力控華康護航工業(yè)控制系統(tǒng)安全
工業(yè)控制系統(tǒng),由一系列自動化控制組件以及實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成,在電力設(shè)施、水力油氣、交通運輸?shù)戎匾袠I(yè)和領(lǐng)域有著廣泛的應(yīng)用,主要利用信息化手段,實現(xiàn)物理過程的監(jiān)測和控制。
早期的工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是封閉、隔離的,隨著時代發(fā)展,為了實時數(shù)據(jù)采集與生產(chǎn)控制,需要將工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)直接通信交互。
電力、石化、交通、市政及關(guān)鍵基礎(chǔ)行業(yè)對信息網(wǎng)絡(luò)的依賴越來越強,相關(guān)行業(yè)的工業(yè)控制系統(tǒng)間也日益通過信息網(wǎng)絡(luò)來實現(xiàn)信息互聯(lián)互通及遠程控制。因此工業(yè)控制系統(tǒng)將不能僅關(guān)注系統(tǒng)功能安全問題,更要注意防范來自網(wǎng)絡(luò)空間的安全問題。
《2016工業(yè)控制系統(tǒng)漏洞趨勢報告》顯示,工業(yè)控制系統(tǒng)漏洞正在增多,在2014到2015年之間存在著49%高速增長。如何把控工控安全、提升防護能力已成為業(yè)界關(guān)注的焦點,業(yè)內(nèi)分析,工控安全將成為政策部署的重點之一。
一、近兩年主要工業(yè)控制系統(tǒng)(ICS)安全事件
BLACKENERGY(黑暗力量)攻擊導(dǎo)致的斷電事故
2015年12月23日,烏克蘭電力供應(yīng)商Prykarpattyaoblenergo通報了持續(xù)三個小時的大面積停電事故,受影響地區(qū)涉及伊萬諾-弗蘭科夫斯克、卡盧什、多利納等多個烏克蘭城市。后經(jīng)調(diào)查發(fā)現(xiàn),停電事故為網(wǎng)絡(luò)攻擊導(dǎo)致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網(wǎng)工作站人員系統(tǒng),向電網(wǎng)網(wǎng)絡(luò)植入了BlackEnergy惡意軟件,獲得對發(fā)電系統(tǒng)的遠程接入和控制能力。
2016年12月17日晚,該公司再次遭到攻擊,影響到基輔附近諾威佩特里夫茨村的北部變電站自動化控制系統(tǒng),再次造成大規(guī)模停電事故,該停電事故主要影響的范圍是基輔(烏克蘭首都)北部及其周邊地區(qū)。
Operation GHOUL(食尸鬼)行動
2016年8月,卡巴斯基安全實驗室揭露了針對工控行業(yè)的“食尸鬼”網(wǎng)絡(luò)攻擊活動,攻擊通過偽裝阿聯(lián)酋國家銀行電郵,使用魚叉式釣魚郵件,對中東和其它國家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。
伊朗黑客攻擊美國大壩事件
2016年3月24日,美國司法部公開指責(zé)7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個小型防洪控制系統(tǒng)。幸運的是,經(jīng)執(zhí)法部門后期調(diào)查確認,黑客還沒有完全獲得整個大壩計算機系統(tǒng)的控制權(quán),僅只是進行了一些信息獲取和攻擊嘗試。
二、工控安全面臨的根源問題
工業(yè)控制系統(tǒng)(ICS)安全事關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施安全和民生安全,智能樓宇系統(tǒng)、自來水廠控制系統(tǒng)、核電站管理系統(tǒng),每一個工業(yè)控制系統(tǒng)都影響著人們的生產(chǎn)生活,網(wǎng)絡(luò)安全已不僅存在于電腦中,對生活同樣有重要影響。
目前來說,工控安全問題的最大根源在于信息安全從來不是工業(yè)控制系統(tǒng)的設(shè)計目標。從產(chǎn)品設(shè)計上看,大量工控設(shè)備都缺少安全機制,包括最基本的安全功能,如身份鑒別、訪問控制、通信保護、安全審計等。
工業(yè)控制系統(tǒng)面臨著安全挑戰(zhàn)。從管理角度看,工業(yè)控制系統(tǒng)存在職責(zé)不清晰、安全意識薄弱、“重safety輕security”的問題,工控信息安全長期處于“三不管”地帶,所有設(shè)備在上線前未經(jīng)安全測評,上線后也很少進行安全評估。這些原因最終造成了當(dāng)前工業(yè)控制系統(tǒng)惡意代碼無防護,網(wǎng)絡(luò)連接無隔離、系統(tǒng)漏洞難修補、網(wǎng)絡(luò)狀況無監(jiān)測、遠程通信無保護的狀況。
在人員管理方面,隨著工業(yè)與IT的融合,企業(yè)內(nèi)部人員,如:工程師、管理人員、現(xiàn)場操作員、企業(yè)高層管理人員等,其“有意識”或“無意識”的行為,可能破壞工業(yè)控制系統(tǒng)、傳播惡意軟件、忽略工作異常等,而針對人的社會工程學(xué)、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。
三、IT系統(tǒng)安全技術(shù)在工控領(lǐng)域的挑戰(zhàn)
長期以來,在我國信息安全不是工業(yè)控制系統(tǒng)的首要設(shè)計目標,以“保密性-完整性-可用性”為設(shè)計要求的信息安全解決方案和標準很難滿足工控行業(yè)對信息安全的需求,因此存在著適用程度低等問題。
工業(yè)控制系統(tǒng)與IT系統(tǒng)差別很大。工業(yè)控制系統(tǒng)強調(diào)實時性、可靠性,有些系統(tǒng)甚至要求毫秒級,系統(tǒng)不會輕易重啟,且更新很慢。工業(yè)控制系統(tǒng)安全首先強調(diào)可用性,其次是完整性,最后是保密性。IT系統(tǒng)則更強調(diào)保密性、完整性,最后才是可用性。這兩種安全目標的反差直接使得現(xiàn)有信息安全技術(shù)在工控領(lǐng)域面臨很大的挑戰(zhàn)。
比如漏洞掃描、滲透測試、補丁更新、主機監(jiān)控等技術(shù)都由于可能會影響工業(yè)控制系統(tǒng)可用性而不被行業(yè)用戶所接受。再加上工控網(wǎng)絡(luò)大量采用私有通信協(xié)議,而且設(shè)備本身的處理能力低、對實時要求高,這些導(dǎo)致了防護隔離、入侵檢測、通信加密、網(wǎng)絡(luò)監(jiān)控等傳統(tǒng)信息安全技術(shù)都需要改變。
四、工業(yè)控制系統(tǒng)安全解決方向
隨著工業(yè)化和信息化的深度融合,信息安全將成為工控網(wǎng)絡(luò)安全的重要問題,而工控網(wǎng)絡(luò)安全防護,應(yīng)從管理和技術(shù)兩方面進行:
從管理上,理順“工控信息安全到底歸誰管”的問題,也就是明確工控信息安全組織機構(gòu)。在具體措施上可借鑒已有成熟的信息安全管理標準規(guī)范,并與現(xiàn)行的生產(chǎn)安全管理制度進行對照,查漏補缺,確保管理制度具備可行性。此外,還需加強人員的安全意識培訓(xùn),覆蓋信息安全領(lǐng)域和自動控制領(lǐng)域。
從技術(shù)上,加強工控網(wǎng)絡(luò)防護及邊界防護。在工控網(wǎng)絡(luò)中部署工業(yè)防火墻及工業(yè)隔離產(chǎn)品,對工控網(wǎng)絡(luò)進行安全防護,配置相應(yīng)安全策略,做到對工控設(shè)備的訪問控制,對工控協(xié)議數(shù)據(jù)的深度過濾。
企業(yè)整體工控網(wǎng)絡(luò)可分為三層次:信息網(wǎng)、管理網(wǎng)和控制網(wǎng)。企業(yè)管理者通過從信息網(wǎng)ERP系統(tǒng)中提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策;從管理網(wǎng)MES系統(tǒng)中獲取數(shù)據(jù),完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能;控制網(wǎng)負責(zé)通過組態(tài)設(shè)計,完成過程控制及數(shù)據(jù)采集等各種功能。
在工控網(wǎng)絡(luò)不同區(qū)域分別部署力控華康ISG工業(yè)防火墻、PSL工業(yè)隔離網(wǎng)關(guān)、PFC工業(yè)通訊網(wǎng)關(guān)、工控安全管理平臺進行整體網(wǎng)絡(luò)防護,如下圖:
可實現(xiàn)以下功能:
1) 管理網(wǎng)和控制網(wǎng)之間的安全防護
本案中大量使用OPC 通訊協(xié)議,由于OPC 通訊采用不固定的端口號,使用傳統(tǒng)的IT 防火墻進行防護時,不得不開放大規(guī)模范圍內(nèi)的端口號。在這種情況下,防火墻提供的安全保障被降至最低。因此,在管理網(wǎng)和控制網(wǎng)之間部署力控華康PSL隔離網(wǎng)關(guān),解決OPC 通訊采用動態(tài)端口帶來的安全防護瓶頸問題,阻止病毒和任何其它的非法訪問,這樣來自防護區(qū)域內(nèi)的病毒感染就不會擴散到相鄰的工控網(wǎng)絡(luò)及其他網(wǎng)絡(luò),提升網(wǎng)絡(luò)區(qū)域劃分能力的同時從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。
力控華康PSL隔離網(wǎng)關(guān)內(nèi)部采用2+1的雙獨立主機架構(gòu),控制端接入工業(yè)控制網(wǎng)絡(luò),通過采集接口完成各子系統(tǒng)數(shù)據(jù)的采集;信息接入到管理網(wǎng)絡(luò),完成數(shù)據(jù)到MES的傳輸。雙主機之間通過專有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù),截斷 TCP 連接,徹底割斷穿透性的 TCP 連接。PSL的物理層采用專用隔離硬件,鏈路層和應(yīng)用層采用私有通信協(xié)議,數(shù)據(jù)流采用128 位以上加密方式傳輸,更加充分保障數(shù)據(jù)安全。PSL技術(shù)實現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查,傳輸機制具有徹底不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過,確保子系統(tǒng)控制系統(tǒng)不會受到攻擊、侵入及病毒感染。
2) 管理網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間的安全防護
由于信息網(wǎng)絡(luò)使用人員、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用服務(wù)及系統(tǒng)的復(fù)雜性且與互聯(lián)網(wǎng)相聯(lián),受病毒攻擊和入侵的概率很大,存在較高的安全隱患。所以在和MES系統(tǒng)前端部署力控華康ISG工業(yè)防火墻,只允許相關(guān)工業(yè)協(xié)議的授權(quán)訪問,防止病毒擴散,保證了控制網(wǎng)絡(luò)的通訊安全。
3) PLC、DCS控制系統(tǒng)及控制設(shè)備之間安全防護
考慮到PLC、DCS控制系統(tǒng)及控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議,或者其它工業(yè)通信標準如Modbus 等。由于常規(guī)的IT 防火墻等安全防護產(chǎn)品不支持工業(yè)通訊協(xié)議,因此,對關(guān)鍵的控制器和控制系統(tǒng)的保護應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對工業(yè)防火墻進行規(guī)則組態(tài)時只允許制造商專有工業(yè)協(xié)議通過,阻擋來自操作站的任何非法訪問;另一方面可以對網(wǎng)絡(luò)通訊流量進行管控,可以指定只有某個專有操作站才能訪問指定的控制器;第三方面也可以管控局部網(wǎng)絡(luò)的訊速率,防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響,從而避免控制器死機。
4) 現(xiàn)場工業(yè)儀器設(shè)備統(tǒng)一數(shù)采及轉(zhuǎn)發(fā)
在控制網(wǎng)中,現(xiàn)場存在儀器、儀表等接口類型及通訊協(xié)議復(fù)雜多樣的情況,數(shù)據(jù)集中管理、維護存在很大的難度,因此,對現(xiàn)場工業(yè)儀器使用力控華康PFC工業(yè)通訊網(wǎng)關(guān),可采集現(xiàn)場多種不同子系統(tǒng)、設(shè)備、智能儀表等的數(shù)據(jù),進行數(shù)據(jù)集中匯總、分類和預(yù)處理,并向多個不同應(yīng)用系統(tǒng)進行數(shù)據(jù)轉(zhuǎn)發(fā)。
5) 安全設(shè)備統(tǒng)一管理
在整個網(wǎng)絡(luò)中部署了多臺安全設(shè)備,各安全設(shè)備還是以孤立的單點防御為主,彼此間缺乏有效的協(xié)作,不同的設(shè)備之間的信息也無法共享,通過力控華康工控安全管理平臺,對網(wǎng)絡(luò)中的安全設(shè)備進行統(tǒng)一管理,收集相關(guān)信息,進行關(guān)聯(lián)分析,形成安全事件報表輸出,有效的幫助管理員了解網(wǎng)絡(luò)中的安全現(xiàn)狀與風(fēng)險,提供相關(guān)解決辦法和建議。
提交
新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案
魯西化工信息安全解決方案
WannaCry“永恒之藍“—力控華康護航工控安全之隔離篇
WannaCry勒索蠕蟲-力控華康護航工控安全
力控華康中海油透平數(shù)據(jù)遠傳項目