今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著工業信息化進程的快速推進,信息、網絡技術在工業控制領域得到了廣泛 的應用。工業控制系統逐漸打破了以往的封閉性,這使得工業控制系統也必將面臨黑客入 侵等傳統的信息安全威脅。本文分析了工業控制系統面臨的安全威脅,以及現有工業控制 領域安全工作的進展,然后提出了我們應對工業控制系統安全問題的解決思路,從根本上發現并解決工業控制系統安全問題。
關鍵詞:工業控制系統;漏洞
一 . 工業控制系統安全威脅
隨著工業信息化進程的快速推進,信息、網絡以及物聯網技術 在智能電網、智能交通、工業生產系統等工業控制領域得到了廣泛的應用,極大地提高了企業的綜合效益。為實現系統間的協同和信息分享,工業控制系統也逐漸打破了以往的封閉性,采用標準、通用的通信協議及硬軟件系統,甚至有些工業控制系統也能以某些方式連接到互聯網等公共網絡中。
這使得工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕 服務等傳統的信息安全威脅,而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要行業中,其安全事故造成 的社會影響和經濟損失會更為嚴重。出于政治、軍事、經濟、信仰 等諸多目的,敵對的國家、勢力以及恐怖犯罪分子都可能把工業控 制系統作為達成其目的的攻擊目標。
根據 ICS-CERT(US-CERT 下屬的專門負責工業控制系統的 應急響應小組)的統計,自 2011 年以來,工業控制系統相關安全事件數量大幅度上升。雖然針對工業控制系統的安全事件與互聯網上的攻擊事件相比,數量少得多,但由于工業控制系統對于國計民生 的重要性,每一次事件都會帶來巨大的影響和危害。
二 . 現有工業控制領域安全工作進展
工業控制系統脆弱的安全狀況以及日益嚴重的攻擊威脅,已經引起了國家的高度重視,甚至提升到“國家安全戰略”的高度,并在 政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業控制系統信息安全管理要求的同時,國家主管部門在政策和科研層面上也在積極部署工業控制系統的安全保障工作。
自 2013 年以來,工業控制系統的安全 問題在國內許多信息安全相關的技術大會上 作為重要的研討議題頻繁出現,已成為工業 控制系統相關的各行業以及信息安全領域的 研究機構、廠商所關注的熱點方向之一。同 時,國家在政策制訂、技術標準研制、科研 基金支持、促進行業內合作等方面也在逐步 加大推動的力度。其中很多廠商在工業控制 領域安全工作進展也十分明顯。
2.1 工業控制系統制造商
隨著工業控制系統安全問題越來越受關 注,各個工業控制系統制造商也將工業控制 系統安全工作納入其工作范疇之中。在研發 制造階段,很多制造商引入安全評估機制, 對其生產的工業控制設備進行安全評估。目 前以西門子、施耐德、羅克韋爾等為主的國 際大型工業控制系統制造商都已經在積極的 進行工業控制系統安全研究。
以西門子為例,西門子中國研究院成立 了信息安全部,專門針對工業控制系統進行安全研究工作。西門子提出了縱深防御的安全理念,將工廠安全、網絡信息安全、系統完整性統一考慮,形成解決方案。
圖 1 西門子工業信息安全體系
但是可以看到,西門子的工業信息安全雖然宣稱貫穿自動化系統所有層級,但主要針對 的是西門子自身的設備產品,給出了基于訪問控制、密碼保護在內的信息安全解決方案。
施耐德、羅克韋爾的情況與西門子比較類似,均提出了針對自身產品的工業控制系統信 息安全解決方案。
從總體上看,先進的工業控制系統制造商都能夠提出自己的工業控制系統信息安全解決 方案。但是這些制造商做這項工作也有其不足之處 :各個廠商需要在 IT 安全領域與各種傳 統 IT 安全廠商合作才可以實現其信息安全解決方案。而更為關鍵的 OT 安全領域,這些制 造商僅能夠針對自身產品提供解決方案,無法提供跨廠商的 OT 安全解決方案。
2.2 工業控制安全供應商
目前也有很多重點在工業控制安全開展工作的廠商,這些廠商主要為工業控制系統用戶 提供通用的工業控制安全產品或服務。
提供工業控制產品的典型廠商如海天煒業、力控華康等廠商。這些工業控制安全供應商一般在工業控制領域都有技術積累,因此能夠快速推出工業控制安全設備。但由于這些廠商在信息安全領域的積累不足,所以推出的 安全設備主要為訪問控制類產品,如工控防火墻、工控隔離網關等。
圖 2 Tofino 工業防火墻
三 . 工業控制系統安全治理的治本之道
3.1 工業控制系統面臨更加苛刻的安全性要求
在工業控制系統中,無論是一次系統還是二次系統,以及間隔 層還是過程層,業務的連續性、健康性是至關重要的,尤其是石化、 電力、交通、核工業、水利等行業。而工業控制系統由于其長期封閉、 獨立的特性,造成了在安全方面建設的欠缺,不具備更多的容錯處理, 比如異常指令的處理,不具備較大壓力的處理,比如快速數據傳輸、 訪問等。在 Gartner 報告中,總結了工業控制系統安全性相比 IT 環 境的一些區別性特性 :
• 工業控制系統安全問題將直接對物理環境造成影響,有可能導 致死亡、受傷、環境破壞和大規模關鍵業務中斷等。
• 工業控制系統安全相比 IT 安全有更廣泛的威脅向量,包括安全限制和特有網絡協議的支持。
• 工業控制系統安全涉及的系統廠商多,測試和開發環境多種多樣。
• 一些工業控制系統安全環境面臨預算限制,這是與那些需要嚴格監管的 IT 不同之處。
• 在傳統的安全性和可用性作為主要安全特性的 IT 行業,工業 控制系統行業還會關注對產品質量的協調影響,運營資產和下游后 果的安全問題。
3.2 把成熟的 IT 風險評估技術移植到工業控制系統環境中
在面對與 IT 系統不一樣的安全性要求的工業控制系統時,如何 把成熟的 IT 風險評估技術移植到工業控制系統中,成為必須解決的 問題。對這些挑戰進行小結的話,可以歸納為兩個方面 :一個是如 何覆蓋多樣的工業控制系統 ;一個是如何在評估時保障業務的連續 性和健康性。以下從這兩個方面分別進行探討。
3.2.1 覆蓋多樣的工業控制系統 在安全風險評估時,不僅需要對在工業控制系統中使用的傳統
IT 設備 / 系統,比如操作系統、交換機、路由器、弱口令、FTP 服 務器、Web 服務器等,進行安全 評估,還需要覆蓋工業控制系統 中所特有的設備 / 系統,比如 SCADA、DCS、PLC、現場總線等; 同時,不僅要覆蓋對漏洞的評估,還需要對一些關鍵系統的配置 進行安全性評估 ;在工控協議的支持上,需要對主流的 Modbus、 P r o f i n e t、 I E C 6 0 8 7 0 - 5 -10 4、 I E C 6 0 8 7 0 - 5 -1、 I E C 6 18 5 0、DNP3 等主 流的工控 協議 進行覆 蓋, 其覆蓋范圍可參見圖 3。
圖 3 工控系統評估范圍
但是,根據 HIS 最近的研究報告“2013 全球工業以太網和現場總線技術”中的調查 顯示, 從 2011 年到 2016 年, 雖 然 新 增加 網絡節點的總數 量將會 增加超 過 30%,但 是現場總線和以太網產品的混合產品數量將 會 基 本 維 持 不 變, 從 23% 到 26% 僅僅 增加 3 個百分點。 由于技 術更 新 的成 本、 難度,老式工業總線很難都 替 換 成支持以太 網的新式總線。因此,需要有一種有效地手 段,可以對基于老式總線工業控制系統進行 漏洞掃描。 我們的解決 思 路 是, 使用一種 有效的基于總線轉換技術的漏洞掃描技術, 也就是說通過對老式總線的接入方式的轉 換,例如 RS485 轉換成以太網,使得采用 標 準工控總線協議的工業控制系統, 例如PROFIBUS-DP、MODBUS 等,可以通過以太網的方式進行漏洞掃描。這種技術可以有效地把基于以太網的成熟漏洞掃描技術引進到老式的工業控制系統中,實現更全面的安全風險 評估。轉換思路可如圖 4 所示。
圖 4 工業控制系統總線轉換技術
3.2.2 在評估時保障業務的連續性和健康性
在面對安全性要求更高的工業控制系統,需要在掃描時更加安全、可靠,而工業控制系 統由于長期封閉建設的原因,設備 / 系統相比 IT 系統更加的脆弱。因此需要采用“零影響” 的掃描技術以保障設備的零影響。在解決思路上,如果能把安全掃描融入到正常的業務中, 也就是說掃描行為與正常的業務行為保持一致性,將很好地解決這個問題。同時,通過在 IT 系統中多年積累的安全掃描經驗,能夠更好地保障業務的連續性和健康性。
3.3 如何進行成熟的安全風險評估
結合漏洞的生命周期以及漏洞管理流程,可從以下三個方面進行成熟的安全風險評估 :
3.3.1 可視化的工控風險展示
風險“可視化”是進行風險管控必不可少的特 性。科 學的風 險發現、風 險跟蹤 技術可以很好地提高整體風險控制的水平,可為企業帶來更高的效率, 有的甚至可以提高效果。
我們根據多年的經驗積累,采用了更具 實效性的儀表盤技術,從不同的角度展示設 備風險及趨勢。
• 包含資產整體的風險值、資產分析趨 勢圖。
• 包含主機風險等級分布、資產風險分 布趨勢。
• 能夠可視化的顯示當前資產的風險值 及過去一段時間的變化趨勢。
3.3.2 基于工控資產的漏洞跟蹤 工控系統一般規模大,資產數量、漏洞數量、脆弱性問題也很多,匯總成大量的風 險數據,會使安全管理人員疲于應付,又不 能保證對重要資產的及時修補。
因此漏洞跟蹤是需要盡量收集工控系統 環境信息,建立起工控資產關系列表,系統 基于資產信息進行脆弱性掃描和分析報告 ; 需要從風險發生區域、類型、嚴重程度進行不同維度的分類分析報告,用戶可以全局掌握安全風險,關注重點區域、重點資產,對 嚴重問題優先修補。對于需要定位工控資產 安全脆弱性的安全維護人員,通過直接點擊 儀表盤風險數據,可以逐級定位風險,直至 定位到具體主機具體漏洞 ;同時需要提供了強大的搜索功能,可以根據資產范圍、風險程度等條件搜索定位風險。
3.3.3 完善的工控漏洞管理流程 安全管理不只是技術,更重要的是通過流程制度對安全脆弱性風險進行控制,很多 公司制定了安全流程制度,但仍然有安全事 故發生,人員對流程制度的執行起到關鍵作 用,如何融入管理流程,并促進流程的執行是安全脆弱性管理產品需要解決的問題。
圖 5 工控漏洞管理流程
安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環節,結合安全流程中的預警、檢測、分析管理、審計環節, 并通過事件告警督促安全管理人員進行風險修補。
四 . 總結
工業控制系統安全是近一兩年來備受各 方關注的一個新興安全技術領域。工業控制 系統制造商、傳統安全廠商和工控安全廠商 都在這一領域投入力量展開研究,希望能夠 給工業控制系統用戶提供一個有效的安全解 決方案。
目前各類通用工業控制系統安全問題解 決思路還是從外圍的訪問控制入手,本文給 出一個從工業控制系統漏洞管理入手的解決 思路,希望能夠從根本上更好地解決工業控 制系統安全問題。我們也在依照這個思路開 展研發工作,目前已經基本完成了工控漏洞 掃描系統的研發工作,并且在一些工控環境 進行驗證工作。希望在不久之后,更具針對 性、更有效的工控漏洞掃描系統將會更好地 在工業控制系統安全領域發揮作用。
北京市公安局海淀分局備案號:11010802023656號