工業控制系統應怎樣進行安全防護
責編:admin |2014-06-24 18:47:59隨著工業化與信息化的融合推進,以及以太網技術在工業控制系統中的大量應用,病毒和木馬對SCADA系統的攻擊事件頻發,直接影響到公共基礎設施的安全,造成的損失不可估量。因此,目前國內外生產企業都是否重視工業控制系統的安全防護建設。但由于工控網絡存在著特殊性,商用的信息安全技術無法完全適用,解決工業控制系統安全需要有針對性地實施特殊措施。
工業控制系統安全現狀
工業控制系統ICS (Industrial Control Systems)由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成,包括智能電子設備(IED)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、數據采集與監控系統(SCADA)以及確保各組件通信的接口技術。工業控制系統廣泛運用于石油石化、冶金、勘探、電力、燃氣以及市政等領域,用于控制關鍵生產設備的運行。當前工控系統越來越開放,但也減弱了控制系統與外界的隔離程度,隨著黑客攻擊技術的不斷發展,工控系統的安全隱患問題日益嚴峻,任何一點受到攻擊都有可能導致整個系統癱瘓。
典型的工業系統控制過程通常由HMI、控制回路、遠程診斷與維護工具三部分組件共同完成,HMI 執行信息交互,控制回路用以控制邏輯運算,遠程診斷與維護工具確保工業控制系統能夠穩定持續運行。同時,現場總線技術作為傳統的數據通訊方式廣泛地應用在工業控制中,經過多年的爭論后,現場總線國際標準IEC–61158 放棄了其制定單一現場總線標準的初衷,最終發布了包括十種類型總線的國際標準。因此各大總線各具特點、不可互相替代的局面得到世界工控界的認可。但多種現場總線協議和標準的共存,意味著在各總線之間實現相互操作、相互兼容的代價是高昂的、困難的。
與傳統的信息系統安全需求不同,工業控制系統設計需要兼顧應用場景與控制管理等多方面因素,以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下,缺乏有效的工業安全防御和數據通信保密措施是很多工業控制系統所面臨的通病。另外,目前控制器甚至遠程I/O 支持以太網的功能越來越強,在有些控制器和遠程I/O 模塊中已經集成了Web服務器,從而允許信息層的用戶也可以和控制層的用戶一樣直接獲取控制器和遠程I/O 模塊中的當前狀態值,采用以太網架構和開放的軟件系統的制造企業因而被稱為“透明工廠”。而由于通過Internet可以實現對工業生產過程的實時遠程監控,將實時生產數據與ERP系統以及實時的用戶需求結合起來,使生產不只是面向訂單的生產,而是直接面向機會和市場,從而使企業能夠適應經濟全球化的要求,企業紛紛聯網,這就令工控系統更加開放,也減弱了控制系統與外界的隔離。隨著黑客攻擊技術的不斷發展,工控系統的安全隱患問題日益嚴峻,系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。
近幾年來的典型工業控制系統入侵事件包括:2011年,黑客通過入侵數據采集與監控系統SCADA,使得美國伊利諾伊州城市供水系統的供水泵遭到破壞;2010年,“網絡超級武器”Stuxnet病毒通過針對性的入侵ICS 系統,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營;2008年,攻擊者入侵波蘭某城市的地鐵系統,通過電視遙控器改變軌道扳道器,導致4 節車廂脫軌等。造成這些事件的主要原因在于,工業控制系統在考慮效率和實時性的同時,安全性卻沒有成為考量的主要指標,安全漏洞導致整個控制系統的安全性相當脆弱,隨著越來越多的控制網絡系統通過信息網絡連接到互聯網上,所面臨的安全威脅必然日趨加大,解決安全防護問題刻不容緩。
工業控制網絡的安全漏洞
對工控系統而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意代碼
病毒泛濫也是總所周知的安全隱患。在全球范圍內,每年都會發生數次大規模的病毒爆發,而全球現已發現數萬種病毒,每天還會新生數十余種。除了傳統意義上的具有自我復制能力、但必須寄生在其它實用程序中的病毒種類外,各種新型的惡意代碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強的傳播能力和破壞性。如蠕蟲病毒和傳統病毒相比,其最大的不同在于可以進行自我復制,傳統病毒的復制過程需要依賴人工干預,而蠕蟲卻可以自己獨立完成,破壞性和生命力自然強大得多。
2、 SCADA系統軟件的漏洞
國家信息安全漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,這些漏洞涉及西門子等國內外知名工業控制系統制造商的產品。
3、操作系統安全漏洞
PC與Windows的技術架構現已成為控制系統上位機/操作站的主流,而在控制網絡中,操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
4、網絡通信協議安全漏洞
隨著TCP/IP協議被控制網絡普遍采用,網絡通信協議漏洞問題變得越來越突出。 TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后,安全問題就發生了。所以說,TCP/IP在先天上就存在著致命的設計性安全漏洞。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程,也給工業控制系統信息安全帶來了一定威脅。
應該采取的安全防護策略
工業控制系統的安全防護需要考慮每一個細節。從現場I/O設備、控制器,到操作站的計算機操作系統,工業控制網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡,考慮到不同業務終端的安全性與故障容忍程度的不同,防御策略和保障措施應該按照等級進行劃分,而實施分層次的縱深防御架構需要分別采取不同的對應手段,構筑從整體到細節的立體防御體系。
首先,可實施網絡物理隔離。
根據公安部制定的《GA370-2001端設備隔離部件安全技術要求》的定義,物理隔離的含義是:公共網絡和專網在網絡物理連線上是完全隔離的,且沒有任何公用的存儲信息。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬盤、軟盤和光盤),計算機數據不能被重用(至少應包括內存)。
信息安全是一個體系防護的概念,網絡物理隔離技術不可能解決所有信息安全問題,但能大大提高網絡的安全性和可控性,能徹底消除內部網絡遭受外部網絡侵入和破壞的可能性,從而大大減少網絡中的不安全因素,縮小追蹤網絡中非法用戶和黑客的范圍。目前存在的安全問題,對網絡隔離技術而言在理論上都不存在,這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。
網絡隔離技術目前已經發展到了第五代。第一代隔離技術實際上是將網絡進行物理上的分開,形成信息孤島;第二代采用硬件卡隔離技術;第三代采用數據轉發隔離技術;第四代采用的是空氣開關隔離技術;而第五代隔離技術采用了安全通道隔離技術。基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,還能有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
總的來說,網絡隔離技術的主要目標是解決工業控制系統中的各種漏洞:操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等,網絡隔離也是目前唯一能解決上述問題的安全技術。
另外還可以構建網絡防火墻。
網絡防火墻通過設置不同的安全規則來控制設備或系統之間的數據流,在實際應用中主要用于分析與互聯網連接的TCP/IP協議簇。防火墻在網絡中使用的前提是必須保證網絡的連通性,其通過規則設置和協議分析,來限制和過濾那些對管理比較敏感、不安全的信息,防止未經授權的訪問。由于工業控制與商用網絡的差異,常規的網絡安全設置規則用在控制網絡上就會存在很多問題。只有正確地設計、配置和維護硬件防火墻的規則,才可以保護工業控制網絡系統的安全環境。建議設置的特殊規則包括:
1、SCADA和工業協議。MODBUS/ TCP、EtherNet/ IP和DNP3等在工業控制系統中被大量使用,但是這些協議在設計時沒有安全加密機制,通常也不會要求任何認證便可以在遠程對一個控制裝置執行命令。這些協議應該只被允許在控制網絡單向傳輸,不準許在辦公網絡穿透到控制網絡。能夠完成這一功能的工業防火墻或者安全路由器,通常被部署在具有以太網接口的I/O設備和控制器上,從而避免因設備聯網而造成的病毒攻擊或廣播風暴,還可以避免各子系統間的病毒攻擊和干擾。
2、分布式組件對象模型(DCOM) 。在過程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它運用了微軟的遠程過程調用服務。該服務有很多的漏洞,很多病毒都會利用這個弱點獲取系統權限。此外OPC也利用DCOM動態地打開任意端口,這在防火墻中進行過濾是非常困難的。通用防火墻無法完成對OPC協議的規則限制,如果必須需要該協議,則要求控制網絡、網絡之間必須物理分開,將控制網絡和企業網絡橫向隔離。
3、超文本傳輸協議(HTTP)。一般來說,HTTP不應該被允許從企業管理網透過進入控制網絡,因為他們會帶來重大安全風險。如果HTTP服務到控制網絡是絕對必需的,那么在防火墻中需要通過HTTP代理配置來阻止所有執行腳本和Java應用程序,而且特定的設備使用HTTPS更安全。
4、限制文件傳輸協議(FTP)。FTP用于在設備之間傳輸、交換文件,在SCADA 、DCS、PLC、RTU等系統中都有應用。FTP協議并沒有任何安全原則,登入密碼不加密,有些FTP為了實現歷史緩沖區而出現溢出的漏洞,所以應配置防火墻規則阻塞其通信。如果FTP通訊不能被要求禁止,通過FTP輸出數據時,應額外增加多個特征碼授權認證,并提供加密的通信隧道。
5、簡單郵件傳輸協議(SMTP)。SMTP在互聯網上是主要的電子郵件傳輸協議。電子郵件經常包含惡意代碼程序,所以不應允許以任何控制網絡設備接收電子郵件,SMTP郵件應主要用于從控制網絡到辦公網絡之間輸出發送報警信息。
6、簡單網絡管理協議(SNMP)。SNMP是網絡管理服務中心,提供管理控制臺與設備如網絡設備、打印機、PLC之間的監控,并制定管理的會話規則。從運維角度看,SNMP是非常有用的服務,但在安全方面存在很多問題。SNMP V1和SNMP V2C的安全機制比較脆弱,通信不加密,所有通信字符串和數據都以明文形式發送。攻擊者一旦捕獲了網絡通信,就可以利用各種嗅探軟件直接獲取通信字符串,即使用戶改變了通信字符串的默認值也無濟于事。SNMP V3解決了上述安全性問題,但卻沒有被廣泛使用。從控制網中使用SNMP V1和V2C的命令都應被禁止,除非它是一個完全獨立的信任管理網絡。而即使設備已經支持SNMP V3,許多廠商使用的還是標準的通信字符串,存在重大安全隱患。因此,雖然SNMP V3比以前的版本提供了更多的安全特性,如果配置不當,其實際效果仍舊有限,這一點也需要引起足夠的重視。