今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著電氣化、自動化、信息化技術能力發展,工業自動化技術和信息化技術全面融合,工業控制系統的基礎性、全局性的作用也日益增強,自動化與信息化控制系統PLC、DCS、SCADA等全面普及。在面臨不斷發生的網絡攻擊事件形勢下,習總書記提出“沒有網絡,就沒有國家安全”、“網絡安全與信息化是一體之雙翼”核心思想,開啟了我國網絡安全理念和安全保障理念的進步,網絡安全發展將面臨前所未有的機遇和挑戰。本文針對控制系統中的終端主機的安全及防護實踐進行概述。
關鍵詞:工控主機安全;電力工控安全
1 引言
伴隨我國經濟的快速發展,工業自動化控制技術進步日新月異,自動化與信息化控制系統PLC、DCS、SCADA等在電力行業的發電側已經全面普及。發電行業隨著工業自動化技術和信息化技術的高速發展而全面融合,工業控制系統的基礎性、全局性在生產經營中的作用也日益增強,為企業帶來管理和提高生產效率的同時,伴隨而來的網絡安全風險亦不容忽視。近年來,國內外發生“Stuxnet”震網病毒入侵伊朗布什爾核電站、“BalckEnergy”惡意攻擊導致烏克蘭伊萬諾-弗蘭科夫斯克地區大面積停電等網絡攻擊安全事件給全世界敲響了網絡安全的警鐘。習近平總書記多次提出網絡安全的重要性:沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。電力行業的安全生產涉及百姓民生,而保障電力安全生產的重要環節正是這基礎設施的工業控制系統,而整個控制系統的最脆弱、最危險、最不可控、最容易受到攻擊和入侵的正是控制系統的工程師站和操作員站等終端主機。
2 工業控制系統
工業控制系統是指由計算機與工業過程控制部件組成的自動控制系統。工業控制系統(ICS)主要包括常見的SCADA系統、DCS和其他較小的自動控制系統,如PLC,是工業生產中使用的所有類型控制系統的總稱。SCADA系統通常作為工業控制的核心系統,實現對現場的設備進行實時監視和控制及設備參數調節、數據采集、數據測量、各類反饋信號報警等。DCS分布式控制系統主要應用在流程生產行業的控制系統,主要實現對各子系統在運行過程中的控制功能。PLC廣泛應用于實現工業設備的具體操作與工藝控制,其作用主要是從遠程站點獲取數據和接受自動化或者操作者命令。例如控制生產設備啟停、監測生產環境、接收傳感器數據。工業過程控制部件對實時數據進行采集、監測,在計算機的調配下,實現設備自動化運行以及對業務流程的管理與監控,其特點主要表現在數據傳送的實時性、數據的事件驅動及數據源主動推送等。隨著計算機技術、通信技術和控制技術的發展,傳統的控制領域正經歷著一場前所未有的變革,開始向網絡化方向發展。控制系統的結構從最初的計算機集中控制系統(CCS),到第二代的分散控制系統(DCS),發展到現在流行的現場總線控制系統(FCS)。伴隨著自動化程度和控制系統的進步發展,工業控制系統的管理、控制及操作端的功能越來越豐富,權限越來越大。集中、遠程管理在帶來高效、便捷性的同時,也帶來主機管理的多個安全風險性,如何管理好工業控制系統的“城門入口”,成為確保工業控制系統安全穩定生產的重要工作。
3 主機安全要求
等保2.0版本的更迭意味著等級保護制度已進入全新的時代,原有的制度已無法滿足當下工控環境安全的要求,政策依據工控環境安全需求而制定,而工控環境的安全亦需將制度切實落地,兩者相互依賴。根據《信息安全技術網絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網絡安全等級保護測評要求》GBT28448-2019等系列等保2.0相關標準對主機安全防護,尤其是工業控制系統中主機的安全防護提出防護要求。本文對從安全風險及可整改性角度進行部分闡述。
從控制設備的主機安全總體層面,應否具有身份鑒別、訪問控制和安全審計等功能,如不具備上述功能,則核查是否由其上位控制或管理設備實現同等功能或通過管理手段控制。
從主機的物理層面應對主機是否關閉或拆除設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網,保留的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等是否通過相關的措施實施嚴格的監控管理。
從主機的身份鑒別層面,應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換,應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
從主機的安全策略配置層面,應重命名默認賬戶,刪除、停用默認賬戶和多余的、過期的賬戶,避免共享賬戶的存在。應授予管理用戶所需的最小權限,實現管理用戶的權限分離。應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則。并啟用登錄失敗處理功能,啟用安全控制策略限制非法登錄功能,非法登錄達到一定次數后采取特定動作,如賬戶鎖定等。
從主機的安全審計層面,應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。通過相關的技術措施實施嚴格的監控管理。
從安全建設采購管理方面層面,工業控制系統重要設備應通過專業機構的安全檢測后方可采購使用。
4 主機安全風險
經過多年的主機安全防護實踐發現,很多高危的風險隱患依然存在,由于近幾年來對網絡安全的重視,新建工業控制系統在建設時,會將網絡安全作為重要的一環進行考慮設計,主機多采用Linux操作系統或國產主機及控制系統,風險隱患相對較低。但存量的工業控制系統風險隱患尤為明顯,尤其是距今10年左右建設的工業控制系統,建設時設計多偏向功能和應用,對主機安全設計較為忽略,多數為工業主機、商用臺式機,多采用Windows7、XP、2008操作系統,由于受控制系統平臺制約無法更換主機的操作系統,同時常見的安全防護軟件在很多存量的工業控制系統中無法進行很好的應用,主要是管理員或廠家無法接受在控制主機端安裝安全防護軟件,或部分老舊主機安裝防護軟件后會嚴重占用系統資源導致影響業務應用,所以存在極大的安全隱患。以電力行業為例,發現存在很多相似的安全風險隱患,如電力監控系統中工程師站、操作員站、歷史站存在不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等未拆除或關閉,必要使用端口沒有采用技術措施確保安全;電力監控系統中工程師及操作員站無密碼或弱口令登錄,缺乏技術手段實現雙因子認證登錄;電力監控系統中工程師及操作員站存在默認賬戶及訪客用戶,未使用合理策略控制安全風險;電力監控系統中工程師站、操作員站,終端I/O設備操作權限缺乏技術管控手段,存在內部惡意人員非授權操作及越權操作的安全威脅;電力監控系統中工程師站或操作員站的系統配置、運行監控、重大操作等行為操作、U口使用、數據交換等操作缺乏行為監管,無法做到行為審計,無法實現過程追溯;電力監控系統中工程師站、操作員站、歷史站、OPCSERVER主機、工作站、一般都采用Windows系統,由于處于電廠內部的隔離網絡,存在補丁升級更新不及時或不能更新、無補丁可更新的狀況,設備或系統存在來自操作系統層面的漏洞;在特定工作中如部分系統調試和維護時,通常需要本地或遠程接入筆記本電腦。而對這些接入的移動終端缺乏有效的安全監管。這些常見隱患給工業控制系統帶來巨大的安全風險。
5 面臨的難題
針對目前比較主流的工業控制系統工程師站和操作員的設計,多采用Linux操作系統,但是由于早年工業控制系統在建設設計時,全行業對網絡安全、信息安全要求并不高,針對工業控制系統的功能和應用更為重視,所以在規劃設計時對信息安全環節投入不足,主機多采用當時流行的工業主機、商用塔式機、辦公臺式機,操作系統Windows2000、2008、XP、7都較為常見,且很多系統都是破解版、OEM版或是非商業版本。但是由于工業控制系統制約無法輕易更換主機的操作系統,很多早年工業控制系統的工程師站無法從Windows下改變Linux操作系統。
主機安全防護技術經過多年的發展,出現了安全防護、白名單等多種安全防護解決方案,在新建系統中應用廣泛。但針對于存量的工業控制系統,在安全管理大區的非控制大區尚有應用,但在生產的控制大區則相對較少,還存在一些問題,無法大面積廣泛采用,主要是由于工業控制系統特性原因,管理員或廠家認為在工程師站或操作員站的操作系統下安全防護軟件或具有“白名單”功能的防護軟件會對原有系統產生一定影響業務系統的隱患,所以無法接受在控制主機端安裝安全防護軟件,部分較為陳舊主機存在兼容或安裝防護軟件后會嚴重占用系統資源導致主機操作系統變慢的問題,所以存量工業控制系統的主機安全成為工業控制系統中的一大重要難題。
6 實踐技術路線
通過研發發現大量的存量工業控制無法更換安全操作系統和主機管理,或研發廠家無法接受安裝軟件及存在的安全風險隱患。同時根據《信息安全技術網絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網絡安全等級保護測評要求》GBT28448-2019等系列制度中,對主機應否具有身份鑒別、訪問控制和安全審計等功能,如不具備上述功能,則核查是否由其上位控制或管理設備實現同等功能或通過管理手段控制的要求,選擇從工業控制系統的上位控制或管理設備實現同等功能或通過管理手段控制的技術路線來實現工業控制系統主機的安全防護。
通過“一對一”部署純硬件式“鎧甲式外掛”防護裝置的方式,不接入原有工業控制系統網絡及主機系統,對工業控制系統實現人員身份鑒別密碼+智能卡,滿足“雙因子認證”且其中一種鑒別技術至少應使用密碼技術來實現要求,同時替代性解決工業控制系統缺少人員訪問控制、雙因子認證、人員權限管理等要求。并且針對USB口管理、數據安全交換提供了在線監測和殺毒等技術手段管理,滿足對主機用戶操作、人員行為審計要求。在注重采用技術手段解決問題的同時,同樣注重產品安全、可靠性,產品通過了公安部計算機信息系統安全產品質量監督檢驗中心和中國電力科學研究院信息安全實驗室檢驗,確保了自身安全和對原有工業控制系統無影響。
7 實踐解決的問題
此技術路線和實踐,通過理論研究和大量的現場實踐,獲得了用戶廣泛的認可,解決了工業控制系統主機無法更換,無法安裝安全防護軟件,缺少人員身份鑒別、訪問控制、USB口管理、數據安全交換、操作系統及人員操作行為審計等場景下的工業控制系統主機安全防護問題。
網絡安全建設亦是日積月累逐漸完善的過程,工業控制系統在不斷發展,隨之而來安全風險不斷增加,所以工控網絡安全防護工作必將永遠在路上。
作者簡介
謝云龍(1987-),江蘇人,本科,現就職于北京中電瑞鎧科技有限公司,研究方向為網絡安全、工業互聯網、工控安全、信息化建設。
參考文獻:
[1] 公安部, 國家保密局, 國家密碼管理局, 國務院信息化工作辦公室.信息安全等級保護管理辦法[Z]. 2007.
[2] GB/T22239-2019, 信息安全技術網絡安全等級保護基本要求[S].
[3] GB/T28448-2019, 信息安全技術 網絡安全等級保護測評要求[S].
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號