摘要:随着电气化、自动化、信息化技术能力发展,工业自动化技术和信息化技术全面融合,工业控制系统的基础性、全局性的作用也日益增强,自动化与信息化控制系统PLC、DCS、SCADA等全面普及。在面临不断发生的网络攻击事件形势下,习总书记提出“没有网络,就没有国家安全”、“网络安全与信息化是一体之双翼”核心思想,开启了我国网络安全理念和安全保障理念的进步,网络安全发展将面临前所未有的机遇和挑战。本文针对控制系统中的终端主机的安全及防护实践进行概述。

关键词:工控主机安全;电力工控安全

1 引言

伴随我国经济的快速发展,工业自动化控制技术进步日新月异,自动化与信息化控制系统PLC、DCS、SCADA等在电力行业的发电侧已经全面普及。发电行业随着工业自动化技术和信息化技术的高速发展而全面融合,工业控制系统的基础性、全局性在生产经营中的作用也日益增强,为企业带来管理和提高生产效率的同时,伴随而来的网络安全风险亦不容忽视。近年来,国内外发生“Stuxnet”震网病毒入侵伊朗布什尔核电站、“BalckEnergy”恶意攻击导致乌克兰伊万诺-弗兰科夫斯克地区大面积停电等网络攻击安全事件给全世界敲响了网络安全的警钟。习近平总书记多次提出网络安全的重要性:没有网络安全,就没有国家安全;没有信息化,就没有现代化。电力行业的安全生产涉及百姓民生,而保障电力安全生产的重要环节正是这基础设施的工业控制系统,而整个控制系统的最脆弱、最危险、最不可控、最容易受到攻击和入侵的正是控制系统的工程师站和操作员站等终端主机。

2 工业控制系统

工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统。工业控制系统(ICS)主要包括常见的SCADA系统、DCS和其他较小的自动控制系统,如PLC,是工业生产中使用的所有类型控制系统的总称。SCADA系统通常作为工业控制的核心系统,实现对现场的设备进行实时监视和控制及设备参数调节、数据采集、数据测量、各类反馈信号报警等。DCS分布式控制系统主要应用在流程生产行业的控制系统,主要实现对各子系统在运行过程中的控制功能。PLC广泛应用于实现工业设备的具体操作与工艺控制,其作用主要是从远程站点获取数据和接受自动化或者操作者命令。例如控制生产设备启停、监测生产环境、接收传感器数据。工业过程控制部件对实时数据进行采集、监测,在计算机的调配下,实现设备自动化运行以及对业务流程的管理与监控,其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。随着计算机技术、通信技术和控制技术的发展,传统的控制领域正经历着一场前所未有的变革,开始向网络化方向发展。控制系统的结构从最初的计算机集中控制系统(CCS),到第二代的分散控制系统(DCS),发展到现在流行的现场总线控制系统(FCS)。伴随着自动化程度和控制系统的进步发展,工业控制系统的管理、控制及操作端的功能越来越丰富,权限越来越大。集中、远程管理在带来高效、便捷性的同时,也带来主机管理的多个安全风险性,如何管理好工业控制系统的“城门入口”,成为确保工业控制系统安全稳定生产的重要工作。

3 主机安全要求

等保2.0版本的更迭意味着等级保护制度已进入全新的时代,原有的制度已无法满足当下工控环境安全的要求,政策依据工控环境安全需求而制定,而工控环境的安全亦需将制度切实落地,两者相互依赖。根据《信息安全技术网络安全等级保护基本要求》GBT22239-2019和《信息安全技术 网络安全等级保护测评要求》GBT28448-2019等系列等保2.0相关标准对主机安全防护,尤其是工业控制系统中主机的安全防护提出防护要求。本文对从安全风险及可整改性角度进行部分阐述。

从控制设备的主机安全总体层面,应否具有身份鉴别、访问控制和安全审计等功能,如不具备上述功能,则核查是否由其上位控制或管理设备实现同等功能或通过管理手段控制。

从主机的物理层面应对主机是否关闭或拆除设备的软盘驱动、光盘驱动、USB 接口、串行口或多余网,保留的软盘驱动、光盘驱动、USB 接口、串行口或多余网口等是否通过相关的措施实施严格的监控管理。

从主机的身份鉴别层面,应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

从主机的安全策略配置层面,应重命名默认账户,删除、停用默认账户和多余的、过期的账户,避免共享账户的存在。应授予管理用户所需的最小权限,实现管理用户的权限分离。应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。并启用登录失败处理功能,启用安全控制策略限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等。

从主机的安全审计层面,应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。通过相关的技术措施实施严格的监控管理。

从安全建设采购管理方面层面,工业控制系统重要设备应通过专业机构的安全检测后方可采购使用。

4 主机安全风险

经过多年的主机安全防护实践发现,很多高危的风险隐患依然存在,由于近几年来对网络安全的重视,新建工业控制系统在建设时,会将网络安全作为重要的一环进行考虑设计,主机多采用Linux操作系统或国产主机及控制系统,风险隐患相对较低。但存量的工业控制系统风险隐患尤为明显,尤其是距今10年左右建设的工业控制系统,建设时设计多偏向功能和应用,对主机安全设计较为忽略,多数为工业主机、商用台式机,多采用Windows7、XP、2008操作系统,由于受控制系统平台制约无法更换主机的操作系统,同时常见的安全防护软件在很多存量的工业控制系统中无法进行很好的应用,主要是管理员或厂家无法接受在控制主机端安装安全防护软件,或部分老旧主机安装防护软件后会严重占用系统资源导致影响业务应用,所以存在极大的安全隐患。以电力行业为例,发现存在很多相似的安全风险隐患,如电力监控系统中工程师站、操作员站、历史站存在不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等未拆除或关闭,必要使用端口没有采用技术措施确保安全;电力监控系统中工程师及操作员站无密码或弱口令登录,缺乏技术手段实现双因子认证登录;电力监控系统中工程师及操作员站存在默认账户及访客用户,未使用合理策略控制安全风险;电力监控系统中工程师站、操作员站,终端I/O设备操作权限缺乏技术管控手段,存在内部恶意人员非授权操作及越权操作的安全威胁;电力监控系统中工程师站或操作员站的系统配置、运行监控、重大操作等行为操作、U口使用、数据交换等操作缺乏行为监管,无法做到行为审计,无法实现过程追溯;电力监控系统中工程师站、操作员站、历史站、OPC SERVER主机、工作站、一般都采用Windows系统,由于处于电厂内部的隔离网络,存在补丁升级更新不及时或不能更新、无补丁可更新的状况,设备或系统存在来自操作系统层面的漏洞;在特定工作中如部分系统调试和维护时,通常需要本地或远程接入笔记本电脑。而对这些接入的移动终端缺乏有效的安全监管。这些常见隐患给工业控制系统带来巨大的安全风险。

5 面临的难题

针对目前比较主流的工业控制系统工程师站和操作员的设计,多采用Linux操作系统,但是由于早年工业控制系统在建设设计时,全行业对网络安全、信息安全要求并不高,针对工业控制系统的功能和应用更为重视,所以在规划设计时对信息安全环节投入不足,主机多采用当时流行的工业主机、商用塔式机、办公台式机,操作系统Windows2000、2008、XP、7都较为常见,且很多系统都是破解版、OEM版或是非商业版本。但是由于工业控制系统制约无法轻易更换主机的操作系统,很多早年工业控制系统的工程师站无法从Windows下改变Linux操作系统。

主机安全防护技术经过多年的发展,出现了安全防护、白名单等多种安全防护解决方案,在新建系统中应用广泛。但针对于存量的工业控制系统,在安全管理大区的非控制大区尚有应用,但在生产的控制大区则相对较少,还存在一些问题,无法大面积广泛采用,主要是由于工业控制系统特性原因,管理员或厂家认为在工程师站或操作员站的操作系统下安全防护软件或具有“白名单”功能的防护软件会对原有系统产生一定影响业务系统的隐患,所以无法接受在控制主机端安装安全防护软件,部分较为陈旧主机存在兼容或安装防护软件后会严重占用系统资源导致主机操作系统变慢的问题,所以存量工业控制系统的主机安全成为工业控制系统中的一大重要难题。

6 实践技术路线

通过研发发现大量的存量工业控制无法更换安全操作系统和主机管理,或研发厂家无法接受安装软件及存在的安全风险隐患。同时根据《信息安全技术网络安全等级保护基本要求》GBT22239-2019和《信息安全技术 网络安全等级保护测评要求》GBT28448-2019等系列制度中,对主机应否具有身份鉴别、访问控制和安全审计等功能,如不具备上述功能,则核查是否由其上位控制或管理设备实现同等功能或通过管理手段控制的要求,选择从工业控制系统的上位控制或管理设备实现同等功能或通过管理手段控制的技术路线来实现工业控制系统主机的安全防护。

通过“一对一”部署纯硬件式“铠甲式外挂”防护装置的方式,不接入原有工业控制系统网络及主机系统,对工业控制系统实现人员身份鉴别密码+智能卡,满足“双因子认证”且其中一种鉴别技术至少应使用密码技术来实现要求,同时替代性解决工业控制系统缺少人员访问控制、双因子认证、人员权限管理等要求。并且针对USB口管理、数据安全交换提供了在线监测和杀毒等技术手段管理,满足对主机用户操作、人员行为审计要求。在注重采用技术手段解决问题的同时,同样注重产品安全、可靠性,产品通过了公安部计算机信息系统安全产品质量监督检验中心和中国电力科学研究院信息安全实验室检验,确保了自身安全和对原有工业控制系统无影响。

7 实践解决的问题

此技术路线和实践,通过理论研究和大量的现场实践,获得了用户广泛的认可,解决了工业控制系统主机无法更换,无法安装安全防护软件,缺少人员身份鉴别、访问控制、USB口管理、数据安全交换、操作系统及人员操作行为审计等场景下的工业控制系统主机安全防护问题。

网络安全建设亦是日积月累逐渐完善的过程,工业控制系统在不断发展,随之而来安全风险不断增加,所以工控网络安全防护工作必将永远在路上。

参考文献

[1] 公安部, 国家保密局, 国家密码管理局, 国务院信息化工作办公室.信息安全等级保护管理办法[Z]. 2007.

[2] GB/T22239-2019, 信息安全技术网络安全等级保护基本要求[S].

[3] GB/T28448-2019, 信息安全技术 网络安全等级保护测评要求[S].

作者简介

谢云龙(1987-),江苏人,本科,研究方向为网络安全、工业互联网、工控安全、信息化建设。

摘自《工业控制系统信息安全专刊(第六辑)》

声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。