摘要:工業控制系統是承載國家經濟發展、維護社會穩定的重要基礎設施,本文以石化、冶金、電力、軌交等重點行業為出發點,從安全軟件選擇與管理、配置和補丁管理、邊界安全防護等方面,分析工控安全現狀以及存在的信息安全隱患。
1.引言
隨著信息技術的迅猛發展,工業控制系統在控制規模、控制技術和信息共享方面都有巨大的變化,由最初簡單控制的封閉系統發展成現在復雜或者先進控制的開放系統,針對工業控制系統的網絡攻擊事件日益增多,石油化工、冶金、電力、軌道交通、煙草等國家重點行業面臨前所未有的網絡安全威脅。本文將結合典型行業特點,從網絡、控制、應用和數據等方面,對工業控制系統信息安全現狀及存在的信息安全隱患進行分析。
2.石化行業特點
2.1行業背景
石化行業信息化建設具有較好的基礎,企業在管理層的指揮、協調和監控能力,上傳下達的實時性、完整性和一致性都有很大提升,相應的網絡安全防護情況也有了明顯改善。隨著石化企業管控一體化的推進,越來越多的工控系統通過信息網連接到互聯網上,潛在的安全威脅與之俱增。2017年,中石化發布《關于加強工業控制系統安全防護的指導意見》,從安全配置、邊界安全防護、安全監測、風險預警等方面對工控系統提出安全防護要求。
石化行業涉及互聯網及集團網、管理網、生產網三層網絡架構,包含采油、煉油、輸油等生產環節。生產區域一般按照不同的生產工藝,以裝置為單位進行生產區域劃分,各生產區域內的工業控制系統一般包括:分布式控制系統(DCS)、可編程邏輯控制器(PLC)、安全儀表系統(SIS)、火災及可燃氣體報警系統(FGS)、SCADA系統等。石化行業工業控制系統注重安全、穩定、長期、滿負荷、優質的運行,且相互關聯、相互依存。
2.2存在的安全隱患
(1)裝置品牌眾多,安全運維困難。煉化采用DCS,倉儲采用PLC,管輸采用SCADA系統,各生產區域工控系統的品牌不一,難以統一管理,且控制設備種類繁多、國產化率較低、系統運行維護困難,無法做到安全自主可控。
(2)各層網絡間無隔離防護。企業的控制網絡系統復雜多樣,缺乏必要的安全邊界及區域功能劃分,過程控制層與數據采集層,先進控制(APC)系統與過程控制網,控制器與操作員站(工程師站),缺少訪問控制措施。一旦系統某節點出現病毒、木馬等問題,會迅速蔓延至整個網絡。
(3)工程師站缺少身份認證機制。工程師站一般情況下只有管理員賬戶,對操作員站、DCS控制器的組態行為通常缺乏身份認證,由于擁有最高操作權限,可以任意修改控制邏輯和流程,存在對現場設備直接組態的重大隱患。
(4)APC系統本身未加裝任何安全防護。在項目工程師安裝、調試和修改期間,APC系統需要頻繁與外部進行數據交換,感染病毒的風險較高。一旦APC系統出現感染木馬、病毒等問題,實時運行的控制系統安全將無法保障。
3.冶金行業特點
3.1行業背景
冶金行業信息化程度逐漸提高,但主流控制系統大部分裝置是國外品牌,安全自主可控難以實現。隨著兩化融合的推進,絕大多數工控系統與企業管理信息系統處于同一網絡平面,加上內網系統的遠程運維需求及對U盤等外設的接入需求,致使工控網絡邊界安全和內網工業主機安全不受控。2016年,中國鋼鐵工業協會下發《關于做好防范PLC-Blaster蠕蟲病毒工作的通知》,強調廣泛應用于鋼鐵行業的西門子S7系列PLC設備是該病毒的主要攻擊目標,潛在威脅極大,需結合自身實際情況組織針對性防范。
3.2存在的安全隱患
(1)生產控制網絡及系統未分層、分區。分廠控制網絡通常采用同一網段,現場PLC、DCS等重要控制設備缺少安全防護,同時各分廠控制網與骨干環網、生產監控網與辦公網之間缺乏隔離防護措施,無法將惡意代碼、非法操作等行為控制在安全區域內。
(2)通信協議多樣,難以保障數據采集安全。由于控制流程復雜、設備種類繁多,采用的通信協議復雜多樣,數據和接口類型千差萬別,數據集中管理與維護難度較大,無法保證各采集平臺的數據完整性。
(3)缺少安全監測和審計措施。操作和管理人員的技術水平不一、安全意識不足,容易出現越權訪問、違規操作等情況,由于系統缺乏對用戶操作行為的審計和監控,無法及時發現非法訪問、操作異常、惡意攻擊等行為,給生產系統埋下極大的安全隱患。
(4)無法對網絡安全事件進行報警或追蹤。大多數控制系統缺少日志分析與事件報警功能,安全事件發生時,系統不能對網絡故障進行預警或報警,且無法追蹤和定位事件的源頭,針對性安全防護工作也就無從下手。
4.電力行業特點
4.1行業背景
電力行業作為工業控制領域信息安全防護建設的先行者,已在信息安全防護建設方面積累了大量經驗:電力企業在電力監控系統安全防護體系建設過程中始終堅持自主可控的原則,研究信息隔離與交換、縱向加密認證等多項專用安全防護技術,進而形成了多項信息安全行業技術規范和標準;針對關鍵產品進行自主研發,并統一組織進行嚴格測試,保證關鍵系統的安全自主可控;各電力企業相繼建立了信息安全相關組織體系,建成了較為完善的信息安全管理制度,包括信息安全總體安全防護策略、管理辦法、信息通報和應急處置制度,涵蓋了信息安全活動的主要方面;總結形成了“安全分區、網絡專用、橫向隔離、縱向認證”的信息安全防護策略,建立了多技術層面的防護體系,做到了物理、網絡、終端和數據的多角度、全方面保護。
4.2存在的安全隱患
(1)未建立工業控制主機和設備的安全配置策略。多數工業主機上未安裝防病毒或白名單軟件,且系統中存在大量USB存儲設備使用記錄,未通過主機外設安全管理技術手段實施訪問控制,工業控制系統關鍵設備均未采用多因素認證方式。安全設備配置不合理,防火墻規則和路由器配置不當容易引發通信安全風險,訪問控制規則配置不正確的防火墻可能許可不必要的網絡數據傳輸,如在企業網和控制網之間進行數據交換,可能導致惡意攻擊或惡意代碼在系統網絡的傳播,重要工業數據容易被竊聽。
(2)電力系統對時序要求嚴格,容易出現傳輸延遲等問題。SCADA和自動化控制系統對受控對象的直接操作具有高度時效性,不允許發生重大延遲和系統震蕩,以變電站運作為例,觸發電路開關延遲可能導致功率波動甚至停電。如果惡意攻擊者頻繁發起常見請求,即使防火墻能夠阻止未授權的請求,但在數據處理能力不足、帶寬受限的情況下,也會引起網絡延遲,難以滿足傳輸的實時性要求。
(3)系統各種業務的應用程序缺少驗證機制。多數電力工業控制設備缺乏身份驗證機制,即便有,大部分也為設備供應商默認的用戶名和密碼,極易被猜到或破解,一般不會定期更換密碼,同時應用系統的資源(如文件、數據庫表等)存在被越權使用的風險。對關鍵設備和組件缺少冗余配置,導致應用程序對故障的檢測、處理和恢復能力不足,缺少對程序界面輸入內容或是注入攻擊的驗證,如SQL注入攻擊等,系統數據庫存在泄漏的風險。
(4)管理信息大區積累大量電力敏感數據,存在泄漏或被篡改的風險。不僅僅是居民的用電數據,個人信息也存儲在電力數據庫中,電力調度、檢修、運維等數據極易被批量查詢,從而導出個人敏感信息,缺乏對敏感字符的過濾機制將帶來安全風險。同時電力數據通常不進行定期備份,如果發生人為誤操作導致數據更改或刪除,或是數據庫自身出現故障、服務器宕機,數據存儲安全性難以保證。
5.軌交行業特點
5.1行業背景
隨著計算機和網絡技術的發展,特別是信號系統信息化的深度集成,CBTC系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與PIS網絡、語音廣播等其他子系統互聯,甚至與公共網絡連接,導致病毒、木馬等威脅向CBTC系統擴散。一旦CBTC系統出現信息安全問題,將對城市軌道交通的穩定運行和乘客的人身安全產生重大影響。某地軌道交通運營公司在《軌道交通信息安全技術架構》中提出信息安全建設的總體目標為:全面防護、保護重點、專區專用、強化邊界,旨在提升信息安全的預警能力、保障能力、檢測能力、應急能力和恢復能力。要求以GB/T 22239為基礎,以“安全分區、網絡專用、三網隔離、分級防護”為原則,在技術層面要求各系統統一技術架構和標準,按相應等級要求建設、實施。
5.2存在的安全隱患
(1)現場環境嚴苛,網絡設備存在被動適應安全隱患。軌交現場的機電一體化設備通常部署在較為苛刻的環境中,傳統的網絡安全設備難以穩定運行,因此無法保證工業網絡及控制系統的信息安全。苛刻的環境條件包括極端的溫度、EMC、EMI等,其對傳統網絡安全設備造成的破壞可能比惡意程序或代碼的攻擊更為嚴重。
(2)無線通信安全性亟待加強。信號系統的無線信號是開放的,軌旁無線與列車通信鏈路采用同一頻段,可能出現用戶未經授權非法接入信號系統、數據在傳輸過程中被監聽竊取等問題。無線網絡的開放性增加了無線設備配置的安全風險,無線網加密機制存在安全隱患。
(3)軌交列控系統存在移動媒介、以太網接口以及設備接入隱患。工業主機大量使用外設接口,安全管理技術手段欠缺,存在USB協議、U盤運行、U盤固件設計隱患;多數交換機、工控機等設備中存在未使用且開放的端口,各種系統及設備接入缺乏訪問控制措施。
(4)數據庫安全隱患。管理方式不當、操作系統故障及軟件故障都會導致軌道交通子系統性能的下降,影響系統的可用性;獲得系統控制權限的攻擊者可能接觸到數據庫,缺省密碼或弱密碼易導致關鍵控制數據被篡改或者喪失,或列車失去控制,嚴重甚至導致人員傷亡。
6.行業共性問題
(1)未進行安全域劃分,安全邊界模糊。大多數行業的工控系統各子系統之間沒有隔離防護,未根據區域重要性和業務需求對工控網絡進行安全區域劃分,系統邊界不清晰,邊界訪問控制策略缺失,重要網段和其他網段之間缺少有效的隔離手段,一旦出現網絡安全事件,安全威脅無法控制在特定區域內。
(2)操作系統存在漏洞,主機安全防護不足。工程師站和操作員站一般是基于Windows平臺,包括NT4.0、2000、XP、Win7、Server2003等,考慮到殺毒軟件和系統補丁可能對控制系統的穩定運行造成影響,即便安裝殺毒軟件也存在病毒庫過期等問題,因此通常不安裝或運行殺毒軟件,系統補丁在特殊情況下才進行更新或升級。同時,移動存儲介質和軟件運行權限管理缺失,控制系統極易感染病毒。
(3)通信協議的安全性考慮不足,容易被攻擊者利用。專用的工控通信協議或規約在設計之初一般只考慮通信的實時性和可用性,很少或根本沒有考慮安全性問題,例如缺乏強度足夠的認證、加密或授權措施等,特別是工控系統中的無線通信協議,更容易受到中間人的竊聽和欺騙性攻擊。為保證數據傳輸的實時性,Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控協議多采用明文傳輸,易于被劫持和修改。
(4)安全策略和管理制度不完善,人員安全意識不足。目前大多數行業尚未形成完整合理的信息安全保障制度和流程,對工控系統規劃、設計、建設、運維、評估等階段的信息安全需求考慮不充分,配套的事件處理流程、人員責任體制、供應鏈管理機制有所欠缺。同時,缺乏工控安全宣傳和培訓,對人員安全意識的培養不夠重視,工控系統經常會接入各種終端設備,感染病毒、木馬等的風險極大,給系統安全可靠運行埋下隱患。
7.結語
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全,保障系統信息安全是維護工業控制系統穩定運行的重要前提,是開展工業建設的堅實基礎。針對不同的工業控制系統信息安全需求及系統運行情況,選擇恰當的安全防護措施,全方位地對工業控制系統的安全風險進行分析和評估,才能確保各行業網絡的安全、可靠,避免信息安全隱患造成不可預估的損失。
作者簡介
甘俊杰(1993-),男,碩士,畢業于北京郵電大學,現就職于中國電子技術標準化研究院,主要從事工業信息安全方面的研究。
夏 冀,男,工程師,現就職于中國電子技術標準化研究院信息安全研究中心,主要從事工業信息安全標準研制工作。
李 琳,男,博士,現任中國電子技術標準化研究院工程師,工業控制系統安全標準和測評工業和信息化部重點實驗室技術總監。
