今日頭條
官方微信
官方抖音
資訊頻道隨著信息化與工業(yè)自動化的深度融合,以及物聯(lián)網技術的快速發(fā)展,工業(yè)自動化與控制網絡也向著分布式、智能化的方向迅速發(fā)展,越來越多基于TCP/IP的通信協(xié)議和接口被采用,從而實現(xiàn)了自管理信息層延伸至現(xiàn)場設備的一致性識別、通訊和控制。然而,在工控系統(tǒng)越來越開放的同時,也同步削弱了控制系統(tǒng)與外界的隔離和安全保護。因此,行業(yè)/企業(yè)在享受網絡互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅,包括病毒、木馬向控制網絡的擴散等,國內工控系統(tǒng)(ICS)的安全隱患問題日益嚴峻,應給予足夠的重視。
軌道交通中的自動化系統(tǒng)一般分為:與列車運行控制直接相關的系統(tǒng)(如信號系統(tǒng)與電力SCADA系統(tǒng)等)、為列車運行提供輔助、支撐的系統(tǒng)(如綜合監(jiān)控系統(tǒng)、設備監(jiān)控系統(tǒng)、火災報警系統(tǒng)等)以及輔助于安全管理的系統(tǒng)(如門禁系統(tǒng)等)。這些系統(tǒng)存在著共同的特點:一般系統(tǒng)分為信息管理層、控制執(zhí)行層和現(xiàn)場操作層三層架構;系統(tǒng)以采集與執(zhí)行控制器(如PLC)和工業(yè)控制網絡為核心開展工作;工業(yè)控制網絡要求有更好的實時性、更高的傳輸速率以及可靠性。
工業(yè)控制網絡中的現(xiàn)場總線由于技術的局限性已經不能滿足快速發(fā)展的工業(yè)控制網絡的需求,當前應用最為廣泛的是工業(yè)以太網技術。具有如下優(yōu)點:
(1)幾乎所有的編程語言都支持以太網;
(2)軟硬件資源豐富,成本低廉(可降低系統(tǒng)的整體成本);
( 3 ) 通信速率高( 百兆設備已被廣泛使用,千兆、萬兆逐漸成為工業(yè)骨干網的主流);
(4)由于基于TCP/IP開放式標準,不同設備很容易互聯(lián),具有很好的發(fā)展?jié)摿Γ?/p>
(5)易于實現(xiàn)一體化的管理與控制;
(6)工業(yè)產品設計,提供其它自動化組件相同的MTBF(平均故障間隔時間)值,通常是10年以上(相比之下,典型商用產品在建造時,最多實現(xiàn)5年平均壽命);
(7)方便安裝:通常采用DIN-Rail導軌安裝,或者直接用螺栓連接到機器上;
(8)無風扇設計,實現(xiàn)被動散熱;
(9)冗余電源,冗余鏈路,支持采取冗余設備以保證全天候正常運行時間;
(10)符合特定行業(yè)標準[包括軌道交通行業(yè)普遍認可EN50121-4認證(軌旁應用)以及EN50155認證(車載應用)],以保證能在極端的現(xiàn)場條件下正常運作,如濕度、防塵、防腐蝕、溫度、振動、沖擊和電磁干擾。
但無法掩蓋一個事實,工業(yè)控制網絡是工控系統(tǒng)安全隱患中的主要因素。
1 工控系統(tǒng)信息安全現(xiàn)狀以及對軌交安全的影響
現(xiàn)實情況的調研說明了工業(yè)控制系統(tǒng)信息安全問題日趨嚴重。
近兩年,在工業(yè)網絡信息安全領域有幾個影響較大的實例:
(1)2010年7月首次檢測出以某公司的ICS/SCADA為攻擊目標的Stuxnet震網病毒;三個月后,全球已有十萬臺主機計算機受到感染。這是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒,由此引發(fā)了工業(yè)界對信息安全的特別關注。
(2)2012年8月,BBC技術版報道,在西門子旗下的羅杰康平臺交換機中發(fā)現(xiàn)了后門,這個程序讓黑客可以容易的侵入網絡,竊取信息。該設備主要應用在美國的國家發(fā)電廠中,得到美國國土安全局的高度重視。
(3)2013年底,“棱鏡門”事件的主角斯諾登曝光了一份材料,顯示美國在2008年研制了48種間諜工具,可以實現(xiàn)對與互聯(lián)網隔離的計算機的隔空打擊。這一情況對人們存在將工業(yè)控制系統(tǒng)與互聯(lián)網隔離、ICS不存在信息安全問題的想法構成顛覆性沖擊。
根據(jù)統(tǒng)計數(shù)據(jù)顯示,在工業(yè)最為發(fā)達的美國,2010年工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計僅為39條,到了2013年,這一數(shù)據(jù)增至256條。其中在2013年,工業(yè)控制系統(tǒng)的安全事件在能源、關鍵制造、供水、交通、核工業(yè)等直接關系到國民生計以及人身安全的行業(yè)都有涉及。其中交通行業(yè)工業(yè)控制系統(tǒng)安全事件的比例達到5%。
中國的工業(yè)發(fā)展暫落后于美國。因此,可以預見到未來中國的工業(yè)控制系統(tǒng)安全事件也將呈現(xiàn)覆蓋范圍廣、增長速度快的趨勢。交通行業(yè),尤其是軌道交通行業(yè),工業(yè)基礎設施中的關鍵ICS系統(tǒng)的安全事件可能造成的影響包括:
(1)軌道交通子系統(tǒng)性能的下降,影響系統(tǒng)的可用性;
(2)關鍵控制數(shù)據(jù)被篡改或者喪失;
(3)失去控制(2008年一少年攻擊了波蘭的Lodz的城鐵系統(tǒng),用一個遙控器改變軌道扳道器,導致4節(jié)列車出軌);
(4)嚴重甚至導致人員傷亡;
(5)軌道運輸單位聲譽受損,信任度降低;
(6)基礎設施破壞;
(7)嚴重的經濟損失等。
2 工業(yè)以太網信息安全威脅的主要原因
從業(yè)者一般認為工業(yè)控制網絡通信協(xié)議相對私有,與更廣范圍的網絡存在隔離的特性,加上設備自身的優(yōu)勢,使得他們對于工業(yè)網絡的安全性很有信心。但在如今不斷變化、更廣互聯(lián)的網絡世界中,許多工業(yè)運營商甚至都沒有意識到他們的系統(tǒng)已經被暴露在互聯(lián)網上,必須要進行一些特別的安全漏洞處理。在近期的一則報道中反映,美國國土安全部顧問InfraCritical僅僅通過監(jiān)控引擎就發(fā)現(xiàn)了50萬個暴露在網絡中的SCADA設備,其中7200個設備控制著關鍵的基礎設施,比如說水利、能源以及其它領域的設備。因此,安全研究人員描述工業(yè)控制系統(tǒng)的狀態(tài)“很安全”,就聽起來很可笑了。
現(xiàn)有的工業(yè)自動化網絡中漏洞存在主要體現(xiàn)在以下三方面:
(1)工業(yè)基礎協(xié)議Modbus TCP/IP 協(xié)議數(shù)據(jù)包存在安全隱患
Modbus TCP/IP 協(xié)議被廣泛應用于工業(yè)通信中,但由于缺乏內置的安全處置,使得協(xié)議應用時相對脆弱。具體地說,即使當傳送一個檢測過源IP地址的TCP/IP的數(shù)據(jù)包時,看起來似乎是合法的,但由于它可能包涵有惡意的Modbus TCP 通信數(shù)據(jù)包,讓整個通信過程存在疑慮。假設讓系統(tǒng)對Modbus的源設備ID、功能碼或者命令類型進行檢測時,這種惡意的數(shù)據(jù)包將無處遁形。同時由于工業(yè)設備幾乎沒有應用層的安全防護方式,因此這樣的關鍵任務應用的安全保護將落地在網絡安全設備,如硬件防火墻等,而傳統(tǒng)防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機制。
(2)自動化控制中對時序的要求很嚴格,存在傳輸延遲的安全隱患
SCADA和自動化控制對受控對象的直接操作是具有高度時效性的,比如說變電站運作對時間非常敏感,觸發(fā)電路開關的延遲可以導致功率波動甚至停電。操作的高時效性要求工業(yè)網絡不能存在重大的延遲問題。然而,惡意攻擊者使用一個常見請求程序去攻擊一個網絡,即便防火墻可以阻止一個未經授權的請求,也會造成網絡延遲。同時防火墻在處理數(shù)據(jù)時也存在能力不足、帶寬不夠的情況,同樣也會在關鍵時刻導致網絡的延遲,無法滿足實時性傳輸要求。
另外,隨著需求的不斷增長,工業(yè)網絡將集成更多的系統(tǒng),如視頻、語音和數(shù)據(jù)網絡等;網絡設備需要更大的帶寬和吞吐量來支持更高級的應用程序,并不影響網絡安全,也不會造成其它工業(yè)操作的延遲。
(3)嚴苛的現(xiàn)場環(huán)境促使網絡設備被動適應,存在適應性安全隱患
軌交現(xiàn)場機電機械和工業(yè)控制設備都部署在較為嚴苛的環(huán)境中。采用傳統(tǒng)的IT網絡安全設備很難在這些嚴苛的環(huán)境中穩(wěn)定運行并保障工業(yè)網絡及系統(tǒng)的信息安全。這些嚴苛的環(huán)境條件包括如極端的溫度、EMC、EMI等,對傳統(tǒng)IT網絡安全設備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴重。因此,確保工業(yè)網絡免受黑客的攻擊,保障信息安全,首要任務是確保這些設備能夠在這些嚴苛工業(yè)環(huán)境下持續(xù)、穩(wěn)定地運行。
消除以上漏洞的思路,第一步是確認漏洞、關閉漏洞;第二步至關重要,必須將安全漏洞完全處理掉。
3 工控網信息安全解決方案探討
3.1 軌交行業(yè)信息安全的總體考慮
軌交業(yè)務總體可以分為自動化控制和管理信息兩大類。劃分為三個安全域:生產網域、管理網域和互聯(lián)網域。上海在處置信息安全時,一般有以下做法:
(1)同區(qū)域訪問、各不同區(qū)域之間實行受控訪問或禁止訪問。安全域之間的訪問控制策略見表1。
表1 訪問控制策略表
(2)自動化控制系統(tǒng)按照既有的建設安全體系進行防護的同時,與列車運行控制直接相關的系統(tǒng)(如信號系統(tǒng)和SCADA系統(tǒng))級別應定為非常重要,對應安全等級保護體系的第三級;為列車運行提供輔助、支撐的系統(tǒng)級別應定為重要,對應安全等級保護體系的第二級;
(3)僅供軌交行業(yè)內部使用的管理、決策、辦公類系統(tǒng)級別應定為一般,對應安全等級保護體系的第一級。
3.2 工控網信息安全的考慮
針對以上的分析,建議從硬件以及軟件兩個方面實現(xiàn)工業(yè)以太網的信息安全。
(1)硬件實現(xiàn)多層次網絡信息安全防護
針對軌道交通自動化系統(tǒng)構成特征,將現(xiàn)場級系統(tǒng)分解成多層結構(如圖1所示),在各層網絡中根據(jù)不同情況(如連接設備數(shù)目、帶寬以及性能要求等),設置合適的工業(yè)級網絡安全產品。以Moxa公司的EDR-810系列為例,隨著集成技術發(fā)展,在市場上推出了一體化的防火墻交換機,主要面對最底層需連接多個終端設備,必須放置一臺交換機的情況;該集成設備集合了二層網管交換功能以及防火墻/NAT/VPN的功能,具有千兆上聯(lián)口以及多個快速以太網口,在滿足現(xiàn)場設備接入的同時,還可利用網管的功能,有效防止由于現(xiàn)場設備故障導致的廣播風暴對于其它關鍵設備的影響;對于現(xiàn)場不被使用的端口,在物理封存的同時系統(tǒng)可以將其關閉,從而防止利用現(xiàn)場設備接入交換機進行的惡意篡改以及非法入侵。另外,該設備的防火墻策略控制不同信任區(qū)域之間的網絡流量以及網絡地址轉換(NAT)防御內部局域網免受未經授權從外部主機傳來的活動,能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測,從而有效地防止對于現(xiàn)場PLC等關鍵設備的非法控制,確保關鍵設備的可靠性。
在最上層對接辦公網絡時,宜選擇設置工業(yè)級千兆防火墻/VPN安全路由器設備,同時應考慮滿足帶寬需求高、對外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例,其具備冗余的WAN接口,千兆的寬帶性能,吞吐量能夠達到500Mbps,能夠建立的Firewall/NAT規(guī)則數(shù)為512/256以上,從而確保企業(yè)信息網與自動化網絡之間的安全通信;同時,支持VPN三層隧道協(xié)議IPSec可達100條,能夠滿足遠端的多通道安全通訊。
(2)在網管軟件中設置信息安全的選項
工業(yè)網絡管理套件可以實現(xiàn)簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除,將整個網絡生命周期都結合到了一個工具包內。為了回應工業(yè)網絡對于信息安全的重視,須基于ISA與IEC共同制定的針對工業(yè)網絡分隔的工業(yè)自動化系統(tǒng)和控制信息系統(tǒng)的標準IEC 62443標準,分別在安裝、運行和診斷三個階段來確保網絡安全。
在安裝階段,要從軟件上可以批量部署設備的安全功能,可選擇不同的設備安全級別,規(guī)范不同的安全條款,以滿足不同的應用需要。
在運行階段,軟件可在可視化的網絡拓撲結構中,用不同顏色來標注設備的不同安全等級,方便進行設備管理。在偵測到安全異常情況后,有相應的界面輸出警告,通知操作人員,進行及時處理。
4 案例與結語
案例:美國亨利科縣交通控制系統(tǒng)的安全處置
弗吉尼亞州亨利科縣交通部門按NEMATS2交通控制規(guī)范升級現(xiàn)有的公路交通信號控制系統(tǒng),使其成為先進交通管理系統(tǒng)(ATMS)。亨利科縣現(xiàn)有的交通控制系統(tǒng)是由140個信號控制的十字路口組成,但只有25個十字路口是相互連接的,其余115個十字路口的信號控制電路隔離。該系統(tǒng)將采用一個集中的網絡架構,使得中央指揮中心可以與每一個現(xiàn)場交通信號控制器進行數(shù)據(jù)通信。現(xiàn)場的交通控制器也可以調整和安排每天不同時間段的交通信號配時參數(shù),以此來提高交通車流量。從中央指揮中心,運營商將能夠訪問交通信號的實時監(jiān)控和應急響應遠程流量控制的位置。這種先進的交通控制網絡將通過公用網絡進行部署,不只需要一個高度可靠的連接,同時也保護了網絡安全,禁止未經授權的訪問。
圖1 現(xiàn)場級系統(tǒng)的多層結構圖
為了使交通控制器能夠將數(shù)據(jù)傳送到交通指揮中心,系統(tǒng)集成商需要利用現(xiàn)有的ISP公共網絡。然而,在公共網絡中存在可能的安全性問題,會直接威脅到交通控制網絡的通信。所以,采用VPN和現(xiàn)場及核心防火墻來保證數(shù)據(jù)通信的安全就顯得至關重要。
2011年,工業(yè)和信息化部頒發(fā)了451號文《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》,從國家層面強調了加強工業(yè)控制系統(tǒng)信息安全工作的重要性和緊迫性,而軌道交通的核心生產系統(tǒng)正屬于此通知范圍內。因此希望通過上述討論,提請相關人士重視對軌道交通現(xiàn)有的、各個層次系統(tǒng)部署狀況、網絡架構及主要安全問題的分析,形成一套有效的信息安全架構方案,推動軌道交通信息安全基礎建設,完善軌道交通信息安全技術防護體系、信息安全管理體系,提升軌交行業(yè)的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力。
作者簡介
洪翔,高級工程師。現(xiàn)任上海申通地鐵集團有限公司技術研究中心系統(tǒng)集成部主任。多年從事軌道交通通信工程、控制中心、綜合監(jiān)控系統(tǒng)以及信息化等專業(yè)的工程規(guī)劃、可研報告編制、工程設計、咨詢和技術管理、評審和科研等工作。曾獲上海市科技進步獎、教育部科技進步獎、建設部優(yōu)秀工程設計銀獎、上海市優(yōu)秀工程咨詢成果獎等獎項。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號