今日頭條
官方微信
官方抖音
資訊頻道1 數(shù)字安全概述
1.1 數(shù)字安全現(xiàn)狀
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)深入而廣泛的應(yīng)用,現(xiàn)代計(jì)算機(jī)應(yīng)用系統(tǒng)的功能日漸復(fù)雜,正在對(duì)社會(huì)各行各業(yè)產(chǎn)生巨大深遠(yuǎn)的影響;但同時(shí)由于其開(kāi)放性特點(diǎn),使得安全問(wèn)題越來(lái)越突出。即使對(duì)于相對(duì)封閉的電廠(chǎng)控制系統(tǒng),由于可能存在多種第三方接口,外來(lái)未經(jīng)驗(yàn)證的軟件的意外引入,以及操作系統(tǒng)本身存在的某些漏洞等原因,控制系統(tǒng)的安全管理越來(lái)越備受關(guān)注。除了大家所熟知的病毒、蠕蟲(chóng)和木馬外,威脅控制系統(tǒng)安全的還有:
(1)惡意軟件,它不同于病毒,可能不會(huì)對(duì)系統(tǒng)造成破壞性影響,但會(huì)侵占系統(tǒng)資源,降低系統(tǒng)的運(yùn)行穩(wěn)定性。
(2)未授權(quán)的訪(fǎng)問(wèn)或者不適當(dāng)?shù)陌踩L(fǎng)問(wèn)授權(quán)機(jī)制,導(dǎo)致未驗(yàn)證的第三方軟件的引入,產(chǎn)生潛在的安全威脅。
(3)網(wǎng)絡(luò)的不當(dāng)拓展,隨意接入第三方設(shè)備,安全訪(fǎng)問(wèn)策略配置不當(dāng),都是系統(tǒng)安全的潛在威脅。
(4)操作系統(tǒng)或者應(yīng)用軟件本身的漏洞,這些漏洞會(huì)在使用中逐步被軟件設(shè)計(jì)者發(fā)現(xiàn),然后發(fā)布補(bǔ)丁進(jìn)行軟件更新,提升系統(tǒng)安全。
(5)據(jù)有關(guān)統(tǒng)計(jì),70%的安全威脅來(lái)自于外部。由此可見(jiàn),工控系統(tǒng)的安全環(huán)境整治逐步惡化。2014年能源行業(yè)受到攻擊數(shù)占所有行業(yè)第一位[1]。
1.2 電廠(chǎng) DCS數(shù)字安全認(rèn)知誤區(qū)
雖然電廠(chǎng)DCS是控制發(fā)電機(jī)組安全、經(jīng)濟(jì)運(yùn)行的中樞神經(jīng),但業(yè)界對(duì)DCS數(shù)字安全認(rèn)知是逐步深入的過(guò)程。典型的認(rèn)知誤區(qū)如下:
DCS已經(jīng)屏蔽了所有USB接口,不會(huì)感染病毒或攻擊;網(wǎng)閘、防火墻布置在DCS和SIS/MIS系統(tǒng)之間,與外界Internet或者辦公網(wǎng)絡(luò)隔離沒(méi)有感染攻擊途徑。
殊不知即使硬件隔離、單向通訊等措施都無(wú)法保障DCS系統(tǒng)的數(shù)字安全,存在潛在風(fēng)險(xiǎn)。單元機(jī)組DCS與眾多PLC相互通訊,即使PLC主要用于輔助系統(tǒng),但很多也是實(shí)時(shí)系統(tǒng),同屬于I區(qū)。但DCS與PLC之間沒(méi)有相關(guān)隔離措施,與《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》不符。
其次,由于品牌眾多,各個(gè)PLC廠(chǎng)家在系統(tǒng)架構(gòu)設(shè)計(jì)時(shí)對(duì)數(shù)字安全應(yīng)對(duì)措施和能力不同;PLC往往由集成商分別購(gòu)買(mǎi)硬件、人機(jī)接口軟件整合而成;計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁無(wú)法及時(shí)更新;人機(jī)接口眾多,導(dǎo)致整個(gè)I區(qū)安全邊界廣泛;運(yùn)行維護(hù)人員認(rèn)知參差不齊、措施千差萬(wàn)別,因此PLC是導(dǎo)致DCS潛在數(shù)字危險(xiǎn)的最薄弱環(huán)節(jié)。
而常見(jiàn)的Modbus、OPC、DNP、101、104等通訊協(xié)議均為考慮數(shù)字安全需求,對(duì)于病毒、攻擊均為透明,無(wú)法阻止病毒擴(kuò)散。
網(wǎng)閘、防火墻僅在DCS與MIS/SIS間起到了一定的防護(hù)作用,但本身也具有一定的局限性。而且對(duì)DCS側(cè)已經(jīng)存在的數(shù)字危險(xiǎn)如病毒等束手無(wú)策。
即使屏蔽所有計(jì)算機(jī)USB接口,在一定程度上降低數(shù)字風(fēng)險(xiǎn),但數(shù)字危險(xiǎn)有很多感染途徑和層次,包含操作系統(tǒng)、數(shù)據(jù)、通信、應(yīng)用、運(yùn)行、管理等多個(gè)層面。
1.3 有重點(diǎn)、分階段實(shí)施
理論上說(shuō),業(yè)主應(yīng)該全面考慮整個(gè)電廠(chǎng)I區(qū)的數(shù)字安全,但I(xiàn)區(qū)范圍較廣,且實(shí)施數(shù)字安全必須要與控制系統(tǒng)原廠(chǎng)商合作,牽扯面較廣,因此切實(shí)可行、性?xún)r(jià)比高的方案是先實(shí)施電廠(chǎng)中樞神經(jīng)DCS的數(shù)字安全,然后逐步擴(kuò)展到I區(qū)其它子系統(tǒng)。
控制系統(tǒng)數(shù)字安全應(yīng)該從兩個(gè)方面考慮,一是技術(shù)手段,采用有效的、穩(wěn)定的設(shè)備和技術(shù)方案來(lái)確保系統(tǒng)的運(yùn)行正常,而另一方面是人的因素,系統(tǒng)安全的實(shí)現(xiàn)很大程度上也依賴(lài)安全管理制度和人員水平。本文僅從技術(shù)角度來(lái)說(shuō)明數(shù)字安全。
1.4 國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)及縱深防御
多家國(guó)際組織積極行動(dòng),目前已經(jīng)制訂了相關(guān)安全標(biāo)準(zhǔn)。其中最有影響力的,就是NERC(北美電力可靠性委員會(huì) North American Electric Reliability Council)創(chuàng)建的CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù) Critical Infrastructure Protection)標(biāo)準(zhǔn)和IEC 62443/ISA 99(工業(yè)通訊網(wǎng)絡(luò)-網(wǎng)絡(luò)及系統(tǒng)安全)。ABB有多名專(zhuān)家參與起草制定包括這兩個(gè)標(biāo)準(zhǔn)在內(nèi)的多個(gè)國(guó)際標(biāo)準(zhǔn)。
《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》自2014年9月1日起施行,確定了“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”16字方針。2004年12月20日原國(guó)家電力監(jiān)管委員會(huì)發(fā)布的《電力二次系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家電力監(jiān)管委員會(huì)令第5號(hào))同時(shí)廢止。
GB/T30976-2014《工業(yè)控制系統(tǒng)信息安全》(2個(gè)部分)于2014年12月2日被批準(zhǔn)為推薦性國(guó)家標(biāo)準(zhǔn)。
這些標(biāo)準(zhǔn)詳細(xì)描述了工控系統(tǒng)在改善數(shù)字安全方面所必需采取的舉措,并提出了縱深防御的理念。而Symphony整體解決方案就是參考以上標(biāo)準(zhǔn),并基于縱深防御理念防護(hù)控制系統(tǒng)安全。整套解決方案包括防病毒、白名單、入侵檢測(cè)、漏洞掃描、災(zāi)難備份及恢復(fù)、安全事件管理及記錄等。
2 Symphony整體解決方案
Symphony整套安全防護(hù)方案由一組安全應(yīng)用程序和服務(wù)組成,能夠強(qiáng)化和管理Symphony專(zhuān)家控制系統(tǒng)的系統(tǒng)安全,而不會(huì)中斷實(shí)時(shí)生產(chǎn)過(guò)程。從硬件上看,它包含了一臺(tái)工作站,作為系統(tǒng)安全管理站,所有的安全功能都運(yùn)行在此獨(dú)立的計(jì)算機(jī)上,同時(shí)承擔(dān)對(duì)在同一網(wǎng)絡(luò)上的其它計(jì)算機(jī)的部署管理工作。從軟件上看,安全應(yīng)用程序包含了以下功能軟件。
2.1 病毒防護(hù)
提供了一種非常獨(dú)特的方法來(lái)保護(hù)Symphony工作站免于遭受病毒、蠕蟲(chóng)和木馬。ABB公司會(huì)定期提供經(jīng)過(guò)驗(yàn)證的病毒庫(kù),由安全可靠的媒介(比如只讀光盤(pán))更新至系統(tǒng)安全管理站后,系統(tǒng)安全管理站會(huì)自動(dòng)將其部署到網(wǎng)絡(luò)上的所有其它工作站,完成它們的病毒碼更新。
(1)確保客戶(hù)端的安全,有效查殺終端上的各類(lèi)病毒、蠕蟲(chóng)、惡意程序;
(2)主動(dòng)的病毒防護(hù),防病毒客戶(hù)端根據(jù)漏洞可以阻擋未知蠕蟲(chóng)病毒;
(3)防病毒系統(tǒng)集成了探測(cè)清除模塊;
(4)Windows平臺(tái)微軟安全補(bǔ)丁安裝狀態(tài)檢測(cè)和報(bào)警,并且提供詳細(xì)的報(bào)表;
(5)能夠自動(dòng)探測(cè)未受防病毒系統(tǒng)保護(hù)的計(jì)算機(jī);
(6)病毒爆發(fā)時(shí)的LockDown功能是指當(dāng)出現(xiàn)中高威脅的病毒爆發(fā)時(shí),通過(guò)修改防系統(tǒng)安全管理站的一個(gè)策略,并分發(fā)到客戶(hù)端后,客戶(hù)端在實(shí)施Lockdown策略時(shí),絕對(duì)無(wú)法感染病毒、木馬和間諜軟件;
(7)能夠自動(dòng)探測(cè)外來(lái)電腦接入內(nèi)部網(wǎng)絡(luò),并向管理員發(fā)出報(bào)警;
(8)對(duì)網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)進(jìn)行全面防護(hù),包括Unix/Linux服務(wù)器,從而切斷病毒在網(wǎng)絡(luò)內(nèi)的寄生和傳播;
(9)通過(guò)分層的防病毒管理服務(wù)器實(shí)現(xiàn)分布式自動(dòng)更新和分層分地域分權(quán)管理;
(10)病毒爆發(fā)響應(yīng)機(jī)制,通過(guò)端口鎖定、文件、文件夾鎖定和通知功能,使得在病毒爆發(fā)阻止和病毒爆發(fā)快速響應(yīng)方面具有完善有效的技術(shù)手段,并結(jié)合完善的技術(shù)服務(wù)體系,確保病毒不會(huì)大規(guī)模爆發(fā)。
2.2 入侵檢測(cè) IPS/IDS
(1)絕大多數(shù)人首先會(huì)想到“防火墻”。防火墻得到了廣泛的部署,并被作為多層安全體系結(jié)構(gòu)的第一層防護(hù),它主要是作為一個(gè)訪(fǎng)問(wèn)控制設(shè)備,允許特定協(xié)議(例如 HTTP、DNS、SMTP)在一組源地址和目標(biāo)地址之間傳遞。作為訪(fǎng)問(wèn)策略增強(qiáng)的一個(gè)組成部分,防火墻一般是通過(guò)檢查數(shù)據(jù)包來(lái)制定流量決策。一般來(lái)說(shuō),它們并不能檢查數(shù)據(jù)包的全部?jī)?nèi)容,因此,也無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意代碼。需要注意的是,路由器也是通過(guò)數(shù)據(jù)包過(guò)濾來(lái)實(shí)現(xiàn)防護(hù)功能,因此,它提供的也是一種不完善的保護(hù)。
(2)雖然說(shuō)基于防火墻和路由器的數(shù)據(jù)包過(guò)濾是全面數(shù)字安全拓?fù)浣Y(jié)構(gòu)的必要組件,但僅靠它們是遠(yuǎn)遠(yuǎn)不夠的。
(3)檢測(cè)異常網(wǎng)絡(luò)流量。發(fā)現(xiàn)新的弱點(diǎn)和新的威脅時(shí),能夠有手段在Internet入口及網(wǎng)絡(luò)邊界阻止這些威脅,實(shí)時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
(4)深度數(shù)據(jù)包檢測(cè)以及無(wú)延遲特性,可在攻擊到達(dá)其目標(biāo)前搶先將其攔截,可為整個(gè)網(wǎng)絡(luò)環(huán)境提供優(yōu)異的準(zhǔn)確性和業(yè)務(wù)關(guān)鍵性能。
(5)基于完整的攻擊分析方法,并引入了業(yè)界最為全面的網(wǎng)絡(luò)攻擊特征檢測(cè)、異常檢測(cè)以及拒絕服務(wù)攻擊檢測(cè)技術(shù),除了可以防御已知攻擊,還可以防御未知的蠕蟲(chóng)、攻擊和后門(mén)程序,抵御拒絕服務(wù)攻擊等。
2.3 白名單
提供了一種非常獨(dú)特的方法來(lái)保護(hù)Symphony工作站免于遭受病毒、蠕蟲(chóng)和木馬。它采用在每臺(tái)終端工作站的核心層建立應(yīng)有程序白名單,簡(jiǎn)單高效地阻止任何未授權(quán)的可執(zhí)行程序的運(yùn)行。如果可執(zhí)行程序不在白名單列表中,它就不能運(yùn)行。
2.4 漏洞掃描和補(bǔ)丁管理
(1)負(fù)責(zé)發(fā)現(xiàn)操作系統(tǒng)和網(wǎng)絡(luò)漏洞,提示系統(tǒng)管理人員,經(jīng)確認(rèn)后進(jìn)行補(bǔ)丁軟件的分發(fā)。
(2)只要能夠及時(shí)修補(bǔ)網(wǎng)絡(luò)內(nèi)部的各個(gè)安全漏洞,就能夠在面對(duì)任何安全威脅的時(shí)候從容不迫地解決問(wèn)題。而傳統(tǒng)的安全產(chǎn)品(防病毒、防入侵等),只是去抵御安全威脅,卻忽視了資產(chǎn)的重要性和對(duì)漏洞的管理。
2.5 災(zāi)難備份及恢復(fù)
按照縱深防御理念,對(duì)系統(tǒng)定期備份,并定期測(cè)試備份的質(zhì)量。Symphony系統(tǒng)有專(zhuān)門(mén)的備份工具,必要時(shí)異地備份。
2.6 安全事故管理和記錄
負(fù)責(zé)規(guī)范所有的事件和日志,它們來(lái)自系統(tǒng)內(nèi)的防火墻、入侵檢測(cè)軟件、惡意軟件防護(hù)應(yīng)用、漏洞掃描、網(wǎng)絡(luò)設(shè)備、工作站和活動(dòng)目錄。
3 工程實(shí)施
Symphony數(shù)字安全整體解決方案的實(shí)施,不僅包括以上所述各個(gè)組件的部署,還與用戶(hù)重新審查Symphony系統(tǒng)的安全策略和維護(hù)管理措施,主要內(nèi)容包括:
(1)審查Symphony網(wǎng)絡(luò)連接情況,確定系統(tǒng)安全的防護(hù)邊界,提交審計(jì)報(bào)告;
(2)在DCS操作員站、工程師站、歷史站等設(shè)備上做必要的設(shè)置;
(3)審查Symphony的授權(quán)系統(tǒng),與用戶(hù)確認(rèn)這些授權(quán)是必要而且合理的;
(4)部署安全中心組件,與用戶(hù)確認(rèn)每臺(tái)操作站需要運(yùn)行的程序和功能;
(5)完善Symphony備份機(jī)制,建立異地備份;
(6)與用戶(hù)討論建立系統(tǒng)安全維護(hù)制度;
(7)將更新的病毒庫(kù),定期以光盤(pán)形式給用戶(hù)發(fā)送安全補(bǔ)丁包。
4 結(jié)語(yǔ)
工控系統(tǒng)的數(shù)字安全是一個(gè)不斷完善的過(guò)程。ABB能夠隨時(shí)根據(jù)用戶(hù)需求對(duì)控制系統(tǒng)進(jìn)行評(píng)估,形成一個(gè)安全行動(dòng)計(jì)劃,來(lái)保護(hù)用戶(hù)的數(shù)字資產(chǎn)。同時(shí),用戶(hù)加強(qiáng)安全業(yè)務(wù)意識(shí),強(qiáng)化安全制度及執(zhí)行,也是確保數(shù)字資產(chǎn)安全的另一重要方面。
作者簡(jiǎn)介
宋相儒(1978-),男,陜西咸陽(yáng)人。畢業(yè)于華北電力大學(xué)熱工自動(dòng)化專(zhuān)業(yè)。現(xiàn)為北京ABB貝利工程有限公司業(yè)務(wù)拓展專(zhuān)員,主要研究方向?yàn)殡姀S(chǎng)熱工自動(dòng)化及儀表。
參考文獻(xiàn):
[1] Year_in_Review_FY2014_Final.pdf[EB/OL]. ICS-CERT.
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)