今日頭條
官方微信
官方抖音
資訊頻道★ 張志偉,豐存旭浙江中控技術(shù)股份有限公司
摘要:工業(yè)控制系統(tǒng)在發(fā)展之初是相對(duì)封閉和獨(dú)立的,傳統(tǒng)工業(yè)控制系統(tǒng)安全防護(hù)往往采用物理隔離等方式。隨著通信信息技術(shù)的發(fā)展和深入應(yīng)用,整個(gè)工業(yè)控制系統(tǒng)可與數(shù)據(jù)采集網(wǎng)、生產(chǎn)管理網(wǎng)和辦公網(wǎng)實(shí)現(xiàn)信息互聯(lián)和數(shù)據(jù)交互。網(wǎng)絡(luò)蠕蟲、永恒之藍(lán)、震網(wǎng)等病毒的攻擊,工控系統(tǒng)漏洞的利用,互聯(lián)網(wǎng)、可移動(dòng)存儲(chǔ)介質(zhì)、設(shè)備未經(jīng)授權(quán)的操作及人為因素等使得網(wǎng)絡(luò)安全問題直接延伸到工業(yè)控制系統(tǒng),導(dǎo)致工業(yè)控制系統(tǒng)固有漏洞和攻擊面不斷增加,易引發(fā)工業(yè)生產(chǎn)的緊急停車、設(shè)備故障,或影響工控系統(tǒng)組件的可靠性和靈敏度,由此產(chǎn)生的安全事件或事故也日趨增多,給傳統(tǒng)工業(yè)控制系統(tǒng)防護(hù)體系帶來嚴(yán)峻挑戰(zhàn)。本文針對(duì)工控網(wǎng)絡(luò)存在的信息安全風(fēng)險(xiǎn)進(jìn)行深入剖析,細(xì)致挖掘工控企業(yè)信息安全痛點(diǎn),圍繞滿足政策合規(guī)和工控網(wǎng)絡(luò)安全能力提升需求開展安全設(shè)計(jì),達(dá)到縱深防御效果,全生命周期提升工控網(wǎng)絡(luò)安全防護(hù)水平。
關(guān)鍵詞:工控安全;主機(jī)加固;信息安全
1 引言
隨著工控企業(yè)信息化的推進(jìn),MES和EMS的建設(shè)越來越多,原本相互獨(dú)立的DCS、PLC、儀器儀表及SCADA等控制子系統(tǒng)需要通過網(wǎng)絡(luò)和信息系統(tǒng)連接在一起。這些子系統(tǒng)負(fù)責(zé)完成控制任務(wù),一旦受到惡性攻擊和病毒感染,就會(huì)導(dǎo)致工業(yè)控制系統(tǒng)的控制組件和整個(gè)生產(chǎn)線被迫停止運(yùn)轉(zhuǎn),甚至造成人員傷亡等嚴(yán)重后果。
2 工控網(wǎng)絡(luò)安全現(xiàn)狀
(1)網(wǎng)絡(luò)邊界安全控制能力較弱,入侵及威脅傳播防御能力差
盡管進(jìn)行了網(wǎng)絡(luò)分段隔離(有的企業(yè)甚至沒有做隔離),各層通常沒有防火墻或者其他安全訪問控制策略,數(shù)據(jù)交互隨意,導(dǎo)致攻擊進(jìn)入任意層次后都會(huì)比較容易直接威脅到現(xiàn)場(chǎng)設(shè)備層對(duì)設(shè)備的控制。同時(shí),隨著跨裝置應(yīng)用的豐富,各裝置的網(wǎng)絡(luò)連接也缺乏足夠的邊界保護(hù)。
(2)計(jì)算機(jī)及工控系統(tǒng)嚴(yán)重漏洞檢測(cè)及處理不及時(shí),系統(tǒng)安全風(fēng)險(xiǎn)大
工控企業(yè)PC終端、服務(wù)器、PLC控制器等普遍存在系統(tǒng)安全漏洞,包括能夠造成遠(yuǎn)程代碼執(zhí)行攻擊和越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞。由于設(shè)備、協(xié)議多導(dǎo)致管理難度大,以及企業(yè)專業(yè)技能缺乏、安全認(rèn)識(shí)不足等現(xiàn)實(shí)問題,造成工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難,難以及時(shí)處理威脅嚴(yán)重的漏洞。
(3)違規(guī)操作及越權(quán)行為監(jiān)控不力,主機(jī)安全不可控
缺乏對(duì)移動(dòng)介質(zhì)的安全管控,操作人員直接通過主機(jī)USB接口、串口、光驅(qū)等外設(shè)進(jìn)行文件、程序等傳輸,是當(dāng)前病毒感染的主要途徑之一;企業(yè)由實(shí)施階段進(jìn)入生產(chǎn)運(yùn)維階段后,任意接入計(jì)劃外操作站、移動(dòng)筆記本、網(wǎng)絡(luò)設(shè)備,甚至違規(guī)接入互聯(lián)網(wǎng)等行為都是重大安全隱患。
(4)基于工控協(xié)議的安全保護(hù)機(jī)制欠缺,缺乏針對(duì)性
專有的工業(yè)控制通信協(xié)議或規(guī)約在設(shè)計(jì)時(shí)通常更強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性,對(duì)安全性普遍考慮不足,比如缺少足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。隨著Modbus、OPC、SiemensS7、IEC104等工業(yè)協(xié)議的廣泛認(rèn)知提升,攻擊者更容易掌握協(xié)議的格式和內(nèi)容,對(duì)PLC等系統(tǒng)的攻擊變得更加容易,因此針對(duì)工控協(xié)議的安全防范就更加重要。
(5)缺乏網(wǎng)絡(luò)攻擊行為動(dòng)態(tài)監(jiān)測(cè)部署,主動(dòng)防御能力欠缺
隨著針對(duì)工控系統(tǒng)的攻擊行為的增加,互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應(yīng)用到工業(yè)領(lǐng)域。傳統(tǒng)防御以不斷豐富病毒知識(shí)和攻擊特征來預(yù)防非法網(wǎng)絡(luò)行為,缺乏主動(dòng)學(xué)習(xí)能力,因此如何動(dòng)態(tài)監(jiān)測(cè)攻擊行為并進(jìn)行預(yù)測(cè)性主動(dòng)防御將是未來工控安全建設(shè)的關(guān)鍵技術(shù)。
(6)重要操作站和工程師站數(shù)據(jù)備份恢復(fù)措施缺失
工控現(xiàn)場(chǎng)重要的組態(tài)數(shù)據(jù)會(huì)通過移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行離線備份,通常備份周期很長(zhǎng),難以做到定期自動(dòng)備份。當(dāng)前勒索病毒頻發(fā),現(xiàn)有備份方案面對(duì)勒索病毒等嚴(yán)重病毒危害不足以有效應(yīng)對(duì)。
3 工控網(wǎng)絡(luò)安全設(shè)計(jì)
以“縱深防御”為指導(dǎo)思想,遵照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn),在工控系統(tǒng)安全需求的基礎(chǔ)上,建立預(yù)警、防護(hù)、檢測(cè)、響應(yīng)自適應(yīng)閉環(huán)的安全防護(hù)體系,同時(shí)為工控系統(tǒng)提供可定制的安全服務(wù),全面感知工控系統(tǒng)遇到或可能遇到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提升系統(tǒng)的整體安全防御能力,構(gòu)建單位可信、可控、可管的安全防護(hù)體系。建設(shè)工控安全技術(shù)體系,體現(xiàn)“一個(gè)中心,三重防護(hù)”。一個(gè)中心是指安全管理中心,三重防護(hù)是指通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境的防護(hù)。
3.1 工業(yè)網(wǎng)絡(luò)邊界防護(hù)
在控制器與各計(jì)算機(jī)系統(tǒng)之間部署工業(yè)防火墻。一方面通過訪問控制策略限定指定的計(jì)算機(jī)才能訪問控制器,管控網(wǎng)絡(luò)通信對(duì)象,降低計(jì)劃外設(shè)備非法訪問風(fēng)險(xiǎn);另一方面,通過OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多種工業(yè)協(xié)議深度解析支持,實(shí)現(xiàn)指令級(jí)別的過濾防護(hù),避免來源于HMI等計(jì)算機(jī)的非法控制命令下達(dá)。
工控網(wǎng)絡(luò)不同裝置之間部署具有工業(yè)協(xié)議深度解析功能的工控防火墻,實(shí)現(xiàn)針對(duì)工控網(wǎng)絡(luò)及工業(yè)協(xié)議的邏輯隔離、報(bào)文過濾、訪問控制等功能。通過加裝工業(yè)防火墻,并配置防火墻安全規(guī)則(包過濾、規(guī)則學(xué)習(xí)、攻擊防護(hù)、IP/MAC等)可以有效實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間的邊界防護(hù)。
3.2 工業(yè)主機(jī)安全
工控網(wǎng)絡(luò)操作站、工程師站等主機(jī)采用“白+黑”防護(hù)機(jī)制為目標(biāo)主機(jī)提供多層次安全保護(hù)。根據(jù)白名單列表對(duì)可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控,白名單內(nèi)的可執(zhí)行文件允許執(zhí)行,對(duì)白名單外的可執(zhí)行文件阻止執(zhí)行,有效阻止病毒、木馬及0-day漏洞的感染和被利用,保障工控主機(jī)安全。同時(shí)該機(jī)制具備強(qiáng)大黑名單功能,可對(duì)系統(tǒng)文件進(jìn)行深度掃描,識(shí)別并查殺惡意代碼。主機(jī)安全衛(wèi)士具有網(wǎng)絡(luò)防護(hù)功能,僅允許白名單內(nèi)的程序和端口進(jìn)行網(wǎng)絡(luò)訪問;支持對(duì)重要文件的保護(hù),僅允許特定的程序訪問。主機(jī)安全衛(wèi)士軟件滿足符合性、連續(xù)性和可靠性的設(shè)計(jì)原則,內(nèi)存占用和CPU使用率低,具備強(qiáng)大的自身安全性和易管理性。
3.3 工業(yè)網(wǎng)絡(luò)監(jiān)測(cè)審計(jì)
工控網(wǎng)絡(luò)部署入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)攻擊行為檢測(cè)。系統(tǒng)通過對(duì)工控網(wǎng)絡(luò)流量的采集、分析和監(jiān)測(cè),進(jìn)行特征提取并與規(guī)則庫進(jìn)行匹配,快速有效識(shí)別出工業(yè)控制網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)異常行為和網(wǎng)絡(luò)攻擊行為,并進(jìn)行實(shí)時(shí)告警,同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為,包括指令級(jí)的工業(yè)控制協(xié)議通信記錄,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。
(1)入侵檢測(cè)系統(tǒng)能夠監(jiān)視整個(gè)網(wǎng)絡(luò)、子網(wǎng)或者某一特定協(xié)議、地址及端口的報(bào)文流量和字節(jié)流量,進(jìn)行實(shí)時(shí)統(tǒng)計(jì)和展示,還可通過對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的分析,發(fā)現(xiàn)網(wǎng)絡(luò)異常行為或攻擊行為。
(2)入侵檢測(cè)系統(tǒng)內(nèi)置大量關(guān)聯(lián)分析場(chǎng)景,如認(rèn)證登錄、授權(quán)行為、違規(guī)行為、系統(tǒng)變更、攻擊入侵、敏感操作和設(shè)備故障等,通過事件關(guān)聯(lián)分析引擎,可從低風(fēng)險(xiǎn)的事件中實(shí)時(shí)發(fā)現(xiàn)高風(fēng)險(xiǎn)的網(wǎng)絡(luò)攻擊和違規(guī)行為。
(3)采用機(jī)器學(xué)習(xí)算法學(xué)習(xí)特定工控系統(tǒng)通信行為,形成可信網(wǎng)絡(luò)行為規(guī)則。
3.4 工業(yè)安全管理
在工廠生產(chǎn)網(wǎng)核心交換機(jī)上,建立單獨(dú)的工控安全運(yùn)維管理區(qū),實(shí)現(xiàn)對(duì)工廠的工控網(wǎng)絡(luò)安全管理中心功能。安全管理中心設(shè)計(jì)策略如下:
(1)安全管理平臺(tái),對(duì)工業(yè)環(huán)境中的主機(jī)進(jìn)行安全狀態(tài)監(jiān)測(cè)和工業(yè)主機(jī)防護(hù)系統(tǒng)的集中管理和監(jiān)控;
(2)安全管理平臺(tái),對(duì)工控網(wǎng)絡(luò)監(jiān)測(cè)狀態(tài)、工業(yè)主機(jī)安全狀態(tài)、工控網(wǎng)絡(luò)安全事件等安全信息進(jìn)行集中收集和處理,對(duì)工控網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析、展示和報(bào)警;
(3)安全管理平臺(tái),對(duì)工控環(huán)境中的工業(yè)防火墻和主機(jī)安全防護(hù)系統(tǒng)進(jìn)行集中管理,并對(duì)防火墻和主機(jī)安全防護(hù)系統(tǒng)日志進(jìn)行統(tǒng)一采集和告警分析;
(4)工業(yè)日志審計(jì)系統(tǒng),對(duì)工控系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備及工業(yè)主機(jī)日志信息進(jìn)行集中收集和審計(jì)分析。
3.5 工業(yè)網(wǎng)絡(luò)設(shè)備安全設(shè)計(jì)
針對(duì)工控企業(yè)工業(yè)網(wǎng)內(nèi)大量的工業(yè)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)和安全設(shè)備進(jìn)行安全加固,加固內(nèi)容至少應(yīng)包括:
(1)加密保存系統(tǒng)賬戶口令;
(2)采用SSH進(jìn)行遠(yuǎn)程管理;
(3)限制遠(yuǎn)程管理地址;
(4)啟用賬戶口令復(fù)雜度策略;
(5)啟用賬戶登錄失敗處理策略;
(6)修改默認(rèn)賬戶,刪除多余賬戶;
(7)啟用日志審計(jì),并將日志集中上傳至日志服務(wù)器;
(8)對(duì)交換機(jī)和路由器進(jìn)行基線加固配置,關(guān)閉不必要的服務(wù)和端口,手動(dòng)關(guān)閉交換機(jī)、路由器、防火墻等設(shè)備空閑端口;
(9)在交換機(jī)上設(shè)置MAC地址與端口綁定和MAC地址與IP地址綁定功能。
3.6 工業(yè)應(yīng)用系統(tǒng)安全設(shè)計(jì)
對(duì)工控企業(yè)工業(yè)網(wǎng)內(nèi)的DCS、PLC、SCADA等工業(yè)控制軟件和業(yè)務(wù)數(shù)據(jù)從軟件屬性的合法性、文件數(shù)據(jù)的完整性、保密性、身份鑒別、口令、惡意輸入、補(bǔ)丁更新、信息真實(shí)性、拒絕服務(wù)、中間人攻擊、重放攻擊、信息嗅探、內(nèi)存漏洞等方面進(jìn)行梳理防護(hù),實(shí)現(xiàn)DCS、SIS、PLC等工控業(yè)務(wù)安全,保障生產(chǎn)持續(xù)穩(wěn)定進(jìn)行。業(yè)務(wù)安全設(shè)計(jì)策略如下:
(1)根據(jù)密碼管理策略設(shè)置業(yè)務(wù)應(yīng)用系統(tǒng)用戶密碼,密碼長(zhǎng)度和組成滿足口令復(fù)雜度要求,并定期更換;
(2)對(duì)工控系統(tǒng)配置文件中涉及到的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的用戶口令應(yīng)采用MD5等單向加密方式進(jìn)行加密處理,禁止將明文口令填寫在配置文件中;
(3)刪除臨時(shí)賬戶和測(cè)試賬戶,重命名默認(rèn)賬戶,修改其默認(rèn)口令,限制其訪問權(quán)限,禁止匿名用戶登錄;
(4)通過工業(yè)安全監(jiān)測(cè)系統(tǒng)對(duì)工業(yè)用戶操作行為進(jìn)行安全審計(jì);
(5)對(duì)應(yīng)用系統(tǒng)審計(jì)日志進(jìn)行集中保存和分析,保存期限至少6個(gè)月;
(6)對(duì)通過人機(jī)接口和程序接口輸入的數(shù)據(jù)進(jìn)行有效性檢查。
3.7 備份恢復(fù)系統(tǒng)設(shè)計(jì)
部署數(shù)據(jù)備份恢復(fù)系統(tǒng),針對(duì)重要工程師站和歷史趨勢(shì)服務(wù)器進(jìn)行定期的自動(dòng)化數(shù)據(jù)備份。當(dāng)現(xiàn)場(chǎng)重要終端遭受病毒攻擊或硬件故障時(shí),可以通過備份恢復(fù)服務(wù)器進(jìn)行數(shù)據(jù)恢復(fù)。
4 工控網(wǎng)絡(luò)安全建設(shè)收益
本文所述針對(duì)工控企業(yè)常用網(wǎng)絡(luò)架構(gòu),以分層分區(qū)為原則進(jìn)行工控安全設(shè)計(jì),以主動(dòng)防范、及時(shí)發(fā)現(xiàn)、快速處理為目標(biāo)來提升工控安全防御能力,主要達(dá)到了以下效果:
(1)各層次、各區(qū)域之間有效隔離防護(hù):通過防火墻限定通信對(duì)象和內(nèi)容,阻斷非法入侵和危險(xiǎn)傳播。其中工業(yè)防火墻還可以進(jìn)行基于協(xié)議解析的控制命令過濾,重點(diǎn)保護(hù)PLC控制器安全,保證生產(chǎn)正常進(jìn)行。
(2)工控入侵檢測(cè)系統(tǒng):動(dòng)態(tài)監(jiān)測(cè)網(wǎng)絡(luò)信息流,及時(shí)發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)木馬病毒入侵行為、針對(duì)工控設(shè)備的攻擊行為、未知設(shè)備接入和工控網(wǎng)絡(luò)流異常變化趨勢(shì)等,報(bào)警聯(lián)調(diào)防護(hù)設(shè)備。
(3)違規(guī)操作監(jiān)測(cè)和預(yù)防:實(shí)時(shí)監(jiān)控外設(shè)使用情況和運(yùn)行進(jìn)程,設(shè)置管理策略,預(yù)防設(shè)備違規(guī)接入和計(jì)劃外軟件安裝行為,杜絕內(nèi)部威脅傳播。
5 結(jié)束語
綜上所述,在工控現(xiàn)場(chǎng)基于縱深防御工控網(wǎng)絡(luò)安全架構(gòu)開展網(wǎng)絡(luò)安全建設(shè),在滿足政策法規(guī)的同時(shí)提升工控網(wǎng)絡(luò)的安全防護(hù)能力和水平,確保工控網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行,為現(xiàn)場(chǎng)裝置安穩(wěn)長(zhǎng)滿運(yùn)行保駕護(hù)航。
作者簡(jiǎn)介
張志偉(1987-),男,河南林州人,中級(jí)工程師,現(xiàn)就職于浙江中控技術(shù)股份有限公司,主要研究方向?yàn)楣た匕踩?/p>
豐存旭(1984-),男,甘肅慶陽人,中級(jí)工程師,現(xiàn)就職于浙江中控技術(shù)股份有限公司,主要研究方向?yàn)楣た匕踩?/p>
參考文獻(xiàn):
[1] 李強(qiáng), 田慧蓉, 杜霖, 劉曉曼. 工業(yè)互聯(lián)網(wǎng)安全發(fā)展策略研究[J]. 世界電信, 2016, (4) : 16 - 19.
[2] 張偉, 于目奎, 羅顯科. 鋼鐵企業(yè)工控安全研究與設(shè)計(jì)[J]. 工業(yè)加熱, 2020, (4) : 48 - 52.
[3] 陸贊. 基于工業(yè)控制系統(tǒng)的安全體系建設(shè)研究[J]. 中國(guó)管理信息化, 2016, 19 (13) : 117 - 119.
[4] 孫易安, 井柯, 汪義舟. 工業(yè)控制系統(tǒng)安全網(wǎng)絡(luò)防護(hù)研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)