今日頭條
官方微信
官方抖音
資訊頻道1 數字安全概述
1.1 數字安全現狀
隨著計算機和網絡技術深入而廣泛的應用,現代計算機應用系統的功能日漸復雜,正在對社會各行各業產生巨大深遠的影響;但同時由于其開放性特點,使得安全問題越來越突出。即使對于相對封閉的電廠控制系統,由于可能存在多種第三方接口,外來未經驗證的軟件的意外引入,以及操作系統本身存在的某些漏洞等原因,控制系統的安全管理越來越備受關注。除了大家所熟知的病毒、蠕蟲和木馬外,威脅控制系統安全的還有:
(1)惡意軟件,它不同于病毒,可能不會對系統造成破壞性影響,但會侵占系統資源,降低系統的運行穩定性。
(2)未授權的訪問或者不適當的安全訪問授權機制,導致未驗證的第三方軟件的引入,產生潛在的安全威脅。
(3)網絡的不當拓展,隨意接入第三方設備,安全訪問策略配置不當,都是系統安全的潛在威脅。
(4)操作系統或者應用軟件本身的漏洞,這些漏洞會在使用中逐步被軟件設計者發現,然后發布補丁進行軟件更新,提升系統安全。
(5)據有關統計,70%的安全威脅來自于外部。由此可見,工控系統的安全環境整治逐步惡化。2014年能源行業受到攻擊數占所有行業第一位[1]。
1.2 電廠 DCS數字安全認知誤區
雖然電廠DCS是控制發電機組安全、經濟運行的中樞神經,但業界對DCS數字安全認知是逐步深入的過程。典型的認知誤區如下:
DCS已經屏蔽了所有USB接口,不會感染病毒或攻擊;網閘、防火墻布置在DCS和SIS/MIS系統之間,與外界Internet或者辦公網絡隔離沒有感染攻擊途徑。
殊不知即使硬件隔離、單向通訊等措施都無法保障DCS系統的數字安全,存在潛在風險。單元機組DCS與眾多PLC相互通訊,即使PLC主要用于輔助系統,但很多也是實時系統,同屬于I區。但DCS與PLC之間沒有相關隔離措施,與《電力監控系統安全防護規定》不符。
其次,由于品牌眾多,各個PLC廠家在系統架構設計時對數字安全應對措施和能力不同;PLC往往由集成商分別購買硬件、人機接口軟件整合而成;計算機操作系統補丁無法及時更新;人機接口眾多,導致整個I區安全邊界廣泛;運行維護人員認知參差不齊、措施千差萬別,因此PLC是導致DCS潛在數字危險的最薄弱環節。
而常見的Modbus、OPC、DNP、101、104等通訊協議均為考慮數字安全需求,對于病毒、攻擊均為透明,無法阻止病毒擴散。
網閘、防火墻僅在DCS與MIS/SIS間起到了一定的防護作用,但本身也具有一定的局限性。而且對DCS側已經存在的數字危險如病毒等束手無策。
即使屏蔽所有計算機USB接口,在一定程度上降低數字風險,但數字危險有很多感染途徑和層次,包含操作系統、數據、通信、應用、運行、管理等多個層面。
1.3 有重點、分階段實施
理論上說,業主應該全面考慮整個電廠I區的數字安全,但I區范圍較廣,且實施數字安全必須要與控制系統原廠商合作,牽扯面較廣,因此切實可行、性價比高的方案是先實施電廠中樞神經DCS的數字安全,然后逐步擴展到I區其它子系統。
控制系統數字安全應該從兩個方面考慮,一是技術手段,采用有效的、穩定的設備和技術方案來確保系統的運行正常,而另一方面是人的因素,系統安全的實現很大程度上也依賴安全管理制度和人員水平。本文僅從技術角度來說明數字安全。
1.4 國際、國內標準及縱深防御
多家國際組織積極行動,目前已經制訂了相關安全標準。其中最有影響力的,就是NERC(北美電力可靠性委員會 North American Electric Reliability Council)創建的CIP(關鍵基礎設施保護 Critical Infrastructure Protection)標準和IEC 62443/ISA 99(工業通訊網絡-網絡及系統安全)。ABB有多名專家參與起草制定包括這兩個標準在內的多個國際標準。
《電力監控系統安全防護規定》自2014年9月1日起施行,確定了“安全分區、網絡專用、橫向隔離、縱向認證”16字方針。2004年12月20日原國家電力監管委員會發布的《電力二次系統安全防護規定》(國家電力監管委員會令第5號)同時廢止。
GB/T30976-2014《工業控制系統信息安全》(2個部分)于2014年12月2日被批準為推薦性國家標準。
這些標準詳細描述了工控系統在改善數字安全方面所必需采取的舉措,并提出了縱深防御的理念。而Symphony整體解決方案就是參考以上標準,并基于縱深防御理念防護控制系統安全。整套解決方案包括防病毒、白名單、入侵檢測、漏洞掃描、災難備份及恢復、安全事件管理及記錄等。
2 Symphony整體解決方案
Symphony整套安全防護方案由一組安全應用程序和服務組成,能夠強化和管理Symphony專家控制系統的系統安全,而不會中斷實時生產過程。從硬件上看,它包含了一臺工作站,作為系統安全管理站,所有的安全功能都運行在此獨立的計算機上,同時承擔對在同一網絡上的其它計算機的部署管理工作。從軟件上看,安全應用程序包含了以下功能軟件。
2.1 病毒防護
提供了一種非常獨特的方法來保護Symphony工作站免于遭受病毒、蠕蟲和木馬。ABB公司會定期提供經過驗證的病毒庫,由安全可靠的媒介(比如只讀光盤)更新至系統安全管理站后,系統安全管理站會自動將其部署到網絡上的所有其它工作站,完成它們的病毒碼更新。
(1)確保客戶端的安全,有效查殺終端上的各類病毒、蠕蟲、惡意程序;
(2)主動的病毒防護,防病毒客戶端根據漏洞可以阻擋未知蠕蟲病毒;
(3)防病毒系統集成了探測清除模塊;
(4)Windows平臺微軟安全補丁安裝狀態檢測和報警,并且提供詳細的報表;
(5)能夠自動探測未受防病毒系統保護的計算機;
(6)病毒爆發時的LockDown功能是指當出現中高威脅的病毒爆發時,通過修改防系統安全管理站的一個策略,并分發到客戶端后,客戶端在實施Lockdown策略時,絕對無法感染病毒、木馬和間諜軟件;
(7)能夠自動探測外來電腦接入內部網絡,并向管理員發出報警;
(8)對網絡內的應用服務進行全面防護,包括Unix/Linux服務器,從而切斷病毒在網絡內的寄生和傳播;
(9)通過分層的防病毒管理服務器實現分布式自動更新和分層分地域分權管理;
(10)病毒爆發響應機制,通過端口鎖定、文件、文件夾鎖定和通知功能,使得在病毒爆發阻止和病毒爆發快速響應方面具有完善有效的技術手段,并結合完善的技術服務體系,確保病毒不會大規模爆發。
2.2 入侵檢測 IPS/IDS
(1)絕大多數人首先會想到“防火墻”。防火墻得到了廣泛的部署,并被作為多層安全體系結構的第一層防護,它主要是作為一個訪問控制設備,允許特定協議(例如 HTTP、DNS、SMTP)在一組源地址和目標地址之間傳遞。作為訪問策略增強的一個組成部分,防火墻一般是通過檢查數據包來制定流量決策。一般來說,它們并不能檢查數據包的全部內容,因此,也無法檢測或攔截嵌入到普通流量中的惡意代碼。需要注意的是,路由器也是通過數據包過濾來實現防護功能,因此,它提供的也是一種不完善的保護。
(2)雖然說基于防火墻和路由器的數據包過濾是全面數字安全拓撲結構的必要組件,但僅靠它們是遠遠不夠的。
(3)檢測異常網絡流量。發現新的弱點和新的威脅時,能夠有手段在Internet入口及網絡邊界阻止這些威脅,實時保護內部網絡的安全。
(4)深度數據包檢測以及無延遲特性,可在攻擊到達其目標前搶先將其攔截,可為整個網絡環境提供優異的準確性和業務關鍵性能。
(5)基于完整的攻擊分析方法,并引入了業界最為全面的網絡攻擊特征檢測、異常檢測以及拒絕服務攻擊檢測技術,除了可以防御已知攻擊,還可以防御未知的蠕蟲、攻擊和后門程序,抵御拒絕服務攻擊等。
2.3 白名單
提供了一種非常獨特的方法來保護Symphony工作站免于遭受病毒、蠕蟲和木馬。它采用在每臺終端工作站的核心層建立應有程序白名單,簡單高效地阻止任何未授權的可執行程序的運行。如果可執行程序不在白名單列表中,它就不能運行。
2.4 漏洞掃描和補丁管理
(1)負責發現操作系統和網絡漏洞,提示系統管理人員,經確認后進行補丁軟件的分發。
(2)只要能夠及時修補網絡內部的各個安全漏洞,就能夠在面對任何安全威脅的時候從容不迫地解決問題。而傳統的安全產品(防病毒、防入侵等),只是去抵御安全威脅,卻忽視了資產的重要性和對漏洞的管理。
2.5 災難備份及恢復
按照縱深防御理念,對系統定期備份,并定期測試備份的質量。Symphony系統有專門的備份工具,必要時異地備份。
2.6 安全事故管理和記錄
負責規范所有的事件和日志,它們來自系統內的防火墻、入侵檢測軟件、惡意軟件防護應用、漏洞掃描、網絡設備、工作站和活動目錄。
3 工程實施
Symphony數字安全整體解決方案的實施,不僅包括以上所述各個組件的部署,還與用戶重新審查Symphony系統的安全策略和維護管理措施,主要內容包括:
(1)審查Symphony網絡連接情況,確定系統安全的防護邊界,提交審計報告;
(2)在DCS操作員站、工程師站、歷史站等設備上做必要的設置;
(3)審查Symphony的授權系統,與用戶確認這些授權是必要而且合理的;
(4)部署安全中心組件,與用戶確認每臺操作站需要運行的程序和功能;
(5)完善Symphony備份機制,建立異地備份;
(6)與用戶討論建立系統安全維護制度;
(7)將更新的病毒庫,定期以光盤形式給用戶發送安全補丁包。
4 結語
工控系統的數字安全是一個不斷完善的過程。ABB能夠隨時根據用戶需求對控制系統進行評估,形成一個安全行動計劃,來保護用戶的數字資產。同時,用戶加強安全業務意識,強化安全制度及執行,也是確保數字資產安全的另一重要方面。
作者簡介
宋相儒(1978-),男,陜西咸陽人。畢業于華北電力大學熱工自動化專業。現為北京ABB貝利工程有限公司業務拓展專員,主要研究方向為電廠熱工自動化及儀表。
參考文獻:
[1] Year_in_Review_FY2014_Final.pdf[EB/OL]. ICS-CERT.
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號