攜手共進工控系統(tǒng)信息安全之路

啟明星辰集團公司 孟雅輝

攜手共進工控系統(tǒng)信息安全之路

啟明星辰集團公司 孟雅輝

1　工控系統(tǒng)信息安全形勢

據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計，截止到2016年初，全球已發(fā)生300余起針對工業(yè)控制系統(tǒng)的攻擊事件。如圖1所示。

圖1 公開的ICS漏洞數(shù)的年度變化趨勢

圖2為各行業(yè)發(fā)生的工控信息安全事件占比情況，涉及我國關鍵的國計民生行業(yè)。

圖2 各行業(yè)發(fā)生的工控信息安全事件占比

圖3為2011～2014年公開漏洞涉及的主要工業(yè)控制系統(tǒng)廠商。其中，以西門子、施耐德電氣等為代表的工業(yè)設備在我國各工業(yè)領域被廣泛使用，對其安全防護不容忽視。

圖3 公開漏洞涉及的主要工業(yè)控制系統(tǒng)廠商

圖4為工控系統(tǒng)漏洞占比情況，SCADA/HMI系統(tǒng)漏洞占比超過40%，PLC漏洞接近30%，DCS及OPC漏洞占到將近10%。

圖4 工控系統(tǒng)漏洞占比情況

2　工控系統(tǒng)信息安全特點

（1）工業(yè)控制系統(tǒng)固有漏洞

? 各大廠商工控產(chǎn)品都或多或少存在著漏洞，工業(yè)領域存在著軟、硬件的更新、升級、換代困難等問題。

? 工業(yè)控制系統(tǒng)協(xié)議在設計之初就缺乏安全性考慮，存在明文設計、缺乏認證、功能碼濫用等安全威脅。

? 缺乏完善信息安全管理規(guī)定，存在U盤管理、誤操作、惡意操作等安全威脅。

（2）工業(yè)控制系統(tǒng)建設周期長

一般一個大型工業(yè)項目建設周期長達5～10年，一套工業(yè)系統(tǒng)建設調(diào)試到穩(wěn)定需要的周期很長，無法頻繁升級。

（3）各種其他原因

兩化融合使得工控系統(tǒng)面臨著更多傳統(tǒng)IT網(wǎng)絡的威脅。

3　工業(yè)控制系統(tǒng)面臨的脆弱性示例

3.1工業(yè)控制系統(tǒng)產(chǎn)品漏洞

工業(yè)控制系統(tǒng)產(chǎn)品漏洞，如Emerson RS3漏洞，SIEMENS PLC漏洞。工業(yè)領域因軟、硬件更新、升級、換代困難，漏洞不能得到及時修補。

3.2Modbus自身協(xié)議缺陷

不單是Modbus，像IEC104，PROFINET等主流的工控協(xié)議，都存在一些通用問題。為了追求實用性和時效性，犧牲了很多安全性，因此會導致黑客的攻擊。

3.3OPC協(xié)議自身的脆弱性

OPC協(xié)議目前廣泛應用于石油煉化、煉鋼廠、發(fā)電、精密制造領域。OPC協(xié)議在為大家?guī)肀憷耐瑫r，存在著非常大的安全隱患。首先，OPC協(xié)議架構(gòu)基于Windows平臺，Windows系統(tǒng)所具有的漏洞和缺陷在OPC部屬環(huán)境下依然存在。并且，為了實現(xiàn)信息交互的便捷性，所有的Client端使用相同的用戶名和密碼來讀取OPC server所采集的數(shù)據(jù)。另外，只要Client端連接，所有的數(shù)據(jù)都會公布出去，極易造成信息的泄露。更有甚者，在某些不太規(guī)范的部屬環(huán)境下，OPC server一方面是為現(xiàn)場所采集的實時數(shù)據(jù)提供展示，另一方面又為MES層提供數(shù)據(jù)。相當于MES和現(xiàn)場數(shù)據(jù)共用一個OPC數(shù)據(jù)庫，MES一旦被攻擊，就會導致OPC的某個參數(shù)被修改，致使現(xiàn)場操作也會隨之變動。

4　工控系統(tǒng)面臨的信息安全問題

4.1工控系統(tǒng)面臨的信息安全問題-石化行業(yè)

（1）操作站、工程師站、服務器采用通用Windows系統(tǒng)，基本不更新補丁。

（2）DCS在與操作站、工程師站系統(tǒng)通信時，基本不使用身份認證、規(guī)則檢查、加密傳輸、完整性檢查等信息安全措施。

（3）生產(chǎn)執(zhí)行層的MES服務器和監(jiān)督控制層的OPC服務器之間缺少對OPC端口的動態(tài)識別，OPC服務器可以允許任何OPC客戶端連接獲取任何數(shù)據(jù)。

圖5 石化行業(yè)的工控系統(tǒng)結(jié)構(gòu)圖

（4）工程師站權(quán)限非常大，有些是通用的工程師站，只要接入生產(chǎn)網(wǎng)絡，就可以對控制系統(tǒng)進行運維。

（5）多余的網(wǎng)絡端口未封閉，工控網(wǎng)絡互連時缺乏安全邊界控制。

（6）外部運維操作無審計監(jiān)管措施。

4.2工控系統(tǒng)面臨的信息安全風險-先進制造

（1）某些工控系統(tǒng)的默認口令問題，如SUNRISE，CUSTOMER，EVENING。

（2）通過操作站感染病毒。

（3）串口網(wǎng)口轉(zhuǎn)換，定制協(xié)議過于簡單，缺乏校驗，串口傳輸環(huán)境的風險。業(yè)務指令異常無法發(fā)現(xiàn)。

（4）數(shù)據(jù)傳輸，NC代碼等文件傳輸存在安全隱患。

（5）DNC服務器等與辦公網(wǎng)放在一起，都是Windows系統(tǒng)安裝的傳統(tǒng)數(shù)據(jù)庫，大量使用FTP等進行數(shù)據(jù)交互，操作有被滲透的可能。

（6）第三方運維人員在運維設備時缺乏審計記錄，存在數(shù)據(jù)泄密或病毒侵入的威脅。

圖6 先進制造工控系統(tǒng)結(jié)構(gòu)圖

4.3工控系統(tǒng)面臨的信息安全風險-電網(wǎng)和發(fā)電

4.3.1電網(wǎng)安全建設現(xiàn)狀

（1）當前正探索智能變電站的信息安全防護。

（2）建立可信計算密碼平臺，更新調(diào)度數(shù)字證書、縱向加密認證、橫向隔離裝置、防火墻、入侵檢測系統(tǒng)，搭建安全仿真平臺。

（3）智能變電站技術、分布式能源智能大電網(wǎng)，不僅有監(jiān)視，還有控制。用電信息在互聯(lián)網(wǎng)上傳輸，需要加密；用戶的智能電器暴露在電力系統(tǒng)中，可能受到攻擊。

（4）安全區(qū)II的電廠和省調(diào)之間采用IEC104規(guī)約，框架確定，但是存在協(xié)議格式在實際應用中出現(xiàn)混亂的問題。

4.3.2發(fā)電（水電或者火電）面臨的風險

（1）所有發(fā)電控制系統(tǒng)連接在一區(qū)，無任何安全防護措施。

（2）隨著發(fā)電全廠一體化建設的推進，因聯(lián)通導致的風險越來越大。

（3）操作站采用通用操作系統(tǒng)，未安裝補丁，會感染病毒。

（4）OPC問題一樣突出。

（5）遠程運維問題依然存在，安全運維審計裝置缺失。

4.4工業(yè)控制系統(tǒng)信息安全風險途徑

通過以上分析，會發(fā)現(xiàn)像先進制造、發(fā)電、石油石化等行業(yè)，信息安全風險基本上是通過幾個典型的端口進入工控系統(tǒng)。

（1）“兩網(wǎng)連接”帶來的風險。生產(chǎn)網(wǎng)與辦公網(wǎng)相連，雖然控制系統(tǒng)是一個個單獨的系統(tǒng)，但是要建立全廠一體化控制，主控制系統(tǒng)和輔助控制系統(tǒng)全部連接到一個網(wǎng)絡中，由于網(wǎng)絡互連帶來的風險非常顯著。

（2）通過操作站帶來的風險。如安裝軟件、U盤的使用，人為的某些誤操作，都是通過操作站和工程師站端口進來的。如工程師站經(jīng)常會被值班人員隨意操作，出現(xiàn)參數(shù)被誤修的情況。

（3）現(xiàn)場與遠程運維帶來的風險。

（4）工業(yè)無線帶來的風險。這種風險在軌道交通行業(yè)中非常明顯。

圖8 工業(yè)控制系統(tǒng)信息安全風險途徑

5　工控系統(tǒng)信息安全防護建設

5.1工控安全防護建設參考標準

（1）以451號文為基準。

（2）參考國際國內(nèi)標準。

（3）結(jié)合行業(yè)生產(chǎn)特點。

5.2工控安全防護體系建設思路

工控安全防護思路依據(jù)“垂直分層、橫向分區(qū)、邊界防護 、內(nèi)部監(jiān)測 ”的總體策略。把工控系統(tǒng)分區(qū)、分域，進行邊界防護，內(nèi)部監(jiān)控。

5.3融合秩序的工控系統(tǒng)信息安全產(chǎn)品體系

在工業(yè)控制領域，整個流程秩序是非常嚴謹?shù)?，因此啟明星辰在考慮研發(fā)安全產(chǎn)品時，結(jié)合了工業(yè)控制系統(tǒng)特點，目前包括以下幾大支柱產(chǎn)品。

（1）旁路檢測

旁路檢測包括工控異常監(jiān)測系統(tǒng)和工控網(wǎng)絡流秩序分析診斷。

工控異常監(jiān)測系統(tǒng)：除了發(fā)現(xiàn)傳統(tǒng)的網(wǎng)絡入侵、病毒等特征之外，針對工控系統(tǒng)自身業(yè)務指令的異常，以及協(xié)議所固有的一些脆弱性，可以被利用的攻擊方式等，將這些規(guī)則整理到系統(tǒng)中進行監(jiān)測。

工控網(wǎng)絡流秩序分析診斷：主要針對工業(yè)控制網(wǎng)絡內(nèi)部，梳理每個設備之間的交互信息數(shù)據(jù)流特點，通過學習整理，了解通常是以多少屏和多少M的流量來發(fā)送信息，據(jù)此發(fā)現(xiàn)數(shù)據(jù)流是否出現(xiàn)異常。如果有積塞則展示出來。另一種情況是，在一應用場景會發(fā)現(xiàn)經(jīng)常有向國外某個IP發(fā)送信息的情況，通過協(xié)助用戶方查詢，發(fā)現(xiàn)原來是在開發(fā)系統(tǒng)時引用了一個插件的問題。類似以上情況均可以通過網(wǎng)絡流量的分析展示出來。

（2）串聯(lián)防護

串聯(lián)防護產(chǎn)品包括工業(yè)防火墻和工業(yè)網(wǎng)閘，主要應用在兩網(wǎng)之間的隔離防護。其中工業(yè)網(wǎng)閘是結(jié)合工業(yè)現(xiàn)場情況，支持OPC。工業(yè)防火墻，除了做IP端口方面的訪問控制，具體的操作指令和功能碼都需要做細粒度的控制。

（3）操作站管理

操作站管理包括操作站安全管理系統(tǒng)和防病毒系統(tǒng)。

（4）現(xiàn)場防護

現(xiàn)場防護包括工控運維審計系統(tǒng)和WIFI入侵檢測與防護設備。

以上這些設備的監(jiān)控數(shù)據(jù)均在工業(yè)控制系統(tǒng)信息安全管理系統(tǒng)中統(tǒng)一進行展現(xiàn)和管理，能夠統(tǒng)一地呈現(xiàn)工控系統(tǒng)的安全風險情況。數(shù)據(jù)的導入方式也可以是多種多樣的。

圖9 工控系統(tǒng)信息安全產(chǎn)品體系

此外，啟明星辰還建立了結(jié)合工控系統(tǒng)全生命周期的工控安全風險評估平臺，包括工控漏洞掃描、模糊測試工具，以及工控安全靜態(tài)檢查，安全配置基線核查的工具。目標是達到風險的可知、可防和可預測。

安全產(chǎn)品體系覆蓋了整個安全事件發(fā)生的全生命周期，包括事前的防護、事中的檢測和事后的審計、處理；覆蓋過程控制、生產(chǎn)控制、現(xiàn)場控制三個層面；集防護監(jiān)測為一體的統(tǒng)一體系。安全防護產(chǎn)品可以部署在網(wǎng)絡邊界處、公共交換機的旁路接觸欄或者網(wǎng)絡安全防護的專用區(qū)域。

從國家的層面來說，我國正在積極倡導“工業(yè)4.0”、工業(yè)互聯(lián)網(wǎng)和《中國制造2025》。我國是工業(yè)制造大國，在這種發(fā)展趨勢下，工業(yè)制造中的互連互通將會越來越頻繁，信息安全問題不容忽視。我們必須攜手推進工業(yè)控制系統(tǒng)信息安全防護，聯(lián)合用戶、監(jiān)管機構(gòu)、自動化集成廠商、信息安全廠商、高校等一切力量共建威脅情報監(jiān)測平臺，構(gòu)建工控系統(tǒng)信息安全生態(tài)圈。

（文章整理自孟雅輝在2016年4月22日“工業(yè)控制系統(tǒng)信息安全風險信息共享研討會”上的報告）

孟雅輝（1981-），女，河北安平人，碩士，現(xiàn)任啟明星辰集團工控安全營銷部技術總監(jiān)，承擔過多項大型信息安全和工控信息安全咨詢、產(chǎn)品研發(fā)、產(chǎn)品實施項目。