今日頭條
官方微信
官方抖音
資訊頻道★ 張志偉,豐存旭浙江中控技術股份有限公司
摘要:工業控制系統在發展之初是相對封閉和獨立的,傳統工業控制系統安全防護往往采用物理隔離等方式。隨著通信信息技術的發展和深入應用,整個工業控制系統可與數據采集網、生產管理網和辦公網實現信息互聯和數據交互。網絡蠕蟲、永恒之藍、震網等病毒的攻擊,工控系統漏洞的利用,互聯網、可移動存儲介質、設備未經授權的操作及人為因素等使得網絡安全問題直接延伸到工業控制系統,導致工業控制系統固有漏洞和攻擊面不斷增加,易引發工業生產的緊急停車、設備故障,或影響工控系統組件的可靠性和靈敏度,由此產生的安全事件或事故也日趨增多,給傳統工業控制系統防護體系帶來嚴峻挑戰。本文針對工控網絡存在的信息安全風險進行深入剖析,細致挖掘工控企業信息安全痛點,圍繞滿足政策合規和工控網絡安全能力提升需求開展安全設計,達到縱深防御效果,全生命周期提升工控網絡安全防護水平。
關鍵詞:工控安全;主機加固;信息安全
1 引言
隨著工控企業信息化的推進,MES和EMS的建設越來越多,原本相互獨立的DCS、PLC、儀器儀表及SCADA等控制子系統需要通過網絡和信息系統連接在一起。這些子系統負責完成控制任務,一旦受到惡性攻擊和病毒感染,就會導致工業控制系統的控制組件和整個生產線被迫停止運轉,甚至造成人員傷亡等嚴重后果。
2 工控網絡安全現狀
(1)網絡邊界安全控制能力較弱,入侵及威脅傳播防御能力差
盡管進行了網絡分段隔離(有的企業甚至沒有做隔離),各層通常沒有防火墻或者其他安全訪問控制策略,數據交互隨意,導致攻擊進入任意層次后都會比較容易直接威脅到現場設備層對設備的控制。同時,隨著跨裝置應用的豐富,各裝置的網絡連接也缺乏足夠的邊界保護。
(2)計算機及工控系統嚴重漏洞檢測及處理不及時,系統安全風險大
工控企業PC終端、服務器、PLC控制器等普遍存在系統安全漏洞,包括能夠造成遠程代碼執行攻擊和越權執行的嚴重威脅類漏洞。由于設備、協議多導致管理難度大,以及企業專業技能缺乏、安全認識不足等現實問題,造成工業控制系統的補丁管理困難,難以及時處理威脅嚴重的漏洞。
(3)違規操作及越權行為監控不力,主機安全不可控
缺乏對移動介質的安全管控,操作人員直接通過主機USB接口、串口、光驅等外設進行文件、程序等傳輸,是當前病毒感染的主要途徑之一;企業由實施階段進入生產運維階段后,任意接入計劃外操作站、移動筆記本、網絡設備,甚至違規接入互聯網等行為都是重大安全隱患。
(4)基于工控協議的安全保護機制欠缺,缺乏針對性
專有的工業控制通信協議或規約在設計時通常更強調通信的實時性及可用性,對安全性普遍考慮不足,比如缺少足夠強度的認證、加密、授權等。隨著Modbus、OPC、SiemensS7、IEC104等工業協議的廣泛認知提升,攻擊者更容易掌握協議的格式和內容,對PLC等系統的攻擊變得更加容易,因此針對工控協議的安全防范就更加重要。
(5)缺乏網絡攻擊行為動態監測部署,主動防御能力欠缺
隨著針對工控系統的攻擊行為的增加,互聯網中攻擊方式多、病毒傳播快、變種快等特征也很快被應用到工業領域。傳統防御以不斷豐富病毒知識和攻擊特征來預防非法網絡行為,缺乏主動學習能力,因此如何動態監測攻擊行為并進行預測性主動防御將是未來工控安全建設的關鍵技術。
(6)重要操作站和工程師站數據備份恢復措施缺失
工控現場重要的組態數據會通過移動存儲介質進行離線備份,通常備份周期很長,難以做到定期自動備份。當前勒索病毒頻發,現有備份方案面對勒索病毒等嚴重病毒危害不足以有效應對。
3 工控網絡安全設計
以“縱深防御”為指導思想,遵照網絡安全等級保護2.0相關標準,在工控系統安全需求的基礎上,建立預警、防護、檢測、響應自適應閉環的安全防護體系,同時為工控系統提供可定制的安全服務,全面感知工控系統遇到或可能遇到的網絡安全風險,提升系統的整體安全防御能力,構建單位可信、可控、可管的安全防護體系。建設工控安全技術體系,體現“一個中心,三重防護”。一個中心是指安全管理中心,三重防護是指通信網絡、區域邊界和計算環境的防護。
3.1 工業網絡邊界防護
在控制器與各計算機系統之間部署工業防火墻。一方面通過訪問控制策略限定指定的計算機才能訪問控制器,管控網絡通信對象,降低計劃外設備非法訪問風險;另一方面,通過OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多種工業協議深度解析支持,實現指令級別的過濾防護,避免來源于HMI等計算機的非法控制命令下達。
工控網絡不同裝置之間部署具有工業協議深度解析功能的工控防火墻,實現針對工控網絡及工業協議的邏輯隔離、報文過濾、訪問控制等功能。通過加裝工業防火墻,并配置防火墻安全規則(包過濾、規則學習、攻擊防護、IP/MAC等)可以有效實現對工業控制系統邊界及工業控制系統內部不同控制區域之間的邊界防護。
3.2 工業主機安全
工控網絡操作站、工程師站等主機采用“白+黑”防護機制為目標主機提供多層次安全保護。根據白名單列表對可執行文件的執行進行監控,白名單內的可執行文件允許執行,對白名單外的可執行文件阻止執行,有效阻止病毒、木馬及0-day漏洞的感染和被利用,保障工控主機安全。同時該機制具備強大黑名單功能,可對系統文件進行深度掃描,識別并查殺惡意代碼。主機安全衛士具有網絡防護功能,僅允許白名單內的程序和端口進行網絡訪問;支持對重要文件的保護,僅允許特定的程序訪問。主機安全衛士軟件滿足符合性、連續性和可靠性的設計原則,內存占用和CPU使用率低,具備強大的自身安全性和易管理性。
3.3 工業網絡監測審計
工控網絡部署入侵檢測系統實現攻擊行為檢測。系統通過對工控網絡流量的采集、分析和監測,進行特征提取并與規則庫進行匹配,快速有效識別出工業控制網絡中存在的網絡異常行為和網絡攻擊行為,并進行實時告警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為工業控制系統的安全事故調查提供堅實的基礎。
(1)入侵檢測系統能夠監視整個網絡、子網或者某一特定協議、地址及端口的報文流量和字節流量,進行實時統計和展示,還可通過對網絡流量數據的分析,發現網絡異常行為或攻擊行為。
(2)入侵檢測系統內置大量關聯分析場景,如認證登錄、授權行為、違規行為、系統變更、攻擊入侵、敏感操作和設備故障等,通過事件關聯分析引擎,可從低風險的事件中實時發現高風險的網絡攻擊和違規行為。
(3)采用機器學習算法學習特定工控系統通信行為,形成可信網絡行為規則。
3.4 工業安全管理
在工廠生產網核心交換機上,建立單獨的工控安全運維管理區,實現對工廠的工控網絡安全管理中心功能。安全管理中心設計策略如下:
(1)安全管理平臺,對工業環境中的主機進行安全狀態監測和工業主機防護系統的集中管理和監控;
(2)安全管理平臺,對工控網絡監測狀態、工業主機安全狀態、工控網絡安全事件等安全信息進行集中收集和處理,對工控網絡安全態勢進行分析、展示和報警;
(3)安全管理平臺,對工控環境中的工業防火墻和主機安全防護系統進行集中管理,并對防火墻和主機安全防護系統日志進行統一采集和告警分析;
(4)工業日志審計系統,對工控系統的網絡設備、安全設備及工業主機日志信息進行集中收集和審計分析。
3.5 工業網絡設備安全設計
針對工控企業工業網內大量的工業交換機、路由器、防火墻等網絡和安全設備進行安全加固,加固內容至少應包括:
(1)加密保存系統賬戶口令;
(2)采用SSH進行遠程管理;
(3)限制遠程管理地址;
(4)啟用賬戶口令復雜度策略;
(5)啟用賬戶登錄失敗處理策略;
(6)修改默認賬戶,刪除多余賬戶;
(7)啟用日志審計,并將日志集中上傳至日志服務器;
(8)對交換機和路由器進行基線加固配置,關閉不必要的服務和端口,手動關閉交換機、路由器、防火墻等設備空閑端口;
(9)在交換機上設置MAC地址與端口綁定和MAC地址與IP地址綁定功能。
3.6 工業應用系統安全設計
對工控企業工業網內的DCS、PLC、SCADA等工業控制軟件和業務數據從軟件屬性的合法性、文件數據的完整性、保密性、身份鑒別、口令、惡意輸入、補丁更新、信息真實性、拒絕服務、中間人攻擊、重放攻擊、信息嗅探、內存漏洞等方面進行梳理防護,實現DCS、SIS、PLC等工控業務安全,保障生產持續穩定進行。業務安全設計策略如下:
(1)根據密碼管理策略設置業務應用系統用戶密碼,密碼長度和組成滿足口令復雜度要求,并定期更換;
(2)對工控系統配置文件中涉及到的操作系統、數據庫管理系統等的用戶口令應采用MD5等單向加密方式進行加密處理,禁止將明文口令填寫在配置文件中;
(3)刪除臨時賬戶和測試賬戶,重命名默認賬戶,修改其默認口令,限制其訪問權限,禁止匿名用戶登錄;
(4)通過工業安全監測系統對工業用戶操作行為進行安全審計;
(5)對應用系統審計日志進行集中保存和分析,保存期限至少6個月;
(6)對通過人機接口和程序接口輸入的數據進行有效性檢查。
3.7 備份恢復系統設計
部署數據備份恢復系統,針對重要工程師站和歷史趨勢服務器進行定期的自動化數據備份。當現場重要終端遭受病毒攻擊或硬件故障時,可以通過備份恢復服務器進行數據恢復。
4 工控網絡安全建設收益
本文所述針對工控企業常用網絡架構,以分層分區為原則進行工控安全設計,以主動防范、及時發現、快速處理為目標來提升工控安全防御能力,主要達到了以下效果:
(1)各層次、各區域之間有效隔離防護:通過防火墻限定通信對象和內容,阻斷非法入侵和危險傳播。其中工業防火墻還可以進行基于協議解析的控制命令過濾,重點保護PLC控制器安全,保證生產正常進行。
(2)工控入侵檢測系統:動態監測網絡信息流,及時發現傳統網絡木馬病毒入侵行為、針對工控設備的攻擊行為、未知設備接入和工控網絡流異常變化趨勢等,報警聯調防護設備。
(3)違規操作監測和預防:實時監控外設使用情況和運行進程,設置管理策略,預防設備違規接入和計劃外軟件安裝行為,杜絕內部威脅傳播。
5 結束語
綜上所述,在工控現場基于縱深防御工控網絡安全架構開展網絡安全建設,在滿足政策法規的同時提升工控網絡的安全防護能力和水平,確保工控網絡安全穩定運行,為現場裝置安穩長滿運行保駕護航。
作者簡介
張志偉(1987-),男,河南林州人,中級工程師,現就職于浙江中控技術股份有限公司,主要研究方向為工控安全。
豐存旭(1984-),男,甘肅慶陽人,中級工程師,現就職于浙江中控技術股份有限公司,主要研究方向為工控安全。
參考文獻:
[1] 李強, 田慧蓉, 杜霖, 劉曉曼. 工業互聯網安全發展策略研究[J]. 世界電信, 2016, (4) : 16 - 19.
[2] 張偉, 于目奎, 羅顯科. 鋼鐵企業工控安全研究與設計[J]. 工業加熱, 2020, (4) : 48 - 52.
[3] 陸贊. 基于工業控制系統的安全體系建設研究[J]. 中國管理信息化, 2016, 19 (13) : 117 - 119.
[4] 孫易安, 井柯, 汪義舟. 工業控制系統安全網絡防護研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號