摘要
本文从水利工程工控系统网络安全等方面进行分析,对水利工程工业控制系统网络安全防护工作进行思考,提出以“风险评估、安全防护、应急响应”为核心的“三位一体”的工控安全防护理念、对防护工作流程和防护工作内容做了简要介绍,强调目前水利工程工控系统网络安全防护工作重点,即风险评估和安全检测、安全培训、防护技术(产品)标准研究等。
1 水利工控系统网络安全现状分析
水利工程工业控制系统广泛用于水文测报、水资源监测、水土保持监测、水网调度、水库大坝(闸门)监控、水力发电监控、泵站供排水监控、水质监测等各个方面,是水利工程基础设施的重要组成部分。基于水利工控系统自身的特点,如在工控系统设计开发初期并未将系统防护、数据保密等安全指标纳入其中;在工控网络中大量使用TCP/IP技术,而且工控网络与企业网络连接,防护措施薄弱,导致攻击者很容易通过企业网络间接入侵工控系统。其网络安全现状主要表现在以下几个方面:
(1)工控系统多采用IEC61158中提供的20种工业现场总线标准,如Modbus系列、PROFIBUS系列等,控制器多采用西门子、GE、施耐德电气等公司产品,不法者很容易通过这些通讯协议及通用控制器存在的漏洞,获得控制区及执行器的控制权,进而破坏整个系统。
(2)水利工控系统软件升级困难,工控系统网络以稳定性为基础,频繁升级补丁软件,给系统的稳定性带来严重威胁,升级失败或出错将造成整个系统的不可用,给生产带来巨大的损失。
(3)病毒控制手段缺乏,水利工控系统网络中很多控制设备单元都是封闭的系统,无法通过病毒软件进行病毒清理,同时缺少病毒在控制网络中传播的控制手段,一旦感染病毒将传播到整个工控网络,给生产带来严重影响。
(4)设备的多样性,水利工控系统网络的设备多种多样,每种设备都具有各自的特点,设备的安全等级参差不齐,给工控系统网络安全防护带来很大困难。
2001年澳大利亚昆士兰Maroochy污水处理厂,由于内部工程师的多次网络入侵,该厂发生了46次不明原因的控制设备功能异常事件,导致数百万公升的污水进入了该地区的供水系统。2007年攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于萨克拉门托河河水调度的控制计算机系统。2011年黑客通过入侵SCADA控制系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏。水利工控系统遭受入侵的途径以透过企业广域网及商用网络方式为主,利用IED、PLC、RTU、控制器、通信处理机等通用设备的漏洞植入恶意代码,进行破坏活动,对水利工程造成巨大的损失。
2 水利工控系统网络安全漏洞分析
2.1 漏洞类型
(1)通信协议漏洞。两化融合(企业信息网与工业控制网络)和物联网的发展使得TCP/IP协议和OPC 协议等通用协议越来越广泛地应用在工控系统中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPC DA, OPC HAD 和OPC A&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。
(2)操作系统漏洞。目前大多数工控系统的工程师站/操作站的操作系统都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
(3)安全策略和管理流程漏洞。追求可用性而牺牲安全,是很多工控系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工控系统网络安全带来了一定的威胁。例如工控系统中移动存储介质的滥用和不严格的访问控制策略。
(4)工业病毒防护漏洞。为了保证工控应用软件的可用性,许多水利工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于病毒库需要不定期的经常更新,这一要求尤其不适合于工控环境。
(5)应用软件漏洞。由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。
(6)多网络端口接入。在多个网络事件中,事由都源于对多个网络端口接入点疏于防护,包括USB钥匙、维修连接、笔记本电脑等。
(7)疏漏的网络分割设计。实际应用中的许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,尤其是基于OPC、Modbus等通讯的工控网络,从而造成安全故障通过网络迅速蔓延。
2.2 常见漏洞分析
水利工程生产运行过程使用多种工控系统,如控制泵房和水闸的PLC系统、远程监控的SCADA系统、厂用电变电站综合自动化系统、农村水电厂控制水轮发电机组的PLC系统和集控系统等。
(1)PLC安全漏洞。在水利工程使用的自动化控制系统中,使用台套数最多的是PLC系统。系统多由国外供货,主要包括西门子(Siemens)、施耐德电气(Schneider)、通用电气(GE)、欧姆龙、三菱电机自动化等。如在小浪底、万家寨水利枢纽使用的施耐德电气产品,这些厂商也是全球PLC领域的主要供货商,各PLC产品中均存在一些安全漏洞。如图1所示,是西门子、施耐德电气、通用电气三个供货商在2011~2013年公安部网络安全执法检查时,PLC漏洞暴露情况。
图1 PLC漏洞暴露情况
PLC的漏洞主要为拒绝服务漏洞、远程代码执行漏洞、用户访问权限漏洞、信息泄漏漏洞四类。拒绝服务漏洞,如西门子Simatic S7-1200拒绝服务漏洞,施耐德电气M340 PLC模块拒绝服务漏洞等;远程代码执行漏洞,如西门子Simatic S7-1500存在未明跨站请求伪造漏洞,施耐德电气多个产品跨站请求伪造漏洞等;用户访问权限漏洞,如西门子Simatic S7 PLC系统密码泄漏漏洞,施耐德电气多个产品不正确验证漏洞等。信息泄漏漏洞,如西门子Simatic S7-1200信息泄漏漏洞、S7-1500不充分熵漏洞等。这些漏洞都可以被利用,造成运行中断、非法操作、信息泄漏等后果。
(2)SCADA安全漏洞。水利工程还大量使用基于有线或无线通信的集控/SCADA系统,这类系统在远程通信、监控主机等环节也存在诸多安全漏洞,如Modbus/TCP身份认证缺失漏洞、OPC的远程过程调用漏洞、动态端口防护困难,KingView 6.53.2010.18018中存在的基于堆缓冲区溢出的任意代码攻击和拒绝服务漏洞。
3 水利工控系统网络安全风险分析
3.1 网络边界防护安全问题
除了横向隔离和纵向加密装置外,其他防护措施不足,个别单位在生产控制大区之间部属了传统防火墙,但无法识别专有的工控协议,不能提供明确的允许/拒绝访问的能力。
3.2 主机、服务器安全问题
采用传统网络防病毒软件(部分主机甚至无法安装杀毒软件),无法及时更新恶意代码库,且容易误杀控制程序;主机和服务器采用通用的操作系统,操作系统的漏洞直接影响系统的安全运行;无法对重要程序的完整性进行检测,并在检测到完整性受到破坏后不具有恢复能力;缺乏有效的技术措施切断病毒和木马的传播与破坏路径,如非法进程的运行、非法网络端口的打开与服务、非法USB设备的接入等。
3.3 流量行为安全问题
缺乏对非授权设备私自联到内部网络的行为进行检查、定位和阻断的能力;无法有效地检测到网络攻击行为,并对攻击源IP、攻击类型等信息进行记录;无法在网络边界处对恶意代码进行检测和告警,更新恶意代码库不及时;缺乏有效的安全审计功能。
3.4 管理和运维安全问题
未设立专门的信息安全岗位,信息安全的管理和维护由业务部门按照自己的理解进行管理和维护,同时信息安全制度不完善。在日常运行维护过程中普遍存在诸如介质未采用有效的手段进行管理和防护,容易造成病毒入侵和敏感信息泄露的风险。安全防护应急预案存在事故预想不全面、内容不完整、相关要求缺乏可操作性等问题,缺少演练、培训等,无法在真正的事故中及时响应和恢复系统。
4 水利工控系统网络安全防护工作思考
4.1 防护理念
根据当前国内外工控网络安全领域的发展形势,采用如图2所示的“三位一体”的工控安全防护策略,以“风险评估、安全防护、应急响应”为核心,搭建全生命周期的水利工控系统网络体安全防护体系,为水利企业工控系统网络安全保驾护航。
(1)风险评估。通过风险评估了解水利工控资产所面临的威胁状况、漏洞情况,合规要求和严重程度;全面掌握水利工控系统安全状况,为加强风险管理、安全防护建设提供重要的依据。
图2 水利工控系统安全防护策略
(2)安全防护。根据业务及工艺要求合理划分网络区域和层次,明确网络边界,设定合理的访问规则;实时监控工控主机的进程状态,全方位地保护主机的资源使用,禁止非法进程的运行;对网络流量、网络数据、事件进行实时监控、实时告警;采用黑名单入侵防御和白名单主动防御,对异常数据和行为进行阻断或告警。
(3)应急响应。建立健全工控安全应急工作责任制 ,抓好水利工控系统安全风险监测工作 ,制定水利工控系统安全事件应急预案,落实人财物保障措施,定期组织应急演练,在工控网络安全事件发生时使损失最小。
4.2 防护工作
(1)工作流程(如图3所示)。
图3 工作流程
通过风险评估找出水利工程工业控制系统在网络架构、设备本体和网络监测审计等方面存在的安全风险;结合水利工控系统网络结构,制定水利工控系统网络安全防护方案,部署相关的网络安全设备;构建水利工控系统全生命周期的安全运维体系。
(2)风险评估。对水利工控系统进行风险评估、漏洞分析、安全性分析,以便正确、及时地了解工控系统的安全现状。根据风险评估的情况,列出不符合安全要求的环节,明晰该环节的风险,为现阶段操作维护及后期整改工作提供依据。具体要对水利生产系统中操作系统、应用软件、网络结构、防病毒方案等关系到网络安全的各方面安全风险、安全隐患进行探测识别;对水利生产系统的操作流程、安全管理制度、应急机制进行安全评估,并提供可行性建议。
(3)防护方案及设备部署。以水库大坝安全监测监控系统网络安全防护为例,防护方案及设备部署如图4所示。
图4 水库大坝安全监测监控系统网络安全防护方案及设备部署
上位机防护,在主控层的工程师站、操作员站、OPC服务器等部署工控卫士,通过应用程序、网络、USB移动存储的白名单策略,防止用户的违规操作和误操作,阻止不明程序、移动存储介质和网络通信的滥用,有效提高系统网络的综合“免疫”能力。
关键节点防护,通过智能保护终端对于水库大坝安全监测监控系统现场控制层的RTU进行安全防护,对于利用RTU已公开漏洞的攻击行为和流量信息进行有效识别和拦截,允许从受信的上位机发送的合规操作流量通过,基于动态学习和自适应的防护策略,达到对RTU的防护效果。
网络监测审计,在水库大坝安全监测监控系统的监控层、通信层、现地层旁路部署监测审计平台,对网络通信流量进行有效监视和威胁检测,对于向内网进行的生产数据非法收集、恶意攻击、数据篡改、违规操作进行告警和审计,为网络安全管理人员提供线索依据和事件还原功能,对于违规操纵和网络攻击行为可实时告警。
集中安全监管,部署在水库大坝安全监测监控系统的网络安全设备通过安全监管平台实现统一化安全监管和运维,监管平台可以实时收集现场安全设备采集分析的威胁情报信息,基于安全分析模型,实现全局的态势安全预警与策略动态自适应,帮助运管人员实时发现现场的安全告警信息,并有助于及时实现安全防护响应。
(4)安全运维
建立安全运维监控中心,基于关键业务点面向业务系统可用性和业务连续性进行合理的布控和监测,以关键绩效指标指导和考核工控系统运行质量和运维管理工作的实施和执行,并对各类事件做出快速、准确的定位和展现,综合展现控制系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。
5 结论与建议
工控网络安全防护需要覆盖控制系统整个生命周期的解决方案。包括针对工控设备特点的,覆盖主要工控协议和丰富检测方法并支持未知协议的检测工具;具备自动学习、自动适应,自动生成防御策略的工业等级的全网安全监控的保护系统;全面覆盖西门子、施耐德电气等全球主流厂商设备的安全数据库(包括设备漏洞库、网络模型库、设备风险统计)。同时,必须向基础设施企业提供漏洞挖掘、渗透攻击、安全策略、技术培训的全方位安全服务。
(1)开展水利工控系统网络安全风险评估工作
采用人工分析与专业检测工具相结合的方式进行,对系统中的威胁、资产、流量等进行分析,清晰定义各体网络的安全风险;采用专业漏洞挖掘检测工具,对水利工程工控系统中的PLC、工业防火墙、网关等进行全面的漏洞挖掘检测,发现漏洞和缺陷;验证Web门户网站安全防护措施有效性和抵御攻击的能力;检测关键业务系统、重要办公终端存在的安全风险;对管理机构设置、管理制度制定、系统的运行维护管理制度,以及人员安全意识和安全知识培训情况等进行安全管理检查。
(2)开展水利工控系统网络安全培训工作
通过技术培训提升水利工业控制系统安全保障水平,强化工作人员对工控网络安全系统性认识,加强技术人员专业能力和专业知识,提高水利工控系统抵御网络安全事件的能力,降低网络安全风险。
(3)开展制定水利工控系统网络安全标准工作
根据水利工程工业控制系统特点,制定水利工控系统网络安全检测规程、水利工程工业控制系统安全风险评估规程、水利工程工业控制系统安全防护规定等相关标准规范,指导水利工控系统网络安全建设及安全运维。
基金项目:水利部技术推介项目(SF-PX-201810)。
作者简介
郭 江(1965-),男,天津人,教授级高工,硕士,现任中国水利水电科学研究院天津机电所副所长、总工,《水电站机电技术》杂志社社长,水利部机电研究所工控网络安全测评中心主任,从事水利水电基础自动化和工控系统网络安全研究工作。
张志华(1979-),男,天津人,高级工程师,硕士,现任中国水利水电科学研究所天津机电所工控网络安全测评中心副主任,从事水利工控系统网络安全研究、评估、检测及整体解决方案设计等工作。
摘自《自动化博览》2018工业控制系统信息安全专刊(第五辑)
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
