从震网病毒看工业控制系统安全

在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。但随着无线网络嗅探变得轻而易举,你是否考虑过网络环境是否安全?
 

伊朗布舍尔核电站的遭遇为我们敲响警钟,黑客攻击正在从开放的互联网向封闭的工控网蔓延,黑客动机从技术展示到利益获取再到如今的高端性攻击。因此,在关系到国计民生与国家安全的重大项目中,对国外品牌的选择需要更加谨慎,并对中国自主研发的产品有足够的重视。目前,许多国家对引进国外产品带来的国家安全隐患都十分重视。在同类项目中,可以分别采用不同的品牌、不同的技术,把鸡蛋放在不同的篮子里,以分散风险。应该在一定程度上,采取多种品牌、多种技术的策略,权衡项目成本与项目安全,使二者达到最大程度的优化与平衡。
 

据权威工业安全事件信息库RISI统计,截止到201110 月,全球已发生200 余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全的需求变得更加迫切。
 

近年来典型工业控制系统入侵事件: 
 

2005年,美国水电溢坝事件;
 

2007年,攻击者入侵加拿大的一个水利SCADA 控制系统,破坏了用于取水调度的控制计算机;
 

2008年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,导致四节车厢脱轨;
 

2010年,“网络超级武器”Stuxnet 病毒针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;
 

2011年,黑客通过入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏。
 

工业控制系统(ICS)概述
 

工业控制系统(ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括SCADADCSPLCRTUIED以及接口技术等。
 

对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础,其中核心组件就是数据采集与监视控制系统SCADA),典型的SCADA系统由以下组件构成:

 

目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
 

一次典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算、HMI执行信息交互、远程诊断与维护工具,确保出现异常操作时进行诊断和恢复。

 

随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,通过各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散。其风险主要来源于:
 

ICS风险的主要根源
 

漏洞隐蔽性和严重性;采用专用的硬件、软件和通信协议。
 

安全重视不够、连接无序、数据保护和应急管理不足;设计上考虑到封闭性、主要以传统安全为主。
 

默认配置、连接、组网、采购升级无序;主要基于工业应用的场景和执行效率。
 

工控平台的脆弱性 
 

平台本身的安全漏洞问题;
 

杀毒软件安装及升级更新问题;
 

大量默认配置和默认口令;
 

专用平台和通用平台漏洞。
 

工控网络的脆弱性 
 

TCP/IP等通用协议与开发标准引入工业控制系统,特别是物联网、云计算、移动互联网等新兴技术,使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。传统的威胁同样会在工业网络中重现。       
 

边界安全策略缺失;
 

系统安全防御机制缺失;
 

管理制度缺失或不完善;
 

网络配置规范缺失;
 

监控与应急响应机制缺失;
 

网络通信(无线接入+拨号网络)保障机制缺失;
 

基础设施可用性保障机制缺失。
 

安全管理、标准和人才的脆弱性
 

缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次,过多的强调网络边界的防护、内部环境的封闭,让内部安全管理变得混乱。另外,既了解工控系统原理和业务操作又懂信息安全的人才少之又少,为混乱的工控安全管理埋下了伏笔。最后,内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如:使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。
 

为了加强工控网防护,工信部紧急下发了工信部协【2011451号文《关于加强工业控制系统信息安全管理的通知》,指出我国目前工控系统现状:对工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、交通、水利以及市政等加强工业控制系统安全管理。
 

工控网安全基本安全防护原则
 

ICS网络中有代表性的EPAEthernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成,采用分层化的网络安全管理措施。
 

EPA现场设备采用特定的网络安全管理功能,对其接收到的任何报文进行访问权限、访问密码等的检测,使只有合法的报文才能得到处理,其他非法报文将直接予以丢弃,避免了非法报文的干扰。
在过程监控层,采用EPA网络对不同微网段进行逻辑隔离,以防止非法报文流量干扰EPA网络的正常通信,占用网络带宽资源。
 

对于来自于互联网上的远程访问,则采用EPA代理服务器以及各种可用的信息网络安全管理措施,以防止远程非法访问。

 

美国《工业控制系统安全指南》也提出了ICS系统如下纵深防护体系架构(如下图),可供我们参考。

 

电力二次系统防护方案是工业控制系统安全防护的典型案例
 

电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等,该方案为电力信息安全搭建了最为基础的安全框架,但由于电力二次系统基本原则出台较早,基本搭建在网络安全防护的基础上,对系统、业务应用、数据安全以及安全管理方面考虑较少,目前面临着新的安全威胁,需要更全面的解决方案应对。

总而言之,工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下,有机融合,方能保一方平安。

(作者东软NetEye安全服务部资深咨询顾问  胡甜)