今日頭條
官方微信
官方抖音
資訊頻道1 水利工控系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析
水利工程工業(yè)控制系統(tǒng)廣泛用于水文測報、水資源監(jiān)測、水土保持監(jiān)測、水網(wǎng)調度、水庫大壩(閘門)監(jiān)控、水力發(fā)電監(jiān)控、泵站供排水監(jiān)控、水質監(jiān)測等各個方面,是水利工程基礎設施的重要組成部分。基于水利工控系統(tǒng)自身的特點,如在工控系統(tǒng)設計開發(fā)初期并未將系統(tǒng)防護、數(shù)據(jù)保密等安全指標納入其中;在工控網(wǎng)絡中大量使用TCP/IP技術,而且工控網(wǎng)絡與企業(yè)網(wǎng)絡連接,防護措施薄弱,導致攻擊者很容易通過企業(yè)網(wǎng)絡間接入侵工控系統(tǒng)。其網(wǎng)絡安全現(xiàn)狀主要表現(xiàn)在以下幾個方面:
(1)工控系統(tǒng)多采用IEC61158中提供的20種工業(yè)現(xiàn)場總線標準,如Modbus系列、PROFIBUS系列等,控制器多采用西門子、GE、施耐德電氣等公司產品,不法者很容易通過這些通訊協(xié)議及通用控制器存在的漏洞,獲得控制區(qū)及執(zhí)行器的控制權,進而破壞整個系統(tǒng)[1]。
(2)水利工控系統(tǒng)軟件升級困難,工控系統(tǒng)網(wǎng)絡以穩(wěn)定性為基礎,頻繁升級補丁軟件,給系統(tǒng)的穩(wěn)定性帶來嚴重威脅,升級失敗或出錯將造成整個系統(tǒng)的不可用,給生產帶來巨大的損失。
(3)病毒控制手段缺乏,水利工控系統(tǒng)網(wǎng)絡中很多控制設備單元都是封閉的系統(tǒng),無法通過病毒軟件進行病毒清理,同時缺少病毒在控制網(wǎng)絡中傳播的控制手段,一旦感染病毒將傳播到整個工控網(wǎng)絡,給生產帶來嚴重影響。
(4)設備的多樣性,水利工控系統(tǒng)網(wǎng)絡的設備多種多樣,每種設備都具有各自的特點,設備的安全等級參差不齊,給工控系統(tǒng)網(wǎng)絡安全防護帶來很大困難。
2001年澳大利亞昆士蘭Maroochy污水處理廠,由于內部工程師的多次網(wǎng)絡入侵,該廠發(fā)生了46次不明原因的控制設備功能異常事件,導致數(shù)百萬公升的污水進入了該地區(qū)的供水系統(tǒng)。2007年攻擊者入侵加拿大的一個水利SCADA控制系統(tǒng),通過安裝惡意軟件破壞了用于薩克拉門托河河水調度的控制計算機系統(tǒng)。2011年黑客通過入侵SCADA控制系統(tǒng),使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。水利工控系統(tǒng)遭受入侵的途徑以透過企業(yè)廣域網(wǎng)及商用網(wǎng)絡方式為主,利用IED、PLC、RTU、控制器、通信處理機等通用設備的漏洞植入惡意代碼,進行破壞活動,對水利工程造成巨大的損失[2]。
2 水利工控系統(tǒng)網(wǎng)絡安全漏洞分析
2.1 漏洞類型
(1)通信協(xié)議漏洞。兩化融合(企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡)和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工控系統(tǒng)中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPCClassic協(xié)議(OPC DA, OPC HAD 和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統(tǒng)的IT 防火墻來確保其安全性[3]。
(2)操作系統(tǒng)漏洞。目前大多數(shù)工控系統(tǒng)的工程師站/操作站的操作系統(tǒng)都是Windows平臺的,為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常現(xiàn)場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補丁,但是存在的問題是,不安裝補丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
(3)安全策略和管理流程漏洞。追求可用性而犧牲安全,是很多工控系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給工控系統(tǒng)網(wǎng)絡安全帶來了一定的威脅。例如工控系統(tǒng)中移動存儲介質的濫用和不嚴格的訪問控制策略。
(4)工業(yè)病毒防護漏洞。為了保證工控應用軟件的可用性,許多水利工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于病毒庫需要不定期的經(jīng)常更新,這一要求尤其不適合于工控環(huán)境。
(5)應用軟件漏洞。由于應用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應對安全問題;另外當應用軟件面向網(wǎng)絡應用時,就必須開放其應用端口。因此常規(guī)的IT防火墻等安全設備很難保障其安全性。
(6)多網(wǎng)絡端口接入。在多個網(wǎng)絡事件中,事由都源于對多個網(wǎng)絡端口接入點疏于防護,包括USB鑰匙、維修連接、筆記本電腦等。
(7)疏漏的網(wǎng)絡分割設計。實際應用中的許多控制網(wǎng)絡都是“敞開的”,不同的子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC、Modbus等通訊的工控網(wǎng)絡,從而造成安全故障通過網(wǎng)絡迅速蔓延。
2.2 常見漏洞分析
水利工程生產運行過程使用多種工控系統(tǒng),如控制泵房和水閘的PLC系統(tǒng)、遠程監(jiān)控的SCADA系統(tǒng)、廠用電變電站綜合自動化系統(tǒng)、農村水電廠控制水輪發(fā)電機組的PLC系統(tǒng)和集控系統(tǒng)等。
(1)PLC安全漏洞。在水利工程使用的自動化控制系統(tǒng)中,使用臺套數(shù)最多的是PLC系統(tǒng)。系統(tǒng)多由國外供貨,主要包括西門子(Siemens)、施耐德電氣(Schneider)、通用電氣(GE)、歐姆龍、三菱電機自動化等。如在小浪底、萬家寨水利樞紐使用的施耐德電氣產品,這些廠商也是全球PLC領域的主要供貨商,各PLC產品中均存在一些安全漏洞。如圖1所示,是西門子、施耐德電氣、通用電氣三個供貨商在2011~2013年公安部網(wǎng)絡安全執(zhí)法檢查時,PLC漏洞暴露情況。
圖1 PLC漏洞暴露情況
PLC的漏洞主要為拒絕服務漏洞、遠程代碼執(zhí)行漏洞、用戶訪問權限漏洞、信息泄漏漏洞四類。拒絕服務漏洞,如西門子Simatic S7-1200拒絕服務漏洞,施耐德電氣M340 PLC模塊拒絕服務漏洞等;遠程代碼執(zhí)行漏洞,如西門子Simatic S7-1500存在未明跨站請求偽造漏洞,施耐德電氣多個產品跨站請求偽造漏洞等;用戶訪問權限漏洞,如西門子Simatic S7 PLC系統(tǒng)密碼泄漏漏洞,施耐德電氣多個產品不正確驗證漏洞等。信息泄漏漏洞,如西門子Simatic S7-1200信息泄漏漏洞、S7-1500不充分熵漏洞等。這些漏洞都可以被利用,造成運行中斷、非法操作、信息泄漏等后果。
(2)SCADA安全漏洞。水利工程還大量使用基于有線或無線通信的集控/SCADA系統(tǒng),這類系統(tǒng)在遠程通信、監(jiān)控主機等環(huán)節(jié)也存在諸多安全漏洞,如Modbus/TCP身份認證缺失漏洞、OPC的遠程過程調用漏洞、動態(tài)端口防護困難,KingView 6.53.2010.18018中存在的基于堆緩沖區(qū)溢出的任意代碼攻擊和拒絕服務漏洞。
3 水利工控系統(tǒng)網(wǎng)絡安全風險分析
3.1 網(wǎng)絡邊界防護安全問題
除了橫向隔離和縱向加密裝置外,其他防護措施不足,個別單位在生產控制大區(qū)之間部屬了傳統(tǒng)防火墻,但無法識別專有的工控協(xié)議,不能提供明確的允許/拒絕訪問的能力[4]。
3.2 主機、服務器安全問題
采用傳統(tǒng)網(wǎng)絡防病毒軟件(部分主機甚至無法安裝殺毒軟件),無法及時更新惡意代碼庫,且容易誤殺控制程序;主機和服務器采用通用的操作系統(tǒng),操作系統(tǒng)的漏洞直接影響系統(tǒng)的安全運行;無法對重要程序的完整性進行檢測,并在檢測到完整性受到破壞后不具有恢復能力;缺乏有效的技術措施切斷病毒和木馬的傳播與破壞路徑,如非法進程的運行、非法網(wǎng)絡端口的打開與服務、非法USB設備的接入等。
3.3 流量行為安全問題
缺乏對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查、定位和阻斷的能力;無法有效地檢測到網(wǎng)絡攻擊行為,并對攻擊源IP、攻擊類型等信息進行記錄;無法在網(wǎng)絡邊界處對惡意代碼進行檢測和告警,更新惡意代碼庫不及時;缺乏有效的安全審計功能;
3.4 管理和運維安全問題
未設立專門的信息安全崗位,信息安全的管理和維護由業(yè)務部門按照自己的理解進行管理和維護,同時信息安全制度不完善。在日常運行維護過程中普遍存在諸如介質未采用有效的手段進行管理和防護,容易造成病毒入侵和敏感信息泄露的風險。安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題,缺少演練、培訓等,無法在真正的事故中及時響應和恢復系統(tǒng)[5]。
4 水利工控系統(tǒng)網(wǎng)絡安全防護工作思考
4.1 防護理念
根據(jù)當前國內外工控網(wǎng)絡安全領域的發(fā)展形勢,采用如圖2所示的“三位一體”的工控安全防護策略,以“風險評估、安全防護、應急響應”為核心,搭建全生命周期的水利工控系統(tǒng)網(wǎng)絡體安全防護體系,為水利企業(yè)工控系統(tǒng)網(wǎng)絡安全保駕護航。
(1)風險評估。通過風險評估了解水利工控資產所面臨的威脅狀況、漏洞情況,合規(guī)要求和嚴重程度;全面掌握水利工控系統(tǒng)安全狀況,為加強風險管理、安全防護建設提供重要的依據(jù)[6]。
圖2 水利工控系統(tǒng)安全防護策略
(2)安全防護。根據(jù)業(yè)務及工藝要求合理劃分網(wǎng)絡區(qū)域和層次,明確網(wǎng)絡邊界,設定合理的訪問規(guī)則;實時監(jiān)控工控主機的進程狀態(tài),全方位地保護主機的資源使用,禁止非法進程的運行;對網(wǎng)絡流量、網(wǎng)絡數(shù)據(jù)、事件進行實時監(jiān)控、實時告警;采用黑名單入侵防御和白名單主動防御,對異常數(shù)據(jù)和行為進行阻斷或告警。
(3)應急響應。建立健全工控安全應急工作責任制 ,抓好水利工控系統(tǒng)安全風險監(jiān)測工作 ,制定水利工控系統(tǒng)安全事件應急預案,落實人財物保障措施,定期組織應急演練,在工控網(wǎng)絡安全事件發(fā)生時使損失最小。
4.2 防護工作
(1)工作流程(如圖3所示)。
圖3 工作流程
通過風險評估找出水利工程工業(yè)控制系統(tǒng)在網(wǎng)絡架構、設備本體和網(wǎng)絡監(jiān)測審計等方面存在的安全風險;結合水利工控系統(tǒng)網(wǎng)絡結構,制定水利工控系統(tǒng)網(wǎng)絡安全防護方案,部署相關的網(wǎng)絡安全設備;構建水利工控系統(tǒng)全生命周期的安全運維體系。
(2)風險評估。對水利工控系統(tǒng)進行風險評估、漏洞分析、安全性分析,以便正確、及時地了解工控系統(tǒng)的安全現(xiàn)狀。根據(jù)風險評估的情況,列出不符合安全要求的環(huán)節(jié),明晰該環(huán)節(jié)的風險,為現(xiàn)階段操作維護及后期整改工作提供依據(jù)。具體要對水利生產系統(tǒng)中操作系統(tǒng)、應用軟件、網(wǎng)絡結構、防病毒方案等關系到網(wǎng)絡安全的各方面安全風險、安全隱患進行探測識別;對水利生產系統(tǒng)的操作流程、安全管理制度、應急機制進行安全評估,并提供可行性建議[7]。
(3)防護方案及設備部署。以水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)網(wǎng)絡安全防護為例,防護方案及設備部署如圖4所示。
圖4 水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)網(wǎng)絡安全防護方案及設備部署
上位機防護,在主控層的工程師站、操作員站、OPC服務器等部署工控衛(wèi)士,通過應用程序、網(wǎng)絡、USB移動存儲的白名單策略,防止用戶的違規(guī)操作和誤操作,阻止不明程序、移動存儲介質和網(wǎng)絡通信的濫用,有效提高系統(tǒng)網(wǎng)絡的綜合“免疫”能力。
關鍵節(jié)點防護,通過智能保護終端對于水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)現(xiàn)場控制層的RTU進行安全防護,對于利用RTU已公開漏洞的攻擊行為和流量信息進行有效識別和攔截,允許從受信的上位機發(fā)送的合規(guī)操作流量通過,基于動態(tài)學習和自適應的防護策略,達到對RTU的防護效果。
網(wǎng)絡監(jiān)測審計,在水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)的監(jiān)控層、通信層、現(xiàn)地層旁路部署監(jiān)測審計平臺,對網(wǎng)絡通信流量進行有效監(jiān)視和威脅檢測,對于向內網(wǎng)進行的生產數(shù)據(jù)非法收集、惡意攻擊、數(shù)據(jù)篡改、違規(guī)操作進行告警和審計,為網(wǎng)絡安全管理人員提供線索依據(jù)和事件還原功能,對于違規(guī)操縱和網(wǎng)絡攻擊行為可實時告警。
集中安全監(jiān)管,部署在水庫大壩安全監(jiān)測監(jiān)控系統(tǒng)的網(wǎng)絡安全設備通過安全監(jiān)管平臺實現(xiàn)統(tǒng)一化安全監(jiān)管和運維,監(jiān)管平臺可以實時收集現(xiàn)場安全設備采集分析的威脅情報信息,基于安全分析模型,實現(xiàn)全局的態(tài)勢安全預警與策略動態(tài)自適應,幫助運管人員實時發(fā)現(xiàn)現(xiàn)場的安全告警信息,并有助于及時實現(xiàn)安全防護響應。
(4)安全運維
建立安全運維監(jiān)控中心,基于關鍵業(yè)務點面向業(yè)務系統(tǒng)可用性和業(yè)務連續(xù)性進行合理的布控和監(jiān)測,以關鍵績效指標指導和考核工控系統(tǒng)運行質量和運維管理工作的實施和執(zhí)行,并對各類事件做出快速、準確的定位和展現(xiàn),綜合展現(xiàn)控制系統(tǒng)中發(fā)生的預警和告警事件,幫助運維管理人員快速定位、排查問題所在。
5 結論與建議
工控網(wǎng)絡安全防護需要覆蓋控制系統(tǒng)整個生命周期的解決方案。包括針對工控設備特點的,覆蓋主要工控協(xié)議和豐富檢測方法并支持未知協(xié)議的檢測工具;具備自動學習、自動適應,自動生成防御策略的工業(yè)等級的全網(wǎng)安全監(jiān)控的保護系統(tǒng);全面覆蓋西門子、施耐德電氣等全球主流廠商設備的安全數(shù)據(jù)庫(包括設備漏洞庫、網(wǎng)絡模型庫、設備風險統(tǒng)計)。同時,必須向基礎設施企業(yè)提供漏洞挖掘、滲透攻擊、安全策略、技術培訓的全方位安全服務。
(1)開展水利工控系統(tǒng)網(wǎng)絡安全風險評估工作
采用人工分析與專業(yè)檢測工具相結合的方式進行,對系統(tǒng)中的威脅、資產、流量等進行分析,清晰定義各體網(wǎng)絡的安全風險;采用專業(yè)漏洞挖掘檢測工具,對水利工程工控系統(tǒng)中的PLC、工業(yè)防火墻、網(wǎng)關等進行全面的漏洞挖掘檢測,發(fā)現(xiàn)漏洞和缺陷;驗證Web門戶網(wǎng)站安全防護措施有效性和抵御攻擊的能力;檢測關鍵業(yè)務系統(tǒng)、重要辦公終端存在的安全風險;對管理機構設置、管理制度制定、系統(tǒng)的運行維護管理制度,以及人員安全意識和安全知識培訓情況等進行安全管理檢查。
(2)開展水利工控系統(tǒng)網(wǎng)絡安全培訓工作
通過技術培訓提升水利工業(yè)控制系統(tǒng)安全保障水平,強化工作人員對工控網(wǎng)絡安全系統(tǒng)性認識,加強技術人員專業(yè)能力和專業(yè)知識,提高水利工控系統(tǒng)抵御網(wǎng)絡安全事件的能力,降低網(wǎng)絡安全風險。
(3)開展制定水利工控系統(tǒng)網(wǎng)絡安全標準工作
根據(jù)水利工程工業(yè)控制系統(tǒng)特點,制定水利工控系統(tǒng)網(wǎng)絡安全檢測規(guī)程、水利工程工業(yè)控制系統(tǒng)安全風險評估規(guī)程、水利工程工業(yè)控制系統(tǒng)安全防護規(guī)定等相關標準規(guī)范,指導水利工控系統(tǒng)網(wǎng)絡安全建設及安全運維。
★基金項目:水利部技術推介項目(SF-PX-201810)。
參考文獻:
[1] 郭嫻, 互聯(lián)網(wǎng)+時代下工業(yè)控制系統(tǒng)網(wǎng)絡安全[J]. 自動化博覽, 2015, ( 7 ) : 64 - 65.
[2] 張志華, 郭江, 秦繼偉. 水電站控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀及安全對策[J]. 水電站機電技術, 2017, 40, ( 5 ) : 64 - 67.
[3] 郭江, 張志華, 張志民. 水利工業(yè)控制系統(tǒng)網(wǎng)絡安全問題初探[A]. 中國水利學會泵及泵站專業(yè)委員會-2015年學術年會論文集[C]. 2015 : 100 - 104.
[4] 王孝良, 崔保紅, 李思其. 關于工控系統(tǒng)信息安全的思考與建議[J]. 信息網(wǎng)絡安全, 2012, ( 8 ) : 36 - 37.
[5] 劉威, 李冬, 孫波. 工業(yè)控制系統(tǒng)安全分析[J]. 信息網(wǎng)絡安全, 2012, ( 8 ) : 41 - 43.
[6] 熊琦, 彭勇, 戴忠華. 工控系統(tǒng)信息安全風險評估初探[J]. 中國信息安全, 2012, ( 3 ) : 57 - 59.
[7] 郭江, 張志華. 水電廠控制系統(tǒng)網(wǎng)絡安全風險評估概述[J]. 水電站機電技術, 2018, 41, ( 2 ) : 68 - 70.
作者簡介
郭 江(1965-),男,天津人,教授級高工,碩士,現(xiàn)任中國水利水電科學研究院天津機電所副所長、總工,《水電站機電技術》雜志社社長,水利部機電研究所工控網(wǎng)絡安全測評中心主任,從事水利水電基礎自動化和工控系統(tǒng)網(wǎng)絡安全研究工作。
張志華(1979-),男,天津人,高級工程師,碩士,現(xiàn)任中國水利水電科學研究所天津機電所工控網(wǎng)絡安全測評中心副主任,從事水利工控系統(tǒng)網(wǎng)絡安全研究、評估、檢測及整體解決方案設計等工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號