背景
工業控制系統(IndustrialControlSystems,ICS)通常指由計算機設備和工業生產控制部件組成的系統,主要包括五大部分:數據釆集與監測控制系統(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)及現場總線控制系統(FCS)等。工業控制系統已經廣泛應用于工業、能源、交通及市政等領域,是我國國民經濟、現代社會以及國家安全的重要基礎設施的核心系統。
在工業互聯網、“中國制造2025”、“工業4.0”等政策驅動下,信息技術(IT,InformationTechnology)和操作技術(OT,OperationalTechnology)一體化已成為必然趨勢。隨著IT/OT一體化的迅速發展,工業控制系統越來越多的采用通用硬件和通用軟件,工控系統的開放性與日俱增,系統安全漏洞和缺陷容易被病毒所利用,然而工業控制系統又涉及我國電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業,一旦遭受攻擊會帶來巨大的損失。事實上,對于電力、水利、能源、制造業等領域的工業控制系統的入侵事件,在此之前就已經層出不窮。
隨著IT/OT一體化的逐步推進,工業控制系統越來越多地與企業網和互聯網相連接,形成了一個開放式的網絡環境。工控系統網絡化發展導致了系統安全風險和入侵威脅不斷增加,面臨的網絡安全問題也更加突出。由于工控網絡系統環境的特殊性,傳統的IT信息安全技術不能直接應用于工業控制網絡的安全防護。然而,工業控制系統又應用于國家的電力、交通、石油、取暖、制藥等多種大型制造行業,一旦遭受攻擊會帶來巨大的損失,因此需要有效的方法確保工控系統的網絡安全。
各個工業行業頻發的信息安全事故表明,一直以來被認為相對安全、相對封閉的工業控制系統已經成為不法組織和黑客的攻擊目標,黑客攻擊正在從開放的互聯網向封閉的工控網蔓延。特別是在2015年12月發生的針對烏克蘭電力部門的網絡攻擊事件,攻擊者通過惡意代碼入侵到電力部門的電力監控管理系統,導致7個110KV的變電站和23個35KV的變電站出現故障,80000用戶斷電。所以在電力、化工、煤炭、交通、冶金等均遭受到了嚴峻的工業控制網絡安全威脅,急需加大在工業控制網絡安全方面的投入,防止工業企業受到針對工業控制系統的網絡攻擊行為。
面對越來越嚴峻的信息安全形勢,我國高度重視工業控制系統信息安全工作。2016年10月12日,工信部印發《信息化和工業化融合發展規劃(2016-2020年)》,明確指出“工業領域信息安全形勢日益嚴峻”,隨著兩化融合發展進程不斷深入,工業信息系統逐步從單機走向互聯、從封閉走向開放,為網絡安全威脅向其加速滲透提供了條件,工業領域面臨的信息安全形勢日益緊迫,亟需加速完善工業信息系統安全保障體系。2016年10月17日,工信部頒布《工業控制系統信息安全防護指南》,指出工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任十一個方面做好工控安全防護工作,切實提升工業控制系統信息安全防護水平,保障工業控制系統安全。
工控安全關系著企業生產、國計民生,更關系著整個國家的安全和利益,工控安全問題已上升為國家戰略。2017年6月1日起《中華人民共和國網絡安全法》正式施行,其中明確提出“關鍵信息基礎設施的運行安全”。安全法中明確了法律責任,第五十九條網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。
由于起步較晚,我國工業控制系統信息安全保障能力方面存在較大不足。當前我國工業控制系統核心軟硬件設備的自主可控水平嚴重低下,基本的安全防護嚴重不足,網絡接入控制混亂,外包維護管理缺乏,有很多工控系統需要依賴廠商才能維護,在培訓教育和應急響應方面的力度也相當有限。面對復雜的工控安全形勢,我國加強工業控制系統信息安全的保障工作迫在眉捷。
面臨的風險
工業控制系統安全是國家關鍵信息基礎設施安全的重要組成部分。在工業互聯網、“中國制造2025”、“工業4.0”等趨勢驅動下,隨著云計算、物聯網、大數據技術的成熟,IT/OT一體化已成為必然趨勢。
IT/OT一體化在拓展了工業控制系統發展空間的同時,也帶來了工業控制系統網絡安全問題。近年來,隨著安全事件的頻繁發生,工業信息安全越來越受到政府、工業用戶、科研機構和工控系統廠商的重視。企業為了管理與控制的一體化,實現生產和管理的高效率、高效益,普遍引入生產執行系統MES,實現管理信息網絡與控制網絡之間的數據交換和工業控制系統和管理信息系統的集成。MES不再是一個獨立運行的系統,而要與管理系統甚至互聯網互通、互聯,從而引入網絡攻擊風險。
對于傳統IT網絡安全,保密性優先級最高,其次是完整性、可用性。工業網絡則有明顯的不同,工業網絡更為關注的是系統設備的可用性、實時性,除此特點外,IT系統和OT系統之間仍然存在很多差異性,如表所示。
IT系統和OT系統的差異性見圖片
由于IT系統和OT系統之間存在的眾多差異,當工業互聯網的IT/OT進行融合時會帶來很多安全挑戰。
1.1首先是來自外部的安全挑戰
l暴露在外的攻擊面越來越大
IT/OT一體化后端點增加,給工業控制系統(ICS)、數據采集與監視控制系統(SCADA)等工業設施帶來了更大的攻擊面。與傳統IT系統相比較,II/OT一體化的安全問題往往把安全威脅從虛擬世界帶到現實世界,可能會對人的生命安全和社會的安全穩定造成重大影響。
l操作系統安全漏洞難以修補
工業控制系統操作站普遍采用PC+Windows的技術架構,任何一個版本的Windows自發布以來都在不停的發布漏洞補丁,為保證過程控制系統的可靠性,現場工程師通常在系統開發后不會對Windows平臺打任何補丁,更為重要的是即使打過補丁的操作系統也很少再經過工控系統原廠或自動化集成商商測試,存在可靠性風險。但是與之相矛盾的是,系統不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成Windows平臺乃至控制網絡的癱瘓。
l軟件漏洞容易被黑客利用
黑客入侵和工控應用軟件的自身漏洞通常發生在遠程工控系統的應用上,另外,對于分布式的大型的工控網,人們為了控制監視方便,常常會開放VPNtunnel等方式接入甚至直接開放部分端口,這種情況下也不可避免的給黑客入侵帶來了方便之門。
l惡意代碼不敢殺、不能殺
基于Windows平臺的PC廣泛應用,病毒也隨之而泛濫。全球范圍內,每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒,并且還在以每天數十余種的速度增長。這些惡意代碼具有更強的傳播能力和破壞性。
例如蠕蟲病毒死灰復燃。與一般的木馬病毒不同,這種病毒隨著第三方打補丁工具和安全軟件的普及,近些年來本已幾乎絕跡。但隨著永恒之藍、永恒之石等網軍武器的泄露,蠕蟲病毒又重新獲得了生存空間,死灰復燃。其最為顯性的代表就是WannaCry病毒。基于工控軟件與殺毒軟件的兼容性,在操作站(HMI)上通常不安裝殺毒軟件,即使是有防病毒產品,其基于病毒庫查殺的機制在工控領域使用也有局限性,主要是網絡的隔離性和保證系統的穩定性要求導致病毒庫對新病毒的處理總是滯后的,這樣,工控系統每年都會大規模地爆發病毒,特別是新病毒。在操作站上,即插即用的U盤等存儲設備濫用,更給這類病毒帶來了泛濫傳播的機會。
lDDOS攻擊隨時可能中斷生產
拒絕服務攻擊是一種危害極大的安全隱患,它可以人為操縱也可以由病毒自動執行,常見的流量型攻擊如PingFlooding、UDPFlooding等,以及常見的連接型攻擊如SYNFlooding、ACKFlooding等,通過消耗系統的資源,如網絡帶寬、連接數、CPU處理能力、緩沖內存等使得正常的服務功能無法進行。拒絕服務攻擊非常難以防范,原因是它的攻擊對象非常普遍,從服務器到各種網絡設備如路由器、防火墻、IT防火墻等都可以被拒絕服務攻擊。控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致嚴重后果,輕則控制系統的通信完全中斷,重則可導致控制器死機等。目前這種現象已經在多家工控系統中已經出現
網絡風暴經常是由于ARP欺騙引起的flood攻擊,或者因工控信息網絡因環路故障造成的網絡風暴,這種攻擊往往發生在同一網段的控制區域中,占用大量的帶寬資源,工控系統疲于處理各種報文,將系統資源消耗殆盡,使工業系統報文無法正常傳輸。目前的工業總線設備終端對此類拒絕服務攻擊和網絡風暴基本沒有防范能力,另外,傳統的安全技術對這樣的攻擊也幾乎不可避免,缺乏有效的手段來解決,往往造成嚴重后果。
l高級持續性威脅時刻環伺
高級持續性威脅的特點是:目的性非常強,攻擊目標明確,持續時間長,不達目的不罷休,攻擊方法經過巧妙地構造,攻擊者往往會利用社會工程學的方法或利用技術手段對被動式防御進行躲避。而傳統的安全技術手段大多是利用已知攻擊的特征對行為數據進行簡單的模式匹配,只關注單次行為的識別和判斷,并沒有對長期的攻擊行為鏈進行有效分析。因此對于高級持續性威脅,無論是在安全威脅的檢測、發現還是響應、溯源等方面都存在嚴重不足。