今日頭條
官方微信
官方抖音
資訊頻道 1 工業(yè)控制系統(tǒng)的脆弱性
由于工業(yè)控制系統(tǒng)正向復雜化、IT化和通用化趨勢發(fā)展,基于PC+Windows的工業(yè)控制網(wǎng)絡面臨安全挑戰(zhàn),這些年不僅國外發(fā)生了一些安全事件,同時國內(nèi)也暴露出了一系列的工業(yè)控制系統(tǒng)信息安全的問題。比如2010年齊魯石化、2011年大慶石化煉油廠,某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務器與控制器通訊不同程度的中斷。
ICS-CERT安全報告指出“近三年針對工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢,僅2013年度,針對關鍵基礎設施的攻擊報告已達到257起。”主要集中在能源、關鍵制造業(yè)、交通、通信、水利、核能等領域,而能源行業(yè)的安全事故則超過了一半。如圖1所示。
圖1 近三年各領域發(fā)生工業(yè)控制系統(tǒng)的安全事件比例
我們認為,歸根結底就是工業(yè)控制系統(tǒng)的漏洞問題,截止到2013年12月底,公開的工業(yè)控制系統(tǒng)漏洞數(shù)總體仍呈增長趨勢。2010年6月出現(xiàn)的Stuxnet病毒,是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的席卷全球工業(yè)界破壞性病毒,它同時利用7個最新漏洞進行攻擊。這7個漏洞中,有5個是針對windows系統(tǒng),2個是針對西門子SIMATIC WinCC系統(tǒng)。
工業(yè)控制系統(tǒng)的漏洞主要包括5個方面,如下:
(1)通信協(xié)議漏洞
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網(wǎng)絡中,隨之而來的通信協(xié)議漏洞問題也日益突出。
(2)操作系統(tǒng)漏洞
目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的,通常現(xiàn)場工程師在系統(tǒng)開啟后不會對windows平臺安全任何補丁,埋下了安全隱患。
(3)應用軟件漏洞
由于應用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應對安全問題,另外當應用軟件面向網(wǎng)絡應用時,就必須開放其應用端口,是重要的攻擊途徑。
(4)安全策略和管理流程漏洞
追求可用性而犧牲安全性,是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來一定的威脅。
(5)殺毒軟件漏洞
為了保證工控應用軟件的可用性,許多工控系統(tǒng)操作站通常不會安裝殺毒軟件,即使安裝了殺毒軟件,病毒庫也不會定期更新。
2 工業(yè)控制系統(tǒng)的安全需求
表1給出了工控系統(tǒng)與傳統(tǒng)IT系統(tǒng)的不同。
表1所示的這些不同,導致了工控安全與傳統(tǒng)IT安全的差異,傳統(tǒng)IT安全更注重機密性,其次是完整性,之后是可用性,但是工控系統(tǒng)的安全,則是可用性排在第一位,接下來是完整性,最后才是機密性。所以,傳統(tǒng)網(wǎng)絡安全技術不適于應用到工業(yè)控制系統(tǒng)。
美國國土安全部下屬的ICS-CERT(工業(yè)控制系統(tǒng)應急響應小組)及CSSP(控制系統(tǒng)安全項目)通過對工業(yè)控制系統(tǒng)軟件的缺陷性分析發(fā)現(xiàn),工業(yè)控制系統(tǒng)軟件的安全脆弱性問題主要涉及錯誤輸入驗證、密碼管理、越權訪問、不適當?shù)恼J證、系統(tǒng)配置等方面。
典型工控系統(tǒng)的安全問題,如圖2所示。
3 工業(yè)控制系統(tǒng)的安全測試技術趨勢
3.1 工業(yè)控制系統(tǒng)的特點
(1)封閉性:SCADA、ICS系統(tǒng)的設計之初安全機制不完善;
(2)多樣性:多種數(shù)據(jù)接口(如RJ45、RS485、RS232等),協(xié)議規(guī)約實現(xiàn)多樣;
(3)復雜性:專用的通信協(xié)議或規(guī)約(如OPC、Modbus、DNP3、 Profibus等);
(4)不可改變性:工控系統(tǒng)程序升級困難。
傳統(tǒng)IT安全測試技術不適合工業(yè)控制系統(tǒng),所以急需針對工業(yè)控制系統(tǒng)的安全測試技術。針對SCADA、ICS系統(tǒng)自身脆弱性(漏洞)和通信規(guī)約的安全性,研究工業(yè)控制系統(tǒng)的安全測試技術,分析工業(yè)控制系統(tǒng)中已知的與未知的安全威脅,指導其對安全威脅進行有效的防御。
3.2 工控系統(tǒng)安全測試技術已成為重要的發(fā)展方向
3.2.1 美國能源部SCADA測試平臺計劃(2008-2013)
美國能源部自2008年就開始了搭建SCADA測試平臺計劃(2008-2013),通過聯(lián)合其下屬Idaho等6個國家實驗室的技術力量,提供各種工業(yè)控制系統(tǒng)的真實測試環(huán)境,實現(xiàn)對石油、電力等行業(yè)控制系統(tǒng)的安全測評。
美國能源部SCADA測試平臺計劃中主要包括4個典型測試平臺,如下。
(1)SCADA/控制系統(tǒng)測試平臺;
(2)信息安全測試平臺;
(3)電網(wǎng)測試平臺;
(4)無線技術測試平臺。
圖3所示是一個SCADA/控制系統(tǒng)測試平臺實例。
3.2.2 歐洲SCADA安全測試平臺
歐洲也搭建了SCADA安全測試平臺,主要特點如下:
(1)采用現(xiàn)場系統(tǒng)的滲透測試,建立風險分析方法,測試、評估SCADA系統(tǒng)的安全性;
(2)對于Computer Emergency Response Team (CERT)發(fā)布的SCADA安全信息能夠快速處理,以保護世界各地的運行系統(tǒng);
(3)具有高度重構,與其它SCADA系統(tǒng)安全、遠距離通信連接,構建先進的分布式測試環(huán)境。
3.2.3 學術界工控系統(tǒng)安全測試技術研究
國外學者致力于搭建SCADA系統(tǒng)真實測試環(huán)境,模擬攻擊行為,通過仿真和建模分析SCADA系統(tǒng)的安全性。
國際知名工業(yè)安全測試公司相關產(chǎn)品和解決方案如下:
(1)加拿大 Wurldtech的Achilles 測試工具采用漏洞掃描和模糊測試的方法,測試工控系統(tǒng)中設備和軟件的安全問題;
(2)加拿大的ICS Sandbox測試平臺采用滲透測試的方法,通過模擬真實的網(wǎng)絡攻擊,測試SCADA系統(tǒng)中關鍵基礎設施的脆弱性;
(3)芬蘭科諾康Codenomicon Defensics工控健壯性/安全性測試平臺,采用基于主動性安全漏洞挖掘的健壯性評估與管理方案,與ISASecure合作,遵循IEC 62443標準。
3.3 工控系統(tǒng)安全測試的關鍵技術
(1)構建工控系統(tǒng)漏洞庫
由于通信協(xié)議的特殊性,傳統(tǒng)漏洞庫并不適應于工業(yè)控制系統(tǒng)安全測試領域,需要構建工控系統(tǒng)專有漏洞庫。如圖4所示。
圖4 漏洞數(shù)據(jù)庫
(2)基于工業(yè)漏洞庫的漏洞掃描技術,如圖5所示。依靠漏洞掃描引擎、檢測規(guī)則的自動匹配,通過工控系統(tǒng)漏洞庫,掃描系統(tǒng)中的關鍵設備,檢測系統(tǒng)的脆弱性;
支持Modbus、DNP3、Profinet等工業(yè)通信協(xié)議漏洞;
支持ICMP Ping掃描、端口掃描等傳統(tǒng)掃描技術。
圖5 基于工業(yè)漏洞庫的漏洞掃描技術
(3)面向工業(yè)控制協(xié)議的Fuzzing測試,如圖6所示。
圖6 面向工業(yè)控制協(xié)議的Fuzzing測試
運用模糊測試的原理,設計變異測試用例并構造變異報文,檢查工控協(xié)議實現(xiàn)的缺陷。
構建完整、可擴展的動態(tài)隨機分析測試框架,監(jiān)控測試目標,管理測試結果,并支持多目標(如文件、網(wǎng)絡協(xié)議等等)、多種協(xié)議(如Modbus TCP、DNP3等不同類型的協(xié)議)、多線程(加速測試進度)
(4)工業(yè)病毒行為特征提取與攻擊模擬技術,如圖7所示。
數(shù)據(jù)挖掘智能認知工業(yè)病毒攻擊行為,實現(xiàn)工業(yè)病毒行為判定,提取工業(yè)病毒行為特征;
根據(jù)網(wǎng)絡流量情況、具體協(xié)議內(nèi)容、交互模式以及主機或設備行為,檢測工控環(huán)境特種木馬等復雜攻擊。
4 工業(yè)控制系統(tǒng)的安全防護技術趨勢
保證工業(yè)控制系統(tǒng)安全穩(wěn)定運行,工業(yè)控制系統(tǒng)的安全防護必須達到以下三個目標,如表2所示。
4.1 工業(yè)控制系統(tǒng)防火墻技術
防火墻是基于訪問控制技術,它可以保障不同安全區(qū)域之間進行安全通信,通過設置訪問控制規(guī)則,管理和控制出入不同安全區(qū)域的信息流,保障資源在合法范圍內(nèi)得以有效使用和管理。
目前傳統(tǒng)的IT防火墻都是根據(jù)“白名單”或者“黑名單”的方式進行規(guī)則設置,而工業(yè)防火墻大都是根據(jù)“白名單”設置規(guī)則。對于“白名單”,可以設置允許規(guī)則,也就是說只有符合該規(guī)則的數(shù)據(jù)流才能通過,其它的任何數(shù)據(jù)流都可以被看做攻擊而過濾掉,這樣就保障了資源的合法使用;而對于“黑名單”,可以設置禁止規(guī)則,禁止不合法的客戶端對資源的訪問。
工業(yè)控制系統(tǒng)防火墻技術可以實現(xiàn)區(qū)域管控,劃分控制系統(tǒng)安全區(qū)域,對安全區(qū)域?qū)崿F(xiàn)隔離保護,保護合法用戶訪問網(wǎng)絡資源;
同時,可以對控制協(xié)議進行深度解析,可以解析Modbus、DNP3等應用層異常數(shù)據(jù)流量,并對OPC端口進行動態(tài)追蹤,對關鍵寄存器和操作進行保護。
工業(yè)控制系統(tǒng)防火墻技術目前存在一個問題,就是規(guī)則粒度問題(Modbus規(guī)則設置為例)。防火墻的規(guī)則設置應該能夠支持到具體數(shù)據(jù)字段的匹配,但是規(guī)則深度越深帶來防火墻的效率問題。
4.2 工業(yè)控制系統(tǒng)入侵檢測技術
工業(yè)控制系統(tǒng)入侵檢測技術是面向控制系統(tǒng)通信協(xié)議,根據(jù)控制異常行為模式庫,對控制系統(tǒng)網(wǎng)絡或主機進行異常監(jiān)測:
(1)監(jiān)視、分析控制終端行為活動;
(2)審計控制系統(tǒng)的配置和弱點;
(3)識別已知進攻模式;
(4)異常活動的統(tǒng)計分析。
目前工業(yè)控制系統(tǒng)入侵檢測技術主要包括兩個方面,第一個就是基于特征的入侵檢測,第二個是基于異常的入侵檢測,目前這種方式大多數(shù)處于理論研究階段。如圖8所示。
圖8 兩個主要的工業(yè)控制系統(tǒng)入侵檢測技術
目前工業(yè)控制系統(tǒng)入侵檢測技術的主要問題是,工業(yè)控制系統(tǒng)以可用性為先,入侵檢測技術的漏報和誤報將難以商業(yè)化應用。
摘自《自動化博覽》2014年9月
北京市公安局海淀分局備案號:11010802023656號