今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業(yè)信息化的快速發(fā)展使得網(wǎng)絡(luò)技術(shù)在工業(yè)控制領(lǐng)域得到了大量應(yīng)用,極大提高了企業(yè)的效益。為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息共享,工業(yè)控制系統(tǒng)(ICS)也逐漸打破了以往的封閉性,逐步采用標(biāo)準(zhǔn)、通用的通信協(xié)議及軟硬件系統(tǒng),并逐步趨向于將企業(yè)ERP系統(tǒng)與工業(yè)控制網(wǎng)進(jìn)行互聯(lián)互通,甚至有些ICS也能以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中[1-2]。
ICS的信息安全已經(jīng)引起了國家的重視,甚至提升到了一定的高度,并在政策、標(biāo)準(zhǔn)、技術(shù)、方案等方面展開了積極應(yīng)對(duì)。在明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求的同時(shí),國家主管部門在科研、產(chǎn)品層面上正在積極部署工業(yè)控制系統(tǒng)的信息安全保障工作。
通過對(duì)我國一些工業(yè)制造企業(yè)ICS的調(diào)研發(fā)現(xiàn),為保證進(jìn)口ICS的正常運(yùn)行,使用者很少或基本不對(duì)控制系統(tǒng)上的操作系統(tǒng)及應(yīng)用系統(tǒng)進(jìn)行升級(jí)[3]。由于目前針對(duì)ICS公布的漏洞較少且信息披露相對(duì)滯后,無法對(duì)ICS漏洞進(jìn)行0 day響應(yīng),導(dǎo)致在面對(duì)病毒、木馬、黑客入侵等安全威脅時(shí)缺少必要的防護(hù)手段和應(yīng)急預(yù)案。
“棱鏡門”事件表明,APT攻擊(高級(jí)持續(xù)性威脅)通常是政府和商業(yè)機(jī)構(gòu)支持的黑客行為,具有攻擊技術(shù)先進(jìn)、漏洞信息不對(duì)稱、長期潛伏、一擊致命的特點(diǎn),已經(jīng)成為針對(duì)ICS的主要攻擊方式[4]。由于我國在ICS軟、硬件方面短時(shí)間內(nèi)難以達(dá)到完全自主可控,需要從系統(tǒng)防護(hù)的角度開展ICS信息安全防護(hù)工作。這對(duì)于在目前國內(nèi)外信息安全形勢下,盡快提高我國工業(yè)生產(chǎn)領(lǐng)域ICS的整體安全性,保證工業(yè)生產(chǎn)正常運(yùn)行,保守國家高新技術(shù)機(jī)密具有重要的政治、軍事和經(jīng)濟(jì)意義。
本文首先對(duì)ICS特點(diǎn)及國外發(fā)生的安全事件進(jìn)行了回顧與分析;之后結(jié)合我國工業(yè)生產(chǎn)領(lǐng)域,闡述ICS與其他系統(tǒng)如何在隔離環(huán)境下進(jìn)行安全互聯(lián)互通和數(shù)據(jù)共享;最后提出面向我國ICS信息安全縱深防御體系建設(shè)的3項(xiàng)建議,并對(duì)解決方案進(jìn)行探討。
2 ICS安全性威脅
平臺(tái)中心化向網(wǎng)絡(luò)中心化的轉(zhuǎn)變,使得ICS已不再是信息孤島。由于ICS自身特點(diǎn)以及在安全防護(hù)方面暴露出來的問題[5],如表1所示。由于工控網(wǎng)使用了專用的硬件、固件和通信協(xié)議,且安全防護(hù)升級(jí)較為緩慢,隨著與互聯(lián)網(wǎng)協(xié)議(IP)的結(jié)合,網(wǎng)絡(luò)安全漏洞和事故的可能性大大增加,其系統(tǒng)性的信息安全問題已日益顯現(xiàn)出來。
表1 工業(yè)控制網(wǎng)與IT網(wǎng)安全性需求對(duì)比
2014年ICS-CERT數(shù)據(jù)指出,ICS攻防雙方已把主要精力放在了工業(yè)網(wǎng)絡(luò)管理軟件和SCADA/HMI系統(tǒng)(占所有漏洞的56%)。例如,在“震網(wǎng)”事件中,“震網(wǎng)”病毒本身不感染任何生產(chǎn)設(shè)備,而是通過篡改控制設(shè)備(如上位機(jī))發(fā)送的控制指令,導(dǎo)致離心機(jī)過載而毀壞。這是由于工控網(wǎng)絡(luò)的控制設(shè)備與生產(chǎn)終端(如數(shù)控機(jī)床)處于同一安全域,控制信息沒有受到監(jiān)控,一旦控制設(shè)備受到攻擊,將會(huì)威脅整個(gè)生產(chǎn)網(wǎng)。類似的案例還有針對(duì)歐美電力公司的“能源之熊”病毒;針對(duì)美國和加拿大水利系統(tǒng)中SCADA控制系統(tǒng)的Havex病毒等。
由于ICS系統(tǒng)漏洞公布通常較為滯后,且很多都為供應(yīng)商惡意添加的后門,這給信息安全技術(shù)人員防范帶來了很大的困難。
圖1給出了2011~2014年,公開出來的漏洞主要威脅ICS設(shè)備的生產(chǎn)商。其中,以西門子、施耐德電氣等為代表的工業(yè)設(shè)備在我國先進(jìn)制造行業(yè)內(nèi)被廣泛使用,對(duì)其安全防護(hù)不容忽視。
圖1 2011~2014年公開漏洞涉及的 ICS廠商( Top10)
3 工控網(wǎng)防護(hù)的主要技術(shù)路線
目前國內(nèi)針對(duì)ICS的防護(hù)手段分為兩類技術(shù)路線:
(1)參考通用信息系統(tǒng)的信息安全防護(hù)體系,采取縱深防御的策略,通過集成搭建網(wǎng)絡(luò)隔離、身份認(rèn)證系統(tǒng)、專業(yè)的工控防火墻及IDS設(shè)備、數(shù)控程序內(nèi)容過濾系統(tǒng),以及終端防護(hù)設(shè)備等開展防護(hù)。這一防護(hù)策略主要是在工控網(wǎng)的協(xié)議級(jí)別開展的。
(2)對(duì)進(jìn)口工業(yè)設(shè)備中的固件(應(yīng)用軟件、操作系統(tǒng))部分進(jìn)行分析后采取系統(tǒng)加固策略。加固策略可能包括:用戶與進(jìn)程的文件強(qiáng)制訪問策略、應(yīng)用程序強(qiáng)制訪問策略、系統(tǒng)安全區(qū)域劃分等。這一防護(hù)策略主要是在工控網(wǎng)的系統(tǒng)級(jí)別開展的。
通過分析,研究人員認(rèn)為,技術(shù)路線(2)在國內(nèi)現(xiàn)有技術(shù)水平和工業(yè)設(shè)備依靠大量引進(jìn)的現(xiàn)狀下,短時(shí)間內(nèi)難以做到工程化應(yīng)用。理由如下:
·ICS大多數(shù)為封閉系統(tǒng),以逆向分析為基本手段的系統(tǒng)加固方法其工作量和工作難度十分巨大;
·ICS以可靠性和連續(xù)性為首要目標(biāo),這種方法在無法掌握系統(tǒng)設(shè)計(jì)文件及相關(guān)代碼的情況下,勢必對(duì)系統(tǒng)可靠性造成嚴(yán)重影響;
·ICS千差萬別,在某一個(gè)系統(tǒng)上的成功加固案例無法簡單移植到其他系統(tǒng)上,普適性很差。
因此,在我國工業(yè)生產(chǎn)領(lǐng)域無法做到自主的前提下,采取協(xié)議級(jí)別的防護(hù)策略最為可行,且最容易開展工程試點(diǎn)應(yīng)用。如果要從系統(tǒng)級(jí)別防護(hù)策略入手開展,最可行的方案是面向我國自主研發(fā)的ICS,在其軟、硬件的設(shè)計(jì)階段就引入安全性策略。
4 ICS安全性防護(hù)原則
在我國主要生產(chǎn)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)無法做到自主可控的背景下,研究人員提出了工控網(wǎng)信息安全縱深防御體系建設(shè)的3項(xiàng)指導(dǎo)原則:
(1)在清晰劃分安全邊界的基礎(chǔ)上[1-2],實(shí)現(xiàn)物理/邏輯隔離和訪問控制,并需要嚴(yán)格規(guī)范人、機(jī)操作行為;
(2)實(shí)時(shí)生產(chǎn)任務(wù)是防御重點(diǎn),在線監(jiān)控是基本要求;
(3)操作系統(tǒng)和應(yīng)用軟件安全是核心,平臺(tái)測試是基本保障。
圍繞上述3項(xiàng)原則,通過上線前的測試與漏洞分析,實(shí)現(xiàn)ICS安全性評(píng)估;通過訪問控制(身份認(rèn)證、權(quán)限控制)、物理/邏輯隔離、惡意內(nèi)容攔截實(shí)現(xiàn)主動(dòng)防御;通過行為檢測和記錄,實(shí)現(xiàn)過程監(jiān)控和事后追蹤。
5 ICS信息安全縱深防護(hù)體系
研究人員認(rèn)為需要在保證ICS正常運(yùn)行的前提下,面對(duì)ICS在物理隔離環(huán)境下與企業(yè)ERP、OA、MES、DNC、MDC系統(tǒng)等之間實(shí)現(xiàn)數(shù)據(jù)共享的需求下,采取邊界防護(hù)與內(nèi)部防護(hù)統(tǒng)籌實(shí)施的技術(shù)體系,保證ICS的信息安全[6-7]。
研究人員認(rèn)為在未來的1~2年內(nèi),ICS縱深防御體系 [3]的支撐技術(shù)與產(chǎn)品研發(fā)方向如下:
(1)通過單向隔離網(wǎng)關(guān),實(shí)現(xiàn)企業(yè)的各類管理系統(tǒng)對(duì)工控設(shè)備的在線控制,同時(shí)保證設(shè)備狀態(tài)信息可以及時(shí)反饋到管理系統(tǒng);
(2)添加身份認(rèn)證機(jī)制,進(jìn)行細(xì)粒度權(quán)限控制,提高保密強(qiáng)度;
(3)對(duì)工控網(wǎng)內(nèi)的控制端進(jìn)行專門防護(hù),并在控制端與工控終端設(shè)備之間,針對(duì)專有的控制協(xié)議、數(shù)據(jù)和功能,采取專用的機(jī)加工代碼檢查與過濾技術(shù),并采用專用的入侵檢測與安全防護(hù)(專用防火墻、殺毒軟件)機(jī)制;
(4)對(duì)于系統(tǒng)固件應(yīng)通過專業(yè)安全性分析工具,結(jié)合人工經(jīng)驗(yàn)進(jìn)行漏洞分析。具體技術(shù)與產(chǎn)品部署思路如圖2所示。
圖2 ICS信息安全縱深防護(hù)體系部署思路
按照AMR組織提出的一個(gè)通用的制造企業(yè)信息傳遞環(huán)境,企業(yè)的信息系統(tǒng)可以分為三層,依次為業(yè)務(wù)計(jì)劃層、制造執(zhí)行層和過程控制層。這三個(gè)層次是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。
從網(wǎng)絡(luò)構(gòu)成來說,業(yè)務(wù)計(jì)劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級(jí)應(yīng)用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò),主要部署DNC、MES、MDC、數(shù)據(jù)庫等;過程控制層部署的是比較典型的控制網(wǎng)絡(luò),可細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),這也是最為復(fù)雜的網(wǎng)絡(luò)。
按照通信線路和協(xié)議類型劃分,企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)互相鏈接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng),目前常用的工業(yè)以太網(wǎng)協(xié)議有:Modbus、TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現(xiàn)場控制點(diǎn)、現(xiàn)場儀表等的連接由于目前以太網(wǎng)并不能完全勝任復(fù)雜的工控環(huán)境,無法保證通信的實(shí)時(shí)可靠,因此仍然大量使用傳統(tǒng)的現(xiàn)場總線網(wǎng)。
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來看,與工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層和工業(yè)控制層。研究人員提出的ICS信息安全縱深防護(hù)體系支撐技術(shù)和產(chǎn)品研發(fā)主要包括以下幾個(gè)方面。
(1)基于傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間
·單向隔離網(wǎng)關(guān)
基于單向傳輸通道,通過專用通信協(xié)議并制定信息采集、分發(fā)策略,實(shí)現(xiàn)不同安全邊界之間信息資源交換的需求。
·專用防病毒軟件
面向生產(chǎn)管理層各終端和服務(wù)器上部署的各種應(yīng)用系統(tǒng)研制專業(yè)的防病毒軟件,防止控制終端受到攻擊并被控制。
·辦公網(wǎng)與工控網(wǎng)統(tǒng)一身份認(rèn)證網(wǎng)關(guān)
工控生產(chǎn)網(wǎng)與企業(yè)辦公網(wǎng)互相隔離,因此不能繼承企業(yè)辦公網(wǎng)中統(tǒng)一的身份認(rèn)證系統(tǒng),需要考慮在生產(chǎn)網(wǎng)內(nèi)部部署統(tǒng)一身份認(rèn)證網(wǎng)關(guān)。管理員可通過離線的方式為生產(chǎn)管理層的用戶提供證書及USB-KEY。統(tǒng)一身份認(rèn)證網(wǎng)關(guān)進(jìn)行證書驗(yàn)證后,用戶即可登錄。
(2)基于工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間
·數(shù)字簽名系統(tǒng)
在用戶登錄ICS后,其所作的任何操作都需要受到監(jiān)控并承擔(dān)責(zé)任,既要保證控制數(shù)據(jù)的完整性和正確性(不被破壞和篡改),也不允許命令發(fā)送者在出現(xiàn)問題或事故時(shí)進(jìn)行抵賴(責(zé)任認(rèn)定機(jī)制)。具體流程為:用戶使用數(shù)字簽名證書,通過統(tǒng)一身份認(rèn)證網(wǎng)關(guān)登錄生產(chǎn)管理層,之后才可以下發(fā)控制指令;系統(tǒng)自動(dòng)調(diào)用簽名服務(wù)器的簽名接口對(duì)控制指令數(shù)據(jù)包進(jìn)行簽名;簽名數(shù)據(jù)包下發(fā)給位于工業(yè)控制層的簽名驗(yàn)證模塊,當(dāng)簽名驗(yàn)證通過后,工控模塊即可向設(shè)備發(fā)送執(zhí)行指令。
·工控異常行為監(jiān)測與審計(jì)系統(tǒng)
需要配合統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)字簽名系統(tǒng)和入侵檢測系統(tǒng)進(jìn)行開發(fā),對(duì)工控網(wǎng)進(jìn)行安全審計(jì),及時(shí)發(fā)現(xiàn)人和網(wǎng)絡(luò)的異常情況并報(bào)警。
·工控終端防護(hù)系統(tǒng)
該防護(hù)系統(tǒng)作為ICS的最后一道防線,可采用串聯(lián)監(jiān)控的方式直接與工控終端(如數(shù)控機(jī)床)進(jìn)行連接,可以實(shí)時(shí)對(duì)機(jī)加工程序進(jìn)行分析與攔截,最大限度地保證了工控終端的安全。在控制端與生產(chǎn)設(shè)備之間,針對(duì)專有的控制協(xié)議進(jìn)行解析,對(duì)控制信息(如加工程序),研制專用安全性檢測引擎,用于提升工業(yè)控制網(wǎng)絡(luò)環(huán)境中的信息安全保障能力。
6 展望
為把握工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展的機(jī)遇,我國應(yīng)該從國家層面,盡快組織攻克并研發(fā)自主、可控的ICS信息安全高端技術(shù)。通過將信息安全管控方法、支撐技術(shù)前移與集中,加強(qiáng)行業(yè)ICS信息安全內(nèi)控能力建設(shè)。具體建議:
(1)開展頂層設(shè)計(jì)、整體規(guī)劃,建立統(tǒng)一、協(xié)調(diào)的國家信息安全指揮管理、技術(shù)防御和監(jiān)督管理科技協(xié)調(diào)機(jī)制,形成平戰(zhàn)結(jié)合、軍民融合的ICS信息安全技術(shù)支撐體系;
(2)圍繞我國ICS信息安全保障整體能力的提高,開展信息安全防護(hù)體系、應(yīng)用安全、環(huán)境與行為規(guī)范、安全監(jiān)測與評(píng)估、安全柔性工程等核心關(guān)鍵技術(shù)研發(fā)、支撐平臺(tái)建設(shè)和相關(guān)標(biāo)準(zhǔn)制定;
(3)加強(qiáng)ICS信息安全的影響、技術(shù)對(duì)策與技術(shù)手段研究,結(jié)合我國ICS的特點(diǎn),開展其信息安全戰(zhàn)略、法規(guī)與標(biāo)準(zhǔn)研究,形成包含技術(shù)、管理、法規(guī)等各層次的系統(tǒng)解決方案;
(4)系統(tǒng)開展ICS風(fēng)險(xiǎn)測評(píng)與攻防對(duì)抗技術(shù)研究,建立國家靶場與模擬仿真平臺(tái),形成攻防演練機(jī)制,制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)與規(guī)范。
作者簡介
李寧(1981-),男,河北石家莊人,高級(jí)工程師,博士,現(xiàn)就職于中國航天科技集團(tuán)公司第七一〇研究所,從事信息安全先進(jìn)技術(shù)與產(chǎn)品研發(fā)工作,主要研究方向?yàn)榍度胧较到y(tǒng)信息安全、工業(yè)控制協(xié)議安全性分析、嵌入式軟件脆弱性分析等研究。近五年從事國防基礎(chǔ)科研、863等信息安全類課題近10項(xiàng)。
王瀟茵(1982-),女,吉林四平人,高級(jí)工程師,博士,現(xiàn)就職于中國航天科技集團(tuán)公司第七一〇研究所,從事預(yù)先研究工作,主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、工業(yè)控制系統(tǒng)信息安全、軟件安全研究等。近五年從事國防基礎(chǔ)科研、國家自然科學(xué)基金等信息安全類科研課題近10項(xiàng)。
經(jīng)小川(1972-),男,江蘇南京人,研究員,碩士生導(dǎo)師,博士,現(xiàn)就職于中國航天科技集團(tuán)公司第七一〇研究所,從事信息安全先進(jìn)技術(shù)研究,主要研究方向工業(yè)控制系統(tǒng)信息安全、嵌入式系統(tǒng)安全性分析等。近五年來從事國防基礎(chǔ)科研、863、國家自然科學(xué)基金等課題10余項(xiàng)。
參考文獻(xiàn):
[1]唐一鴻,楊建軍,王惠蒞. SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》研究[J].信息技術(shù)與標(biāo)準(zhǔn)化, 2012, (01-02):44-47.
[2]陳頌,王光偉,劉欣宇等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].通信技術(shù), 2012, 45 (1):128 -130.
[3]桑圣潔.工控生產(chǎn)網(wǎng)網(wǎng)絡(luò)及應(yīng)用安全研究[J].計(jì)算機(jī)安全, 2014, (2).
[4]許婷.一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J].信息安全與通信保密, 2013, (06):65 -67.
[5] STOUFFER K, FALCE J, SCARFONE K. Guide to Industrial Control Systems (ICS) Security[EB/OL]. 2011-6-22. http://www.securityvibes.com/docs/-DOC-1347.
[6]張帥.對(duì)APT攻擊的檢測與防御[J].信息安全與技術(shù), 2011, (9):125 -127.
[7] Alcaraz, C., Femandez, G., Carvaial, F. Security aspects of SCADA and DCS environments in Critical Infrastructure Protection[J]. Springer Berlin Heidelberg, 2012, (7130):120 -149.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)