随着现代计算机技术、通信技术、网络技术的迅猛发展及与工业控制系统(以下也称“ICS”系统)的深度融合,极大地提高了工业控制系统的工作效率,但同时也带来了严峻的网络安全问题。随着国与国的竞争日益激烈和黑客水平的不断提高,网络攻击已经不仅仅以获取经济利益为目的,近年来还呈现出以破坏敌对国家基础设施和能源供给的趋势,通过不断渗透或潜伏到电力、能源、铁路、化工、冶金、智能制造等领域的工业控制系统,展开具有针对性的破坏攻击活动。因此,世界各国均正努力采取措施用以加强工业控制系统的安全,强化其网络系统的防护能力,变被动防御为主动防御,构造有足够纵深的立体化网络防护体系,力争将网络攻击造成的损失降低到最小。
本文通过介绍工业控制系统的安全现状和安全挑战,讨论工业控制系统自身潜在的风险和可能导致入侵的薄弱环节,分析工业控制系统发生安全事件带来的影响,并结合国内现有的安全标准规范提出一些应对风险的可行性实践措施。
一、ICS系统的现状与挑战
1 . ICS系统的安全现状
在工业控制技术和设备方面,由于国内尚未掌握工业控制核心技术,工业控制技术和设备主要由西门子、施耐德、罗克韦尔等国际厂商主导工业控制技术的发展和占领大部分的工业控制领域市场。工业生产企业选择设备供应商后,在运行维护和设备升级更换等多方面面临被工业设备厂商控制,无法轻易更换的局面。
在工业控制系统安全建设方面,工业控制网络普遍是绝对“物理隔离”为核心安全手段的独立工业控制系统,在安全防护上普遍处于缺乏状态。随着两化融合和智能制造在我国相关领域的探索,以及云计算、大数据和人工智能等新一代信息技术的迅速发展,新技术的应用使得原来封闭的工业控制系统网络越来越开放,尤其是“两化融合”的深入以及“中国制造2025”等战略的推进,工业控制系统开始逐渐开始采用以太网、通用协议、无线设备、远程配置等。OT生产系统和IT办公管理系统开始进行连接以提升生产效率,这一过程切实地提升了业务生产水平,但是在互联互通、纵向集成等新的生产模式下,工业控制系统正逐渐暴露于互联网中,对应的安全建设跟不上,工业控制系统下的安全问题所包含的软件隐患、网络边界隐患、环境和硬件隐患等问题,以及工业控制系统的网络安全协议问题,如操作系统的落后、补丁的更新不及时、缓冲区溢出问题、拒绝服务漏洞、关键设备没有冗余备份,不安全的远程访问ICS组件等问题带来的安全隐患问题开始不断显现。
在该类型探索中进展最大的智能制造工厂往往采用传统IT系统边界网关防护设备对IT、OT网络进行逻辑隔离,但策略设置上缺乏经验,控制粒度上设备能力不足,尤其是OT网络内部缺乏保护,导致保护深度不到位,保护广度不足与网络安全保护相关要求仍存在较大的差距。
2 . ICS系统的安全挑战
(1)针对ICS系统安全事件频发
根据权威工业安全事件信息库RISI的披露,针对工业控制系统网络攻击行为增长明显,而且针对工业控制系统的网络攻击更多的发生在电力、能源、水利和交通等重要行业和领域。
◇ 2010年,伊朗布什尔核电站感染“震网(Stuxnet)”病毒,严重威胁核反应堆安全运营,摧毁了伊朗浓缩铀工厂五分之一的离心机,导致该国的核工业进程遭到重大影响。
◇ 2014年,德国境内的钢铁厂遭遇到网络黑客攻击,恶意软件攻击了工厂钢铁熔炉控制系统,让钢铁熔炉无法正常关闭,导致遭受到“大规模”物理破坏。
◇ 2015年,乌克兰电网遭“Black Energy(黑暗力量)病毒”攻击,受影响家庭70万户,成为有史以来首次导致大规模停电的网络攻击。
◇ 2017年,WannaCry勒索病毒蔓延全球,感染了150个国家的30多万台计算机,中石油公司超过2万座加油站遭受到攻击,在断网约36小时左右才慢慢恢复。
◇ 2018年,台积电遭受WannaCry病毒攻击,使其工厂生产线受损,预计损失10多亿元人民币。
◇ 2019年,委内瑞拉国内发生全国范围的大规模停电,导致全国交通瘫痪,地铁系统关闭,医院手术中断,通讯线路中断,给委内瑞拉带来了重大损失。
除此之外,各大安全攻防研究机构还先后提取了火焰病毒、sandworm病毒、格盘病毒、“方程式”组织病毒库、red October病毒、Cleaver系列病毒等一系列工业控制网络病毒,工业控制系统的安全形势是十分严峻。
(2)工业控制系统面临严重威胁
工业控制系统面临的严重威胁主要包括外部威胁和内部威胁两大方面。其中外部威胁方面,工业控制系统主要面临的是网络攻击的威胁,我们通过对一些客户网络中的攻击分析发现,目前对工控系统的攻击主要还是在系统信息收集以及工业控制数据篡改;而根据相关网络安全调查结果显示,大多的安全威胁来自组织内部,包括无意识的外部风险引入,第三方维护人员的威胁,管理制度漏洞、安全策略无法有效落地等内部因素。
(3)国内外对ICS防护高度重视
工业控制系统脆弱的安全状况以及面临的日益严重的攻击威胁,已经引起了国家的高度重视,甚至提升到国家安全战略的高度,在政策、标准、技术等方面展开了积极应对。德国提出“德国工业4.0战略”,美国提出“先进制造业国家战略计划”,日本和英国也分别提出“制造业白皮书”和“英国工业2050战略”等概念。
我国政府对于工业控制系统的安全性予以高度重视,先后出台了多项政策、标准和指导意见,对工业控制网络安全提出了重要的建设性意见和指导标准,并强调了工业控制网络安全的战略地位。国家发展和改革委员会2010年起开始组织信息安全专项,将工业控制系统安全问题作为独立领域重点支持。2011年年底,工信部下发《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)的通知,强调加强工业信息安全的重要性、紧迫性。国家发展和改革委员会也开始从政策和科研层面上积极部署工业控制系统的安全保障工作,研究和制定相关规范及要求,其中对电力行业、石油石化行业、烟草行业及先进制造业的规范尤为突出。2015年,随着“互联网+”、“中国制造2025”等国家战略方针的出台,随着“两化融合”政策的深入推进,国内工业控制网络的网络化、智能化水平快速提高。2016年4月19日,习近平总书记在中央网络安全和信息化工作座谈会上发表了重要讲话,进一步表明工控行业的相关问题已经上升到国家高度。李克强总理在2017年政府工作报告中强调“深入实施《中国制造2025》,加快大数据、云计算、物联网应用,以新技术新业态新模式,推动传统产业生产、管理和营销模式变革。”
二、ICS系统安全风险分析
1 . 发电行业ICS系统安全风险分析
(1)SIS系统与电气系统、锅炉汽轮机系统等所有发电控制系统连接在一区,无分区分域设计,并且缺乏安全防护措施,其中一个系统受到破坏,面临着所有发电控制系统受到破坏的风险;
(2)电气系统、锅炉汽轮机等系统的操作员站、工程师站等大多采用Windows的操作系统,长期不更新系统补丁且无任何防病措施,面临感染病毒的风险;
(3)大多电厂的发电控制系统通过OPC协议和上层管理系统通讯,很多电厂中用来做逻辑隔离的防火墙不支持OPC动态端口机制,导致安全控制策略无法有效实施;
(4)多数电厂未明确网络安全管理机构,网络安全管理人员职责分工不明确、安全意识缺乏,网络安全管理制度体系缺失或不完善。
2 . 轨交行业ICS系统安全风险分析
(1)轨道交通采用控制系统通信协议自身存在漏洞,黑客可利用漏洞对相关工业控制系统发送非法控制命令;
(2)轨道交通采用控制系统工业协议广泛,如西门子、和利时等PLC、DCS等协议均缺乏身份认证机制,面临着被非法控制的风险;
(3)工业控制系统中的工程师站、操作员站以及部分服务器均采用Windows系统,而且很多还是早期的Windows XP系统、Windows 2000系统,微软官方早已停止漏洞和补丁更新,面临着漏洞被利用风险;
(4)主机外联接口如USB接口无管控,U盘、光盘随意使用;担心杀毒软件误杀业务程序影响业务连续性,几乎无防病毒措施,面临着引入病毒攻击风险;
(5)IT和OT网络责任主体不清楚,安全管理和运维相对混乱,没有专门为工业控制系统设计网络安全管理方面的管理部门和工作流程。
3 . 烟草行业ICS系统安全风险分析
(1)目前多数卷烟厂均建有MES系统,业务上需要MES系统和各车间工业控制系统互联,但管理网络与生产网络之间、生产网络生产区与控制区之间缺乏必要的隔离控制措施,缺乏有效的访问控制和安全防护手段,导致办公网中安全风险极易传播到生产网;
(2)大多卷烟厂的工业控制系统缺乏安全审计检测类产品,无法对工业控制网络进行威胁感知和故障检测,不能及时发现工业网络中的异常行为及入侵行为,并进行及时处理;
(3)制丝集控系统中几乎所有主机在病毒防护方面做的并不到位,工控上位机大多数处于“裸奔”状态,很多都没有安装统一的防病毒软件,即便安装了防病毒软件,病毒库也未及时更新,实际病毒木马的防护相当脆弱;
(4)部分卷烟厂没有制订完善的工业控制系统安全政策、管理制度,以及对人员的安全意识培养缺乏,造成人员的安全意识淡薄。
4 . 共性安全风险分析与确认
通过对电力、城市轨道交通、烟草等行业工业现场安全隐患的调研与分析,我们发现目前工业控制系统中存在多方面的风险。
(1)安全边界模糊无分层分区设计
大多数行业的工业控制系统各子系统之间没有安全隔离防护,未根据区域重要性和业务需求对工业控制网络进行安全区域划分,网络和区域边界不清晰,边界访问控制策略缺失,重要网段和其他网段之间缺少有效的隔离手段,一旦出现网络安全事件,安全威胁无法控制在特定网络区域内。
(2)对ICS系统多种漏洞缺乏应对
◇ 工控设备漏洞
工业控制系统安全的价值已经被普遍认可,在这样的背景下,从2010年“震网病毒”事件开始针对工控设备的漏洞挖掘成果大量被披露,设备现场的漏洞,通过网络、外设等方式被顺利利用后,将导致系统过载、设备故障停摆等严重影响,从而影响企业的整体安全生产。
例如,以目前在油气田中普遍使用的Siemens S7-300 PLC为例,作为市场占有率极高的一款工业控制设备,其漏洞数量多、影响大,且在现场普遍未被修复。
◇工控协议漏洞
工业控制协议主要传输的各类协议的指令码,使用之初未采用TCP/IP,在工业网络的以太网化过程中,协议也基于TCP/IP协议族做了重新设计,而这一过程,仅仅将工业控制指令作为TCP/IP的数据载荷在进行传输封装,缺乏安全性考虑,导致存在大量的漏洞可被利用。
例如,在数据监控与采集中经常应用的OPC Classic协议(OPC DA, OPC HAD和OPC A&E)基于微软的DCOM协议,而DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击;并且,OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的安全设备来确保其安全性。
图 工业控制系统各工控协议漏洞占比图
◇工控软件漏洞
由于工业应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口,因此常规的IT安全设备很难保障其安全性。
例如,以常见的工业应用GE IFIXv5.0为例,GE IFIX公开披露漏洞8个,其中包含高危漏洞1个(CNVD-2013-14823,远程缓冲区溢出漏洞。成功利用后可使攻击者在受影响应用上下文中执行任意代码)。
◇操作系统漏洞
目前企业的工程师站/操作员站/HMI都是基于Windows平台的Windows XP及Windows7操作系统。由于传统上一般认为工业控制主机是在隔离的“安全环境”中,又要保证上位机上各类工控软件的稳定运行,通常现场工程师在系统开始运行后便不会对Windows平台安装任何补丁。不安装补丁系统就存在更多被攻击的可能,从而埋下安全隐患。目前工业控制系统经常出现的误中勒索病毒及“矿机病毒”事件,利用的多数都是已经提供补丁的漏洞,其影响之大可见一斑。
(3)对ICS系统缺乏控制隔离机制
部分先进制造企业的工业控制系统和办公网络在同一个物理网络中,隔离机制仅仅依赖不具备工业系统防护技术的传统防火墙,无法覆盖当前多个生产区域的实际环境,也导致实际应用中的许多控制网络都是“敞开的”,不同的生产区域、不同的子系统之间都没有有效的隔离。一旦发生攻击,没有有效的阻断机制和隔离机制将难以遏制攻击扩散造成严重的影响。
(4)病毒与入侵行为防护能力不足
为了保证工控应用软件的可用性,许多石油炼化控制系统操作员站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
(5)缺少新型未知威胁的防控方法
在应对各类已知问题和现有网络设计缺陷带来的风险的同时,还必须充分应对各类基于0-day漏洞的APT攻击。
工业安全领域存在极为严重的信息的不对称,工业控制系统中的问题往往难以被察觉,且普遍存在攻击事件未被披露的情况,导致大量的安全防护知识未能被利用。这一背景,也导致了在工业环境中有更多可被轻易利用的0-day漏洞,未知威胁攻击在工业互联网越来越多,打通工业控制系统与互联网络边界的未来,将成为企业工业控制系统安全防护的重点课题之一,而企业目前针对工业控制系统未知威胁的防护还是空白。
(6)安全管理流程上不够重视安全
追求可用性而不注重安全性,是目前工业控制系统中存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如在多个网络事件中,事由都源于对多个网络端口进入点疏于防护,包括USB钥匙、维修连接、笔记本电脑等。
三、ICS系统安全解决之道
在工业控制系统的安全建设中,可通过“分层分区、本体保护、智能分析和集中管控”的原则进行安全防护设计,解决以上工业控制系统提到一些共性网络安全问题。
分层分区:依据“垂直分层,水平分区”的思想对工业控制系统进行细致的安全区域划分,同时根据不同区域的安全防护需求特点分级别、分重点落实安全措施。
本体保护:工业控制系统中的各个模块均应实现自身的安全。同时,在条件不具备的条件下将各模块本体作为安全防护的单元,应用必要的安全技术、管理手段和应急措施。
智能分析:在构筑安全架构的基础上,通过对AI技术、自动化技术实现对网络行为中新型未知威胁的挖掘,通过智能化的策略建议提供更高的安全防护水平。
集中管控:对部署的安全防护技术手段应在系统范围内进行集中管控,将各个孤立的安全模块提供的安全能力整合成协同工作的安全防护体系。
1 . 分层分区结构设计
对工业控制系统进行安全保护的有效方法就是分层分区,把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性。参考《网络安全等级保护基本要求》(GB/T 22239-2019)和IEC62264《工业过程测量、控制和自动化 网络与系统信息安全》系列标准,按照“纵向分层,横向分区”的原则,对工业控制系统进行分层分区,并将不同的生产线进行逻辑隔离。
图 工业控制系统分层分区保护架构模型图
如上图所示,“纵向分层、横向分区”即对工业控制系统垂直方向化分为5层:现场设备层、现场控制层、过程监控层、生产管理层和企业资源层。横向分区指各工业控制系统之间应该从网络上隔离开,处于不同的安全区。横向上对工业控制系统进行安全区域的划分,根据工业控制系统中业务的重要性、实时性、资产属性等,划分不同的安全防护区域。一个网络安全区域可以包括多个不同等级的子区域,也可以包括一个或多个功能层次的设备。
2 . 安全防护重点实施
(1)工业控制系统网络隔离
在IT办公网和工业控制网络之间部署安全隔离网闸,进行技术隔离和数据交换,安全隔离网闸的隔离技术采用固态开关读写介质连接两个独立主机系统,剥离了网络协议,规避了基于网络传输协议、工业控制协议的攻击和入侵。当然,对于安全要求不太高的工业控制系统,在IT办公网和工业控制网络之间也可部署防火墙进行网络隔离。
(2)通信传输安全防护
在工业控制系统中,一般采用加密技术或其他有效的技术手段保证通信数据传输的安全。在生产管理层和过程监控层中通常采用IPSec、SSL或RPC等技术的VPN网关技术保证通信过程中数据传输的完整性,实现通信网络和非现场总线网络数据传输的完整性保护。对数据传输实时性要求较高的现场总线网络,通常采用能满足实时性要求的物理保护机制或数据加密方式,以适应现场总线报文小、时延短的特点。
(3)通信网络异常检测
工业控制系统中通信网络异常监测主要通过在现场控制层的网络部署入侵防护设备或采用相应的检测技术措施,对不同的通信网络异常监测对象进行检查和管控,对异常情况进行捕获并报警;部署流量监控软件,对现场总线的流量进行监控,对恶意流量进行阻断;可在网络边界部署工控异常监测系统进行恶意代码的防范,以及监测网络的异常情况。
(4)控制设备自身安全
工业控制系统里大量使用工业主机进行控制操作和监控,这些主机都使用通用操作系统尤其是Windows系统存在大量漏洞,很容易被病毒感染,目前保护这类工业控制主机的方法有两种:安装防病毒软件、或者使用基于进程白名单技术的防护软件。由于防病毒软件占用资源较多、也存在病毒库升级不便的问题,在工业环境里,更多的推荐使用基于进程白名单技术的防护软件针对工业主机的病毒感染和入侵防范,并实现对光盘、USB接口、串行口等监控管理和外设接入控制管理。
(5)集中管控
在工业控制系统中,一般通过部署运维管理系统、态势感知系统和日志审计系统,对工业控制网络中部署的安全防护措施进行集中管控,对用户的真实身份进行统一管理,对工业控制网络中的日志进行统一收集和存储,将孤立的安全能力整合成协同工作的安全防护体系。
(6)安全审计
在工业控制系统中,一般通过在生产管理层和过程监控层的不同区域分布部署工业控制系统信息安全监测和审计系统进行安全审计,实现上下位系统的安全审计、工业控制系统报警审计、上下位机通信协议的审计、程序异常行为检测及审计、审计报表的生成等功能。
(7)应急响应机制
随着入侵技术的复杂性、隐蔽性越来越高,对于系统安全事故的处理不能只停于解决故障上,而应该要分析原因,查清入侵来源,提高整个工业控制系统安全水平。有条件的工业生产企业应建立安全事件响应团队和机制,在突发的安全事件中能够应急响应,迅速处理被破坏的系统和网络,消除入侵隐患。
(8)网络安全培训
鉴于近年来入侵技术的升级,以及部分工业生产企业相关安全人员安全意识淡薄以及技术存储不足,可进行网络安全意识和网络安全技术培训。
◇ 信息安全意识培训
通过大量的当前典型安全事件导入,从感性认知层面对目前的信息安全威胁给予形象的描述,能对当前的网络安全威胁形成深刻的认识。同时通过对日常工作、生活中经常用到的一些安全威胁进行分析,最终协助建立起适合个人、企业的用户行为基准。
◇ 信息安全技术培训
面向工业生产企业网络安全技术类用户,例如安全管理员和审计管理员等,通过培训让其在网络层面、系统层面及应用层面上了解常见网络安全攻防原理和技术,掌握常见的攻击防护方法。
四、总结
工业控制系统网络安全是综合了网络安全技术与自动化技术的产物,应充分借鉴传统IT网络安全经验,并考虑工业控制自身的特点,将传统IT网络安全的技术融合到工业控制领域建设工业控制系统的网络安全保障体系。
来源:工业菜园
