今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著自來水廠自動化水平的不斷提高,以及數字化、信息化技術的廣泛應用,自來水廠控制系統的安全風險問題日益突出。
2 自來水廠控制系統簡述
自來水處理廠的自動化生產,主要是指使用工業控制系統檢測現場水質狀況、控制工藝設備運行(如加藥設備、水泵機組、閥門、電氣柜等),實現對現場實時數據采集與上傳,工藝電控設備的順序、條件、計時、計數控制、PID調節控制等功能,并按照工藝要求依次完成混凝反應、沉淀處理、過濾處理、濾后消毒、加壓供水等環節,最終將純凈衛生的自來水可靠地送入千家萬戶的過程。
3 自來水廠控制系統網絡特點
自來水廠工業控制網絡有不同于IT網絡的很多特點,這些特點造成工業控制網絡安全防護的理念與IT網絡防護理念并不相同,具體體現以下幾方面。
3.1 網絡協議不同
工業控制網絡采用工業控制特有的協議,Modbus、DNP3、PROFINET以及多種私有協議,很多工業控制協議設計上并未考慮安全性,協議本身的通信不能有效驗證,從而給工業控制網絡帶來嚴重威脅。
3.2 設備廠商不同
工業控制網絡中多采用Siemens、Emerson、Rockwell Automation、Schneider Electric、GE等國外廠商的設備,這些設備中存在多種高危漏洞或后門,給系統安全帶來人為的嚴重威脅。
3.3 工業病毒傳播
工業控制網絡中缺少有效的病毒控制手段,一旦某個工業控制設備受到病毒感染,將迅速蔓延到其它控制設備,產生破壞作用或竊取工業數據,從而給工業控制網絡安全帶來嚴重威脅。
3.4 無線網絡接入
Wi-Fi技術等無線技術的普遍應用,在給工業生產帶來便利的同時,也帶來了安全威脅,工業控制網絡中固有的生產要求使其缺少有效的認證和控制機制,一旦通過無線接入,將使得整個系統暴露在非安全環境之下,給系統的安全性帶來重大隱患。
4 自來水廠控制系統面臨的安全風險
4.1 系統軟件升級困難
工業控制設備廠商會定期發布工業控制軟件補丁,用于解決工業控制系統中的問題,但工業控制網絡以穩定性為基礎,頻繁升級補丁軟件,給系統的穩定性帶來嚴重威脅,升級失敗或出錯將造成整個系統的不可用,給工業生產帶來巨大的損失。
4.2 網絡時延要求高
與傳統互聯網不同,工業控制系統中,對控制信號的傳輸時延和傳輸可靠性要求非常高,數據必須在固定的時間內可靠到達目標系統,數據丟失、延遲、亂序傳輸等都將給控制系統帶來嚴重的問題。
4.3 病毒控制手段缺乏
工業控制網絡中很多控制設備單元都是封閉的系統,無法通過病毒軟件進行病毒清理,同時缺少病毒在控制網絡中傳播的控制手段,一旦感染病毒將傳播到整個工業控制網絡,將給工業生產帶來嚴重影響。
4.4 工業控制協議多樣
工業控制網絡中存在多種控制協議,其中有大量的公有協議和私有協議,分布在網絡分層模型的多個層級,針對工業控制網絡的攻擊和病毒,承載在工業控制協議之上,需要采用深度DPI技術對工業控制網絡的安全威脅進行識別和有效控制。
4.5 設備的多樣性
工業控制網絡的設備多種多樣,每種設備都具有各自的特點,設備的安全等級參差不齊,給工業控制系統安全防護帶來很大困難。
4.6 行業工藝的多樣性
每個自來水廠都有多個工藝生產過程,組網連接及工藝設備都有一定的差異,工藝的多樣性給工業控制系統安全帶來隱患。
5 自來水廠控制系統漏洞分析
5.1 工業控制系統的漏洞
控制網絡中在運行的電腦很少或沒有機會安裝全天候病毒防護或更新版本。另外,控制器的設計都以優化實時的I/O功能為主,而并不提供加強的網絡連接安全防護功能。由于PLC等控制系統缺乏安全性設計,所以PLC系統都是非常容易受到攻擊的對象,一般的黑客初學者能很容易地獲取入侵這些系統的工具。并且當前國家基礎實施控制系統基本上被國外廠商壟斷,設備都存在漏洞和固件后門。核心技術受制于人,增加了諸多不可控因素。就系統面臨的風險可以暫時定位來自網絡的風險和來自主機的風險,具體可以從通信協議漏洞、操作系統漏洞、安全策略和管理流程漏洞、防病毒軟件漏洞、應用軟件漏洞、多個網絡接口接入點、疏漏的網絡分割設計等方面進行分析。
5.2 通信協議漏洞
兩化融合(企業信息網與工業控制網絡)和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中,隨之而來的通信協議漏洞問題也日益突出。例如,OPC Classic協議(OPC DA、OPC HAD和OPC A&E)基于微軟的DCOM協議,DCOM協議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。
本項目中涉及的下位機控制器為SchneiderElectric的PLC,上位機監控軟件為Siemens WinCC組態軟件,其通訊方式必然采用通用的工業通信協議。傳統IT防火墻基于原目的地址加端口的防護策略,不能深度檢測建立在應用層上的數據內容,故基于工業通信協議能夠進行深度分析控制的工業防火墻的使用勢在必行。參考標準:《NIST SP800-82工業控制系統安全指南》表3-12網絡通信方面的脆弱性。
5.3 操作系統漏洞
本項目控制系統的工程師站、操作站、HMI都是基于Windows平臺的,為保證過程控制系統的相對獨立性,同時考慮到系統的穩定運行,通常現場工程師在系統開車后不會對Windows平臺安裝任何補丁。但存在的問題是,不安裝補丁系統就存在被攻擊的可能,從而埋下安全隱患。
5.4 防病毒軟件漏洞
為了保證工控應用軟件的可用性,通常水處理相關工控系統操作站不允許安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期地經常更新,這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后,導致每年都會爆發大規模的病毒攻擊,特別是新病毒。
5.5 應用軟件漏洞
由于應用軟件多種多樣,很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如自來水處理廠以及其他大型設備的控制權,一旦這些控制權被不良意圖黑客所掌握,后果將不堪設想。
5.6 多個網絡接口接入點
自來水生產供給行業最大的安全隱患在于自來水的輸、配送管網線路鋪設范圍廣,通常采用大量的GPRS無線通訊方式進行管網狀況的數據傳輸,傳輸的數據不加密,傳輸的報文容易被截獲,從而給非法入侵提供了可乘之機。
其次,自來水廠多采用成套系統,生產設備與控制系統配套使用,嚴重依賴國外的產品與技術,部分控制系統存在安全漏洞與固有后門。
在多個網絡事件中,原因都是源于對多個網絡端口進入點疏于防護,包括USB鑰匙、維修連接、筆記本電腦、非法連接等。
5.7 網絡分割設計的缺失
實際應用中的許多控制網絡都是“敞開的”,不同的子系統之間都沒有有效的隔離,尤其是基于OPC、ModBus、PROFIBUS等通訊的工業控制網絡,從而造成安全故障通過網絡迅速蔓延。
6 結語
本文通過對自來水廠控制系統的安全風險分析,自來水廠控制系統存在安全漏洞,面臨安全風險,僅依靠防火墻等傳統互聯網安全設備無法滿足工業控制安全防護要求,工業控制安全防護需要針對工業控制系統專有的安全防護解決方案。
參考文獻:
[1] 饒志宏, 蘭昆, 浦石. 工業SCADA系統信息安全技術[M]. 北京:國防工業出版社, 2014, 5.
[2] 工業和信息化部. 工業控制系統信息安全防護指南[Z]. 2016.
作者簡介
楊 超(1972-),女,天津人,高級工程師,本科,現就職于中國市政工程華北設計研究總院有限公司,主要從事給水、排水工程自動化系統的設計與研究。
劉 杰(1971-),男,山東萊州人,教授級高工,本科,現任中國市政工程華北設計研究總院有限公司第一設計研究院副總工程師,主要從事電氣工程及自動化方面的設計研究工作。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號