今日頭條
官方微信
官方抖音
資訊頻道
2014年,以Havex為代表的新一代的APT攻擊肆虐工業(yè)控制系統(tǒng),而基于信息網(wǎng)絡(luò)安全的防護手段及現(xiàn)有的工控網(wǎng)絡(luò)防護手段,在APT2.0時代的攻擊面前已經(jīng)成為“皇帝的新衣”。面對APT2.0時代的威脅,打造針對于工控網(wǎng)絡(luò)的新一代防御體系已勢在必行。很多人對2014年黑客APT攻擊德國鋼廠事件仍然記憶猶新:黑客通過魚叉式網(wǎng)絡(luò)釣魚和精心安排的社會工程學(xué)攻擊手段獲取鋼廠辦公網(wǎng)絡(luò)訪問權(quán),成功進入生產(chǎn)網(wǎng)絡(luò)并攻擊,導(dǎo)致工控系統(tǒng)的控制組件和整個生產(chǎn)線被迫停止運轉(zhuǎn),非正常關(guān)閉煉鋼爐令鋼廠損失慘重。
目前,我國鋼企在原料場、焦化、燒結(jié)、煉鐵、煉鋼、軋鋼等主要工藝階段已實現(xiàn)全流程自動化控制,隨著兩化融合、能源管理系統(tǒng)的建設(shè),工業(yè)控制系統(tǒng)的信息安全問題日益凸顯,鋼企系統(tǒng)架構(gòu)中存在著的信息安全隱患令人擔(dān)憂。
2015年6月24日,在通化市舉行的第37屆全國冶金企業(yè)自動化、信息化技術(shù)論壇上,北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司的解決方案總監(jiān)井柯,為參會代表帶來了一場題為“一場沒有硝煙的戰(zhàn)爭,由德國鋼廠遭黑客攻擊引發(fā)的思考”的精彩報告,以德國鋼廠遭攻擊透視中國冶金行業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的潛在威脅,并為參會代表奉上匡恩網(wǎng)絡(luò)的獨家解決方案。
潛在的威脅
目前,鋼鐵廠控制網(wǎng)絡(luò)按控制功能和邏輯分為1-4級網(wǎng)絡(luò)(如下圖):
• L4(企業(yè)資源計劃級ERP);
• L3(生產(chǎn)管理級MES);
• L2(過程控制級PCS):過程控制網(wǎng)和實時數(shù)據(jù)庫采集網(wǎng);
• L1(基礎(chǔ)自動化級BAS):由PLC組成的控制層和SCADA形成的監(jiān)控層構(gòu)成。
大部分鋼廠中的自動控制系統(tǒng)已經(jīng)和信息系統(tǒng)連成一體,L2與L3之間由防火墻和數(shù)據(jù)交換平臺進行隔離(邏輯隔離),在L2以下沒有防火墻,OA與ERP和MES服務(wù)器之間沒有隔離,現(xiàn)有的安全措施并不足以保證控制系統(tǒng)的安全,攻擊者可能會利用ICS的安全漏洞獲取諸如煤氣柜、大型鍋爐等大型設(shè)備的控制權(quán)。
存在的漏洞
通信協(xié)議漏洞
• L1級一般采用modbus等通信協(xié)議,存在授權(quán)、加密等安全問題。
• L1級與L2級過程控制系統(tǒng)和實時數(shù)據(jù)庫系統(tǒng)之間是采用OPC協(xié)議,極易受到攻擊。同時OPC通信采用動態(tài)端口,不能有效使用傳統(tǒng)的IT防火墻。
操作系統(tǒng)漏洞
• ICS的工程師站/操作站/過程級HMI都是通用的Windows操作系統(tǒng),很少裝補丁,或裝補丁后不能正常運行,從而埋下安全隱患。
安全策略和管理流程漏洞
• 缺乏完整有效的安全策略與管理流程,人員信息安全意識缺乏,如調(diào)試用筆記本電腦、U盤等設(shè)備的使用及不嚴格的訪問控制策略,為有目的的攻擊創(chuàng)造機會。
匡恩網(wǎng)絡(luò)的解決方案
在匡恩網(wǎng)絡(luò)提供的解決方案中,建立安全區(qū)域,確定區(qū)域邊界并對其安全防護,通過安全防護產(chǎn)品達到以下目標:
1. 防止任何未定義流量經(jīng)過區(qū)域邊界。
2. 防止所有含有惡意軟件或代碼的已定義流量通過區(qū)域邊界。
3. 檢測并記錄可疑或異常活動。
4. 在區(qū)域內(nèi)容記錄正常或者合法的活動,可用于合規(guī)性報告。
匡恩網(wǎng)絡(luò)通過全網(wǎng)監(jiān)測審計平臺對控制系統(tǒng)操作行為進行審核,詳細記錄調(diào)度系統(tǒng)對過程控制系統(tǒng)的所有操作行為,實現(xiàn)對關(guān)鍵參數(shù)配置實時監(jiān)測與安全審計并進行及時的預(yù)警響應(yīng);在L3與L2之間、L2和L1之間部署智能保護產(chǎn)品,通過工業(yè)協(xié)議的深度解析確保上位機監(jiān)控系統(tǒng)與現(xiàn)場控制設(shè)備之間通訊與控制的合法性;在OPC服務(wù)器端采用數(shù)據(jù)采集隔離終端 進行數(shù)據(jù)傳輸防護;建立攻防模擬驗證系統(tǒng),模擬鋼鐵自動化系統(tǒng)應(yīng)用,通過不斷的在系統(tǒng)上進行深入的漏洞挖掘、攻擊研究,完成攻擊效果展示及安全防護方案驗證。
隨著“中國制造2025”進程的加深,冶金行業(yè)自動化信息完全建設(shè)將迎來高速發(fā)展時代,但同時所面臨工業(yè)控制信息安全問題也日益嚴峻。如井柯引用狄更斯《雙城記》中的那句話,“這是一個最好的時代,也是一個最壞的時代”,工業(yè)控制網(wǎng)絡(luò)安全之路任重道遠,匡恩網(wǎng)絡(luò)作為工業(yè)4.0時代的網(wǎng)絡(luò)安全專家,專注于解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題,為“中國制造2025”保駕護航。
北京市公安局海淀分局備案號:11010802023656號