今日頭條
官方微信
官方抖音
資訊頻道2010年伊朗核設施遭受世界上首個專門針對工業控制系統編寫的破壞性病毒攻擊,這個名為Stuxnet的蠕蟲病毒專門針對西門子SIMATIC WinCC監控與數據采集 (SCADA) 系統進行攻擊,通過篡改離心機控制指令導致離心機停止運轉,嚴重影響了伊朗鈾濃縮進度。由于西門子SCADA系統在中國工業控制領域的廣泛應用,Stuxnet蠕蟲病毒的出現曾引發國內工業企業的極大恐慌。
一、SCADA系統安全風險分析
SCADA即數據采集與監控系統,被廣泛應用于電力、石油、冶金、天然氣、鐵路、供水、化工等重要行業的工業控制系統中,以實現對底層工業設備的數據采集和運行狀態監控,為生產執行與現場控制提供支撐。如今隨著兩化深入融合以及智能制造戰略的持續推進,SCADA這種介于辦公網絡和工業控制網絡之間的系統開始面臨日趨嚴峻的安全挑戰,黑客很容易以辦公網絡或互聯網作為入口,利用SCADA系統的安全漏洞對工業控制系統展開攻擊,進而造成嚴重安全事故和不可估量的經濟損失。
1、國內某大型風電企業SCADA應用配置失誤
通過網絡搜索該公司SCACA信息,結果暴露SCADA系統的IP地址,通過點擊鏈接http://61.49.28.237/開啟了目錄瀏覽,遍歷目錄后得到CKFinder,之后通過getshell命令提權控制SCADA主機,通過前端的WEB服務器和數據庫服務器作為跳板,通過VPN等方式對后端的中控系統進行操作。
2、某電力系統官網Oracle注入攻擊
某黑客通過對某電力系統的官網進行簡單的漏洞掃描可以發現該網站存在oracle注入漏洞,通過SQL注入操作進入到內網,發現雖然機器放在內網,但是并沒有單獨配置DMZ區域,而是采用工作組,這樣就可以通過權限獲取訪問到域,當時懷著滲透的心態發現了至少3臺SCADA的主機,到了這一步,再對SCADA進行控制對了解工控系統的黑客而言都是不難實現的。
從兩個案例可以得過一個初步結論,目前國內企業在進行SCADA系統的部署放慢安全意識還不夠強,而且很多的SCADA攻擊都可以從web開始,以web為突破口進行內網滲透,最終拿到控制權限。對于攻擊者來說,基本上只要確定了目標,由于SCADA系統自身防護能力較差,攻擊者是很容易拿到的較高的功能權限。通過這個權限,攻擊者很容易關閉重要的工業設施,造成嚴重的工業安全事故。
對于一些安全級別較高的企業,為了避免出現前面所說的安全風險,在企業內部大多已經實現了辦公網絡和工業網絡的物理隔離。對于這樣的企業攻擊方式大多是擺渡人攻擊,既通過獲取企業內容中間人的信任來攻擊。大概的流程是:第一步,獲取到目標企業的工作流程和相關人員信息。第二步,獲取目標工控系統的物理位置與工程師的相關信息,包括但不限于家庭背景、工作背景等信息;第三步,偽造自己身份,比如以談合作的形式進行交流接觸并掌握更多的目標信息;第四,在獲取目標信任后騙取其U盤發起擺渡攻擊。震網病毒引起的伊朗核工廠離心機停機事件就是典型的通過中間人進行擺渡人攻擊。
因此,對于工業控制系統安全,亡羊補牢是必須的,但事前的預防則更為重要,企業需要提前做好SCADA系統安全防護。
二、工業控制系統存在的安全隱患
談了防護脆弱的SCADA系統,接下來就談一談工業控制系統本身隱藏的安全隱患。在此之前,我們先了解一下工業控制系統與IT系統在安全架構上有什么不同?
(1)防病毒:IT系統中非常普遍,且易于部署和更新。工控系統中由于都是固化的,部署防病毒軟件非常困難。
(2)補丁管理:IT系統中不管是遠程還是本地系統都是定期更新。在工控系統中由于都是專用系統,擔心影響性能,基本不更新補丁。
(3)技術支持周期:IT系統由于供應商較多,升級方便,技術更新周期都很快,基本在2到3年;工控系統都是專用的供應商,可能就一家或幾家,技術更新周期都在10到20年左右。
(4)網絡安全測試與審計:IT系統都采用最現代的方法;工控系統很少有安全測試和審計。
(5)事件響應與取證:IT系統易于部署且容易取證;工控系統出現故障除了更新系統很難進行取證。
(6)安全系統開發:IT系統集成在開發過程中;工控系統沒有通用的集成開發流程。
也許你會問,為什么工控系統存在這么多風險卻沒出大量的安全問題?這個問題很好解釋。工業控制系統發展這么多年,由于采用的是專業的硬件和協議,而且很少直接與外網或辦公網進行連接,懂IT技術又懂工業自動化控制技術的黑客又比較少,雖然工業控制網絡的攻擊事件時有發生,但卻不多。
但隨著IT與OT的融合發展,以前封閉式的專用工業網絡開始走向開放,在工業控制系統中已經出現了越來越多的標準化硬件和軟件,如基于X86架構的商用PC及服務器,應用了多年的現場總線技術正在被工業以太網逐步替代,網絡協議由紛繁雜亂的總線協議變為TCP/IP協議。從另外一個方向看,隨著ERP、CRM、MES等中上層管理業務系統與下層PLC、DCS等生產控制系統的對接,智能終端和無線技術也在工業控制領域得到了應用。即便企業的物理安全防護做的再好也已經不管用了。
三、從SCADA到ICS,安全風險該如何解決?
隨著工業控制系統中軟硬件及網絡技術向通用化和標準化方向發展,工控系統的安全體系正在被擊潰,變得前所未有的脆弱。這種現狀也引起了國家部門的擔憂和重視。
針對工控系統面臨的安全風險,工業和信息化部2011年9月發布《關于加強工業控制系統信息安全管理的通知》,明確了工業控制系統信息安全管理的組織領導、技術保障、規章制度等方面的要求。2012年6月28號國務院又發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》。明確要求保障工業控制系統安全,重點對可能危及生命和公共財產安全的工業控制系統加強監管。對關鍵產品開展安全評測,實行安全風險和漏洞通報制度。
在一系列政策文件的引導下,行業安全廠商也在不斷強化自身安全產品對工業控制系統的安全防護能力。近年來,包括匡恩網絡、威努特、谷神星、力控華安等國內工控安全廠商都針對工業控制系統面臨的安全問題推出了成體系的解決方案,取得了不錯的效果。
筆者認為,隨著封閉式的工業控制網絡開始走向開放,在工業控制系統中已經出現了越來越多的標準化硬件和軟件,這是未來工業轉型的趨勢。SCADA系統作為辦公網絡和工控網絡的紐帶,構建完善的SCADA系統安全防護體系將是降低工控系統安全風險的重要一環。對此,我們建議可從以下幾個方面入手強化對SCADA系統的安全防護:
1、評估需求,進行SCADA網絡的連接。對SCADA網絡所剩下的連接進行深入的測試和脆弱性分析,來評估這些路徑所處的安全狀態。使用這些信息和SCADA和風險管理程序來為SCADA網絡的所有鏈路生成一個強健的保護策略。由于SCADA網絡的安全取決于它的最薄弱的連接點,所以在每個進入點使用工業級邊界隔離系統、工業級入侵檢測系統和一些其它的安全策略十分重要。
2、通過取消或是減少一些沒有必要的服務來鞏固SCADA網絡。建立在商業或是開放源碼的基礎上的操作系統可以通過很多默認的網絡服務遭到攻擊。要在最大程度上減少、忽略、取消不用的網絡服務或是后臺,以減少直接的網絡攻擊。除非經過風險評估顯示,這項服務的好處遠遠大于其潛在的風險所帶來的危害,否則絕對不能允許SCADA網絡使用某項服務或是性能。
3、不要依靠專有的協議來保護系統。一些SCADA系統為了支持在現場設備和服務器之間的通訊而使用獨立、專有的協議。通常這些SCADA系統的安全性只是基于對這些協議的保密性上。然而不幸的是,保密的協議所提供的真正的安全少的可憐。所以不要因為是私有協議,就認為它是安全的。另外,要要求供應商關閉SCADA系統上所有的后門或是供應商接口,并要求他們提供可以得到保護的系統。
4、嚴格控制作為SCADA網絡后門的所有途徑。如果SCADA網絡上真的存在后門或是供應商連接時,要嚴格執行驗證以保證安全通訊。調制解調器、通訊和維護用的無線及有線的網絡是SCADA網絡和遠程站點的最脆弱部分。
5、執行內部監測審計,外部入侵檢測,保證每天24小時監控。為了對網絡襲擊具有有效的響應,要使用一種監測策略,包括由來自互聯網或是外部的資源的惡意行為時,對網絡管理員提出警示。檢測系統是24小時連續工作的,這項功能可以很容易的被設置。另外,事故響應程序必須要恰當,在攻擊發生時可以有效的做出動作。為了執行網絡的監控功能,要在所有系統上增強日志功能,并且每天審核日志,即時的監測到可疑行為。
6、進行物理上的安全調查并對連接到SCADA網絡上的遠程站點進行評估,對他們的安全性作出評價。任何連接到SCADA網絡上的部分都是被檢查和評估的目標,尤其是無人場站。在每個設備上,都要進行物理上的安全檢查。確認并評估所有的信息資源,包括可能被竊聽的電話和計算機網絡、光纜;可能被利用的無線電和微波線路;可能被訪問的計算機終端;無線網絡的訪問點。消除單純的點失敗。這些點的安全性可以足夠阻止未授權訪問,不允許只為了方便,在遠程或是沒有任何保護的站點設置活動訪問點。
來源:網絡整理
北京市公安局海淀分局備案號:11010802023656號