今日頭條
官方微信
官方抖音
資訊頻道前言
工業控制系統(Industrial Control Systems,ICS)通常指由計算機設備和工業生產控制部件組成的系統,主要包括五大部分:數據釆集與監測控制系統(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)及現場總線控制系統(FCS)等。工業控制系統已經廣泛應用于能源、工業、交通及市政等領域,是我國國民經濟、現代社會以及國家安全的重要基礎設施的核心系統,一旦遭受攻擊會帶來巨大的損失。
黨的十八大以來,我國確立了網絡強國戰略,加快數字中國建設,信息經濟蓬勃發展, 互聯網成為國家發展的重要驅動力。中國共產黨第十九次全國代表大會報告提出,堅持和平發展道路,推動構建人類命運共同體,并指出網絡安全是人類面臨的許多共同挑戰之一。加強工業控制系統網絡安全建設、加快構建全方位工業網絡安全保障體系,是推進我國由制造大國向制造強國、網絡大國向網絡強國歷史性轉變的重要前提和基礎支撐,黨中央和國家站在國家安全的高度,對保障工業控制系統網絡安全作出戰略性、前瞻性部署。2017 年6月1日,我國第一部《網絡安全法》正式實施,《網絡安全法》高度重視工業控制系統安全,由于工業控制系統在關鍵信息基礎設施中的重要性,工控系統安全被提升到前所未有的重視程度。為推動我國工業控制系統網絡安全建設,一系列法律法規和規范性文件相繼出臺,包括國家互聯網信息辦公室發布《關鍵基礎設施安全保護條例(送審稿)》,工信部印發《工業控制系統信息安全防護能力評估工作管理辦法》,以及工業和信息化部制定了《工業控制系統信息安全行動計劃(2018-2020年)》。
近年,我國網絡安全面臨的形勢異常嚴峻、復雜,網上的政治戰、輿論戰、技術戰和信息戰接連不斷,關鍵基礎設施受制于人、技不如人的現狀仍未改善。隨著我國互聯網普及和工業4.0、大數據、數字化工程等新技術、新業務的快速發展與應用,我國工業控制系統網絡安全需求也在快速的增長。但隨著互聯網應用的深化、網絡空間戰略地位的日益提升,網絡空間已經成為國家或地區安全博弈的新戰場,我國在工業控制系統方面面臨的安全問題也日益復雜。隨著敲詐勒索病毒盛行,設備高危漏洞數量增加,外國設備后門增多,分布式拒絕服務攻擊事件峰值流量持續突破新高,聯網智能設備面臨的安全威脅加劇, 工業控制系統安全威脅與風險不斷加大,網絡攻擊“武器庫”泄露給網絡空間安全造成嚴重的潛在安全威脅,APT組織依然活躍等問題,對我國工控系統安全不斷提出新的挑戰。
全球能源互聯網研究研究聯合360威脅情報中心及國家互聯網應急中心,在我國工控互聯網宏觀安全態勢監測的基礎上,結合網絡安全預警通報、應急響應工作實踐成果,分析總結了2018年能源行業工業控制系統網絡安全狀況。
2018 年能源行業工業控制系統網絡安全態勢報告
1 能源行業工控網絡安全概況
2018年,我國網絡安全形勢日益嚴峻,截止2018年5月,根據我國國家信息安全漏洞共享平臺(CNVD)統計,信息安全漏洞總數為6730個,其中工業控制系統漏洞總數為190 個,能源行業工業控制系統漏洞為65個。在CNVD工業控制系統子漏洞庫中,新增的高危漏洞有95個,占該子漏洞庫新增數量的50%,漏洞涉及20多個工業相關產品,包括西門子、施耐德、研華科技等在中國廣泛應用的工控系統產品。在對電力、燃氣、供暖、煤炭、水務、智能樓宇六個重點行業的境內聯網工控系統或平臺開展安全檢測過程中,發現存在嚴重漏洞隱患案例超過249例,這些漏洞若被黑客惡意利用,可能造成相關系統生產停擺或大量生產、用戶數據泄露。根據CNCERT監測,2018年1月-5月,發現超過10萬起針對我國聯網工控系統和設備的惡意嗅探事件。我國境內1887個聯網工控系統或設備型號、參數等數據遭到泄露,涉及西門子、摩莎、施耐德等多達38家國內外知名廠商的產品和應用。
1.1 工業控制系統漏洞現狀
安全漏洞,是工業控制系統面臨的首要安全問題。根據美國工業控制系統網絡緊急響應小組(ICS-CERT) 最新統計報告,2015年漏洞總數為486個,2016年漏洞總數為492個。根據公開的ICS漏洞數的年度變化趨勢來看,工控安全漏洞逐年增加,盡管目前ICS-CERT2017年的工控漏洞收錄數據還未公開,但很有可能再創新高。從行業分布來看,能源、關鍵制造業及水處理依然是工控安全漏洞分布較廣泛的行業。此外,ICS-CERT安全研究專家指出,針對工業控制系統環境入侵的攻擊者數量增長無疑意味著可利用的漏洞數量和類型也會同時增長。
圖1 美國 ICS-CERT 歷年收錄工業控制系統安全漏洞數量
近年來,我國國家信息安全漏洞共享平臺(CNVD)所收錄的安全漏洞數量也持續走高。2018年1月至2018年5月,根據CNVD統計,信息安全漏洞總數達6730個,工業控制系統漏洞總數為190個,主要分布在能源、制造、商業設施、水務、市政等重點領域。其中,能源行業工控安全漏洞為65個,占比34.2%。在CNVD工業控制系統子漏洞庫中,新增的高危漏洞有95個,占該子漏洞庫新增數量的50%。
圖2 CNVD2018 年收錄工業控制系統安全漏洞數量
在2018年CNVD收錄的能源行業工控相關漏洞中,高危漏洞占比最高,達到52%。中危漏洞占比45%,其余3.0%為低危漏洞。截止2018年5月,CNVD收錄能源行業工控系統漏洞危險等級分布如下圖。
圖3 CNVD2018 年收錄能源行業工控系統安全漏洞危險等級
2018年,CNVD已收錄的工業控制系統漏洞涉及20多個工業相關產品,數量最多的五大工控廠商的安全漏洞數量中,羅克韋爾最多,為19個,其次是研華18個,西門子和施耐德電氣均為15個。需要說明的是,收錄的漏洞越多,不等于相關廠商的設備越不安全,因為往往是使用越廣泛的系統,越受安全工作者的關注,所以被發現和披露的漏洞往往也越多。
圖4 CNVD2018 年收錄五大工控廠商安全漏洞數量
1.2 工業控制系統互聯網暴露情況
截止2018年5月,國內范圍內,暴露在互聯網上的工業控制系統設備數量達97625個。其中能源行業暴露在互聯網上的工業控制系統設備數量達19341個,2018年1月至5月暴露的工控設備數量折線圖如下所示。
圖5 2018 年 1 月至 5 月國內工控設備互聯網暴露數量
2018年暴露在互聯網上的工控資產涉及西門子、摩莎、施耐德等多達38家國內外知名廠商的產品和應用,分布如下表表1所示。
表 1 2018年1月至5月國內暴露設備的廠商數據
2018年,截至5月份,我國境內暴露在互聯網上的能源行業的工控資產涉及施耐德、西門子、ABB等7家國內外知名廠商的產品和應用,廠商分布如下圖所示:
圖6 能源行業工控廠商設備互聯網暴露分布
本報告針對全國范圍內工控資產的暴露情況進行分析,當前在全國范圍內,已有不少暴露的工業控制系統,一旦該控制系統被不法分子所利用,將發生不可知的后果,嚴重情況下將影響經濟民生。企業單位重視自身的對外接口的安全防護工作,尤其是對內部重要工業控制系統的聯網情況進行自查,采用有效的防護措施來保障工業控制系統安全。
1.3 工業控制系統網絡安全風險分析
工業控制系統安全是國家關鍵信息基礎設施安全的重要組成部分。在工業互聯網、“中國制造2025”、“工業4.0”等趨勢驅動下,拓展了工業控制系統發展空間的同時,也不斷加大了工業控制系統網絡安全的威脅與挑戰。工業控制系統網絡安全威脅與挑戰主要來自兩個方面,一方面是來自外部的安全挑戰,另一方面來自工業系統自身安全建設的不足。
外部的安全挑戰包括:
· 工控網絡安全高危漏洞層出不窮
工業控制系統網絡安全漏洞數量連年呈現高發態勢,近年來CVE、 NVD、CNVD和CNNVD 收錄的全球工控漏洞數量居高不下,尤其在 2011年漏洞數量發生漏洞數量發生急劇增長,工控安全漏洞威脅十分嚴重。而且半數以上的工控安全漏洞均為高危漏洞,在2018年CNVD 收錄的能源行業工控相關漏洞中,高危漏洞占比高達52%,其次是中危漏洞,占比也達到45%,低危漏洞占比3.0%。由于披露的工控相關漏洞大多重要程度高,危險性大,一旦被利用,極易造成破壞性的后果。此外,披露的工控安全漏洞類型呈現多樣化特征,對業務連續性、實時性要求高的工控系統來說,無論是利用這些漏洞造成業務中斷、獲得控制權限還是竊取敏感生產數據,都將對工控系統造成極大的安全威脅。最后,工控漏洞的修復進度較為遲緩,全球新增的工控漏洞數量要明顯高于修復的漏洞數量,究其原因在于,一方面供應商漏洞修復工作的優先級別較低,還要受到軟件開發迭代周期的限制;另一方面工業企業出于維持業務連續性的考慮,及時更新和安裝補丁的積極性不高。
·暴露互聯網上的工控系統及設備有增無減
工業與IT的高度融合,信息技術(IT)和操作技術(OT)一體化迅速發展,越來越多的工業控制系統工采用通用硬件和通用軟件,并與企業網中運行的管理信息系統(如MES、ERP)之間實現了互聯、互通、互操作,甚至可以通過互聯網、移動互聯網等直接或間接地訪問,這就導致了從研發端、管理端、消費端、生產端任意一端都有可能實現對工控系統的網絡攻擊或病毒傳播,給工業控制系統(ICS)、數據采集與監視控制系統(SCADA) 等工業設施帶來了更大的攻擊面。然而工業控制系統又涉及我國電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業,尤其是能源行業,一旦遭受攻擊會帶來巨大的損失。與傳統IT系統相比較,II/OT一體化的安全問題把安全威脅從虛擬世界帶到現實世界,可能會對人的生命安全和社會的安全穩定造成重大影響。
·工控系統網絡攻擊難度逐漸降低
隨著越來越多的工控系統暴露在互聯網上,工控系統日益成為“眾矢之的”,黑客有目的地探測并鎖定攻擊目標變得更加容易。加上針對工控系統的漏洞挖掘和發布與日俱增, 大量工控系統安全漏洞、攻擊方法可以通過互聯網等多種公開或半公開渠道擴散,極易被 黑客等不法分子獲取利用。如今,對工控系統的入侵攻擊已不再神秘,進一步加劇了工控系統的安全風險。
首先大量工控系統軟硬件設備漏洞及利用方式可通過公開或半公開的渠道獲得。其次, 諸多黑客大會、開源論壇和白帽社區公開大量工控系統入侵案例細節,如2017年舉辦的亞 洲黑帽大會上,研究人員展示了世界上第一款可以在可編程邏輯控制器(PLC)之間進行 傳播的蠕蟲病毒,發布了技術思路和概念驗證程序。我國知名白帽子技術社區烏云上也有 相當多SCADA系統風險案例,詳細描述了SCADA系統的漏洞細節和利用方式。眾多開發者社區發布的工控系統安全事件技術分析報告不斷增多,其中許多技術分析報告給出了網絡攻擊步驟、詳細攻擊代碼甚至攻擊工具等詳細信息,易被黑客獲取、復現以實施網絡攻擊。
此外,美國網絡武器庫遭泄埋下重大工業信息安全隱患。維基解密、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞,與木馬病毒相結合,可被用于入侵感染工控系統,引發高頻次、大規模的網絡攻擊,造成嚴重后果。例如,震驚全球的”WannaCry” 勒索病毒就利用了黑客組織“影子經紀人”披露的美國國安局的“永恒之藍”漏洞進行傳播,給工控系統造成巨大危害。截至2017年9月8日,維基解密已經泄露23批美國中央情報局(CIA)Vault7文件,這些文件中包含了大量網絡攻擊工具,可被直接或修改后用來對工控系統發動網絡攻擊,潛在的安全隱患極大。
工業系統自身安全建設的不足包括:
· 工業設備資產的可視性嚴重不足
工業設備資產可視性不足嚴重阻礙了安全策略的實施。要在工業互聯網安全的戰斗中取勝,“知己”是重要前提。許多工業協議、設備、系統在設計之初并沒有考慮到在復雜網絡環境中的安全性,而且這些系統的生命周期長、升級維護少也是巨大的安全隱患。
· 很多工控設備缺乏安全設計
在各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等方面,在設計之初可能未考慮完整性、身份校驗等安全需求,存在輸入驗證、許可、授權與訪問控制不嚴格,身份驗證不當,配置維護不足,憑證管理不嚴,加密算法過時等安全隱患。例如:國產數控系統所采用的操作系統可能是基于某一版本Linux進行定制的, 所使用的內核、文件系統、對外提供服務等一旦穩定均不再修改,可能持續使用多年,有的甚至超過十年,而這些內核、文件系統、服務所爆出的安全漏洞并未得到更新,安全隱患長期保留。
·設備聯網機制缺乏安全保障
工業控制系統中越來也多的設備與網絡相連。如各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接,形成工業網絡;工業網絡與辦公網絡連接形成企業內部網絡; 企業內部網絡又與外面的云平臺、第三方供應鏈、客戶等進行網絡連接。由此產生的主要安全挑戰包括:網絡數據傳遞過程的常見網絡威脅(如:拒絕服務、中間人攻擊等)、網絡傳輸鏈路上的硬件和軟件安全(如:軟件漏洞、配置不合理等)、無線網絡技術使用帶來的網絡防護邊界模糊等。
· IT 和 OT 系統安全管理相互獨立互操作困難
隨著智能制造的網絡化和數字化發展,工業與IT的高度融合,企業內部人員,如:工程師、管理人員、現場操作員、企業高層管理人員等,其“有意識”或“無意識”的行為, 可能破壞工業系統、傳播惡意軟件、忽略工作異常等,因為網絡的廣泛使用,這些挑戰的影響將會急劇放大;而針對員工的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此,在智能制造+互聯網中,人員管理也面臨巨大的安全挑戰。
· 生產數據面臨丟失、泄露、篡改等安全威脅
智能制造工廠內部生產管理數據、生產操作數據以及工廠外部數據等各類數據,不管是通過大數據平臺存儲、還是分布在用戶、生產終端、設計服務器等多種設備上,都將面臨數據丟失、泄露、篡改等安全威脅。
2 2018 年能源行業重大工控安全漏洞及網絡安全事件
2.1 2018 年能源行業重大工控安全漏洞
2.1.1 羅克韋爾工控設備曝多項嚴重漏洞
2018年3月,思科Talos安全研究團隊發文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列可編程邏輯控制器( PLC )中存在多項嚴重安全漏洞,這些漏洞可用來發起拒絕服務攻擊、篡改設備的配置和梯形邏輯、寫入或刪除內存模塊上的數據等。該 系列可編程邏輯控制器被各關鍵基礎設施部門廣泛運用于工業控制系統(ICS)的執行過 程控制,一旦被利用將會導致嚴重的損害。思科Talos團隊建議使用受影響設備的組織機 構將固件升級到最新版本,并盡量避免將控制系統設備以及相關系統直接暴露在互聯網中。
2.1.2 思科網絡設備爆嚴重安全漏洞
2018年3月,思科公司發布了一個遠程代碼執行嚴重漏洞通告(CVE-2018-0171),通告了其網絡設備上使用的IOS和IOS-XE操作系統的Smart Install Client(用于設備即插即用配置和鏡像管理功能)代碼中存在一處緩沖區溢出漏洞。攻擊者無需通過身份驗證就可向遠端思科設備的 TCP 4786 端口發送精心構造的惡意數據包觸發漏洞,從而遠程執行任意命令或導致設備停止服務。該漏洞相關的技術細節和驗證程序已經公開,根據國家信息安全漏洞共享平臺(CNVD)發布的公告顯示,全球約14.3萬臺設備面臨潛在威脅。俄羅斯和伊朗兩國的網絡基礎設施近日已遭到利用此漏洞的網絡攻擊,進而波及了兩國的ISP(互聯網服務提供商)、數據中心以及某些網站,黑客利用該漏洞將路由器重置為默認配置,并向受害者顯示信息。目前,思科已發布該漏洞修復補丁及相關修復指南。
2.1.3 西門子繼電保護設備曝高危漏洞
2018年4月,ICS-CERT(美國工控系統網絡應急響應小組)發布安全通告稱使用EN100以太網通信模塊和DIGSI 4軟件的西門子繼電保護設備SIPROTEC 4、SIPROTEC Compact 、Reyrolle存在三個高危漏洞,可能會被黑客利用來攻擊變電站和其他供電設施。此類設備用于控制和保護變電站及其他電力基礎設施,當這些漏洞被成功利用時,攻擊者能夠通過覆蓋設備配置信息、嗅探網絡流量等方式獲取設備管理員口令,繼而導致電力設備保護功能中斷。
2.1.4 思科多款工控產品存在 SAML 身份驗證系統漏洞
2018 年 4 月 , 思 科 公 司 發 布 了 一 個 關 于 SAML 身 份 驗 證 系 統 的 嚴 重 漏 洞 通 告(CVE-2018-0229)。該漏洞允許未經身份驗證的遠程攻擊者通過運行ASA(自適應安全設備軟件)或FTD(威脅防御軟件)來建立偽造的AnyConnect(桌面移動客戶端軟件)會話, 從而開啟進一步的網絡攻擊。AnyConnect、ASA、FTD等基礎套件被廣泛應用于思科的工業安全設備、工業防火墻等設備中,一旦被利用將會導致嚴重的網絡安全風險,思科官方建議用戶通過升級補丁方式盡快對受影響設備進行修復。
2.1.5 Moxa 工業安全路由器爆多項嚴重漏洞
2018年4月,思科Talos安全研究團隊發現Moxa公司的工業路由器EDR-810中存在17個安全漏洞,其中包括多個影響Web服務器功能的嚴重命令注入漏洞和導致服務器崩潰的拒絕服務(DOS)漏洞。EDR-810是Moxa公司2015年發布的一款集防火墻、交換機等多功能于一體的工業級多端口安全路由器,被廣泛應用于工業控制系統中。這些發現的漏洞已在Moxa EDR-810 V4.1 build 17030317中得到確認,其早期版本的產品也可能受到了影響。目前, 針對這些漏洞,Moxa公司已經發布了新版固件以及相關修復指南。
2.2 2018 年能源行業工控網絡安全事件
2.2.1 俄黑客對美國核電站和供水設施攻擊事件
2018年3月,美國計算機應急準備小組發布了一則安全通告TA18-074A,詳細描述了俄羅斯黑客針對美國某發電廠的網絡攻擊事件。通告稱俄黑客組織通過(1)收集目標相關的互聯網信息和使用的開源系統的源代碼;(2)盜用合法賬號發送魚叉式釣魚電子郵件;(3)在受信任網站插入JavaScrip或PHP代碼進行水坑攻擊;(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;(5)構建基于操作系統和工業控制系統的攻擊代碼發起攻擊。本次攻擊的主要目的是以收集情報為主,攻擊者植入了收集信息的程序,該程序捕獲屏幕截圖,記錄有關計算機的詳細信息,并在該計算機上保存有關用戶帳戶的信息。此安全事件告誡我們:加強員工安全意識教育和管理是十分必要的,如密碼定期更換且不復用,安裝防病毒軟件并確保及時更新等。
2.2.2 中東石油和天然氣行業頻繁受到網絡攻擊
自2017年3月至今,近 3/4 的中東石油和天然氣工業組織經歷了安全危害,導致其機密數據或操作技術中斷,在中東受到的所有網絡攻擊中石油和天然氣行業占據了一半的比例。最嚴重的一次攻擊事件發生在2017年8月,沙特阿拉伯的一家石油工廠使用的Triconex 安全控制器系統中存在漏洞,惡意軟件試圖利用漏洞破壞設備并企圖以此引發爆炸摧毀整個工廠,但由于惡意代碼寫入存在缺陷,未能引發爆炸。此安全事件告誡我們:對于工業控制系統要及時進行更新,修復安全漏洞。
2.2.3 美國天然氣公司被攻擊導致交易系統關閉
2018年4月2日,美國能源公司Energy Services Group的天然氣管道客戶交易系統受到網絡攻擊,造成系統關閉數小時,萬幸的是此次攻擊主要影響的是客戶賬單信息,并未對天然氣流量造成影響。天然氣管道客戶交易系統用于幫助管道運營商加快跟蹤和調度天然氣流量,此系統被關閉可能導致天然氣流量供應異常。
2.2.4 烏克蘭能源部網站遭黑客攻擊要求支付贖金解鎖
2018年4月24日,烏克蘭能源和煤炭工業部網站遭黑客攻擊,網站癱瘓,主機中文件被加密,主頁留下要求支付比特幣贖金的英文信息,以此換取解鎖文件。經過烏克蘭網絡警察部門調查,能源和煤炭工業部網站受到攻擊是一起孤立事件,不構成大規模網絡攻擊。烏克蘭政府的其他部門和機構網站沒有遭遇類似狀況。
2.2.5 印度電力公司遭勒索攻擊,大量客戶計費數據被竊取鎖定
2018年3月21日,印度Uttar Haryana Bijli Vitran Nigam(簡稱 UHBVN)電力公司的網絡系統遭到了匿名黑客組織入侵,黑客在獲取其計算機系統訪問權限后,進一步侵入計費系統并竊取和鎖定了大量客戶計費數據,同時向UHBVN公司勒索價值1000萬盧布(約15萬美元)的比特幣作為贖金。據悉,UHBVN公司負責哈里亞納邦9大地區的電力供應和費用收取,客戶數量超過26萬名(包括民用、商用和工業用電),此次遭黑客竊取的數據是客戶的消費賬單,包括電費繳納記錄、未支付費用及客戶地址等。UHBVN公司發言人表示, 遭黑客竊取的數據庫進行了加密處理,因此與之相關的數據并不會遭到泄露;此外,公司擁有該數據庫的備份并已完成了數據恢復,不會有業務因此中斷或遭受損失
3 2017 年能源行業工控系統應急響應典型案例
3.1 工業控制系統遭勒索軟件攻擊典型案例
3.1.1 某大型能源機構的應急響應處置方案
3.1.1.1 場景回顧
2017年5月12日14:26,360互聯網安全中心發現安全態勢異常,啟動黃色應急響應程序,安全衛士在其官方微博上發布永恒之藍緊急預警。5月13日凌晨1:23’,360安全監測與響應中心接到某大型能源企業的求助,反映其內部生產設備發現大規模病毒感染跡象, 部分生產系統已被迫停產。360安全監測與響應中心的安全服務人員在接到求助信息后, 立即趕往該單位總部了解實際感染情況。
3.1.1.2 疫情分析
初步診斷認為:WannaCry病毒已在該機構全國范圍內的生產系統中大面積傳播和感染, 短時間內病毒已在全國各地內迅速擴散,但仍處于病毒傳播初期;其辦公網環境、各地業 務終端(專網環境)都未能幸免,系統面臨崩潰,業務無法開展,事態非常嚴重。
進一步研究發現,該機構大規模感染WannaCry的原因與該機構業務系統架構存在一定的關聯;用戶系統雖然處于隔離網,但是存在隔離不徹底的問題;且存在某些設備、系統的協同機制通過445端口來完成的情況。
3.1.1.3 處置方案
安服人員第一時間建議全網斷開445端口,迅速對中招電腦與全網機器進行隔離,形成初步處置措施。隨后,針對該企業實際情況,制定了應急處置措施,提供企業級免疫工具并開始布防。該企業在全國范圍內針對該病毒發送緊急通知,發布內部應急處理和避免感染病毒的終端擴大傳播的公告。
5月16日,病毒蔓延得到有效控制,染毒終端數量未繼續增長,基本完成控制及防御工作。整個過程中,該企業和安全廠商全力協作配合,監控現場染毒情況、病毒查殺情況, 最終使病毒得到有效控制。
3.1.2 某新能源汽車廠商的工業控制系統被 WannaCry 攻擊而停產
3.1.2.1 場景回顧
2017年6月9日,某新能源汽車制造商的工業控制系統開始出現異常。當日晚上19時, 該機構生產流水線的一個核心部分:動力電池生產系統癱瘓。該生產系統日產值超百萬,停產直接損失嚴重,同時也就意味著其電動車的電力電機模組部分出不了貨,對該企業的生產產生了極其重大的影響。該機構緊急向360安全監測與響應中心進行了求助。
實際上,這是永恒之藍勒索蠕蟲的二次突襲,而該企業的整個生產系統已經幸運的躲過了5月份的第一輪攻擊,卻沒有躲過第二次。監測顯示,這種第二輪攻擊才被感染情況大量存在,并不是偶然的。
3.1.2.2 疫情分析
安服人員現場實際勘測發現:該機構的工業控制系統已經被WannaCry感染,運行異常, 重復重啟或藍屏,而其辦公終端系統基本無恙,這是因其辦公終端系統上安裝了比較完善的企業級終端安全軟件。但在該企業的工業控制系統上,尚未部署任何安全措施。感染原因主要是由于其系統與企業辦公網絡連通,間接存在公開暴露在互聯網上的接口。后經綜合檢測分析顯示,該企業生產系統中感染WannaCry的工業主機數量竟然占到了整個生產系統工業終端數量的20%。
事實上,該企業此前早已制定了工業控制系統的安全升級計劃,但由于其生產線上的設備環境復雜,操作系統五花八門(WinCE終端、Win2000、WinXP終端及其他各種各樣的終端都會碰到),硬件設備也新老不齊(事后測試發現,其流水線上最老的電腦設備有10 年以上歷史),所以部署安全措施將面臨巨大的兼容性考驗,所以整個工控系統的安全措施遲遲沒有部署。
3.1.2.3 處置方案
因廠商的生產系統中沒有企業級終端安全軟件,于是只能逐一對其電腦進行排查。一天之后也僅僅是把動力電池的生產系統救活。此后,從6月9日開始一直到7月底差不多用了兩個月時間,該企業生產網里中的帶毒終端才被全部清理干凈。經過此次事件,該機構對工業控制系統安全性更加重視,目前已經部署了工控安全防護措施。經過測試和驗證, 兼容性問題也最終得到了很好的解決。
3.2 工業控制系統服務器遭攻擊典型案例
3.2.1 某大型能源公司網站遭遇 APT 入侵
海蓮花(OceanLotus)是首個由國內安全機構(360威脅情報中心,2015年5月)披露的APT組織。2012年4月起至今,該境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播專用木馬程序,秘密控制部分政府人員、外包商和行業專家的電腦系統, 竊取系統中相關領域的機密資料。
3.2.1.1 場景回顧
2017年11月,云監測發現,某大型能源公司網站被海蓮花 APT 組織攻陷。我們認為網站是整個組織暴露在外的非常關鍵的入口,這是360云監測第一次發現APT 與網站入侵直接相關的國內案例。
圖7 360 云監測第一次發現 APT 案例
3.2.1.2 疫情分析
該大型能源公司被海蓮花 APT 組織攻陷,云監測發現其采取的是“水坑攻擊”方式, 并且目前網站首頁上存在海蓮花 APT 水坑域名相關的 js。攻擊者團伙入侵網站后,不僅破壞網站的安全性,還會收集所訪問用戶的系統信息。如果確認感興趣的目標,則會執行進一步的釣魚攻擊獲取敏感賬號信息或嘗試植入惡意程序進行秘密控制。
3.2.1.3 處置方案
一是建議該企業及時清理被篡改的相關頁面;二是該企業與360合作,展開全面調查。
4 能源行業工控網絡安全標準與政策動向
4.1 2018 年國外工控安全標準與政策動向
4.1.1 美國工控安全標準與政策動向
4.1.1.1 美國眾議院能源和商業小組委員會通過 4 項能源安全法案
2018年4月,美國能源部公布一份“投資機會聲明”,將撥款2500萬美元(約合人民幣1.57億元)支持能源行業的網絡安全項目。同月,美國眾議院能源和商業小組委員會通過4項能源安全法案,旨在提升美國能源部的網絡響應能力和參與度,并制定新計劃解決電網和管道的安全問題。法案包括:(1)要求美國能源部長制定計劃提高美國能源管道和液化天然氣設施的物理安全與網絡安全(“管道與液化天然氣設施網絡安全準備法案”);(2)提出將美國能源部的應急響應和網絡安全工作領導權力提至助理部長一級(“能源應急領導法案”);(3)制定計劃幫助私營公共事業公司識別并使用網絡安全功能強大的產品(“2018網絡感知法案”);(4)提出加強公私合作確保電力設施安全(“公私合作加強電網安全法案”)。這些法案提出“采取可行的措施”,確保美國能源部能有效執行應急和安全活動,并確保美國能源供應安全可靠。美國能源部部長及高級官員已認識到能源行業面臨的廣泛網絡威脅,他們堅持將網絡安全作為優先事項,包括成立新辦公室解決美國能源資產面臨的物理安全和網絡安全威脅。
4.1.1.2 NIST 正式發布《提升關鍵基礎設施網絡安全的框架網絡安全框架》1.1 版本
2018年4月,美國商務部國家標準與技術研究院(NIST)正式發布《提升關鍵基礎設施網絡安全的框架》1.1版本。該框架側重于對美國國家與經濟安全至關重要的行業(能源、銀行、通信和國防工業等)。美國商務部長表示,企業應當將 NIST 網絡安全框架作為第一道防線;NIST 院長表示,《網絡安全框架1.1》的發布是一項重大進步,真正反映出公私合作模式在應對網絡安全挑戰方面的成功。1.1版本更新的內容包括:身份驗證和身份、自我評估網絡安全風險、供應鏈中的網絡安全管理以及漏洞披露。1.1版本具有靈活性,可滿足組織機構的業務或任務需求,并適用于各種技術環境,例如信息技術、工業控制系統和物聯網。
4.1.1.3 美監管機構要求強化電網聯網便攜設備安全基線
2018年5月,美國聯邦能源管理委員會發布了一項新規定,要求公用事業公司對“低影響力”或者被認為不那么重要的便攜式設備部署安全控制。該委員會還要求修訂電源可靠性標準,以降低這些設備中惡意代碼帶來的風險。聯邦能源委員會監管的北美Electric Reliability電力公司表示,新政策“代表網絡安全標準的下一階段”,它將推動該行業的基準網絡安全。
4.1.1.4 美國 DHS 發布《網絡安全戰略》 確定五大方向及七個目標
2018年5月,美國國土安全部(DHS)發布網絡安全戰略,希望更積極地履行網絡安全使命,以保護關鍵基礎設施免于遭受網絡攻擊。該戰略旨在使 DHS 的網絡安全工作規劃、設計、預算制定和運營活動按照優先級協調開展。該戰略將致力于協調各部門的網絡安全活動,以確保相關工作的協調一致。 該戰略描繪了 DHS 未來五年在網絡空間的路線圖, 為 DHS 提供了一個框架,指導該機構未來五年履行網絡安全職責的方向,以減少漏洞、增強彈性、打擊惡意攻擊者、響應網絡事件、使網絡生態系統更安全和更具彈性,跟上不斷變化的網絡風險形勢。該戰略確定了 DHS 管理網絡安全風險的五大主要方向及7個明確目標:(1)風險識別方面,評估不斷變化的網絡安全風險;(2)減少關鍵基礎設施脆弱性方面,保護美國聯邦政府信息系統、保護關鍵基礎設施;(3)降低網絡犯罪活動威脅方面,防止并打擊網絡空間的犯罪活動;(4)緩解網絡事件影響方面,有效響應網絡事件;(5)實現網絡安全成果方面,提高網絡生態系統的安全性和可靠性、加強管理 DHS 網絡安全活動。
4.1.1.5 美國能源部發布網絡安全多年改進計劃
2018年5月,美國能源部發布了長達52頁的美國《能源行業網絡安全多年計劃》,為美國能源部網絡安全、能源安全和應急響應辦公室勾畫了一個“綜合戰略”,確定了美國能源部未來五年力圖實現的目標和計劃,以及實現這些目標和計劃將采取的相應舉措,以降低網絡事件給美國能源帶來的風險。綜合網絡戰略主要涉及兩個方面的任務:通過與合作伙伴合作,加強美國當今的能源輸送系統安全,以解決日益嚴峻的威脅并持續改進安全狀況;推出顛覆性解決方案,從而在未來開發出具備安全性、彈性和自我防御功能的能源系統。綜合網絡戰略設定了三個目標:加強美國能源行業的網絡安全防范工作,通過信息共享和態勢感知加強當前能源輸送系統的安全性;協調網絡事件響應和恢復工作;加速顛覆性解決方案的研發與示范(RD&D)工作,以創建更安全、更具彈性的能源系統。
4.1.2 其他國家工控安全標準與政策動向
4.1.2.1 新加坡通過《網絡安全法案》
2018年2月,新加坡國會通過《網絡安全法案》,旨在加強保護提供基本服務的計算機系統,防范網絡攻擊。該法案提出針對關鍵信息基礎設施的監管框架,并明確了所有者確保網絡安全的職責。能源、交通、航空等基礎設施領域的關鍵網絡安全信息被點名加強合作。如果關鍵信息基礎設施所有者不履行義務,將面臨最高10萬新元的罰款,或兩年監禁,亦或二者并罰。
4.1.2.2 加拿大核實驗室宣布設立國家網絡安全創新中心
2018年5月,加拿大核實驗室(CNL)宣布將在加拿大新不倫瑞克省弗雷德里克頓設立國家網絡安全創新中心,并稱該中心將顯著擴大 CNL 的網絡安全研究能力,為加拿大的國家網絡安全再添助力。CNL參與行業驅動的研究和開發,涉足能源、核、交通、清潔技術、國防、安全和生命科學領域,提供解決方案。CNL設立的國家網絡安全創新中心將引進人才,關注關鍵基礎設施中的漏洞, 保護工控系統完整性和安全性。
4.1.2.3 歐盟“關鍵基礎設施”NIS 指令正式生效
2018年5月,歐盟網絡與信息系統(NIS)指令正式生效。此項面向歐盟范圍內的新法令有望提高關鍵基礎設施相關組織的 IT 安全性,同時亦將約束各搜索引擎、在線市場以及其它對現代經濟擁有關鍵性影響的組織機構。NIS 指令側重于保障歐盟國家電力、交通以及醫療衛生等領域關鍵基礎設施的安全性,其力圖通過加強網絡防御能力以提升此類服務的安全性與彈性。NIS 指令將覆蓋一切被認定對歐盟國家基礎設施擁有重要影響的組織機構,例如各在線市場、搜索引擎以及關鍵基礎設施供應商。此項指令要求各歐盟成員國建立國家網絡安全戰略、計算機安全事件應急小組(CSIRT)以及國家 NIS 主管部門。此外,各國還必須確定關鍵組織或“基礎服務運營商(OES)”名單。這些 OES 必須采取適當的安全措施以管理其網絡與信息系統風險,同時就出現的嚴重安全事件向相關國家主管部門進行通報。
4.2 2018 年國內工控安全標準與政策動向
4.2.1 工信部將實施工業互聯網三年行動計劃
2018年2月,2018工業互聯網峰會在北京召開。會議指出,工信部將在今年實施工業互聯網三年行動計劃,拓寬工業互聯網企業的融資和上市渠道,為企業提供必要的支持。工信部將統籌推進工業互聯網發展的“323”行動,即著力打造網絡、平臺、安全三大體系,加快大型企業集成創新和中小企業的應用普及,不斷健全產業、生態、國際化三大支撐,為工業互聯網企業協調政策提供支持。
4.2.2 “兩會”再次聚焦網絡工業互聯網安全
2018年3月,召開的全國“兩會”上,網絡安全作為當前一個熱點話題備受關注,“兩會”代表積極就“網絡安全”建言獻策。其中,全國政協委員、啟明星辰董事長嚴望佳提出兩個工控網絡安全相關提案:(1)關于加強工業互聯網信息安全建設的提案。建議明確國家、地方及行業的工業互聯網信息安全監督主體和責任;制定工業互聯網安全新技術研究方向,開展工業互聯網信息安全技術創新實驗室和示范基地建設;完善信息安全產品認證及準入機制,建立相關產品名錄;完善國家工業互聯網整體安全保障能力;(2)關于推動國產安全設備在關鍵信息基礎設施保護中應用的提案。建議對關鍵信息基礎設施的運營企業購置國產網絡安全設備出臺稅收優惠政策;對企業可享受稅收優惠的網絡安全設備進行明確。
4.2.3 國家互聯網信息辦公室制定《關鍵信息基礎設施安全保護條例(送審稿)》
2018年3月,為貫徹落實《中華人民共和國網絡安全法》,國家互聯網信息辦公室會同有關部門制定了《關鍵信息基礎設施安全保護條例(送審稿)》, 推進關鍵信息基礎設施安全保障體系建設。該《條例》對關鍵信息基礎設施在網絡安全等級保護制度基礎上, 實行重點保護。關鍵信息基礎設施安全保護堅持頂層設計、整體防護,統籌協調、分工負責的原則,充分發揮運營主體作用,社會各方積極參與,共同保護關鍵信息基礎設施安全。
4.2.4 工信部加快構建工業互聯網安全保障體系
2018年5月,由工信部指導,國家工業信息安全發展研究中心、工業信息安全產業發展聯盟主辦的首屆中國工業信息安全大會在北京召開。會上發布《工業信息安全概論》、《中國工業信息安全產業發展白皮書》、《工業控制系統信息安全防護指引》。《工業信息安全概論》系統介紹了工業信息安全領域重點概念定義,深刻分析工業信息安全當前發展現狀,詳細解讀工業信息安全發展政策條件,分享工業信息安全具體應用及技術實踐經驗。《中國工業信息安全產業發展白皮書》從工業信息安全產業范疇、產業結構、產業政策、行業應用、技術發展等方面綜合分析工業信息安全產業形勢,系統反映我國工業信息安全產業發展現狀。《工業控制系統信息安全防護指引》重點基于《工業控制系統信息安全防護指南》要求,從安全管理、運行維護、技術操作等多維度,提出具體可行的防護策略、實施建議和解決方案,為工業企業開展工控安全防護工作提供技術指導。
工信部網絡安全管理局副局長在會上表示,工信部正在加快構建工業互聯網安全保障體系,目前已初步形成以健全制度機制、建設技術手段、促進產業發展、強化人才培育四大領域為基本內容的體系架構。工信部下一步將從加強工作指導、建設安全技術保障體系、建立安全檢查機制、強化工業互聯網數據安全保護、推進工業互聯網安全產業發展五方面推進我國工業互聯網安全保障工作。
4.2.5 工信部印發《工業互聯網發展行動計劃(2018-2020 年)》
2018年6月,根據《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意 見》(以下簡稱《指導意見》),2018-2020 年是我國工業互聯網建設起步階段,對未來發展影響深遠。為貫徹落實《指導意見》要求,深入實施工業互聯網創新發展戰略,推動 實體經濟與數字經濟深度融合,工信部印發《工業互聯網發展行動計劃(2018-2020年)》 和《工業互聯網專項工作組2018年工作計劃》。其中,行動計劃列出基礎設施能力提升、標識解析體系構建、工業互聯網平臺建設、核心技術標準突破、新模式新業態培育、產業 生態融通發展、安全保障水平增強、開放合作實施推進、加強統籌推進、推動政策落地等 十大方面共計36項重點任務,提出到2020年底,初步建成工業互聯網基礎設施和產業體系。
5 總結
隨著我國互聯網普及和工業4.0、大數據、數字化工程等新技術、新業務的快速發展與應用,工業控制系統網絡復雜度在不斷提高,各生產單元內部系統與受控系統信息交換的需求也不斷增長,工業控制系統網絡安全需求也在快速的增長。近年來,隨著工業控制系統安全面臨高危安全漏洞層出不窮、暴露互聯網上的工控系統及設備有增無減、網絡攻擊難度逐漸降低,工業控制系統網絡安全威脅與風險不斷加大。工控系統漏洞及入侵案例細節公開、美國網絡“武器庫”泄露、APT組織依然活躍等問題,對我國工控系統安全不斷提出新的挑戰。工業與IT的高度融合,II/OT一體化把安全威脅從虛擬世界帶到現實世界,尤其是能源行業,一旦遭受攻擊會帶來巨大的損失。
我國工業控制系統網絡安全主要面臨安全挑戰包括:
· 工控系統日益成為黑客攻擊和網絡戰的重要目標
工控系統是我國工業生產的“神經中樞”,是電力系統、鋼鐵石化、軌道交通、先進制造、國防軍工、市政水務以及核設施等重點領域關鍵信息基礎設施的核心組成,工控安全直接關系到人民生命財產安全、社會穩定甚至國家安全。工控系統的極端重要性決定了其極易成為互聯網攻擊和網絡戰的重要目標。一方面,從工控系統自身結構看,由于采用專用的通信協議、操作系統和軟硬件設置,且缺乏相應的安全防御措施,系統固有的漏洞容易被攻擊者利用以進行破壞性的操作。從外部網絡環境看,在“互聯網+”、“工業4.0” 等政策的驅動下,工控系統與傳統IT環境的物理隔離逐漸被打破,攻擊者能夠使用傳統的IT系統攻擊方法深入到工控系統網絡,從而發起攻擊。當前大國之間軍事對抗日益升級, 恐怖主義活動和社會不穩定因素不斷增加,未來工控系統將進一步成為國家之間網絡對抗的重要目標,以及黑客組織實施攻擊破壞的重點對象,防護壓力空前增大。伊朗震網病毒、烏克蘭電網事件、俄羅斯輸氣管道爆炸、德國鋼廠事故等一系列網絡安全事件表明,工控系統正面臨越來越多的復雜攻擊,如何增強工控系統安全性,抵御內外部攻擊已經成為了世界各國關注的焦點問題。
· 大批網絡武器泄露顯著降低工業領域的攻擊門檻
“WannaCry”和“永恒之石”(“EternalRocks”)等網絡安全事件,都是不法分子利用2017年泄露的美國中央情報局(CIA)、國家安全局(NSA)的網絡武器工具發起的攻擊。這些網絡武器的攻擊對象包括微軟、安卓、蘋果iOS、OS X和Linux等多種通用操作系統,以及車載智能系統和路由器等網絡節點單元和智能設備。曝光的網絡工具通過暗網等渠道進行非法交易和大量擴散,使得犯罪分子可輕易獲取攻擊工具,發起高強度網絡攻擊門檻大大降低。由于工業生產領域同樣大量使用標準IT產品,使得不法分子可以利用這些網絡武器入侵工控領域并發起網絡攻擊,加劇工控系統遭受惡意攻擊的威脅。
· 針對工業領域的勒索軟件、定向攻擊將愈發普遍
針對工控系統的勒索攻擊、定向攻擊等新型攻擊模式逐漸成熟。一方面,傳統勒索軟件已對能源、交通等領域的工控系統造成了影響;另一方面,出現了定向攻擊工控系統的新型惡意軟件,如直擊電網工控設備的網絡攻擊武器“Industroyer”,以及專門針對工控領域的勒索軟件“必加”(Petrwrap),對工控網絡安全造成極大威脅。
·工業互聯網的應用普及給工控安全帶來更大挑戰
隨著國務院印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》, 我國工業互聯網發展面臨難得的戰略窗口期,同時也給保障工控安全帶來更為嚴峻的挑戰。一方面,網絡空間對抗博弈加劇,工業領域信息基礎設施成為重點攻擊目標,防護壓力空 前增大。另一方面,相較傳統網絡安全,工業互聯網安全呈現新的特點,較傳統網絡安全 進一步增加了安全防護難度。一是互聯互通導致攻擊路徑增多。工業互聯網實現了全系統、全產業鏈和全生命周期的互聯互通,使傳統互聯網安全威脅延伸至工業生產領域,且攻擊 者從研發端、管理端、消費端、生產端都有可能實現對工業互聯網的攻擊。二是開放化、標準化導致易攻難守。工業互聯網系統與設備供應商越來越多的使用公開協議以及標準化 的Windows或Unix操作系統技術架構。這些協議與模塊操作系統的安全漏洞使攻擊者的攻 擊門檻大為降低。三是現有安全產品和技術措施相對滯后于工業互聯網發展普及的步伐。工業互聯網架構中通信和計算資源往往有限,很多傳統安全防護設備由于占用資源較大, 可能不再適用,由于產業技術支撐能力嚴重不足,尚未出現。四是海量設備集成和數據流動帶來新的信息安全挑戰。工業互聯網集成海量設備系統,導致更多安全漏洞產生,工業數據量爆炸性增加,互聯互通使得工業生產網絡的攻擊泄密事件的數量飆升,所造成的影響也變得更為重大。
· 工業數據作為企業核心資源面臨嚴峻的安全風險
工業數據囊括了從客戶需求到銷售、訂單、計劃、研發、設計、工藝、制造等整個產品全生命周期的各類數據,這些數據具有的價值巨大,特別是研發、設計、工藝等數據還可能涉及知識產權,關系企業經營和生產安全,甚至關乎國家安全。當前,我國工業數據的安全防護能力較為薄弱,安全環境比較嚴峻:一是工業數據安全頂層設計不足。工業數據安全監管相關的政策制度、標準規范等都還不夠完善,開展工作缺乏政策支持,實施防護沒有專門的標準指南參考。二是工業數據安全主體責任不明。在工業數據的共享、交換、流通過程中,會出現數據擁有者與管理者不同、數據所有權和使用權分離的情況,從而帶來數據濫用、權屬不明確、安全主體責任不清晰等安全風險,將嚴重損害數據所有者的權益。三是工業數據安全技術保障能力有待提升。調研發現,當前我國工業大數據還處于推廣和發展階段,安全保障沒有跟上,沒有做到“三同步”,已有的安全措施以傳統安全防護手段為主,專門的工業數據安全技術手段較為缺乏。因此,加強工業數據保護,提高工業數據抵御黑客攻擊竊密的能力,將是日后工控網絡安全工作的重要課題。
北京市公安局海淀分局備案號:11010802023656號