《今日自動化》 上海工業(yè)自動化儀表研究院/繆學勤
眾所周知,2010年6月伊朗布什爾核電廠遭到“Stuxnet(震網(wǎng))”病毒的攻擊,該病毒利用Windows操作系統(tǒng)漏洞,透過USB傳播,專門攻擊西門子公司設計制造的供水、發(fā)電等基礎設施的工業(yè)控制系統(tǒng)。經(jīng)過大量數(shù)據(jù)的分析研究發(fā)現(xiàn),“震網(wǎng)”蠕蟲病毒能夠?qū)ふ夷繕嗽O施的控制系統(tǒng),并且只有在指定配置的工業(yè)控制系統(tǒng)中才會被激活,從而控制被攻擊核電設施的冷卻系統(tǒng)或渦輪機的運作,最嚴重情況,病毒能控制關鍵過程并開啟一連串執(zhí)行程序,可讓設施失控,最終導致整個系統(tǒng)自我毀滅。因為這種Stuxnet病毒的目標是攻擊核電站,所以被形容為全球首個“計算機超級武器”或“網(wǎng)絡炸彈”。受“Stuxnet”病毒的影響,同年8月,伊朗布什爾核電廠啟用后發(fā)生了一連串的故障。但由于發(fā)現(xiàn)早,并及時采取措施,沒有造成嚴重后果。但是,“震網(wǎng)”病毒事件,已充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。
伊朗遭遇第二輪網(wǎng)絡戰(zhàn)病毒攻擊
最近,多家國際計算機病毒防控機構(gòu)先后發(fā)出警告,他們發(fā)現(xiàn)一種威力強大的網(wǎng)絡病毒“火焰”(Flame)正在中東地區(qū)大范圍傳播。其中,伊朗受病毒影響最嚴重。新型網(wǎng)絡病毒的目的是收集伊朗石油行業(yè)工廠企業(yè)關鍵信息,以配合正在對伊朗進行的石油戰(zhàn)。
研究表明,“火焰”病毒利用“視窗”操作系統(tǒng)漏洞侵入,可借助局域網(wǎng)絡、打印網(wǎng)絡和USB接口等傳播。這一病毒呈現(xiàn)木馬病毒和蠕蟲病毒的部分特征, 不會中斷終端系統(tǒng),其目的只是收集情報。它實際是一個工具包,當計算機感染最初的“火焰”病毒后,計算機就會被安裝特定的任務模塊。這些特定的任務模塊可捕捉鍵盤敲擊、竊取密碼、刪除硬盤數(shù)據(jù)、自動截取屏幕信息、激活語音系統(tǒng)竊聽網(wǎng)絡電話和聊天內(nèi)容,甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的內(nèi)容。然后再將竊取到的這些資料發(fā)送給遠程操控該病毒的服務器。病毒編寫者借助北美、歐洲和亞洲等地區(qū)大約80個服務器操控病毒,一旦完成搜集數(shù)據(jù)任務,這些病毒還可自行毀滅,不留蹤跡。以復雜程度和功能效力衡量,新現(xiàn)身的“火焰”病毒超過已知的任何一種計算機病毒。“火焰”是危險的間諜工具,可以用于攻擊關鍵的基礎設施。盡管伊朗宣布病毒被發(fā)現(xiàn)并得到有效遏制,但是早在今年4月,火焰病毒就竊取了伊朗石油行業(yè)工廠企業(yè)系統(tǒng)的大量信息,石油出口貢獻伊朗財政收入的80%,對經(jīng)濟起至關重要作用。
防患未然,早日建立縱深防御體系
為了確保國家經(jīng)濟安全,加強工業(yè)控制系統(tǒng)信息安全,工信部于2011年9月下發(fā)了(工信部協(xié)〔2011〕451號)《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》。通知指出工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領域,用于控制生產(chǎn)設備的運行,一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著計算機和網(wǎng)絡技術的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)信息安全問題日益突出。
為了提高工業(yè)控制系統(tǒng)及其工業(yè)通信網(wǎng)絡的信息安全性,國際電工委員會從技術和管理兩個方面制定了IEC 62443 “用于工業(yè)過程測量和控制的網(wǎng)絡與系統(tǒng)信息安全”國際標準,標準規(guī)定工業(yè)控制系統(tǒng)分成5層,每層都要采取信息安全防護措施,以構(gòu)成多層分布式縱深防御體系架構(gòu),如圖1所示。從圖中看出,在第5(企業(yè))層,工廠企業(yè)防火墻用于保護整個企業(yè)防御Internet的安全威脅;在第3/4 (監(jiān)控) 層,管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護整個控制系統(tǒng);在第1/2(現(xiàn)場設備)層,分布式安全組件則用于保護諸如PLC或DCS等關鍵設備。
根據(jù)上述信息安全標準的概念,德國菲尼克斯電氣公司研發(fā)了FL MGUARD工業(yè)信息安全組件,該組件可以使用在這種分布式架構(gòu)中,它們保護部分系統(tǒng)網(wǎng)絡、每一個生產(chǎn)單元或一個單獨的自動化設備。FL MGUARD平臺是一個獨立的系統(tǒng),該平臺可以直接集成到連接至工業(yè)網(wǎng)絡的工業(yè)計算機,若有需要,也可以PCI卡的形式完成集成。工業(yè)信息安全組件基于硬件的安全協(xié)議的實現(xiàn)既不需要修改計算機的配置,也不需要定期進行軟件升級,相對于被保護系統(tǒng)所使用的處理機和操作系統(tǒng),它是完全獨立的系統(tǒng),絕不會對系統(tǒng)產(chǎn)生負面影響。
由于采用的分布式安全系統(tǒng)架構(gòu)是為每個工業(yè)系統(tǒng)的中央計算機、控制計算機或生產(chǎn)機器人分配一個其自身的工業(yè)信息安全組件,因而它具有獨立的安全等級,并特地配置了訪問權(quán)和其它方面的中央管理功能。工業(yè)信息安全組件使用被其保護的計算機相同的IP地址,因而它不會被入侵者識別,使它很難被發(fā)現(xiàn),從而避免了隨之而來的攻擊。同時,該組件配置了基于Kaspersky Lab技術的病毒掃描器,用于監(jiān)視數(shù)據(jù)源以識別協(xié)議中的病毒(如HTTP、SMTP和FTP),使得工業(yè)自動化系統(tǒng)能夠全面防御DOS、DDOS以及網(wǎng)絡病毒的攻擊。
目前,一些國家正在進行進攻性和防御性兩種網(wǎng)絡戰(zhàn)爭系統(tǒng)的研究。我國應當防患未然,從戰(zhàn)略高度考慮,按照國際標準嚴格要求工廠企業(yè)在信息安全建設之初,即根據(jù)業(yè)務發(fā)展的需要,明確風險狀況與安全需求、確立企業(yè)信息安全架構(gòu)的藍圖及建設路線圖,根據(jù)實際情況和需要選擇相應的安全功能組件。從技術上實施系統(tǒng)的安全防護,工廠企業(yè)應設置多道安全防線,提高系統(tǒng)的入侵檢測能力、事件反應能力和快速恢復能力,形成綜合的、立體的網(wǎng)絡安全技術防護體系,使得重點領域工業(yè)控制系統(tǒng)信息安全走向縱深防御階段。
