作者:张文
早期的ICS是独立封闭的系统,采用专用的控制协议,使用特定的软件和硬件,呈现孤岛状态,因此较为安全。随着互联网技术的普及和无线通信技术的快速发展,以太网、无线设备广泛应用于生产、管理的各个方面,整个控制系统都可以和远程终端互连,导致工控系统容易存在病毒、木马、蠕虫等网络安全风险。
ICS的信息安全面临日益严峻的挑战。系统结构的复杂、核心技术的限制、安全与管理标准的缺失等因素,使得ICS中的数据信息,可能被网络黑客、间谍、敌对势力恶意修改和破坏。近些年,针对工控系统的各种网络安全攻击与入侵事件屡见不鲜,造成的经济损失和社会影响不可估量。如:2010年,震网病毒Stuxnet入侵伊朗的ICS系统.对布什尔核电站反应堆的安全运营造成巨大威胁:2011年,黑客入侵SCADA系统.破坏了美国伊利诺伊州城市供水系统的供水泵:2012年,中东地区发生火焰病毒攻击,该地区石油平台的计算机系统遭受严重破坏。ICS的信息安全问题引起国内外政府组织和研究机构的持续关注,攻击者针对ICS往往采用APT(Advanced Persistent Threat.高级持续性威胁)等新型攻击手段和有组织协同攻击模式,更加难以防御.对ICS信息安全保障提出更高挑战。美国非常重视ICS安全研究,在工控安全领域进行了大量工作,已经形成了完整的ICS信息安全管理体制和技术体系。201 1年底,欧盟网络与信息安全局组织出版了一份名为“保护工业控制系统”的专刊,对ICS安全进行了全面、系统的介绍。
1 ICS信息安全的特点
随着信息技术的发展.ICS与IT系统已经密不可分.现代ICS自身正逐渐使用通用的TCP/IP标准协议、通用的操作系统,同业务系统等其他信息系统的连接也越来越多。因此,ICS也面临越来越严峻的信息安全问题,与IT系统相比,ICS信息安全主要有以下几方面的特点:
(l)攻击途径多元化。ICS结构固定、形式多样。如有相对简单且同定的网络拓扑、通信模式及用户群体等,但ICS接人的现场设备多、网络通信方式多样(如有线、无线网等)。因此,入侵ICS的途径比IT系统更为多元化.包括工业以太网、现场总线、无线网、U盘等移动介质以及有意或无意的误操作等。
(2)攻击行为专业化。攻击者利用的都是ICS中很高级的漏洞(如ODay漏洞)来人侵工控系统。这些漏洞难以侦测,令管理者无从防范。另外,总结病毒的攻击规律可发现,Night Dragon、Nitro和Duqu病毒主要收集各行业领域知识产权和生产数据;Stuxnet(震网)病毒则主要针对于核设施的破坏;Flame则是以上病毒的升级版,其智能化程度更高。可推测,如此复杂的病毒背后的设计者必然不再是独立的黑客.而是专业的组织团队,此类组织大都有详细的规划、明确的攻击目标和科学的分工,故针对ICS的攻击行为越来越专业化。
(3)攻击后果严重化。ICS与IT系统的一大区别是,前者与实际受控物理设备有良好的互动性。一旦工控系统遭受破坏,可能导致物理世界中不可逆转的重大灾难。21世纪以来,现代化工业的持续发展,生产流程实现了高度的自动化、网络化及数字化,若发生安全事故,系统恢复过程缓慢,恢复代价巨大。因此,国内外高度重视ICS的信息安全。
(4)通信协议的特殊化。与诸多IT系统中通用的协议不同.ICS中很多用于工业控制的特殊协议,对于信息流程的先后顺序、数据包的先动后动等都有着严格的实时性和时序性等方面的要求。
(5)安全管理复杂化。一些大型工业控制网络中,新系统与旧系统并存,而旧系统在设计之初又一般侧重于实用性要求,未考虑信息安全防护问题:各生产厂商不同品牌系统并存,其信息安全防护能力也各不相同:严格的生产要求使得信息安全实践无法随意尝试.信息安全“短板”效应,使得整个ICS的安全防护等级受限于防护水平最低的设备。鉴于以上因素,对智能化的大型ICS的信息安全管理是一项复杂的工作。
由此观之.IT系统存在的信息安全问题.在工控系统中也同样存在。另外,ICS还有自己独特的安全防护要求,完全照搬IT系统的信息安全方案是不可行的。
2 ICS信息安全风险
典型的工控系统网络结构如图l所示.从总体架构上而言,可将ICS网络分为4层:企业管理层、数据采集监控层、过程控制层和现场设备层。企业管理层大都采用通用以太网通信.从下一级的数采监控层提取相关生产数据.用以制定综合管理方案,是企业办公自动化与生产管理的业务系统。数采监控层采集下一级的过程控制层数据,实现运行工况的监测、报警和趋势分析等功能。过程控制层有一系列的组态设计,可实现对现场设备层的数据采集、数模转换、数字滤波、PID控制等功能。现场设备层则直接将工业现场设备信息实时全面地反馈到过程控制层。分析工控系统的网络图,在4层结构中存在以下信息安全风险。
2.1 各层通信协议的风险
信息化和工业化融合的深入开展及物联网技术的推广,使得TCP/IP和OPC( OLE for ProcessControl.用于过程控制标准的对象连接与嵌入)等通用协议广泛应用于工控系统中。而工业控制协议的识别能力未必尽如人意,可能面临被窃听或伪造篡改的风险.故各自动控制单元间缺乏稳定可靠的安全通信机制,由此引发的通信协议漏洞问题不容忽视。如在数采监控层和过程控制层之间采用的大都是基于分布式组件对象模型(distributed component object model, DCOM)编程规范的OPC接口.而OPC通信巾所使用的端口号大都是不固定的,故无法采用传统的IT防火墙防护保障其安全性.、
2.2操作系统的风险
目前.大多数工业控制系统各层中的工程师站、操作员站、人机界面(Human Machine Interface,HMI)采用的操作系统大都是Windows平台,限于系统的稳定性及独立性要求,在系统开车后,现场工程师不会再轻易更新平台补丁。如果确实需要更新.也必须先在测试环境下进行一系列严格的测试.保证部署在现场环境中不影响丁控软件与操作系统的兼容性。因此,这种打补丁时间上的滞后可能引发严重等级安全漏洞,从而埋下安全隐患。
2.3物理终端安全管理缺失
与传统的IT系统不同.ICS的安全防护主要侧重于终端生产设备。作为现场的控制单元,DCS控制器、PLC、操作员站等终端设备直接参与生产控制运行,并监控实时工况数据信息和业务时序,保障其安全性极为重要。而目前在工控网络巾的一大问题是.针对于控制单元,尚无系统的物理终端安全管理方法,缺乏可靠的边界完整性检查,面临外部未授权终端非法接入的风险。如在企业日常管理与资料文件共享中,操作人员经常使用U盘等可移动磁盘介质,而一般工控计算机未必全面安装并及时更新升级杀毒软件,故病毒可能通过可移动存储介质的交叉使用来传播。在物理隔离的工控环境下,也可能存在通过这种“摆渡”方式将病毒感染至系统内部的现象,造成严重的安全事故.
2.4安全管理制度缺失
在工控系统的安全管理制度上,缺乏相关的标准规范,管理制度不够科学健全,个别员工信息安全意识淡薄,对工控系统的安全问题不够重视.导致认为工控机不像个人电脑和服务器、网络设备那样需要强化安全防护、及时更新补丁、实时监控、定期巡检和维护等。
3 lCS信息安全防护体系
针对ICS各层中出现的信息安全风险,建立纵深防御体系,从技术和管理2个层面对ICS进行防护,最大限度地保障系统安全。
3.1 技术层面
技术层面可从以下5点来防护,如图2所示。图内编号与下面对应。
(1)常规的IT防火墙。在企业管理层和数据采集监控层之间安装防火墙,设置相关策略。因为企业管理层采用的是通用以太网,对于通信速率和带宽有较高要求,所以在此部位的安全防护使用常规的IT防火墙即可。部署IT防火墙后,2个网络层之间只允许合法的数据交换,企业管理层对数据采集监控层未经授权的非法访问将被防火墙拦截.也可防止上层网络的病毒感染扩散至下层网络。
(2)专业的工业防火墙。由于数据采集监控层和过程控制层之间通常采用OPC协议通信,若用传统的IT防火墙进行防护,必须开放一系列的端口号,此时防火墙的安全保障性能极低。故应部署专业的工业防火墙,有效拦截病毒以及其他非法访问,如此,来自防护区域内的病毒就很难感染扩散至其他网络,有效改善OPC通信动态端口的安全防护瓶颈现象,提升网络区域划分能力,最大限度地保障网络通信安全。过程控制层中控制器(PLC等)之间通常使用制造商专有工业协议通信。而常规的IT防火墙及网闸防护产品等一般不支持上述协议,应部署专业的工业防火墙保护关键控制器。在编制防火墙规则时,只允许专有通信协议通过,拦截来自操作站的非法访问;管控网络通信流量.指定特殊专有操作站才有权限访问指定的控制器:管控局部网络的通信速率,避免控制器遭受网络风暴等攻击的影响,一定程度防止控制器宕机。采用专业工业防火墙隔离第三方控制系统(如安全仪表等)和网络的直接连接,确保只有经过授权的、合法可信的通信访问才能顺利通过通信管道,实现管控通信数据、保证数据交换安全的目的。
(3)隔离工程师站、APC先控站。网络中的工程师站和APC先控站通常需要接入第三方设备(U盘、笔记本电脑等),遭受病毒攻击和入侵的安全隐患极高。故在APC先控站和工程师站的前端,可设立DMZ(Demilitarized Zone,隔离区),生产区域和办公区域的所有的通信应截止于DMZ区域。隔离后可防止病毒扩散,保证网络通信安全。
(4)开展系统安全测试,建立风险评估体系。针对ICS软硬件系统进行各类测试.如ICS应用认证漏洞测试、lCS授权漏洞测试、网络接入漏洞测试、通信信道漏洞测试、通信终端漏洞测试等。根据测试结果建立风险评估体系,确定某些关键点的安全风险系数,这样可以针对系统的某些薄弱点进行重点防护,在生产管理运行中有现实的指导意义.
(5)部署严密的网络监控。部署安全审计设备、IDS(intrusion detection systems,入侵检测系统)等网络监控设备,监控工控系统的网络入侵、通信控制协议、通信数据自身内容等的安全.及时发现入侵风险,最短时间内进行响应和处置。
3.2管理层面
对于工业控制信息安全管理控制.应实时维护并更新现有管理制度与安全技术标准。如在电力行业中,电网的集中性和开放性对ICS系统的安全有更严格的要求,建议参考国际上比较成熟的标准和规范,如IEC 62443、NISTIR 7628、IEC62210、NIST SP800-82、ISA99等,及时更新和调整信息安全防护策略,对既有的信息安全技术标准和管理制度进行更新和完善;同时,针对内部人员强化信息安全培训,提升工业控制系统信息安全意识,加强对工业控制系统的灾备管理。
电网工业控制系统信息安全应“抓源头、控研发、严实施、强运维、重协防”。 “抓源头”主要是进一步深化电网工控系统及设备国产化.并从采购、供应商、供货产品一致性等方面加强电网工控供应链安全管理. “控研发”主要是建立健全电网工控系统开发的全生命周期安全管理.在系统研发过程融入安全设计、安全编码以及安全测试等安全控制手段.“严实施”主要是严格安全技术手段的实施,监理系统安全控制措施实施过程,严格执行上线前安全风险识别、评估、处置和控制。“强运维”主要是强化运维安全管理.加强安全防护、配置管理、漏洞补丁管理、安全事件管理,定期开展风险评估。 “重协防”主要
是重视协同防御,防止出现安全短板,通过体系联动,协同防范抵御APT等新型攻击技术。
综上所述,在技术和管理2个层次建立起纵深防御体系,大大提高ICS系统的信息安全水平。
此防护方案已在某省级电力公司选取配电自动化系统进行试点,并取得良好应用效果.有效解决了配电自动化系统的安全问题。试点范围主要包括配电自动化系统主站,并抽样选取了20家不同厂商的200多台配电终端,从应用系统、通信网络、通信规约、配电终端等层面,主要针对物理安全、软件安全、配置安全和边界安全开展了加固与防护建设工作,保障配电自动化系统的安全稳定运行。在试点过程中发现和整改的主要潜在安全风险,从主站系统、工控终端和通信规约3个方面统计,如图3所示。
4结语
本文全面分析了工控系统安全防护的特点和难点,针对工业控制系统信息安全风险.分别从技术层面和管理层面提出防护措施,形成较为完整的工业控制系统信息安全管理防护体系.并在一些省电力公司信息安全防护中进行了验证,取得的良好效果.对相关工业控制领域的工控机安全防护具有借鉴意义。
5摘要:
阐述了ICS系统区别于传统IT信息系统的特点,分析了ICS系统所面临的信息安全风险,针对这些风险从技术和管理2个层面提出了相应的安全防护体系。在技术层面上,设置防火墙防护、隔离工程师站、开展系统安全测试、部署网络监控;在管理层面上,实时维护并更新现有管理制度与安全技术标准等。上述安全防护体系已在某省电力公司工控机安全防护试点得到验证,证明其可行性,对电网工控机的安全防护具有一定借鉴意义。
