今日頭條
官方微信
官方抖音
資訊頻道
隨著我國工業化和信息化的深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,并以各種方式與互聯網等公共網絡連接;在工業控制系統愈發智能的同時,其網絡也變得更加透明、開放、互聯。病毒、木馬等威脅開始向工業控制系統擴散,信息安全問題日益突出。工業控制系統信息安全是多行業、多領域和多學科融合的新興領域,我國關于工業控制系統信息安全研究仍然處于起步發展階段。
1 工業控制系統(ICS)簡介
工業控制系統(Industrial Control Systems,ICS)是由各種自動化組件和對實時數據進行采集、監測的過程控制組件,共同構成的對工業生產過程實現檢測、控制、優化、調度、管理和決策的生產流程管控系統,用以實現增加產量、提高質量、降低消耗等目的。ICS包括數據采集與監控系統(Supervisory Control And Data Acquisition,SCADA)、分布式控制系統(Distributed Control Systems,DCS)、可編程邏輯控制器(Programmable Logic Controller,PLC)以及其他控制系統等,目前已廣泛應用于電力、水力、鋼鐵、石化、醫藥、食品以及汽車、航天等工業領域,成為國家關鍵基礎設施的重要組成部分,是這些基礎設施運行的“中樞”和“大腦”。
2 ICS信息安全典型案例
最為著名的I C S 信息安全案例就是“ 震網(Stuxnet)”病毒襲擊事件。“震網”病毒于2010年6月首次被檢測出來,是第一個專門定向攻擊真實世界中基礎設施的“蠕蟲”病毒,比如核電站、水壩、國家電網等。2011年2月,伊朗突然宣布暫時推遲首座核電站——布什爾核電站的使用,原因就是核設施遭到“震網”病毒攻擊,病毒侵入了西門子公司為核電站設計的工業控制軟件,并奪取了一系列核心生產設備的關鍵控制權,1/5的離心機報廢。“震網”病毒使用了4個未公開漏洞、1個Windows Rootkit、一個可編程邏輯控制器(PLC)Rootkit、防病毒免殺技術、P2P更新,從可信認證中心(Certificate Authority,CA)竊取證書,并不斷演變進化;該病毒是通過移動存儲設備進入到同其他網絡物理隔離的計算機中,自動查找西門子的SIMATIC WinCC工控系統軟件,使用PLC Rootkit修改控制系統參數并隱藏PLC變動,從而對真實物理設備和系統造成物理損害。“震網”病毒的出現和傳播,威脅的不僅是自動化系統的安全,而且使自動化系統的安全性上升到國家安全的高度。
ICS信息安全事件數量逐年大幅上升,據來源于美國國土安全部的工業控制系統網絡應急響應小組ICSCERT)
的數據表明,如圖1所示,自2010年起,重大ICS信息安全事件呈爆炸式增長,由2010年的39起增加到2013年的256起。
圖1 ICS-CERT歷年的ICS信息安全事件統計(按財年)
3 產生ICS信息安全問題的原因
對ICS的信息安全攻擊是對傳統IT攻擊的一種自然發展。近十年來,隨著信息技術的迅猛發展,ICS網絡和企業管理網絡的聯系越來越緊密,信息化在我們企業中的應用取得了飛速發展,互聯網、物聯網技術的出現,使得工業控制網絡中大量采用通用TCP/IP技術。此外,傳統工業控制系統采用專用的硬件、軟件和通信協議,設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。企業管理網與工業控制網的防護功能都很弱,甚至幾乎沒有隔離功能,因此在ICS開放的同時,也減弱了控制系統與外界的隔離,ICS的安全隱患問題日益嚴峻。系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。在當前ICS標準化和互聯互通的趨勢下,采用信息安全攻擊對攻擊者來說更便宜、風險更低、不受地理限制,并且更容易復制和操作,因而導致了ICS信息安全問題近些年來頻頻發生。ICS系統安全問題嚴峻的主要原因有以下幾點:
(1)管理缺失
沒有足夠健全的安全政策、管理制度,人員安全意識缺乏。由于ICS不像互聯網或與傳統企業IT網絡那樣備受黑客的關注,在2010年“震網”事件發生之前,很少有黑客攻擊工業控制網絡的事件發生;ICS在設計時多考慮系統的可用性,普遍對安全性問題考慮不足,更不用提制定完善的ICS安全政策、管理制度以及對人員的安全意識培養了,天長日久造成人員的信息安全意識淡薄。其中,人員安全意識薄弱、缺乏定期安全培訓是造成ICS信息安全風險的一個重要因素,特別是重要崗位人員容易淪為外部威脅入侵的跳板。
(2)網絡設計不完善,深度保護不夠
相較于傳統的網絡與信息系統,大多數的ICS在開發設計時,需要兼顧應用環境、控制管理等多方面因素,首要考慮效率和實時特性。因此,ICS普遍缺乏有效的工業信息安全防御及數據通信保密措施。ICS早期和企業管理系統是隔離的,但近年來為了實現實時的數據采集與生產控制,滿足“兩化融合”的需求以及管理的方便,通過邏輯隔離的方式,使ICS和企業管理系統可以直接進行通信,而企業管理系統一般直接連接Internet。在這種情況下,ICS接入的范圍不僅擴展到了企業網,而且面臨著來自Internet的威脅。
(3)ICS的自身特點所致
ICS的設計開發之初并未將系統防護、數據保密等安全指標納入其中。兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中,隨之而來的通信協議漏洞問題也日益突出。而且ICS網絡與企業網絡連接,防護措施的薄弱(如TCP/1P協議缺陷、工業應用漏洞等)導致攻擊者很容易通過企業網絡間接入侵ICS。
(4)ICS設備的通用性
在ICS中多采用通用協議、通用軟件、通用硬件,這些通用設備的漏洞給系統的信息安全帶來極大隱患。
通信網絡是ICS中連接監測層與控制層的紐帶,目前ICS多采用IEC 61158中提供的20種工業現場總線標準,例如Modbus系列、Profibus系列等。如利用這些通用協議的缺陷、漏洞即可入侵ICS,獲得控制器的控制權,進而破壞整個系統。
組態軟件作為ICS監控層的軟件平臺和開發環境,針對不同的控制器設備,其應用具有一定的通用性。目
前使用比較廣泛的有WinCC、InTouch、iFix等。“震網”病毒即利用了西門子WinCC的漏洞。
通用控制器硬件設備主要采用西門子、羅克韋爾自動化、施耐德電氣等公司產品,因此這些通用控制器所具有的漏洞極易成為惡意攻擊的突破口。如施耐德電氣Quantum以太網模塊漏洞可以使任何人全方位地訪問設備的硬編碼密碼。
4 ICS信息安全問題的應對措施
要提高整個ICS的信息安全,必須從技術和管理兩個方面來綜合解決問題。一般采用的關鍵技術為信息安
全風險評估,具體實施采用縱深防御體系。
4.1 ICS信息安全風險評估
ICS信息安全風險評估屬于風險評估范疇,因此它在風險概念、風險評估的基本流程方面基本繼承了通用信息安全風險評估中的相關內容;但另一方面,ICS是工業領域的生產運行系統,在生產運行系統中執行傳統IT信息安全技術測試(如漏洞掃描、滲透測試)可能會對生產運行系統造成損害甚至引發安全事故,因此在風險評估實施指南方面的工作都要具體指出ICS風險評估實施的特點。
安全風險評估最為常用的是定性和定量風險評估技術方法。定性風險評估技術方法是在確定風險時采用高、中、低等定性分級方法,定量風險評估技術方法是使用數值定量計算的評估技術和方法。
在風險評估中,確定風險總的來說就是回答三個問題:什么會出錯?出錯的可能性有多大?后果會是什么?定性風險評估方法主要是憑借評估者和專家的經驗、直覺來主觀判斷,對這些問題給出高、中、低等定性分析與判斷,定性方法通常操作簡單、直觀、容易掌握。但其評價結果通常很大程度依賴于評估者和專家的經驗,更具主觀性,對負面事件發生的可能性和后果不能給出量化結果。定量風險評估技術方法也稱概率風險評估,它主要是對負面事件的可能性用概率或頻率表達,并給出后果的數字化值,從而得出風險的量化值。概率風險評估包括故障樹分析、攻擊樹分析、事件樹分析、漏洞樹分析、失效模式和影響分析、失效模式影響和關鍵性分析、因果分析等方法,以及一些基于這些方法的擴展或組合等。定量風險評估技術和方法能從數量上說明評估對象的危險程度、精確描述系統的危險性,因此它也是當前ICS信息安全風險評估的主要研究方向。
ICS信息安全研究,采用樹、圖等圖形化方式,能夠更加可視化、結構化地進行定性/定量(特別是定量方法)風險評估研究,這是當前ICS風險評估研究和實踐的兩個熱點。根據具體方法不同,樹、圖等圖形化方法可以從攻擊者、防御者和中立第三方等不同用戶視角可視化、結構化地展示ICS的攻擊路徑、系統漏洞、防御措施和消控措施等,還可以進一步進行定性或定量風險分析和評價。最為人熟知的圖形化風險建模和分析方法是攻擊樹(Attack trees)方法,它是一種基于攻擊的、形式化分析系統和子系統安全風險的方法。攻擊樹已經在各種不同ICS風險評估工作中得以應用,例如美國專家使用攻擊樹對SCADA系統進行了漏洞分析和測試,其實驗結果表明,攻擊樹方法極大改進了研究人員發現SCADA系統新漏洞利用和危害評估的能力。
4.2 ICS信息安全縱深防御體系
ICS環境和傳統IT環境之間存在著一些關鍵性的不同之處,如高實時性、高可用性、有限的資源、專用的協議、較長的生命周期等。正是由于這些不同,導致了ICS信息安全問題的復雜性,僅依賴于單一的安全技術和解決方案,簡單地將IT信息安全技術配置到ICS中并不是高效可行的解決方案,必須綜合多種安全技術,分層分域地部署各種安全防護措施,才能提升系統的整體防御能力。國際行業標準ANSI/ISA-99明確提出目前工業控制領域普遍認可的安全防御措施要求:將具有相同功能和安全要求的控制設備劃分到同一區域,區域之間執行管道通信,通過控制區域間管道中的通信內容來確保ICS信息安全,也就是要建立縱深防御體系。
建立縱深防御體系有兩個主要目的:
(1)即使在某一點發生信息安全事故,也能保證網絡的其他區域正常安全穩定運行。該防護目標在于當工業網絡的某個局部存在病毒感染或其它不安全因素時,不會向其它設備或網絡擴散。
(2)維護人員能夠及時準確地確認故障點,并排除問題。能夠及時發現網絡中存在的信息安全問題并準確找到故障點,是維護控制系統信息安全的前提。
一般來說,工業系統網絡從總體結構上可分為三個層次:企業管理層、數采信息層和控制層。企業管理層主要是辦公自動化系統,一般使用通用以太網通訊,可以從數采信息層提取有關生產數據用于制定綜合管理決策;數采信息層主要是從控制層獲取數據,完成各種控制、運行參數的監測、報警和趨勢分析等功能。控制層負責A/D轉換、數字濾波、溫度壓力補償、PID控制、數據采集等各種功能。系統的每一個安全漏洞都會導致不同的后果,所以將它們單獨隔離防護十分必要。
將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”體系。結合ICS的信息安全需要,可以將ICS網絡劃分為以下不同的安全區域:企業IT網絡區域、過程信息/歷史數據區域、管理/HMI區域、DCS/PLC控制區域和第三方控制系統區域(如安全儀表系統SIS),如圖2所示。
圖2 工業系統網絡安全區域劃分
針對企業流程的特點,同時結合ICS的網絡結構,基于縱深防御體系,工業控制網絡需要以下五個層面的安全防護,如圖3中A、B、C、D、E所示。
圖3 工業控制系統信息安全的縱深防御
(1)企業管理層和數采信息層之間的安全防護
這里是IT信息系統與工業信息系統的分界線,其重要程度不言而喻,所以采取了常規IT防火墻加上入侵檢測系統(Intrusion Detection System,IDS)的雙重防護措施。防火墻是第一道防線,串接在網絡中,只允許兩個網絡之間合法的數據交換,阻擋企業管理層對數采信息層的未經授權的非法訪問,同時也防止管理層網絡的病毒擴散到數采信息網絡。IDS置于數采信息層的網絡交換機上,主動收集、分析網內的數據是否有異常,以防止內部攻擊的發生。
(2)數采信息層和控制層之間的安全防護
數采信息層與控制層之間要交互大量的設備機組生產數據及工藝參數數據,要求較高的通訊帶寬,對此部位的信息安全防護使用常規的IT防火墻。加入防火墻,一方面提升了網絡的區域劃分,另一方面保證只有被允許的流量才能通過防火墻。
(3)關鍵控制器的安全防護
控制器通常使用工業專用通訊協議,使用傳統的IT防火墻進行防護時,不得不開放大規模范圍內的端口號。在這種情況下,防火墻提供的安全保障被降至最低。因此,在控制器的前端應安裝專業的工業防火墻,才能夠解決該類安全防護問題。工業防火墻一方面是對工業專用通訊協議的支持,目前主要通過規則更新的方式進行兼容;另一方面,由于ICS對實時性要求較高,傳統基于包過濾和應用層網關的IT防火墻技術無法滿足實時性要求,而工業防火墻采用了類似深度報文檢測(Deep Packet Inspection,DPI)的技術,它對封裝在TCP/IP協議負載內的信息進行檢測,然后進行識別、分類,對連接的狀態進行動態維護和分析,一旦發現異常的流量或連接,就動態生成過濾規則,在提高準確率的同時,也降低了工作負載。
(4)隔離工程師站,保護APC先控站
考慮到工程師站和APC先控站在項目實施階段通常需要接入第三方設備(U盤、筆記本電腦等),而且是在整個控制系統試運行的情況下實施,受到病毒入侵和攻擊的概率很大,存在較高的信息安全隱患。在工程師站和APC先控站前端增加IT防火墻,可以將工程師站和APC先控站單獨隔離,防止病毒擴散,保證網絡安全。
(5)與第三方控制系統之間的安全防護
使用工業防火墻將SIS安全儀表系統等第三方控制系統和網絡進行隔離,主要是為了確保兩個區域之間數據交換的安全,管控通訊數據,保證只有合法可信的、經過授權的訪問和通訊才能通過網絡通信管道。
5 結語
隨著工業化和信息化的深度融合以及網絡技術的不斷進步,ICS信息安全的重要性與其普遍存在的安全防護措施不足的矛盾日漸突出,加強ICS信息安全工作無疑是一項非常艱巨的任務。在參考IT信息安全業內的最佳實踐基礎上,結合ICS自身的特點,從技術和管理上雙管齊下,才能切實提升運維部門的管理效率和服務技能,有效降低ICS所面臨的信息安全問題。
參考文獻:
[1] Eric D.Knapp. 工業網絡安全——智能電網,SCADA和其他工業控制系統等關鍵基礎設施的網絡安全[M]. 國防工業出版社, 2014.
[2] 蔡皖東. 工業控制系統安全等級保護方案與應用[M]. 國防工業出版社, 2015.
[3] 向宏, 傅鸝, 詹榜華. 信息安全測評與風險評估[M]. 電子工業出版社, 2014.
[4] 彭勇, 江常青, 謝豐, 戴忠華, 熊琦, 高洋. 工業控制系統信息安全研究進展[J]. 清華大學學報(自然科學版), 2012, (52)10: 1396 - 1408.
[5] 劉威, 李冬, 孫波. 工業控制系統安全分析[J]. 信息網絡安全, 2012, (8): 41 - 43.
作者簡介
李云峰(1977-),男,內蒙古赤峰人,工程師,碩士學位,現就職于北京首鋼冷軋薄板有限公司,主要從事冷軋薄板工業生產信息化技術管理工作。
暢通(1976-),男,工程師,碩士學位,現就職于北京首鋼冷軋薄板有限公司,主要負責信息化項目、維護、安全管理工作。
北京市公安局海淀分局備案號:11010802023656號