随着工业化与信息化的融合推进,以及以太网技术在工业控制系统中的大量应用,病毒和木马对SCADA系统的攻击事件频发,直接影响到公共基础设施的安全,造成的损失不可估量。因此,目前国内外生产企业都是否重视工业控制系统的安全防护建设。但由于工控网络存在着特殊性,商用的信息安全技术无法完全适用,解决工业控制系统安全需要有针对性地实施特殊措施。
工业控制系统安全现状
工业控制系统ICS (Industrial Control Systems)由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成,包括智能电子设备(IED)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、数据采集与监控系统(SCADA)以及确保各组件通信的接口技术。工业控制系统广泛运用于石油石化、冶金、勘探、电力、燃气以及市政等领域,用于控制关键生产设备的运行。当前工控系统越来越开放,但也减弱了控制系统与外界的隔离程度,随着黑客攻击技术的不断发展,工控系统的安全隐患问题日益严峻,任何一点受到攻击都有可能导致整个系统瘫痪。
典型的工业系统控制过程通常由HMI、控制回路、远程诊断与维护工具三部分组件共同完成,HMI 执行信息交互,控制回路用以控制逻辑运算,远程诊断与维护工具确保工业控制系统能够稳定持续运行。同时,现场总线技术作为传统的数据通讯方式广泛地应用在工业控制中,经过多年的争论后,现场总线国际标准IEC–61158 放弃了其制定单一现场总线标准的初衷,最终发布了包括十种类型总线的国际标准。因此各大总线各具特点、不可互相替代的局面得到世界工控界的认可。但多种现场总线协议和标准的共存,意味着在各总线之间实现相互操作、相互兼容的代价是高昂的、困难的。
与传统的信息系统安全需求不同,工业控制系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。另外,目前控制器甚至远程I/O 支持以太网的功能越来越强,在有些控制器和远程I/O 模块中已经集成了Web服务器,从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/O 模块中的当前状态值,采用以太网架构和开放的软件系统的制造企业因而被称为“透明工厂”。而由于通过Internet可以实现对工业生产过程的实时远程监控,将实时生产数据与ERP系统以及实时的用户需求结合起来,使生产不只是面向订单的生产,而是直接面向机会和市场,从而使企业能够适应经济全球化的要求,企业纷纷联网,这就令工控系统更加开放,也减弱了控制系统与外界的隔离。随着黑客攻击技术的不断发展,工控系统的安全隐患问题日益严峻,系统中任何一点受到攻击都有可能导致整个系统的瘫痪。
近几年来的典型工业控制系统入侵事件包括:2011年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏;2010年,“网络超级武器”Stuxnet病毒通过针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;2008年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4 节车厢脱轨等。造成这些事件的主要原因在于,工业控制系统在考虑效率和实时性的同时,安全性却没有成为考量的主要指标,安全漏洞导致整个控制系统的安全性相当脆弱,随着越来越多的控制网络系统通过信息网络连接到互联网上,所面临的安全威胁必然日趋加大,解决安全防护问题刻不容缓。
工业控制网络的安全漏洞
对工控系统而言,可能带来直接隐患的安全漏洞主要包括以下几种:
1、病毒与恶意代码
病毒泛滥也是总所周知的安全隐患。在全球范围内,每年都会发生数次大规模的病毒爆发,而全球现已发现数万种病毒,每天还会新生数十余种。除了传统意义上的具有自我复制能力、但必须寄生在其它实用程序中的病毒种类外,各种新型的恶意代码更是层出不穷,如逻辑炸弹、特洛伊木马、蠕虫等,它们往往具有更强的传播能力和破坏性。如蠕虫病毒和传统病毒相比,其最大的不同在于可以进行自我复制,传统病毒的复制过程需要依赖人工干预,而蠕虫却可以自己独立完成,破坏性和生命力自然强大得多。
2、 SCADA系统软件的漏洞
国家信息安全漏洞共享平台在2011年收录了100多个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,这些漏洞涉及西门子等国内外知名工业控制系统制造商的产品。
3、操作系统安全漏洞
PC与Windows的技术架构现已成为控制系统上位机/操作站的主流,而在控制网络中,操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。
4、网络通信协议安全漏洞
随着TCP/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。 TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题就发生了。所以说,TCP/IP在先天上就存在着致命的设计性安全漏洞。
5、安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程,也给工业控制系统信息安全带来了一定威胁。
应该采取的安全防护策略
工业控制系统的安全防护需要考虑每一个细节。从现场I/O设备、控制器,到操作站的计算机操作系统,工业控制网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,防御策略和保障措施应该按照等级进行划分,而实施分层次的纵深防御架构需要分别采取不同的对应手段,构筑从整体到细节的立体防御体系。
首先,可实施网络物理隔离。
根据公安部制定的《GA370-2001端设备隔离部件安全技术要求》的定义,物理隔离的含义是:公共网络和专网在网络物理连线上是完全隔离的,且没有任何公用的存储信息。物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘),计算机数据不能被重用(至少应包括内存)。
信息安全是一个体系防护的概念,网络物理隔离技术不可能解决所有信息安全问题,但能大大提高网络的安全性和可控性,能彻底消除内部网络遭受外部网络侵入和破坏的可能性,从而大大减少网络中的不安全因素,缩小追踪网络中非法用户和黑客的范围。目前存在的安全问题,对网络隔离技术而言在理论上都不存在,这就是各国政府和军方都大力推行网络隔离技术的主要原因。
网络隔离技术目前已经发展到了第五代。第一代隔离技术实际上是将网络进行物理上的分开,形成信息孤岛;第二代采用硬件卡隔离技术;第三代采用数据转发隔离技术;第四代采用的是空气开关隔离技术;而第五代隔离技术采用了安全通道隔离技术。基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,还能有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
总的来说,网络隔离技术的主要目标是解决工业控制系统中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离也是目前唯一能解决上述问题的安全技术。
另外还可以构建网络防火墙。
网络防火墙通过设置不同的安全规则来控制设备或系统之间的数据流,在实际应用中主要用于分析与互联网连接的TCP/IP协议簇。防火墙在网络中使用的前提是必须保证网络的连通性,其通过规则设置和协议分析,来限制和过滤那些对管理比较敏感、不安全的信息,防止未经授权的访问。由于工业控制与商用网络的差异,常规的网络安全设置规则用在控制网络上就会存在很多问题。只有正确地设计、配置和维护硬件防火墙的规则,才可以保护工业控制网络系统的安全环境。建议设置的特殊规则包括:
1、SCADA和工业协议。MODBUS/ TCP、EtherNet/ IP和DNP3等在工业控制系统中被大量使用,但是这些协议在设计时没有安全加密机制,通常也不会要求任何认证便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输,不准许在办公网络穿透到控制网络。能够完成这一功能的工业防火墙或者安全路由器,通常被部署在具有以太网接口的I/O设备和控制器上,从而避免因设备联网而造成的病毒攻击或广播风暴,还可以避免各子系统间的病毒攻击和干扰。
2、分布式组件对象模型(DCOM) 。在过程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它运用了微软的远程过程调用服务。该服务有很多的漏洞,很多病毒都会利用这个弱点获取系统权限。此外OPC也利用DCOM动态地打开任意端口,这在防火墙中进行过滤是非常困难的。通用防火墙无法完成对OPC协议的规则限制,如果必须需要该协议,则要求控制网络、网络之间必须物理分开,将控制网络和企业网络横向隔离。
3、超文本传输协议(HTTP)。一般来说,HTTP不应该被允许从企业管理网透过进入控制网络,因为他们会带来重大安全风险。如果HTTP服务到控制网络是绝对必需的,那么在防火墙中需要通过HTTP代理配置来阻止所有执行脚本和Java应用程序,而且特定的设备使用HTTPS更安全。
4、限制文件传输协议(FTP)。FTP用于在设备之间传输、交换文件,在SCADA 、DCS、PLC、RTU等系统中都有应用。FTP协议并没有任何安全原则,登入密码不加密,有些FTP为了实现历史缓冲区而出现溢出的漏洞,所以应配置防火墙规则阻塞其通信。如果FTP通讯不能被要求禁止,通过FTP输出数据时,应额外增加多个特征码授权认证,并提供加密的通信隧道。
5、简单邮件传输协议(SMTP)。SMTP在互联网上是主要的电子邮件传输协议。电子邮件经常包含恶意代码程序,所以不应允许以任何控制网络设备接收电子邮件,SMTP邮件应主要用于从控制网络到办公网络之间输出发送报警信息。
6、简单网络管理协议(SNMP)。SNMP是网络管理服务中心,提供管理控制台与设备如网络设备、打印机、PLC之间的监控,并制定管理的会话规则。从运维角度看,SNMP是非常有用的服务,但在安全方面存在很多问题。SNMP V1和SNMP V2C的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探软件直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。SNMP V3解决了上述安全性问题,但却没有被广泛使用。从控制网中使用SNMP V1和V2C的命令都应被禁止,除非它是一个完全独立的信任管理网络。而即使设备已经支持SNMP V3,许多厂商使用的还是标准的通信字符串,存在重大安全隐患。因此,虽然SNMP V3比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限,这一点也需要引起足够的重视。