今日頭條
官方微信
官方抖音
資訊頻道
隨著智能制造與工業4.0戰略的提出,工業生產的數字化成為一種不可阻擋的未來趨勢,高度融合IT技術的工業自動化將會得到迅速而廣泛的應用,對于工業控制系統的信息安全的關注將達到前所未有的高度和廣度。
威脅信息安全的主要包括黑客攻擊、病毒、數據操縱、蠕蟲和特洛伊木馬等技術。數據顯示,黑客的攻擊目標已經從原來的商業互聯網絡逐步擴展到工業控制系統,主要目標集中在能源、水利、化工、政府機構以及核設施等領域。信息安全事件呈逐年上升的趨勢,其背后不乏犯罪、商業間諜、恐怖主義、甚至某些國家贊助的間諜活動。
菲尼克斯電氣是mGuard工業防火墻技術的發明者,也是工業信息安全的技術和市場領導者。mGuard工業防火墻技術始于2001年,在全球已經得到了十多萬客戶的應用和驗證,應用領域包括汽車、機械制造、儀表自動化、能源和軌道交通等行業。
菲尼克斯電氣可以為客戶提供全面的工業信息安全產品和技術服務,包括mGuard硬件防火墻,內嵌式的Linux OS內核程序,mGuard相關軟件解決方案以及mGuard的各種定制化信息安全服務等。
那么,工業控制系統信息安全所面臨的主要威脅有哪些?辦公網絡和工業網絡信息安全的主要差異是什么?典型的工業級網絡防火墻的特點和優勢體現在哪里? 本文將一一為您闡述。
1、工業控制系統信息安全威脅分析:
工業控制系統信息安全的潛在威脅主要來自黑客攻擊、病毒、數據操縱、蠕蟲和特洛伊木馬等。
a)來自黑客的攻擊:
目前,由于安全制度的缺失,大量的工業控制系統在完全沒有保護的情況下被連接到互聯網中,而這些設備大都使用默認的用戶名和密碼,可以輕易的被登陸和訪問,這些控制系統往往非常脆弱,易于被攻擊,而最危險的是這些控制系統的使用者對這些危險毫無察覺。
(數據來源:2011年 劍橋大學)
上面這兩張圖片來自劍橋大學2011年提供的一個分析報告,通過這個報告我們可以看出,只要通過網絡搜索引擎(Shodan搜索引擎)進行簡單的搜索,就可以找到連接在互聯網的工業網絡設備。網站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統及一個粒子回旋加速器,真正的可怕之處就是這些設備幾乎都沒有安裝安全防御措施,可以隨意進入。
黑客還可以利用黑客工具和技術,例如偵察、密碼猜測攻擊、緩沖區溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統進行攻擊和入侵。某些黑客甚至將攻擊SCADA系統的代碼公布到網絡上。
由此可見,黑客的攻擊目標已經從原來的商業互聯網絡逐步擴展到工業控制系統和SCADA系統中,而其背后的目的包括犯罪、商業間諜、恐怖主義、甚至某些國家贊助的間諜活動。
b)來自病毒的破壞
由于操作維護人員、第三方的系統維護服務商或訪客的不當操作,將有可能將隱藏在U盤、移動設備、筆記本電腦中的病毒傳播到工業控制系統中。如果沒有防護措施,這些病毒會利用系統的安全漏洞,在網絡中進行自我復制和傳播,感染工業控制計算機或攻擊可編程控制器。
i 直接攻擊PLC控制器的病毒(Stuxnet)
Stuxnet蠕蟲病毒(超級工廠病毒)是世界上首個專門針對工業控制系統編寫的破壞性病毒,能夠利用對windows系統和工業控制軟件的漏洞進行攻擊。Stuxnet蠕蟲病毒會攻擊可編程邏輯控制器(PLC),向PLC中寫入數據,并根據情況和需求改變PLC的流程。
該病毒可以通過U盤和局域網進行傳播,國內已有超過500萬網民及多個行業的領軍企業遭Stuxnet蠕蟲病毒攻擊,而且由于安全制度上的缺失,該病毒還存在很高的大規模傳播風險。
(數據來源:http://zh.wikipedia.org/wiki/%E9%9C%87%E7%BD%91#cite_note-27)
ii 間接攻擊的病毒(Dragonfly / Havex)
Dragonfly病毒是繼Stuxnet之后又一強大的病毒,它的目標就是侵入特定的工業控制系統(ICS),竊取其系統信息和數據并做進一步的傳播和擴散。
Dragonfly病毒是在2014年開始傳播并被發現的,黑客滲透了三個工業系統服務商的軟件升級服務器,致使其客戶通過升級服務下載了數百個包含惡意軟件的升級安裝文件。
iii 可自我復制的惡意軟件(Conficker / Kido)
Conficker蠕蟲是以微軟的windows操作系統為攻擊目標的計算機蠕蟲病毒,目前全球已有超過1500萬臺電腦受到感染。
conficker蠕蟲使用特定的RPC請求在目標電腦上執行代碼,一旦發現網絡中存在有漏洞的計算機系統,就會激活該漏洞進行遠程感染。
Conficker這一類的蠕蟲病毒會增加網絡負載,造成網絡的不穩定,也會使被感染的系統CPU負載增高,使得整個系統不可靠。
(數據來源:Conficker working group)
c)工業控制系統信息安全事件發生的數量和所受攻擊類型的分析:
據目前已知的數據顯示,工業控制系統的信息安全事件主要集中于能源、水利、化工、政府機構以及核設施等領域。而且在中國,這類事件的發生也呈逐年上升的趨勢。
(數據來源:權威工業安全事件信息庫 RISI(Repository of Security Incidents) 2014)
從以上分析可以看出,工業控制系統信息安全事件呈快速上升趨勢,且所受攻擊可能來自方方面面,幸運的是菲尼克斯電氣所提供的mGuard工業信息安全技術可以很好地解決以上問題。
2、辦公網絡信息安全和工業自動化網絡信息安全的主要差別
辦公電腦和網絡與工業電腦和信息網絡有很大區別,針對信息安全所做的防護措施也不盡相同。
表1 在辦公室和工業環境中信息系統的不同特點
由表1可以看出,工業控制計算機和工業網絡在對安全性的要求、使用壽命、信息安全防護手段等方面有著特殊要求。由于系統兼容性和穩定性的需要,工業控制計算機往往都不會安裝殺毒軟件和經常升級系統補丁,特別是一些服役多年的工控設備,往往得不到更新支持,這些毫無防護的控制系統非常脆弱。病毒和毫無經驗的黑客都可以對其發起致命性的攻擊。菲尼克斯電氣的mGuard工業防火墻技術不但可以防止黑客從網絡入侵,同時可以對病毒實現監控和防御。
3、菲尼克斯電氣mGuard工業控制系統信息安全解決方案的特點
菲尼克斯電氣的mGuard工業防火墻技術始于2001年,為工業企業客戶提供信息安全產品和相關技術服務,目前在全球已經安裝了超過10萬個工業級防火墻。主要的客戶包括汽車、機械制造、儀表自動化、能源、軌道交通。
所提供的產品和服務包括mGuard硬件防火墻,內嵌式的Linux OS內核程序,mGuard相關軟件解決方案以及mGuard的各種定制化信息安全服務。
mGuard主要安全性能介紹:
a)OPC深度數據包監測技術
許多工業級蠕蟲病毒都是通過遠程過程調用(RPC)協議進行傳播,在現代工業控制系統中,RPC協議被廣泛使用,工業集成技術OPC Classic就需要允許RPC通訊。因此它經常被黑客和病毒利用,用以攻擊SCADA和工業控制系統。如果禁用RPC協議,會導致工業控制系統通訊故障,OPC深度數據包監測技術(DPI)可以識別正常的OPC通訊請求,并阻止惡意信息和不恰當的SCADA/ICS通訊,同時避免對控制系統造成不必要的影響,這在工業控制系統信息安全防護中是十分必要的。
DPI細粒度防火墻控制將精確地保證服務器與客戶端之間的OPC通訊,提供最高級別的安全,確保針對蠕蟲病毒的防護。甚至,mGuard的智能深度數據包檢測技術還可以使OPC通訊在NAT路由模式下正常工作(如IP掩蔽或1:1NAT模式),世界上只有mGuard工業防火墻具有這樣的技術。
b)惡意軟件及病毒檢測技術
傳統的防火墻僅能禁止黑客的入侵和蠕蟲病毒的傳播,不能對工控機中潛在的病毒進行防控,也無法根除這些危險源。
菲尼克斯電氣的mGuard工業防火墻具有通用互聯網文件系統完整性監測技術(CIFS Integrity Monitoring,簡稱CIM)。利用這個技術,mGuard可以定期監測指定工控機內文件系統,判斷該計算機系統中的.EXE文件和.DLL文件是否被非授權的改寫。
mGuard還可以利用CIFS病毒掃描技術,調用病毒掃描服務器,對指定工控機內的文件系統進行病毒掃描,這樣就可以主動消滅惡意軟件和病毒,該功能對于工控機的硬件性能和系統兼容性沒有任何特殊要求。
總體來說CIM技術可以為工業控制系統提供信息安全防護,而不需要為工控機升級安全補丁,并與原有硬件和系統軟件兼容,可永久在線監測和掃描,對病毒有防御功能,不占用CPU和網絡負載,支持Win95/98, CE5+, NT, 2000, XP, Vista, 7 及各種LINUX 操作系統,當發現病毒或非正常的文件寫入時將觸發報警并自動響應(如啟動第三方病毒工具,升級安全級別)。使用CIM技術,將節省大量系統信息安全升級改造的成本。
c)三種不同的防護模式
為了提高工業控制系統信息安全,需要對工業控制系統網絡劃分成不同安全級別的區域,從而實現縱深防御來隔離系統中的重要部分。菲尼克斯電氣的mGuard具有三種不同的防護模式,可以靈活的適用于不同的安全區域。
i 單一隱秘模式(專利技術):
隱秘模式用于完美保護某個單一設備,在這樣的模式中mGuard不具備IP地址,因此對于黑客來說完全是隱形的,這樣的模式也不會改變原有的網絡結構,mGuard將會過濾所有通向被保護設備的數據。
ii 多重隱秘(橋接)模式:
多重隱秘(橋接)模式用于保護一組設備,mGuard將會過濾所有通向被保護設備的數據,在這樣的結構中,mGuard需要一個內部的網絡IP地址。多重隱秘(橋接)模式一般用來保護多臺設備,而這些被保護設備與非安全設備有可能在同一網段內。
iii 路由模式:
路由模式用來在兩個網絡之間建立安全防護,mGuard將會完美保護位于內部網絡的控制設備,mGuard在外部網絡(子網A)和內部網絡(子網B)各需要一個IP地址。路由模式一般用來連接工業控制網絡和辦公網絡。
d)mGuard Secure Cloud 技術
通過mGuard Secure Cloud技術,菲尼克斯電氣的安全專家可以通過遠程VPN功能為mGuard客戶提供各種不同級別的安全服務,比如說,定期為客戶的工業控制系統和數據做安全檢查,并出具相應的專業報告,為客戶的工業控制系統信息安全提供專家級的建議。
e) mGuard硬件裝置
菲尼克斯電氣可以提供適用于不同場合的mGuard工業防火墻,這些不同的硬件具有相同的固件并且可以獲得免費升級服務,都可以通過WEB界面進行配置,也可以通過mGuard Device Manager管理軟件進行集中的管理和配置,可以互相兼容,全部支持mGuard Secure Cloud服務。
如今,全世界的工業大國都紛紛將工控及其安全問題提到戰略級別,比如德國工業4.0就將工控安全作為重要環節單獨考慮。2011年9月,工信部還特別下發《關于加強工業控制系統信息安全管理的通知》。2015年2月1日,推薦性國家標準GB/T30976.1~.2-2014《工業控制系統信息安全》正式開始實施。由此可見,加強工業控制系統信息安全工作已是當務之急。而菲尼克斯電氣的mGuard工業防火墻所具有的多重防護模式、深度數據包檢測技術、惡意軟件及病毒檢測技術和mGuard Secure Cloud 技術是專門針對工業領域開發的信息安全防護技術,將對工業控制系統信息安全保障工作提供有力支持。
北京市公安局海淀分局備案號:11010802023656號