yīng)用層面上了解常見(jiàn)網(wǎng)絡(luò)安全攻防原理和技術(shù),掌握常見(jiàn)的攻擊防護(hù)方法。
四、總結(jié)
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是綜合了網(wǎng)絡(luò)安全技術(shù)與自動(dòng)化技術(shù)的產(chǎn)物,應(yīng)充分借鑒傳統(tǒng)IT網(wǎng)絡(luò)安全經(jīng)驗(yàn),并考慮工業(yè)控制自身的特點(diǎn),將傳統(tǒng)IT網(wǎng)絡(luò)安全的技術(shù)融合到工業(yè)控制領(lǐng)域建設(shè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障體系。
來(lái)源:工業(yè)菜園