摘 要:随着“两化”融合的推进和以太网技术在工业控制系统中的大量应用,进而引发的病毒和木马对SCADA系统的攻击事件频发,直接影响公共基础设施的安全,其造成的损失可能非常巨大,甚至不可估量。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。而在工业控制系统中,工控网络存在着特殊性,导致商用IT网络的安全技术无法适应工业控制系统。本文将从工业控制的角度,分析工业控制系统安全的特殊性,并提出解决工业控制系统安全的一些建议。
关键词:工业控制;SCADA系统;安全防护
一.工业控制系统介绍
1.1 工业控制系统
工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏,不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害。
典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。
1.2工控网络的发展
现场总线技术作为传统的数据通讯方式广泛地应用在工业控制中。经过多年的争论和斗争后,现场总线国际标准IEC–61158 放弃了其制定单一现场总线标准的初衷,最终发布了包括10 种类型总线的国际标准。因此,各大总线各具特点、不可互相替代的局面得到世界工控界的认可。多种现场总线协议和标准的共存,意味着在各总线之间实现相互操作、相互兼容的代价是高昂的,且困难的。
目前控制器甚至远程I/O支持以太网的功能越来越强,在有些控制器和远程I/O模块中已经集成了Web服务器,从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/O模块中的当前状态值。采用以太网架构和开放的软件系统的制造企业也被称为“数字工厂”。此外,通过Internet可以实现对工业生产过程的实时远程监控,将实时生产数据与ERP系统以及实时的用户需求结合起来,使生产不只是面向订单的生产,而是直接面向机会和市场的“电子制造”,从而使企业能够适应经济全球化的要求。工控系统开放的同时,也减弱了控制系统与外界的隔离,工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。
1.3工业网络协议
TCP/IP等通用协议与开发标准引入工业控制系统,特别是物联网、云计算、移动互联网等新兴技术,使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。
目前,市场上具有以太网接口和TCP/IP协议的设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷,促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中应用较为广泛的工业以太网之一是德国西门子公司研发的SIMATIC NET工业以太网;拥有丰富的工业应用经验的施耐德电气公司,也推出了一系列完整、以TCP/IP 以太网为基础、对用户高度友好的服务,专门用于工业控制领域。自1979 年以来, Modbus 就已成为工业领域串行链路协议方面的事实标准,它已经在数以百万计的自动化设备中作为通信协议得到了应用。由于它的成功应用,互联网社团给Modbus 协议保留了TCP 502 端口作为专用端口。通过Modbus 消息可以在TCP/IP 以太网和互联网上交换自动化数据,以及其它各种应用( 文件交换、网页、电子邮件等等)。 其它知名的工控硬件厂商,也提供了支持以太网接口的通信协议。如Rockwell支持的EtherNet/IP协议,GE支持的SRTP TCP/IP、EGD、MODBUS TCP/IP协议,浙大中控、和利时支持的OPC协议等。如今,在同一个网络上,无需任何接口就可以有机地融合信息技术与自动化已成为现实。
二.工业控制系统安全现状
与传统的信息系统安全需求不同,ICS 系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。
根据ICS-CERT(US-CERT下属的专门负责工业控制系统的应急响应小组)的统计,2011年度共上报工业控制系统相关ICS事件198起,较2009和2010年均有较大上升(2009和2010年分别为9起和41起),其安全事件集中于能源、水利、化工、政府机构以及核设施等领域,其中能源行业的安全事件在三年间共52起,占安全事件总数的21%。针对各类安全事件,结合工业网络的威胁特点,总结有代表性的案例如下:
典型工业控制系统入侵事件:
l 2007年,攻击者入侵加拿大的一个水利SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机;
l 2008年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4 节车厢脱轨;
l 2010年,“网络超级武器”Stuxnet 病毒通过针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;
l 2011年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。
通过上述案例分析可以看到,工业控制系统在考虑效率和实时性的同时,其安全性并未成为其考量的指标,随着其信息化程度的加速,其安全事件也呈逐年上升的态势,尽管数量上无法与互联网安全事件相比,但一旦发生,其影响范围之广、经济损失之大、持续时间之长,都是互联网安全事件无法比拟的,每一次事件,都代表着国民生活、生产遭受巨大影响,经济遭受重大损失和倒退,甚至可能危及到相关人员的健康与生命。
三.工业控制系统的安全隐患
工业控制系统的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问和操控控制网络系统,形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”,其整体安全性不在于其最强处,而取决于系统最薄弱之处,即安全漏洞所决定。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。
安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上,这种威胁就越来越大。目前互联网上已有几万个黑客站点,黑客技术不断创新,基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握,将产生不良的后果。
对于工业控制网络系统,由于安全漏洞可能带来的直接安全隐患有以下几种。
3.1安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
3.2 病毒与恶意代码
病毒的泛滥是大家有目共睹的。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外,各种新型的恶意代码也层出不穷,如陷阱门、逻辑***、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预,无论运行感染病毒的实用程序,或者是打开包含宏病毒的邮件等,没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成。
3.3 SCADA系统软件的漏洞
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞,但这些漏洞可能被黑客或恶意软件利用。
3.4 操作系统安全漏洞
PC+Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中,上位机/操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。
3.5 网络通信协议安全漏洞
随着TCP(UDP)/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。
TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题发生了。所以说,TCP/IP在先天上就存在着致命的安全漏洞。
四. 工业控制系统安全防护策略
工业控制系统的安全防护需要从每一个细节进行考虑,从现场I/O设备、控制器,到操作站的计算机操作系统,工业控制网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,对其防御的策略和保障措施应该按照等级进行划分,实施分层次的纵深防御架构,分别采取不同的对应手段,构筑从整体到细节的立体防御体系。
4.1 通用防火墙在工业控制系统中的适用范围
网络防火墙通过设置不同的安全规则,来控制设备或系统之间的数据流,在实际应用中,主要用于分析与互联网连接的TCP/IP协议簇。防火墙在网络中使用的前提是必须保证网络的连通性,通过规则设置和协议分析,来限制和过滤那些对管理比较敏感、不安全的信息,防止未经授权的访问。 由于工业控制与网络商用网络的差异,常规的IT网络安全设置规则,用在控制网络上就会存在很多。因此,正确地设计、配置和维护硬件防火墙的规则,才可以保护工业控制网络系统的安全环境。建议设置的特殊规则包括:
l 超文本传输协议(HTTP)
一般来说,HTTP不应该被允许从企业管理网透过进入控制网络,因为他们带来重要的安全风险。如果HTTP服务到控制网络是绝对必需的,那么在防火墙中需要通过HTTP代理配置来阻止所有执行脚本和Java应用程序,而且建议特定的设备使用HTTPS更安全。
l 限制文件传输协议(FTP)
FTP和其它需要的文件传输协议(TFTP)用于在设备之间传输、交换文件,包括许多SCADA系统、DCS、PLC、RTU等系统中都有应用。不幸的是,FTP协议并没有任何安全原则,登入密码不加密,有些FTP为了实现历史缓冲区而出现溢出的漏洞,所以配置防火墙规则应阻塞其通信。如果FTP通讯不能被要求禁止,通过FTP输出数据时,应额外增加多个特征码授权认证,并提供加密的通信隧道。
l简单邮件传输协议(SMTP)
SMTP在互联网上是主要的电子邮件传输协议。电子邮件经常包含恶意软件,所以不应该被允许以任何控制网络设备接收电子邮件,SMTP邮件主要用于从控制网络到办公网络之间输出发送报警信息。
l简单网络管理协议(SNMP)
SNMP((单网络管理协议)是用来为网络管理服务中心,提供与管理控制台与设备之间的监控与管理的会话规则,如路由器、网络设备、打印机和PLC。虽然为维持一个网络,SNMP是一个非常有用的服务,在安全方面却很软弱。SNMP2.0和SNMP1.0的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。第三版本具相当的安全性,但却没有被广泛使用。从控制网中使用SNMP V1和V2的命令,都应被禁止,除非它是在一个完全独立的信任管理网络。即使设备已经支持SNMP3.0,许多厂商使用的还是标准的通信字符串,这些字符串对黑客组织来说根本不是秘密。因此,虽然SNMP3.0比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限。
l分布式组件对象模型(DCOM)
在过程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它运用了微软的远程过程调用(RPC)服务。该服务有很多的漏洞,很多病毒都会利用这个弱点获取系统权限。此外,OPC也利用DCOM,动态地打开范围内的任意端口(1024 – 65535),这在防火墙中过滤是非常困难的。通用防火墙无法完成对OPC协议的规则限制,如果必须需要该协议,则要求控制网络、网络之间必须物理分开,将控制网络和企业网络横向隔离。
lSCADA和工业协议
SCADA和工业协议,如MODBUS/ TCP,EtherNet/ IP和DNP3等被大量使用。不幸的是,这些协议在设计时,没有安全加密机制,通常也不会要求任何认证,便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输,不准许在办公网络穿透到控制网络。能够完成以上功能的工业防火墙或者安全路由器,通常被部署在具有以太网接口的I/O设备和控制器上,从而避免因设备联网而造成的病毒攻击或广播风暴,还可以避免各子系统间的病毒攻击和干扰。
能够完成以上功能的工业防火墙或者安全路由器,通常被部署在具有以太网接口的I/O设备和控制器上,从而避免因设备联网而造成的病毒攻击或广播风暴,还可以避免各子系统间的病毒攻击和干扰。
4.2 网络物理隔离
在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,网络隔离技术应运而生。
网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后,市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题,对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。
网络隔离技术经过了长时间的发展,目前已经发展到了第五代技术。第一代隔离技术采用完全的隔离技术,实际上是将网络物理上的分开,形成信息孤岛;第二代隔离技术采用硬件卡隔离技术;第三代隔离技术采用数据转发隔离技术;第四代隔离技术采用空气开关隔离技术;第五代隔离技术采用安全通道隔离技术。
基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离的指导思想与防火墙也有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安全的前提下,尽可能支持数据交换,如果不安全则断开。
网络隔离技术主要目标是解决工业控制系统中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离是目前唯一能解决上述问题的安全技术。
五. 结论
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。在商用网络里可以存在病毒,几乎每天都有新的补丁出现,计算机可能会死机、暂停,而这些如果发生在控制网络里,带来的危险和影响几乎是不可想象的。“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。为了保证生产安全,在极端情况下,即便将控制网络与信息网络断开,停止与信息网络交换数据也要保证控制系统的安全。因此,过程生产的连续不可间断的高可靠性,要求控制网络具备更高的安全性。
与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。