今日頭條
官方微信
官方抖音
資訊頻道
2014年,以Havex為代表的新一代的APT攻擊肆虐工業(yè)控制系統(tǒng),而基于信息網(wǎng)絡(luò)安全的防護(hù)手段及現(xiàn)有的工控網(wǎng)絡(luò)防護(hù)手段,在APT2.0時(shí)代的攻擊面前已經(jīng)成為“皇帝的新衣”。面對(duì)APT2.0時(shí)代的威脅,打造針對(duì)于工控網(wǎng)絡(luò)的新一代防御體系已勢(shì)在必行。很多人對(duì)2014年黑客APT攻擊德國(guó)鋼廠事件仍然記憶猶新:黑客通過(guò)魚叉式網(wǎng)絡(luò)釣魚和精心安排的社會(huì)工程學(xué)攻擊手段獲取鋼廠辦公網(wǎng)絡(luò)訪問(wèn)權(quán),成功進(jìn)入生產(chǎn)網(wǎng)絡(luò)并攻擊,導(dǎo)致工控系統(tǒng)的控制組件和整個(gè)生產(chǎn)線被迫停止運(yùn)轉(zhuǎn),非正常關(guān)閉煉鋼爐令鋼廠損失慘重。
目前,我國(guó)鋼企在原料場(chǎng)、焦化、燒結(jié)、煉鐵、煉鋼、軋鋼等主要工藝階段已實(shí)現(xiàn)全流程自動(dòng)化控制,隨著兩化融合、能源管理系統(tǒng)的建設(shè),工業(yè)控制系統(tǒng)的信息安全問(wèn)題日益凸顯,鋼企系統(tǒng)架構(gòu)中存在著的信息安全隱患令人擔(dān)憂。
2015年6月24日,在通化市舉行的第37屆全國(guó)冶金企業(yè)自動(dòng)化、信息化技術(shù)論壇上,北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司的解決方案總監(jiān)井柯,為參會(huì)代表帶來(lái)了一場(chǎng)題為“一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng),由德國(guó)鋼廠遭黑客攻擊引發(fā)的思考”的精彩報(bào)告,以德國(guó)鋼廠遭攻擊透視中國(guó)冶金行業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的潛在威脅,并為參會(huì)代表奉上匡恩網(wǎng)絡(luò)的獨(dú)家解決方案。
潛在的威脅
目前,鋼鐵廠控制網(wǎng)絡(luò)按控制功能和邏輯分為1-4級(jí)網(wǎng)絡(luò)(如下圖):
• L4(企業(yè)資源計(jì)劃級(jí)ERP);
• L3(生產(chǎn)管理級(jí)MES);
• L2(過(guò)程控制級(jí)PCS):過(guò)程控制網(wǎng)和實(shí)時(shí)數(shù)據(jù)庫(kù)采集網(wǎng);
• L1(基礎(chǔ)自動(dòng)化級(jí)BAS):由PLC組成的控制層和SCADA形成的監(jiān)控層構(gòu)成。
大部分鋼廠中的自動(dòng)控制系統(tǒng)已經(jīng)和信息系統(tǒng)連成一體,L2與L3之間由防火墻和數(shù)據(jù)交換平臺(tái)進(jìn)行隔離(邏輯隔離),在L2以下沒(méi)有防火墻,OA與ERP和MES服務(wù)器之間沒(méi)有隔離,現(xiàn)有的安全措施并不足以保證控制系統(tǒng)的安全,攻擊者可能會(huì)利用ICS的安全漏洞獲取諸如煤氣柜、大型鍋爐等大型設(shè)備的控制權(quán)。
存在的漏洞
通信協(xié)議漏洞
• L1級(jí)一般采用modbus等通信協(xié)議,存在授權(quán)、加密等安全問(wèn)題。
• L1級(jí)與L2級(jí)過(guò)程控制系統(tǒng)和實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)之間是采用OPC協(xié)議,極易受到攻擊。同時(shí)OPC通信采用動(dòng)態(tài)端口,不能有效使用傳統(tǒng)的IT防火墻。
操作系統(tǒng)漏洞
• ICS的工程師站/操作站/過(guò)程級(jí)HMI都是通用的Windows操作系統(tǒng),很少裝補(bǔ)丁,或裝補(bǔ)丁后不能正常運(yùn)行,從而埋下安全隱患。
安全策略和管理流程漏洞
• 缺乏完整有效的安全策略與管理流程,人員信息安全意識(shí)缺乏,如調(diào)試用筆記本電腦、U盤等設(shè)備的使用及不嚴(yán)格的訪問(wèn)控制策略,為有目的的攻擊創(chuàng)造機(jī)會(huì)。
匡恩網(wǎng)絡(luò)的解決方案
在匡恩網(wǎng)絡(luò)提供的解決方案中,建立安全區(qū)域,確定區(qū)域邊界并對(duì)其安全防護(hù),通過(guò)安全防護(hù)產(chǎn)品達(dá)到以下目標(biāo):
1. 防止任何未定義流量經(jīng)過(guò)區(qū)域邊界。
2. 防止所有含有惡意軟件或代碼的已定義流量通過(guò)區(qū)域邊界。
3. 檢測(cè)并記錄可疑或異常活動(dòng)。
4. 在區(qū)域內(nèi)容記錄正常或者合法的活動(dòng),可用于合規(guī)性報(bào)告。
匡恩網(wǎng)絡(luò)通過(guò)全網(wǎng)監(jiān)測(cè)審計(jì)平臺(tái)對(duì)控制系統(tǒng)操作行為進(jìn)行審核,詳細(xì)記錄調(diào)度系統(tǒng)對(duì)過(guò)程控制系統(tǒng)的所有操作行為,實(shí)現(xiàn)對(duì)關(guān)鍵參數(shù)配置實(shí)時(shí)監(jiān)測(cè)與安全審計(jì)并進(jìn)行及時(shí)的預(yù)警響應(yīng);在L3與L2之間、L2和L1之間部署智能保護(hù)產(chǎn)品,通過(guò)工業(yè)協(xié)議的深度解析確保上位機(jī)監(jiān)控系統(tǒng)與現(xiàn)場(chǎng)控制設(shè)備之間通訊與控制的合法性;在OPC服務(wù)器端采用數(shù)據(jù)采集隔離終端 進(jìn)行數(shù)據(jù)傳輸防護(hù);建立攻防模擬驗(yàn)證系統(tǒng),模擬鋼鐵自動(dòng)化系統(tǒng)應(yīng)用,通過(guò)不斷的在系統(tǒng)上進(jìn)行深入的漏洞挖掘、攻擊研究,完成攻擊效果展示及安全防護(hù)方案驗(yàn)證。
隨著“中國(guó)制造2025”進(jìn)程的加深,冶金行業(yè)自動(dòng)化信息完全建設(shè)將迎來(lái)高速發(fā)展時(shí)代,但同時(shí)所面臨工業(yè)控制信息安全問(wèn)題也日益嚴(yán)峻。如井柯引用狄更斯《雙城記》中的那句話,“這是一個(gè)最好的時(shí)代,也是一個(gè)最壞的時(shí)代”,工業(yè)控制網(wǎng)絡(luò)安全之路任重道遠(yuǎn),匡恩網(wǎng)絡(luò)作為工業(yè)4.0時(shí)代的網(wǎng)絡(luò)安全專家,專注于解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題,為“中國(guó)制造2025”保駕護(hù)航。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)