今日頭條
官方微信
官方抖音
資訊頻道
隨著信息化與工業(yè)自動(dòng)化的深度融合,以及物聯(lián)網(wǎng)技術(shù)的快速發(fā)展,工業(yè)自動(dòng)化與控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展,越來越多基于TCP/IP的通信協(xié)議和接口被采用,從而實(shí)現(xiàn)了自管理信息層延伸至現(xiàn)場設(shè)備的一致性識(shí)別、通訊和控制。然而,在工控系統(tǒng)越來越開放的同時(shí),也同步削弱了控制系統(tǒng)與外界的隔離和安全保護(hù)。因此,行業(yè)/企業(yè)在享受網(wǎng)絡(luò)互連帶來的種種好處的同時(shí)也面臨著各種來源的信息安全威脅,包括病毒、木馬向控制網(wǎng)絡(luò)的擴(kuò)散等,國內(nèi)工控系統(tǒng)(ICS)的安全隱患問題日益嚴(yán)峻,應(yīng)給予足夠的重視。
軌道交通中的自動(dòng)化系統(tǒng)一般分為:與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)與電力SCADA系統(tǒng)等)、為列車運(yùn)行提供輔助、支撐的系統(tǒng)(如綜合監(jiān)控系統(tǒng)、設(shè)備監(jiān)控系統(tǒng)、火災(zāi)報(bào)警系統(tǒng)等)以及輔助于安全管理的系統(tǒng)(如門禁系統(tǒng)等)。這些系統(tǒng)存在著共同的特點(diǎn):一般系統(tǒng)分為信息管理層、控制執(zhí)行層和現(xiàn)場操作層三層架構(gòu);系統(tǒng)以采集與執(zhí)行控制器(如PLC)和工業(yè)控制網(wǎng)絡(luò)為核心開展工作;工業(yè)控制網(wǎng)絡(luò)要求有更好的實(shí)時(shí)性、更高的傳輸速率以及可靠性。
工業(yè)控制網(wǎng)絡(luò)中的現(xiàn)場總線由于技術(shù)的局限性已經(jīng)不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡(luò)的需求,當(dāng)前應(yīng)用最為廣泛的是工業(yè)以太網(wǎng)技術(shù)。具有如下優(yōu)點(diǎn):
(1)幾乎所有的編程語言都支持以太網(wǎng);
(2)軟硬件資源豐富,成本低廉(可降低系統(tǒng)的整體成本);
(3) 通信速率高( 百兆設(shè)備已被廣泛使用,千兆、萬兆逐漸成為工業(yè)骨干網(wǎng)的主流);
(4)由于基于TCP/IP開放式標(biāo)準(zhǔn),不同設(shè)備很容易互聯(lián),具有很好的發(fā)展?jié)摿Γ?br />
(5)易于實(shí)現(xiàn)一體化的管理與控制;
(6)工業(yè)產(chǎn)品設(shè)計(jì),提供其它自動(dòng)化組件相同的MTBF(平均故障間隔時(shí)間)值,通常是10年以上(相比之下,典型商用產(chǎn)品在建造時(shí),最多實(shí)現(xiàn)5年平均壽命);
(7)方便安裝:通常采用DIN-Rail導(dǎo)軌安裝,或者直接用螺栓連接到機(jī)器上;
(8)無風(fēng)扇設(shè)計(jì),實(shí)現(xiàn)被動(dòng)散熱;
(9)冗余電源,冗余鏈路,支持采取冗余設(shè)備以保證全天候正常運(yùn)行時(shí)間;
(10)符合特定行業(yè)標(biāo)準(zhǔn)[包括軌道交通行業(yè)普遍認(rèn)可EN50121-4認(rèn)證(軌旁應(yīng)用)以及EN50155認(rèn)證(車載應(yīng)用)],以保證能在極端的現(xiàn)場條件下正常運(yùn)作,如濕度、防塵、防腐蝕、溫度、振動(dòng)、沖擊和電磁干擾。但無法掩蓋一個(gè)事實(shí),工業(yè)控制網(wǎng)絡(luò)是工控系統(tǒng)安全隱患中的主要因素。
1 工控系統(tǒng)信息安全現(xiàn)狀以及對(duì)軌交安全的影響
現(xiàn)實(shí)情況的調(diào)研說明了工業(yè)控制系統(tǒng)信息安全問題日趨嚴(yán)重。
近兩年,在工業(yè)網(wǎng)絡(luò)信息安全領(lǐng)域有幾個(gè)影響較大的實(shí)例:
( 1 ) 2 0 1 0年7 月首次檢測出以某公司的I C S /SCADA為攻擊目標(biāo)的Stuxnet震網(wǎng)病毒;三個(gè)月后,全球已有十萬臺(tái)主機(jī)計(jì)算機(jī)受到感染。這是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒,由此引發(fā)了工業(yè)界對(duì)信息安全的特別關(guān)注。
(2)2012年8月,BBC技術(shù)版報(bào)道,在西門子旗下的羅杰康平臺(tái)交換機(jī)中發(fā)現(xiàn)了后門,這個(gè)程序讓黑客可以容易的侵入網(wǎng)絡(luò),竊取信息。該設(shè)備主要應(yīng)用在美國的國家發(fā)電廠中,得到美國國土安全局的高度重視。
(3)2013年底,“棱鏡門”事件的主角斯諾登曝光了一份材料,顯示美國在2008年研制了48種間諜工具,可以實(shí)現(xiàn)對(duì)與互聯(lián)網(wǎng)隔離的計(jì)算機(jī)的隔空打擊。這一情況對(duì)人們存在將工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離、ICS不存在信息安全問題的想法構(gòu)成顛覆性沖擊。
根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,在工業(yè)最為發(fā)達(dá)的美國,2010年工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計(jì)僅為39條,到了2013年,這一數(shù)據(jù)增至256條。其中在2013年,工業(yè)控制系統(tǒng)的安全事件在能源、關(guān)鍵制造、供水、交通、核工業(yè)等直接關(guān)系到國民生計(jì)以及人身安全的行業(yè)都有涉及。其中交通行業(yè)工業(yè)控制系統(tǒng)安全事件的比例達(dá)到5%。
中國的工業(yè)發(fā)展暫落后于美國。因此,可以預(yù)見到未來中國的工業(yè)控制系統(tǒng)安全事件也將呈現(xiàn)覆蓋范圍廣、增長速度快的趨勢。交通行業(yè),尤其是軌道交通行業(yè),工業(yè)基礎(chǔ)設(shè)施中的關(guān)鍵ICS系統(tǒng)的安全事件可能造成的影響包括:
(1)軌道交通子系統(tǒng)性能的下降,影響系統(tǒng)的可用性;
(2)關(guān)鍵控制數(shù)據(jù)被篡改或者喪失;
(3)失去控制(2008年一少年攻擊了波蘭的Lodz的城鐵系統(tǒng),用一個(gè)遙控器改變軌道扳道器,導(dǎo)致4節(jié)列車出軌);
(4)嚴(yán)重甚至導(dǎo)致人員傷亡;
(5)軌道運(yùn)輸單位聲譽(yù)受損,信任度降低;
(6)基礎(chǔ)設(shè)施破壞;
(7)嚴(yán)重的經(jīng)濟(jì)損失等。
2 工業(yè)以太網(wǎng)信息安全威脅的主要原因
從業(yè)者一般認(rèn)為工業(yè)控制網(wǎng)絡(luò)通信協(xié)議相對(duì)私有,與更廣范圍的網(wǎng)絡(luò)存在隔離的特性,加上設(shè)備自身的優(yōu)勢,使得他們對(duì)于工業(yè)網(wǎng)絡(luò)的安全性很有信心。但在如今不斷變化、更廣互聯(lián)的網(wǎng)絡(luò)世界中,許多工業(yè)運(yùn)營商甚至都沒有意識(shí)到他們的系統(tǒng)已經(jīng)被暴露在互聯(lián)網(wǎng)上,必須要進(jìn)行一些特別的安全漏洞處理。在近期的一則報(bào)道中反映,美國國土安全部顧問InfraCritical僅僅通過監(jiān)控引擎就發(fā)現(xiàn)了50萬個(gè)暴露在網(wǎng)絡(luò)中的SCADA設(shè)備,其中7200個(gè)設(shè)備控制著關(guān)鍵的基礎(chǔ)設(shè)施,比如說水利、能源以及其它領(lǐng)域的設(shè)備。因此,安全研究人員描述工業(yè)控制系統(tǒng)的狀態(tài)“很安全”,就聽起來很可笑了。
現(xiàn)有的工業(yè)自動(dòng)化網(wǎng)絡(luò)中漏洞存在主要體現(xiàn)在以下三方面:
(1)工業(yè)基礎(chǔ)協(xié)議Modbus TCP/IP 協(xié)議數(shù)據(jù)包存在安全隱患
Modbus TCP/IP 協(xié)議被廣泛應(yīng)用于工業(yè)通信中,但由于缺乏內(nèi)置的安全處置,使得協(xié)議應(yīng)用時(shí)相對(duì)脆弱。具體地說,即使當(dāng)傳送一個(gè)檢測過源IP地址的TCP/IP的數(shù)據(jù)包時(shí),看起來似乎是合法的,但由于它可能包涵有惡意的Modbus TCP 通信數(shù)據(jù)包,讓整個(gè)通信過程存在疑慮。假設(shè)讓系統(tǒng)對(duì)Modbus的源設(shè)備ID、功能碼或者命令類型進(jìn)行檢測時(shí),這種惡意的數(shù)據(jù)包將無處遁形。同時(shí)由于工業(yè)設(shè)備幾乎沒有應(yīng)用層的安全防護(hù)方式,因此這樣的關(guān)鍵任務(wù)應(yīng)用的安全保護(hù)將落地在網(wǎng)絡(luò)安全設(shè)備,如硬件防火墻等,而傳統(tǒng)防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機(jī)制。
(2)自動(dòng)化控制中對(duì)時(shí)序的要求很嚴(yán)格,存在傳輸延遲的安全隱患
SCADA和自動(dòng)化控制對(duì)受控對(duì)象的直接操作是具有高度時(shí)效性的,比如說變電站運(yùn)作對(duì)時(shí)間非常敏感,觸發(fā)電路開關(guān)的延遲可以導(dǎo)致功率波動(dòng)甚至停電。操作的高時(shí)效性要求工業(yè)網(wǎng)絡(luò)不能存在重大的延遲問題。然而,惡意攻擊者使用一個(gè)常見請(qǐng)求程序去攻擊一個(gè)網(wǎng)絡(luò),即便防火墻可以阻止一個(gè)未經(jīng)授權(quán)的請(qǐng)求,也會(huì)造成網(wǎng)絡(luò)延遲。同時(shí)防火墻在處理數(shù)據(jù)時(shí)也存在能力不足、帶寬不夠的情況,同樣也會(huì)在關(guān)鍵時(shí)刻導(dǎo)致網(wǎng)絡(luò)的延遲,無法滿足實(shí)時(shí)性傳輸要求。
另外,隨著需求的不斷增長,工業(yè)網(wǎng)絡(luò)將集成更多的系統(tǒng),如視頻、語音和數(shù)據(jù)網(wǎng)絡(luò)等;網(wǎng)絡(luò)設(shè)備需要更大的帶寬和吞吐量來支持更高級(jí)的應(yīng)用程序,并不影響網(wǎng)絡(luò)安全,也不會(huì)造成其它工業(yè)操作的延遲。
(3)嚴(yán)苛的現(xiàn)場環(huán)境促使網(wǎng)絡(luò)設(shè)備被動(dòng)適應(yīng),存在適應(yīng)性安全隱患
軌交現(xiàn)場機(jī)電機(jī)械和工業(yè)控制設(shè)備都部署在較為
嚴(yán)苛的環(huán)境中。采用傳統(tǒng)的IT網(wǎng)絡(luò)安全設(shè)備很難在這些嚴(yán)苛的環(huán)境中穩(wěn)定運(yùn)行并保障工業(yè)網(wǎng)絡(luò)及系統(tǒng)的信息安全。這些嚴(yán)苛的環(huán)境條件包括如極端的溫度、EMC、EMI等,對(duì)傳統(tǒng)IT網(wǎng)絡(luò)安全設(shè)備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴(yán)重。因此,確保工業(yè)網(wǎng)絡(luò)免受黑客的攻擊,保障信息安全,首要任務(wù)是確保這些設(shè)備能夠在這些嚴(yán)苛工業(yè)環(huán)境下持續(xù)、穩(wěn)定地運(yùn)行。
消除以上漏洞的思路,第一步是確認(rèn)漏洞、關(guān)閉漏洞;第二步至關(guān)重要,必須將安全漏洞完全處理掉。
3 工控網(wǎng)信息安全解決方案探討
3.1 軌交行業(yè)信息安全的總體考慮
軌交業(yè)務(wù)總體可以分為自動(dòng)化控制和管理信息兩大類。劃分為三個(gè)安全域:生產(chǎn)網(wǎng)域、管理網(wǎng)域和互聯(lián)網(wǎng)域。上海在處置信息安全時(shí),一般有以下做法:
(1)同區(qū)域訪問、各不同區(qū)域之間實(shí)行受控訪問或禁止訪問。安全域之間的訪問控制策略見表1。
(2)自動(dòng)化控制系統(tǒng)按照既有的建設(shè)安全體系進(jìn)行防護(hù)的同時(shí),與列車運(yùn)行控制直接相關(guān)的系統(tǒng)(如信號(hào)系統(tǒng)和SCADA系統(tǒng))級(jí)別應(yīng)定為非常重要,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第三級(jí);為列車運(yùn)行提供輔助、支撐的系統(tǒng)級(jí)別應(yīng)定為重要,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第二級(jí);
(3)僅供軌交行業(yè)內(nèi)部使用的管理、決策、辦公類系統(tǒng)級(jí)別應(yīng)定為一般,對(duì)應(yīng)安全等級(jí)保護(hù)體系的第一級(jí)。
3.2 工控網(wǎng)信息安全的考慮
針對(duì)以上的分析,建議從硬件以及軟件兩個(gè)方面實(shí)現(xiàn)工業(yè)以太網(wǎng)的信息安全。
(1)硬件實(shí)現(xiàn)多層次網(wǎng)絡(luò)信息安全防護(hù)
針對(duì)軌道交通自動(dòng)化系統(tǒng)構(gòu)成特征,將現(xiàn)場級(jí)系統(tǒng)分解成多層結(jié)構(gòu)(如圖1所示),在各層網(wǎng)絡(luò)中根據(jù)不同情況(如連接設(shè)備數(shù)目、帶寬以及性能要求等),設(shè)置合適的工業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品。以Moxa公司的EDR-810系列為例,隨著集成技術(shù)發(fā)展,在市場上推出了一體化的防火墻交換機(jī),主要面對(duì)最底層需連接多個(gè)終端設(shè)備,必須放置一臺(tái)交換機(jī)的情況;該集成設(shè)備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能,具有千兆上聯(lián)口以及多個(gè)快速以太網(wǎng)口,在滿足現(xiàn)場設(shè)備接入的同時(shí),還可利用網(wǎng)管的功能,有效防止由于現(xiàn)場設(shè)備故障導(dǎo)致的廣播風(fēng)暴對(duì)于其它關(guān)鍵設(shè)備的影響;對(duì)于現(xiàn)場不被使用的端口,在物理封存的同時(shí)系統(tǒng)可以將其關(guān)閉,從而防止利用現(xiàn)場設(shè)備接入交換機(jī)進(jìn)行的惡意篡改以及非法入侵。另外,該設(shè)備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡(luò)流量以及網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防御內(nèi)部局域網(wǎng)免受未經(jīng)授權(quán)從外部主機(jī)傳來的活動(dòng),能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測,從而有效地防止對(duì)于現(xiàn)場PLC等關(guān)鍵設(shè)備的非法控制,確保關(guān)鍵設(shè)備的可靠性。
在最上層對(duì)接辦公網(wǎng)絡(luò)時(shí),宜選擇設(shè)置工業(yè)級(jí)千兆防火墻/VPN安全路由器設(shè)備,同時(shí)應(yīng)考慮滿足帶寬需求高、對(duì)外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例,其具備冗余的WAN接口,千兆的寬帶性能,吞吐量能夠達(dá)到500Mbps,能夠建立的Firewall/NAT規(guī)則數(shù)為512/256以上,從而確保企業(yè)信息網(wǎng)與自動(dòng)化網(wǎng)絡(luò)之間的安全通信;同時(shí),支持VPN三層隧道協(xié)議IPSec可達(dá)100條,能夠滿足遠(yuǎn)端的多通道安全通訊。
(2)在網(wǎng)管軟件中設(shè)置信息安全的選項(xiàng)
工業(yè)網(wǎng)絡(luò)管理套件可以實(shí)現(xiàn)簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除,將整個(gè)網(wǎng)絡(luò)生命周期都結(jié)合到了一個(gè)工具包內(nèi)。為了回應(yīng)工業(yè)網(wǎng)絡(luò)對(duì)于信息安全的重視,須基于ISA與IEC共同制定的針對(duì)工業(yè)網(wǎng)絡(luò)分隔的工業(yè)自動(dòng)化系統(tǒng)和控制信息系統(tǒng)的標(biāo)準(zhǔn)IEC 62443標(biāo)準(zhǔn),分別在安裝、運(yùn)行和診斷三個(gè)階段來確保網(wǎng)絡(luò)安全。
在安裝階段,要從軟件上可以批量部署設(shè)備的安全功能,可選擇不同的設(shè)備安全級(jí)別,規(guī)范不同的安全條款,以滿足不同的應(yīng)用需要。
在運(yùn)行階段,軟件可在可視化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,用不同顏色來標(biāo)注設(shè)備的不同安全等級(jí),方便進(jìn)行設(shè)備管理。在偵測到安全異常情況后,有相應(yīng)的界面輸出警告,通知操作人員,進(jìn)行及時(shí)處理。
4 案例與結(jié)語
案例:美國亨利科縣交通控制系統(tǒng)的安全處置
弗吉尼亞州亨利科縣交通部門按NEMA TS2交通控制規(guī)范升級(jí)現(xiàn)有的公路交通信號(hào)控制系統(tǒng),使其成為先進(jìn)交通管理系統(tǒng)(ATMS)。亨利科縣現(xiàn)有的交通控制系統(tǒng)是由140個(gè)信號(hào)控制的十字路口組成,但只有25個(gè)十字路口是相互連接的,其余115個(gè)十字路口的信號(hào)控制電路隔離。該系統(tǒng)將采用一個(gè)集中的網(wǎng)絡(luò)架構(gòu),使得中央指揮中心可以與每一個(gè)現(xiàn)場交通信號(hào)控制器進(jìn)行數(shù)據(jù)通信。現(xiàn)場的交通控制器也可以調(diào)整和安排每天不同時(shí)間段的交通信號(hào)配時(shí)參數(shù),以此來提高交通車流量。從中央指揮中心,運(yùn)營商將能夠訪問交通信號(hào)的實(shí)時(shí)監(jiān)控和應(yīng)急響應(yīng)遠(yuǎn)程流量控制的位置。這種先進(jìn)的交通控制網(wǎng)絡(luò)將通過公用網(wǎng)絡(luò)進(jìn)行部署,不只需要一個(gè)高度可靠的連接,同時(shí)也保護(hù)了網(wǎng)絡(luò)安全,禁止未經(jīng)授權(quán)的訪問。
為了使交通控制器能夠?qū)?shù)據(jù)傳送到交通指揮中心,系統(tǒng)集成商需要利用現(xiàn)有的ISP公共網(wǎng)絡(luò)。然而,在公共網(wǎng)絡(luò)中存在可能的安全性問題,會(huì)直接威脅到交通控制網(wǎng)絡(luò)的通信。所以,采用VPN和現(xiàn)場及核心防火墻來保證數(shù)據(jù)通信的安全就顯得至關(guān)重要。
2011年,工業(yè)和信息化部頒發(fā)了451號(hào)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,從國家層面強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的重要性和緊迫性,而軌道交通的核心生產(chǎn)系統(tǒng)正屬于此通知范圍內(nèi)。因此希望通過上述討論,提請(qǐng)相關(guān)人士重視對(duì)軌道交通現(xiàn)有的、各個(gè)層次系統(tǒng)部署狀況、網(wǎng)絡(luò)架構(gòu)及主要安全問題的分析,形成一套有效的信息安全架構(gòu)方案,推動(dòng)軌道交通信息安全基礎(chǔ)建設(shè),完善軌道交通信息安全技術(shù)防護(hù)體系、信息安全管理體系,提升軌交行業(yè)的信息安全預(yù)警能力、信息安全保障能力、信息安全檢測能力、信息安全應(yīng)急能力和信息安全恢復(fù)能力。
作者簡介
洪翔,高級(jí)工程師。現(xiàn)任上海申通地鐵集團(tuán)有限公司技術(shù)研究中心系統(tǒng)集成部主任。多年從事軌道交通通信工程、控制中心、綜合監(jiān)控系統(tǒng)以及信息化等專業(yè)的工程規(guī)劃、可研報(bào)告編制、工程設(shè)計(jì)、咨詢和技術(shù)管理、評(píng)審和科研等工作。曾獲上海市科技進(jìn)步獎(jiǎng)、教育部科技進(jìn)步獎(jiǎng)、建設(shè)部優(yōu)秀工程設(shè)計(jì)銀獎(jiǎng)、上海市優(yōu)秀工程咨詢成果獎(jiǎng)等獎(jiǎng)項(xiàng)。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)