今日頭條
官方微信
官方抖音
資訊頻道1 水利工控系統網絡安全現狀分析
水利工程工業控制系統廣泛用于水文測報、水資源監測、水土保持監測、水網調度、水庫大壩(閘門)監控、水力發電監控、泵站供排水監控、水質監測等各個方面,是水利工程基礎設施的重要組成部分。基于水利工控系統自身的特點,如在工控系統設計開發初期并未將系統防護、數據保密等安全指標納入其中;在工控網絡中大量使用TCP/IP技術,而且工控網絡與企業網絡連接,防護措施薄弱,導致攻擊者很容易通過企業網絡間接入侵工控系統。其網絡安全現狀主要表現在以下幾個方面:
(1)工控系統多采用IEC61158中提供的20種工業現場總線標準,如Modbus系列、PROFIBUS系列等,控制器多采用西門子、GE、施耐德電氣等公司產品,不法者很容易通過這些通訊協議及通用控制器存在的漏洞,獲得控制區及執行器的控制權,進而破壞整個系統[1]。
(2)水利工控系統軟件升級困難,工控系統網絡以穩定性為基礎,頻繁升級補丁軟件,給系統的穩定性帶來嚴重威脅,升級失敗或出錯將造成整個系統的不可用,給生產帶來巨大的損失。
(3)病毒控制手段缺乏,水利工控系統網絡中很多控制設備單元都是封閉的系統,無法通過病毒軟件進行病毒清理,同時缺少病毒在控制網絡中傳播的控制手段,一旦感染病毒將傳播到整個工控網絡,給生產帶來嚴重影響。
(4)設備的多樣性,水利工控系統網絡的設備多種多樣,每種設備都具有各自的特點,設備的安全等級參差不齊,給工控系統網絡安全防護帶來很大困難。
2001年澳大利亞昆士蘭Maroochy污水處理廠,由于內部工程師的多次網絡入侵,該廠發生了46次不明原因的控制設備功能異常事件,導致數百萬公升的污水進入了該地區的供水系統。2007年攻擊者入侵加拿大的一個水利SCADA控制系統,通過安裝惡意軟件破壞了用于薩克拉門托河河水調度的控制計算機系統。2011年黑客通過入侵SCADA控制系統,使美國伊利諾伊州城市供水系統的供水泵遭到破壞。水利工控系統遭受入侵的途徑以透過企業廣域網及商用網絡方式為主,利用IED、PLC、RTU、控制器、通信處理機等通用設備的漏洞植入惡意代碼,進行破壞活動,對水利工程造成巨大的損失[2]。
2 水利工控系統網絡安全漏洞分析
2.1 漏洞類型
(1)通信協議漏洞。兩化融合(企業信息網與工業控制網絡)和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工控系統中,隨之而來的通信協議漏洞問題也日益突出。例如,OPCClassic協議(OPC DA, OPC HAD 和OPC A&E)基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT 防火墻來確保其安全性[3]。
(2)操作系統漏洞。目前大多數工控系統的工程師站/操作站的操作系統都是Windows平臺的,為保證過程控制系統的相對獨立性,同時考慮到系統的穩定運行,通常現場工程師在系統開車后不會對Windows平臺安裝任何補丁,但是存在的問題是,不安裝補丁系統就存在被攻擊的可能,從而埋下安全隱患。
(3)安全策略和管理流程漏洞。追求可用性而犧牲安全,是很多工控系統存在的普遍現象,缺乏完整有效的安全策略與管理流程也給工控系統網絡安全帶來了一定的威脅。例如工控系統中移動存儲介質的濫用和不嚴格的訪問控制策略。
(4)工業病毒防護漏洞。為了保證工控應用軟件的可用性,許多水利工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于病毒庫需要不定期的經常更新,這一要求尤其不適合于工控環境。
(5)應用軟件漏洞。由于應用軟件多種多樣,很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。
(6)多網絡端口接入。在多個網絡事件中,事由都源于對多個網絡端口接入點疏于防護,包括USB鑰匙、維修連接、筆記本電腦等。
(7)疏漏的網絡分割設計。實際應用中的許多控制網絡都是“敞開的”,不同的子系統之間都沒有有效的隔離,尤其是基于OPC、Modbus等通訊的工控網絡,從而造成安全故障通過網絡迅速蔓延。
2.2 常見漏洞分析
水利工程生產運行過程使用多種工控系統,如控制泵房和水閘的PLC系統、遠程監控的SCADA系統、廠用電變電站綜合自動化系統、農村水電廠控制水輪發電機組的PLC系統和集控系統等。
(1)PLC安全漏洞。在水利工程使用的自動化控制系統中,使用臺套數最多的是PLC系統。系統多由國外供貨,主要包括西門子(Siemens)、施耐德電氣(Schneider)、通用電氣(GE)、歐姆龍、三菱電機自動化等。如在小浪底、萬家寨水利樞紐使用的施耐德電氣產品,這些廠商也是全球PLC領域的主要供貨商,各PLC產品中均存在一些安全漏洞。如圖1所示,是西門子、施耐德電氣、通用電氣三個供貨商在2011~2013年公安部網絡安全執法檢查時,PLC漏洞暴露情況。
圖1 PLC漏洞暴露情況
PLC的漏洞主要為拒絕服務漏洞、遠程代碼執行漏洞、用戶訪問權限漏洞、信息泄漏漏洞四類。拒絕服務漏洞,如西門子Simatic S7-1200拒絕服務漏洞,施耐德電氣M340 PLC模塊拒絕服務漏洞等;遠程代碼執行漏洞,如西門子Simatic S7-1500存在未明跨站請求偽造漏洞,施耐德電氣多個產品跨站請求偽造漏洞等;用戶訪問權限漏洞,如西門子Simatic S7 PLC系統密碼泄漏漏洞,施耐德電氣多個產品不正確驗證漏洞等。信息泄漏漏洞,如西門子Simatic S7-1200信息泄漏漏洞、S7-1500不充分熵漏洞等。這些漏洞都可以被利用,造成運行中斷、非法操作、信息泄漏等后果。
(2)SCADA安全漏洞。水利工程還大量使用基于有線或無線通信的集控/SCADA系統,這類系統在遠程通信、監控主機等環節也存在諸多安全漏洞,如Modbus/TCP身份認證缺失漏洞、OPC的遠程過程調用漏洞、動態端口防護困難,KingView 6.53.2010.18018中存在的基于堆緩沖區溢出的任意代碼攻擊和拒絕服務漏洞。
3 水利工控系統網絡安全風險分析
3.1 網絡邊界防護安全問題
除了橫向隔離和縱向加密裝置外,其他防護措施不足,個別單位在生產控制大區之間部屬了傳統防火墻,但無法識別專有的工控協議,不能提供明確的允許/拒絕訪問的能力[4]。
3.2 主機、服務器安全問題
采用傳統網絡防病毒軟件(部分主機甚至無法安裝殺毒軟件),無法及時更新惡意代碼庫,且容易誤殺控制程序;主機和服務器采用通用的操作系統,操作系統的漏洞直接影響系統的安全運行;無法對重要程序的完整性進行檢測,并在檢測到完整性受到破壞后不具有恢復能力;缺乏有效的技術措施切斷病毒和木馬的傳播與破壞路徑,如非法進程的運行、非法網絡端口的打開與服務、非法USB設備的接入等。
3.3 流量行為安全問題
缺乏對非授權設備私自聯到內部網絡的行為進行檢查、定位和阻斷的能力;無法有效地檢測到網絡攻擊行為,并對攻擊源IP、攻擊類型等信息進行記錄;無法在網絡邊界處對惡意代碼進行檢測和告警,更新惡意代碼庫不及時;缺乏有效的安全審計功能;
3.4 管理和運維安全問題
未設立專門的信息安全崗位,信息安全的管理和維護由業務部門按照自己的理解進行管理和維護,同時信息安全制度不完善。在日常運行維護過程中普遍存在諸如介質未采用有效的手段進行管理和防護,容易造成病毒入侵和敏感信息泄露的風險。安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題,缺少演練、培訓等,無法在真正的事故中及時響應和恢復系統[5]。
4 水利工控系統網絡安全防護工作思考
4.1 防護理念
根據當前國內外工控網絡安全領域的發展形勢,采用如圖2所示的“三位一體”的工控安全防護策略,以“風險評估、安全防護、應急響應”為核心,搭建全生命周期的水利工控系統網絡體安全防護體系,為水利企業工控系統網絡安全保駕護航。
(1)風險評估。通過風險評估了解水利工控資產所面臨的威脅狀況、漏洞情況,合規要求和嚴重程度;全面掌握水利工控系統安全狀況,為加強風險管理、安全防護建設提供重要的依據[6]。
圖2 水利工控系統安全防護策略
(2)安全防護。根據業務及工藝要求合理劃分網絡區域和層次,明確網絡邊界,設定合理的訪問規則;實時監控工控主機的進程狀態,全方位地保護主機的資源使用,禁止非法進程的運行;對網絡流量、網絡數據、事件進行實時監控、實時告警;采用黑名單入侵防御和白名單主動防御,對異常數據和行為進行阻斷或告警。
(3)應急響應。建立健全工控安全應急工作責任制 ,抓好水利工控系統安全風險監測工作 ,制定水利工控系統安全事件應急預案,落實人財物保障措施,定期組織應急演練,在工控網絡安全事件發生時使損失最小。
4.2 防護工作
(1)工作流程(如圖3所示)。
圖3 工作流程
通過風險評估找出水利工程工業控制系統在網絡架構、設備本體和網絡監測審計等方面存在的安全風險;結合水利工控系統網絡結構,制定水利工控系統網絡安全防護方案,部署相關的網絡安全設備;構建水利工控系統全生命周期的安全運維體系。
(2)風險評估。對水利工控系統進行風險評估、漏洞分析、安全性分析,以便正確、及時地了解工控系統的安全現狀。根據風險評估的情況,列出不符合安全要求的環節,明晰該環節的風險,為現階段操作維護及后期整改工作提供依據。具體要對水利生產系統中操作系統、應用軟件、網絡結構、防病毒方案等關系到網絡安全的各方面安全風險、安全隱患進行探測識別;對水利生產系統的操作流程、安全管理制度、應急機制進行安全評估,并提供可行性建議[7]。
(3)防護方案及設備部署。以水庫大壩安全監測監控系統網絡安全防護為例,防護方案及設備部署如圖4所示。
圖4 水庫大壩安全監測監控系統網絡安全防護方案及設備部署
上位機防護,在主控層的工程師站、操作員站、OPC服務器等部署工控衛士,通過應用程序、網絡、USB移動存儲的白名單策略,防止用戶的違規操作和誤操作,阻止不明程序、移動存儲介質和網絡通信的濫用,有效提高系統網絡的綜合“免疫”能力。
關鍵節點防護,通過智能保護終端對于水庫大壩安全監測監控系統現場控制層的RTU進行安全防護,對于利用RTU已公開漏洞的攻擊行為和流量信息進行有效識別和攔截,允許從受信的上位機發送的合規操作流量通過,基于動態學習和自適應的防護策略,達到對RTU的防護效果。
網絡監測審計,在水庫大壩安全監測監控系統的監控層、通信層、現地層旁路部署監測審計平臺,對網絡通信流量進行有效監視和威脅檢測,對于向內網進行的生產數據非法收集、惡意攻擊、數據篡改、違規操作進行告警和審計,為網絡安全管理人員提供線索依據和事件還原功能,對于違規操縱和網絡攻擊行為可實時告警。
集中安全監管,部署在水庫大壩安全監測監控系統的網絡安全設備通過安全監管平臺實現統一化安全監管和運維,監管平臺可以實時收集現場安全設備采集分析的威脅情報信息,基于安全分析模型,實現全局的態勢安全預警與策略動態自適應,幫助運管人員實時發現現場的安全告警信息,并有助于及時實現安全防護響應。
(4)安全運維
建立安全運維監控中心,基于關鍵業務點面向業務系統可用性和業務連續性進行合理的布控和監測,以關鍵績效指標指導和考核工控系統運行質量和運維管理工作的實施和執行,并對各類事件做出快速、準確的定位和展現,綜合展現控制系統中發生的預警和告警事件,幫助運維管理人員快速定位、排查問題所在。
5 結論與建議
工控網絡安全防護需要覆蓋控制系統整個生命周期的解決方案。包括針對工控設備特點的,覆蓋主要工控協議和豐富檢測方法并支持未知協議的檢測工具;具備自動學習、自動適應,自動生成防御策略的工業等級的全網安全監控的保護系統;全面覆蓋西門子、施耐德電氣等全球主流廠商設備的安全數據庫(包括設備漏洞庫、網絡模型庫、設備風險統計)。同時,必須向基礎設施企業提供漏洞挖掘、滲透攻擊、安全策略、技術培訓的全方位安全服務。
(1)開展水利工控系統網絡安全風險評估工作
采用人工分析與專業檢測工具相結合的方式進行,對系統中的威脅、資產、流量等進行分析,清晰定義各體網絡的安全風險;采用專業漏洞挖掘檢測工具,對水利工程工控系統中的PLC、工業防火墻、網關等進行全面的漏洞挖掘檢測,發現漏洞和缺陷;驗證Web門戶網站安全防護措施有效性和抵御攻擊的能力;檢測關鍵業務系統、重要辦公終端存在的安全風險;對管理機構設置、管理制度制定、系統的運行維護管理制度,以及人員安全意識和安全知識培訓情況等進行安全管理檢查。
(2)開展水利工控系統網絡安全培訓工作
通過技術培訓提升水利工業控制系統安全保障水平,強化工作人員對工控網絡安全系統性認識,加強技術人員專業能力和專業知識,提高水利工控系統抵御網絡安全事件的能力,降低網絡安全風險。
(3)開展制定水利工控系統網絡安全標準工作
根據水利工程工業控制系統特點,制定水利工控系統網絡安全檢測規程、水利工程工業控制系統安全風險評估規程、水利工程工業控制系統安全防護規定等相關標準規范,指導水利工控系統網絡安全建設及安全運維。
★基金項目:水利部技術推介項目(SF-PX-201810)。
參考文獻:
[1] 郭嫻, 互聯網+時代下工業控制系統網絡安全[J]. 自動化博覽, 2015, ( 7 ) : 64 - 65.
[2] 張志華, 郭江, 秦繼偉. 水電站控制系統網絡安全現狀及安全對策[J]. 水電站機電技術, 2017, 40, ( 5 ) : 64 - 67.
[3] 郭江, 張志華, 張志民. 水利工業控制系統網絡安全問題初探[A]. 中國水利學會泵及泵站專業委員會-2015年學術年會論文集[C]. 2015 : 100 - 104.
[4] 王孝良, 崔保紅, 李思其. 關于工控系統信息安全的思考與建議[J]. 信息網絡安全, 2012, ( 8 ) : 36 - 37.
[5] 劉威, 李冬, 孫波. 工業控制系統安全分析[J]. 信息網絡安全, 2012, ( 8 ) : 41 - 43.
[6] 熊琦, 彭勇, 戴忠華. 工控系統信息安全風險評估初探[J]. 中國信息安全, 2012, ( 3 ) : 57 - 59.
[7] 郭江, 張志華. 水電廠控制系統網絡安全風險評估概述[J]. 水電站機電技術, 2018, 41, ( 2 ) : 68 - 70.
作者簡介
郭 江(1965-),男,天津人,教授級高工,碩士,現任中國水利水電科學研究院天津機電所副所長、總工,《水電站機電技術》雜志社社長,水利部機電研究所工控網絡安全測評中心主任,從事水利水電基礎自動化和工控系統網絡安全研究工作。
張志華(1979-),男,天津人,高級工程師,碩士,現任中國水利水電科學研究所天津機電所工控網絡安全測評中心副主任,從事水利工控系統網絡安全研究、評估、檢測及整體解決方案設計等工作。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號