摘 要:隨着“兩化”融合的推進和以太網技術在工業控制系統中的大量應用,進而引發的病毒和***對SCADA系統的***事件頻發,直接影響公共基礎設施的安全,其造成的損失可能非常巨大,甚至不可估量。2010年10月發生在伊朗核電站的“震網”(Stuxnet)病毒,爲工業生產控制系統安全敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了日程。而在工業控制系統中,工控網絡存在着特殊性,導致商用IT網絡的安全技術無法適應工業控制系統。本文將從工業控制的角度,分析工業控制系統安全的特殊性,並提出解決工業控制系統安全的一些建議。
關鍵詞:工業控制;SCADA系統;安全防護
一.工業控制系統介紹
1.1 工業控制系統
工業控制系統(Industrial Control Systems, ICS),是由各種自動化控制組件和實時數據採集、監測的過程控制組件共同構成。其組件包括數據採集與監控系統(SCADA)、分佈式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術。廣泛運用於石油、石化、冶金、電力、燃氣、煤礦、菸草以及市政等領域,用於控制關鍵生產設備的運行。這些領域中的工業控制系統一旦遭到破壞,不僅會影響產業經濟的持續發展,更會對國家安全造成巨大的損害。
典型的ICS 控制過程通常由控制迴路、HMI、遠程診斷與維護工具三部分組件共同完成,控制迴路用以控制邏輯運算,HMI 執行信息交互,遠程診斷與維護工具確保ICS能夠穩定持續運行。
1.2工控網絡的發展
現場總線技術作爲傳統的數據通訊方式廣泛地應用在工業控制中。經過多年的爭論和鬥爭後,現場總線國際標準IEC–61158 放棄了其制定單一現場總線標準的初衷,最終發佈了包括10 種類型總線的國際標準。因此,各大總線各具特點、不可互相替代的局面得到世界工控界的認可。多種現場總線協議和標準的共存,意味着在各總線之間實現相互操作、相互兼容的代價是高昂的,且困難的。
目前控制器甚至遠程I/O支持以太網的功能越來越強,在有些控制器和遠程I/O模塊中已經集成了Web服務器,從而允許信息層的用戶也可以和控制層的用戶一樣直接獲取控制器和遠程I/O模塊中的當前狀態值。採用以太網架構和開放的軟件系統的製造企業也被稱爲“數字工廠”。此外,通過Internet可以實現對工業生產過程的實時遠程監控,將實時生產數據與ERP系統以及實時的用戶需求結合起來,使生產不只是面向訂單的生產,而是直接面向機會和市場的“電子製造”,從而使企業能夠適應經濟全球化的要求。工控系統開放的同時,也減弱了控制系統與外界的隔離,工控系統的安全隱患問題日益嚴峻。系統中任何一點受到***都有可能導致整個系統的癱瘓。
1.3工業網絡協議
TCP/IP等通用協議與開發標準引入工業控制系統,特別是物聯網、雲計算、移動互聯網等新興技術,使得理論上絕對的物理隔離網絡正因爲需求和業務模式的改變而不再切實可行。
目前,市場上具有以太網接口和TCP/IP協議的設備很多。以太網技術的高速發展及它的80%的市場佔有率和現場總線的明顯缺陷,促使工控領域的各大廠商紛紛研發出適合自己工控產品且兼容性強的工業以太網。其中應用較爲廣泛的工業以太網之一是德國西門子公司研發的SIMATIC NET工業以太網;擁有豐富的工業應用經驗的施耐德電氣公司,也推出了一系列完整、以TCP/IP 以太網爲基礎、對用戶高度友好的服務,專門用於工業控制領域。自1979 年以來, Modbus 就已成爲工業領域串行鏈路協議方面的事實標準,它已經在數以百萬計的自動化設備中作爲通信協議得到了應用。由於它的成功應用,互聯網社團給Modbus 協議保留了TCP 502 端口作爲專用端口。通過Modbus 消息可以在TCP/IP 以太網和互聯網上交換自動化數據,以及其它各種應用( 文件交換、網頁、電子郵件等等)。 其它知名的工控硬件廠商,也提供了支持以太網接口的通信協議。如Rockwell支持的EtherNet/IP協議,GE支持的SRTP TCP/IP、EGD、MODBUS TCP/IP協議,浙大中控、和利時支持的OPC協議等。如今,在同一個網絡上,無需任何接口就可以有機地融合信息技術與自動化已成爲現實。
二.工業控制系統安全現狀
與傳統的信息系統安全需求不同,ICS 系統設計需要兼顧應用場景與控制管理等多方面因素,以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下,缺乏有效的工業安全防禦和數據通信保密措施是很多工業控制系統所面臨的通病。
根據ICS-CERT(US-CERT下屬的專門負責工業控制系統的應急響應小組)的統計,2011年度共上報工業控制系統相關ICS事件198起,較2009和2010年均有較大上升(2009和2010年分別爲9起和41起),其安全事件集中於能源、水利、化工、政府機構以及核設施等領域,其中能源行業的安全事件在三年間共52起,佔安全事件總數的21%。針對各類安全事件,結合工業網絡的威脅特點,總結有代表性的案例如下:
典型工業控制系統***事件:
l 2007年,***者***加拿大的一個水利SCADA 控制系統,通過安裝惡意軟件破壞了用於取水調度的控制計算機;
l 2008年,***者***波蘭某城市的地鐵系統,通過電視遙控器改變軌道扳道器,導致4 節車廂脫軌;
l 2010年,“網絡超級武器”Stuxnet 病毒通過針對性的***ICS 系統,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營;
l 2011年,***通過***數據採集與監控系統SCADA,使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。
通過上述案例分析可以看到,工業控制系統在考慮效率和實時性的同時,其安全性並未成爲其考量的指標,隨着其信息化程度的加速,其安全事件也呈逐年上升的態勢,儘管數量上無法與互聯網安全事件相比,但一旦發生,其影響範圍之廣、經濟損失之大、持續時間之長,都是互聯網安全事件無法比擬的,每一次事件,都代表着國民生活、生產遭受巨大影響,經濟遭受重大損失和倒退,甚至可能危及到相關人員的健康與生命。
三.工業控制系統的安全隱患
工業控制系統的安全漏洞暴露了整個控制系統安全的脆弱性。由於網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷,從而使得***者能夠在未授權的情況下訪問和操控控制網絡系統,形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”,其整體安全性不在於其最強處,而取決於系統最薄弱之處,即安全漏洞所決定。只要這個漏洞被發現,系統就有可能成爲網絡***的犧牲品。
安全漏洞對控制網絡的隱患體現在惡意***行爲對系統的威脅。隨着越來越多的控制網絡系統通過信息網絡連接到互聯上,這種威脅就越來越大。目前互聯網上已有幾萬個***站點,***技術不斷創新,基本的***手法已達上千種。這些***技術一旦被不法之徒掌握,將產生不良的後果。
對於工業控制網絡系統,由於安全漏洞可能帶來的直接安全隱患有以下幾種。
3.1安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。
3.2 病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球範圍內,每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒,並且還在以每天數十餘種的速度增長。除了傳統意義上的具有自我複製能力但必須寄生在其它實用程序中的病毒外,各種新型的惡意代碼也層出不窮,如陷阱門、邏輯***、特洛伊***、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統病毒相比最大不同在於自我複製過程。傳統病毒的自我複製過程需要人工干預,無論運行感染病毒的實用程序,或者是打開包含宏病毒的郵件等,沒有人工干預病毒無法自我完成複製、傳播。但蠕蟲卻可以自我獨立完成。
3.3 SCADA系統軟件的漏洞
國家信息安全漏洞共享平臺(China National Vulnerability Database,簡稱CNVD),在2011年CNVD收錄了100餘個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京三維力控和北京亞控等國內外知名工業控制系統製造商的產品。相關企業雖然積極配合CNCERT處理了安全漏洞,但這些漏洞可能被***或惡意軟件利用。
3.4 操作系統安全漏洞
PC+Windows的技術架構現已成爲控制系統上位機/操作站的主流。而在控制網絡中,上位機/操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成爲了整個控制網絡信息安全中的一個短板。
3.5 網絡通信協議安全漏洞
隨着TCP(UDP)/IP協議被控制網絡普遍採用,網絡通信協議漏洞問題變得越來越突出。
TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,並未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境後,安全問題發生了。所以說,TCP/IP在先天上就存在着致命的安全漏洞。
四. 工業控制系統安全防護策略
工業控制系統的安全防護需要從每一個細節進行考慮,從現場I/O設備、控制器,到操作站的計算機操作系統,工業控制網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡,考慮到不同業務終端的安全性與故障容忍程度的不同,對其防禦的策略和保障措施應該按照等級進行劃分,實施分層次的縱深防禦架構,分別採取不同的對應手段,構築從整體到細節的立體防禦體系。
4.1 通用防火牆在工業控制系統中的適用範圍
網絡防火牆通過設置不同的安全規則,來控制設備或系統之間的數據流,在實際應用中,主要用於分析與互聯網連接的TCP/IP協議簇。防火牆在網絡中使用的前提是必須保證網絡的連通性,通過規則設置和協議分析,來限制和過濾那些對管理比較敏感、不安全的信息,防止未經授權的訪問。 由於工業控制與網絡商用網絡的差異,常規的IT網絡安全設置規則,用在控制網絡上就會存在很多。因此,正確地設計、配置和維護硬件防火牆的規則,纔可以保護工業控制網絡系統的安全環境。建議設置的特殊規則包括:
l 超文本傳輸協議(HTTP)
一般來說,HTTP不應該被允許從企業管理網透過進入控制網絡,因爲他們帶來重要的安全風險。如果HTTP服務到控制網絡是絕對必需的,那麼在防火牆中需要通過HTTP代理配置來阻止所有執行腳本和Java應用程序,而且建議特定的設備使用HTTPS更安全。
l 限制文件傳輸協議(FTP)
FTP和其它需要的文件傳輸協議(TFTP)用於在設備之間傳輸、交換文件,包括許多SCADA系統、DCS、PLC、RTU等系統中都有應用。不幸的是,FTP協議並沒有任何安全原則,登入密碼不加密,有些FTP爲了實現歷史緩衝區而出現溢出的漏洞,所以配置防火牆規則應阻塞其通信。如果FTP通訊不能被要求禁止,通過FTP輸出數據時,應額外增加多個特徵碼授權認證,並提供加密的通信隧道。
l簡單郵件傳輸協議(SMTP)
SMTP在互聯網上是主要的電子郵件傳輸協議。電子郵件經常包含惡意軟件,所以不應該被允許以任何控制網絡設備接收電子郵件,SMTP郵件主要用於從控制網絡到辦公網絡之間輸出發送報警信息。
l簡單網絡管理協議(SNMP)
SNMP((單網絡管理協議)是用來爲網絡管理服務中心,提供與管理控制檯與設備之間的監控與管理的會話規則,如路由器、網絡設備、打印機和PLC。雖然爲維持一個網絡,SNMP是一個非常有用的服務,在安全方面卻很軟弱。SNMP2.0和SNMP1.0的安全機制比較脆弱,通信不加密,所有通信字符串和數據都以明文形式發送。***者一旦捕獲了網絡通信,就可以利用各種嗅探工具直接獲取通信字符串,即使用戶改變了通信字符串的默認值也無濟於事。第三版本具相當的安全性,但卻沒有被廣泛使用。從控制網中使用SNMP V1和V2的命令,都應被禁止,除非它是在一個完全獨立的信任管理網絡。即使設備已經支持SNMP3.0,許多廠商使用的還是標準的通信字符串,這些字符串對***組織來說根本不是祕密。因此,雖然SNMP3.0比以前的版本提供了更多的安全特性,如果配置不當,其實際效果仍舊有限。
l分佈式組件對象模型(DCOM)
在過程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它運用了微軟的遠程過程調用(RPC)服務。該服務有很多的漏洞,很多病毒都會利用這個弱點獲取系統權限。此外,OPC也利用DCOM,動態地打開範圍內的任意端口(1024 – 65535),這在防火牆中過濾是非常困難的。通用防火牆無法完成對OPC協議的規則限制,如果必須需要該協議,則要求控制網絡、網絡之間必須物理分開,將控制網絡和企業網絡橫向隔離。
lSCADA和工業協議
SCADA和工業協議,如MODBUS/ TCP,EtherNet/ IP和DNP3等被大量使用。不幸的是,這些協議在設計時,沒有安全加密機制,通常也不會要求任何認證,便可以在遠程對一個控制裝置執行命令。這些協議應該只被允許在控制網絡單向傳輸,不准許在辦公網絡穿透到控制網絡。能夠完成以上功能的工業防火牆或者安全路由器,通常被部署在具有以太網接口的I/O設備和控制器上,從而避免因設備聯網而造成的病毒***或廣播風暴,還可以避免各子系統間的病毒***和干擾。
能夠完成以上功能的工業防火牆或者安全路由器,通常被部署在具有以太網接口的I/O設備和控制器上,從而避免因設備聯網而造成的病毒***或廣播風暴,還可以避免各子系統間的病毒***和干擾。
4.2 網絡物理隔離
在防火牆的發展過程中,人們最終意識到防火牆在安全方面的侷限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火牆體系架構在高安全性方面的缺陷,驅使人們追求更高安全性的解決方案,人們期望更安全的技術手段,網絡隔離技術應運而生。
網絡隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之後,市場最終接受了網絡隔離具有最高的安全性。目前存在的安全問題,對網絡隔離技術而言在理論上都不存在。這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。
網絡隔離技術經過了長時間的發展,目前已經發展到了第五代技術。第一代隔離技術採用完全的隔離技術,實際上是將網絡物理上的分開,形成信息孤島;第二代隔離技術採用硬件卡隔離技術;第三代隔離技術採用數據轉發隔離技術;第四代隔離技術採用空氣開關隔離技術;第五代隔離技術採用安全通道隔離技術。
基於安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成爲當前隔離技術的發展方向。
網絡隔離的指導思想與防火牆也有很大的不同,體現在防火牆的思路是在保障互聯互通的前提下,儘可能安全;而網絡隔離的思路是在必須保證安全的前提下,儘可能支持數據交換,如果不安全則斷開。
網絡隔離技術主要目標是解決工業控制系統中的各種漏洞:操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等,網絡隔離是目前唯一能解決上述問題的安全技術。
五. 結論
隨着計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地採用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,病毒、***等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。一旦工業控制系統信息安全出現漏洞,將對工業生產運行和國家經濟安全造成重大隱患。在商用網絡裏可以存在病毒,幾乎每天都有新的補丁出現,計算機可能會死機、暫停,而這些如果發生在控制網絡裏,帶來的危險和影響幾乎是不可想象的。“震網”病毒事件,充分反映出工業控制系統信息安全面臨着嚴峻的形勢。爲了保證生產安全,在極端情況下,即便將控制網絡與信息網絡斷開,停止與信息網絡交換數據也要保證控制系統的安全。因此,過程生產的連續不可間斷的高可靠性,要求控制網絡具備更高的安全性。
與此同時,我國工業控制系統信息安全管理工作中仍存在不少問題,主要是對工業控制系統信息安全問題重視不夠,管理制度不健全,相關標準規範缺失,技術防護措施不到位,安全防護能力和應急處置能力不高等,威脅着工業生產安全和社會正常運轉。