在機場��、酒店大堂�、時尚的咖啡廳,可以看到人們很自在地用筆記本電腦享受著上網(wǎng)沖浪的便捷���,同時電信運營商們也在積極推廣城市熱點的接入覆蓋訪問�����。但隨著無線網(wǎng)絡嗅探變得輕而易舉��,你是否考慮過網(wǎng)絡環(huán)境是否安全���?
伊朗布舍爾核電站的遭遇為我們敲響警鐘,黑客攻擊正在從開放的互聯(lián)網(wǎng)向封閉的工控網(wǎng)蔓延��,黑客動機從技術展示到利益獲取再到如今的高端性攻擊�。因此,在關系到國計民生與國家安全的重大項目中�,對國外品牌的選擇需要更加謹慎,并對中國自主研發(fā)的產(chǎn)品有足夠的重視��。目前��,許多國家對引進國外產(chǎn)品帶來的國家安全隱患都十分重視。在同類項目中���,可以分別采用不同的品牌、不同的技術�����,把雞蛋放在不同的籃子里�,以分散風險。應該在一定程度上����,采取多種品牌、多種技術的策略����,權衡項目成本與項目安全,使二者達到最大程度的優(yōu)化與平衡��。
據(jù)權威工業(yè)安全事件信息庫RISI統(tǒng)計�����,截止到2011年10 月���,全球已發(fā)生200 余起針對工業(yè)控制系統(tǒng)的攻擊事件���。2001年后�,通用開發(fā)標準與互聯(lián)網(wǎng)技術的廣泛使用���,使針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長�,ICS 系統(tǒng)對于信息安全的需求變得更加迫切���。
近年來典型工業(yè)控制系統(tǒng)入侵事件:
2005年�,美國水電溢壩事件���;
2007年����,攻擊者入侵加拿大的一個水利SCADA 控制系統(tǒng)�,破壞了用于取水調度的控制計算機;
2008年�,攻擊者入侵波蘭某城市地鐵系統(tǒng),通過電視遙控器改變軌道扳道器�����,導致四節(jié)車廂脫軌;
2010年��,“網(wǎng)絡超級武器”Stuxnet 病毒針對性的入侵ICS 系統(tǒng)��,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營��;
2011年�,黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)�,使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。
工業(yè)控制系統(tǒng)(ICS)概述
工業(yè)控制系統(tǒng)(ICS)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集����、監(jiān)測的過程控制組件,共同構成的確保工業(yè)基礎設施自動化運行����、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)。其核心組件包括SCADA��、DCS���、PLC��、RTU���、IED以及接口技術等��。
對工業(yè)控制系統(tǒng)中IT基礎設施的運行狀態(tài)進行監(jiān)控�����,是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎�����,其中核心組件就是數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)�,典型的SCADA系統(tǒng)由以下組件構成:
目前工業(yè)控制系統(tǒng)廣泛應用于我國電力�、水利、污水處理�����、石油天然氣�����、化工��、交通運輸��、制藥以及大型制造等行業(yè)中,據(jù)不完全統(tǒng)計�����,超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)�����,工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分�����。
一次典型的ICS 控制過程通常由控制回路���、HMI、遠程診斷與維護工具三部分組件共同完成�,控制回路用以控制邏輯運算、HMI執(zhí)行信息交互�、遠程診斷與維護工具,確保出現(xiàn)異常操作時進行診斷和恢復����。
隨著計算機和網(wǎng)絡技術的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展���,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議���、通用硬件和通用軟件�,通過各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接��,病毒�����、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散���。其風險主要來源于:
ICS風險的主要根源
漏洞隱蔽性和嚴重性���;采用專用的硬件、軟件和通信協(xié)議�。
安全重視不夠、連接無序����、數(shù)據(jù)保護和應急管理不足;設計上考慮到封閉性���、主要以傳統(tǒng)安全為主�����。
默認配置�、連接、組網(wǎng)�、采購升級無序;主要基于工業(yè)應用的場景和執(zhí)行效率����。
工控平臺的脆弱性
平臺本身的安全漏洞問題;
殺毒軟件安裝及升級更新問題����;
大量默認配置和默認口令����;
專用平臺和通用平臺漏洞。
工控網(wǎng)絡的脆弱性
TCP/IP等通用協(xié)議與開發(fā)標準引入工業(yè)控制系統(tǒng)��,特別是物聯(lián)網(wǎng)�����、云計算、移動互聯(lián)網(wǎng)等新興技術����,使得理論上絕對的物理隔離網(wǎng)絡正因為需求和業(yè)務模式的改變而不再切實可行。傳統(tǒng)的威脅同樣會在工業(yè)網(wǎng)絡中重現(xiàn)��。
邊界安全策略缺失����;
系統(tǒng)安全防御機制缺失;
管理制度缺失或不完善����;
網(wǎng)絡配置規(guī)范缺失;
監(jiān)控與應急響應機制缺失��;
網(wǎng)絡通信(無線接入+撥號網(wǎng)絡)保障機制缺失�;
基礎設施可用性保障機制缺失。
安全管理����、標準和人才的脆弱性
缺乏完整有效安全管理、標準和資金投入是當前我國工業(yè)控制系統(tǒng)的難題之一����。其次,過多的強調網(wǎng)絡邊界的防護、內部環(huán)境的封閉���,讓內部安全管理變得混亂����。另外�����,既了解工控系統(tǒng)原理和業(yè)務操作又懂信息安全的人才少之又少���,為混亂的工控安全管理埋下了伏筆����。最后�,內網(wǎng)審計、監(jiān)控���、準入、認證����、終端管理等缺失也是造成工控系統(tǒng)安全威脅的重要原因。如:使用U盤、光盤導致的病毒傳播����、筆記本電腦的隨意接入與撥號、ICS缺少監(jiān)控和審計等問題����。
為了加強工控網(wǎng)防護,工信部緊急下發(fā)了工信部協(xié)【2011】451號文《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》���,指出我國目前工控系統(tǒng)現(xiàn)狀:對工業(yè)控制系統(tǒng)信息安全問題重視不夠��;管理制度不健全���;相關標準規(guī)范缺失;技術防護措施不到位����;安全防護能力和應急處置能力不高等。工信部要求工業(yè)�����、能源���、交通�����、水利以及市政等加強工業(yè)控制系統(tǒng)安全管理�。
工控網(wǎng)安全基本安全防護原則
ICS網(wǎng)絡中有代表性的EPA(Ethernet for Plant Automation)網(wǎng)絡由企業(yè)信息管理層、過程監(jiān)控層和現(xiàn)場設備層三個層次組成�,采用分層化的網(wǎng)絡安全管理措施。
EPA現(xiàn)場設備采用特定的網(wǎng)絡安全管理功能���,對其接收到的任何報文進行訪問權限�����、訪問密碼等的檢測�,使只有合法的報文才能得到處理����,其他非法報文將直接予以丟棄,避免了非法報文的干擾�����。
在過程監(jiān)控層����,采用EPA網(wǎng)絡對不同微網(wǎng)段進行邏輯隔離,以防止非法報文流量干擾EPA網(wǎng)絡的正常通信�,占用網(wǎng)絡帶寬資源。
對于來自于互聯(lián)網(wǎng)上的遠程訪問���,則采用EPA代理服務器以及各種可用的信息網(wǎng)絡安全管理措施�����,以防止遠程非法訪問�。
美國《工業(yè)控制系統(tǒng)安全指南》也提出了ICS系統(tǒng)如下縱深防護體系架構(如下圖)�,可供我們參考。
電力二次系統(tǒng)防護方案是工業(yè)控制系統(tǒng)安全防護的典型案例
電力二次系統(tǒng)方案遵循“安全分區(qū)�、網(wǎng)絡專用、橫向隔離���、縱向認證”的原則��,涵蓋電力監(jiān)控系統(tǒng)�、電力調度管理信息系統(tǒng)��、電力通信及調度數(shù)據(jù)網(wǎng)絡等��,該方案為電力信息安全搭建了最為基礎的安全框架,但由于電力二次系統(tǒng)基本原則出臺較早�,基本搭建在網(wǎng)絡安全防護的基礎上,對系統(tǒng)��、業(yè)務應用���、數(shù)據(jù)安全以及安全管理方面考慮較少��,目前面臨著新的安全威脅����,需要更全面的解決方案應對��。
總而言之�,工控系統(tǒng)安全要做到“進不來、拿不走���、看不到��、改不了�、走不脫”�。只有管理體系、技術體系�����、運維體系三管齊下���,有機融合����,方能保一方平安��。
(作者東軟NetEye安全服務部資深咨詢顧問 胡甜)
