摘要:工業(yè)控制系統(tǒng)是承載國家經(jīng)濟發(fā)展、維護社會穩(wěn)定的重要基礎(chǔ)設(shè)施,本文以石化、冶金、電力、軌交等重點行業(yè)為出發(fā)點,從安全軟件選擇與管理、配置和補丁管理、邊界安全防護等方面,分析工控安全現(xiàn)狀以及存在的信息安全隱患。
1.引言
隨著信息技術(shù)的迅猛發(fā)展,工業(yè)控制系統(tǒng)在控制規(guī)模、控制技術(shù)和信息共享方面都有巨大的變化,由最初簡單控制的封閉系統(tǒng)發(fā)展成現(xiàn)在復(fù)雜或者先進控制的開放系統(tǒng),針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件日益增多,石油化工、冶金、電力、軌道交通、煙草等國家重點行業(yè)面臨前所未有的網(wǎng)絡(luò)安全威脅。本文將結(jié)合典型行業(yè)特點,從網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)等方面,對工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及存在的信息安全隱患進行分析。
2.石化行業(yè)特點
2.1行業(yè)背景
石化行業(yè)信息化建設(shè)具有較好的基礎(chǔ),企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力,上傳下達的實時性、完整性和一致性都有很大提升,相應(yīng)的網(wǎng)絡(luò)安全防護情況也有了明顯改善。隨著石化企業(yè)管控一體化的推進,越來越多的工控系統(tǒng)通過信息網(wǎng)連接到互聯(lián)網(wǎng)上,潛在的安全威脅與之俱增。2017年,中石化發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)安全防護的指導(dǎo)意見》,從安全配置、邊界安全防護、安全監(jiān)測、風險預(yù)警等方面對工控系統(tǒng)提出安全防護要求。
石化行業(yè)涉及互聯(lián)網(wǎng)及集團網(wǎng)、管理網(wǎng)、生產(chǎn)網(wǎng)三層網(wǎng)絡(luò)架構(gòu),包含采油、煉油、輸油等生產(chǎn)環(huán)節(jié)。生產(chǎn)區(qū)域一般按照不同的生產(chǎn)工藝,以裝置為單位進行生產(chǎn)區(qū)域劃分,各生產(chǎn)區(qū)域內(nèi)的工業(yè)控制系統(tǒng)一般包括:分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、安全儀表系統(tǒng)(SIS)、火災(zāi)及可燃氣體報警系統(tǒng)(FGS)、SCADA系統(tǒng)等。石化行業(yè)工業(yè)控制系統(tǒng)注重安全、穩(wěn)定、長期、滿負荷、優(yōu)質(zhì)的運行,且相互關(guān)聯(lián)、相互依存。
2.2存在的安全隱患
(1)裝置品牌眾多,安全運維困難。煉化采用DCS,倉儲采用PLC,管輸采用SCADA系統(tǒng),各生產(chǎn)區(qū)域工控系統(tǒng)的品牌不一,難以統(tǒng)一管理,且控制設(shè)備種類繁多、國產(chǎn)化率較低、系統(tǒng)運行維護困難,無法做到安全自主可控。
(2)各層網(wǎng)絡(luò)間無隔離防護。企業(yè)的控制網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣,缺乏必要的安全邊界及區(qū)域功能劃分,過程控制層與數(shù)據(jù)采集層,先進控制(APC)系統(tǒng)與過程控制網(wǎng),控制器與操作員站(工程師站),缺少訪問控制措施。一旦系統(tǒng)某節(jié)點出現(xiàn)病毒、木馬等問題,會迅速蔓延至整個網(wǎng)絡(luò)。
(3)工程師站缺少身份認證機制。工程師站一般情況下只有管理員賬戶,對操作員站、DCS控制器的組態(tài)行為通常缺乏身份認證,由于擁有最高操作權(quán)限,可以任意修改控制邏輯和流程,存在對現(xiàn)場設(shè)備直接組態(tài)的重大隱患。
(4)APC系統(tǒng)本身未加裝任何安全防護。在項目工程師安裝、調(diào)試和修改期間,APC系統(tǒng)需要頻繁與外部進行數(shù)據(jù)交換,感染病毒的風險較高。一旦APC系統(tǒng)出現(xiàn)感染木馬、病毒等問題,實時運行的控制系統(tǒng)安全將無法保障。
3.冶金行業(yè)特點
3.1行業(yè)背景
冶金行業(yè)信息化程度逐漸提高,但主流控制系統(tǒng)大部分裝置是國外品牌,安全自主可控難以實現(xiàn)。隨著兩化融合的推進,絕大多數(shù)工控系統(tǒng)與企業(yè)管理信息系統(tǒng)處于同一網(wǎng)絡(luò)平面,加上內(nèi)網(wǎng)系統(tǒng)的遠程運維需求及對U盤等外設(shè)的接入需求,致使工控網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)工業(yè)主機安全不受控。2016年,中國鋼鐵工業(yè)協(xié)會下發(fā)《關(guān)于做好防范PLC-Blaster蠕蟲病毒工作的通知》,強調(diào)廣泛應(yīng)用于鋼鐵行業(yè)的西門子S7系列PLC設(shè)備是該病毒的主要攻擊目標,潛在威脅極大,需結(jié)合自身實際情況組織針對性防范。
3.2存在的安全隱患
(1)生產(chǎn)控制網(wǎng)絡(luò)及系統(tǒng)未分層、分區(qū)。分廠控制網(wǎng)絡(luò)通常采用同一網(wǎng)段,現(xiàn)場PLC、DCS等重要控制設(shè)備缺少安全防護,同時各分廠控制網(wǎng)與骨干環(huán)網(wǎng)、生產(chǎn)監(jiān)控網(wǎng)與辦公網(wǎng)之間缺乏隔離防護措施,無法將惡意代碼、非法操作等行為控制在安全區(qū)域內(nèi)。
(2)通信協(xié)議多樣,難以保障數(shù)據(jù)采集安全。由于控制流程復(fù)雜、設(shè)備種類繁多,采用的通信協(xié)議復(fù)雜多樣,數(shù)據(jù)和接口類型千差萬別,數(shù)據(jù)集中管理與維護難度較大,無法保證各采集平臺的數(shù)據(jù)完整性。
(3)缺少安全監(jiān)測和審計措施。操作和管理人員的技術(shù)水平不一、安全意識不足,容易出現(xiàn)越權(quán)訪問、違規(guī)操作等情況,由于系統(tǒng)缺乏對用戶操作行為的審計和監(jiān)控,無法及時發(fā)現(xiàn)非法訪問、操作異常、惡意攻擊等行為,給生產(chǎn)系統(tǒng)埋下極大的安全隱患。
(4)無法對網(wǎng)絡(luò)安全事件進行報警或追蹤。大多數(shù)控制系統(tǒng)缺少日志分析與事件報警功能,安全事件發(fā)生時,系統(tǒng)不能對網(wǎng)絡(luò)故障進行預(yù)警或報警,且無法追蹤和定位事件的源頭,針對性安全防護工作也就無從下手。
4.電力行業(yè)特點
4.1行業(yè)背景
電力行業(yè)作為工業(yè)控制領(lǐng)域信息安全防護建設(shè)的先行者,已在信息安全防護建設(shè)方面積累了大量經(jīng)驗:電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護體系建設(shè)過程中始終堅持自主可控的原則,研究信息隔離與交換、縱向加密認證等多項專用安全防護技術(shù),進而形成了多項信息安全行業(yè)技術(shù)規(guī)范和標準;針對關(guān)鍵產(chǎn)品進行自主研發(fā),并統(tǒng)一組織進行嚴格測試,保證關(guān)鍵系統(tǒng)的安全自主可控;各電力企業(yè)相繼建立了信息安全相關(guān)組織體系,建成了較為完善的信息安全管理制度,包括信息安全總體安全防護策略、管理辦法、信息通報和應(yīng)急處置制度,涵蓋了信息安全活動的主要方面;總結(jié)形成了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的信息安全防護策略,建立了多技術(shù)層面的防護體系,做到了物理、網(wǎng)絡(luò)、終端和數(shù)據(jù)的多角度、全方面保護。
4.2存在的安全隱患
(1)未建立工業(yè)控制主機和設(shè)備的安全配置策略。多數(shù)工業(yè)主機上未安裝防病毒或白名單軟件,且系統(tǒng)中存在大量USB存儲設(shè)備使用記錄,未通過主機外設(shè)安全管理技術(shù)手段實施訪問控制,工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備均未采用多因素認證方式。安全設(shè)備配置不合理,防火墻規(guī)則和路由器配置不當容易引發(fā)通信安全風險,訪問控制規(guī)則配置不正確的防火墻可能許可不必要的網(wǎng)絡(luò)數(shù)據(jù)傳輸,如在企業(yè)網(wǎng)和控制網(wǎng)之間進行數(shù)據(jù)交換,可能導(dǎo)致惡意攻擊或惡意代碼在系統(tǒng)網(wǎng)絡(luò)的傳播,重要工業(yè)數(shù)據(jù)容易被竊聽。
(2)電力系統(tǒng)對時序要求嚴格,容易出現(xiàn)傳輸延遲等問題。SCADA和自動化控制系統(tǒng)對受控對象的直接操作具有高度時效性,不允許發(fā)生重大延遲和系統(tǒng)震蕩,以變電站運作為例,觸發(fā)電路開關(guān)延遲可能導(dǎo)致功率波動甚至停電。如果惡意攻擊者頻繁發(fā)起常見請求,即使防火墻能夠阻止未授權(quán)的請求,但在數(shù)據(jù)處理能力不足、帶寬受限的情況下,也會引起網(wǎng)絡(luò)延遲,難以滿足傳輸?shù)膶崟r性要求。
(3)系統(tǒng)各種業(yè)務(wù)的應(yīng)用程序缺少驗證機制。多數(shù)電力工業(yè)控制設(shè)備缺乏身份驗證機制,即便有,大部分也為設(shè)備供應(yīng)商默認的用戶名和密碼,極易被猜到或破解,一般不會定期更換密碼,同時應(yīng)用系統(tǒng)的資源(如文件、數(shù)據(jù)庫表等)存在被越權(quán)使用的風險。對關(guān)鍵設(shè)備和組件缺少冗余配置,導(dǎo)致應(yīng)用程序?qū)收系臋z測、處理和恢復(fù)能力不足,缺少對程序界面輸入內(nèi)容或是注入攻擊的驗證,如SQL注入攻擊等,系統(tǒng)數(shù)據(jù)庫存在泄漏的風險。
(4)管理信息大區(qū)積累大量電力敏感數(shù)據(jù),存在泄漏或被篡改的風險。不僅僅是居民的用電數(shù)據(jù),個人信息也存儲在電力數(shù)據(jù)庫中,電力調(diào)度、檢修、運維等數(shù)據(jù)極易被批量查詢,從而導(dǎo)出個人敏感信息,缺乏對敏感字符的過濾機制將帶來安全風險。同時電力數(shù)據(jù)通常不進行定期備份,如果發(fā)生人為誤操作導(dǎo)致數(shù)據(jù)更改或刪除,或是數(shù)據(jù)庫自身出現(xiàn)故障、服務(wù)器宕機,數(shù)據(jù)存儲安全性難以保證。
5.軌交行業(yè)特點
5.1行業(yè)背景
隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信號系統(tǒng)信息化的深度集成,CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與PIS網(wǎng)絡(luò)、語音廣播等其他子系統(tǒng)互聯(lián),甚至與公共網(wǎng)絡(luò)連接,導(dǎo)致病毒、木馬等威脅向CBTC系統(tǒng)擴散。一旦CBTC系統(tǒng)出現(xiàn)信息安全問題,將對城市軌道交通的穩(wěn)定運行和乘客的人身安全產(chǎn)生重大影響。某地軌道交通運營公司在《軌道交通信息安全技術(shù)架構(gòu)》中提出信息安全建設(shè)的總體目標為:全面防護、保護重點、專區(qū)專用、強化邊界,旨在提升信息安全的預(yù)警能力、保障能力、檢測能力、應(yīng)急能力和恢復(fù)能力。要求以GB/T 22239為基礎(chǔ),以“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級防護”為原則,在技術(shù)層面要求各系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標準,按相應(yīng)等級要求建設(shè)、實施。
5.2存在的安全隱患
(1)現(xiàn)場環(huán)境嚴苛,網(wǎng)絡(luò)設(shè)備存在被動適應(yīng)安全隱患。軌交現(xiàn)場的機電一體化設(shè)備通常部署在較為苛刻的環(huán)境中,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備難以穩(wěn)定運行,因此無法保證工業(yè)網(wǎng)絡(luò)及控制系統(tǒng)的信息安全。苛刻的環(huán)境條件包括極端的溫度、EMC、EMI等,其對傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備造成的破壞可能比惡意程序或代碼的攻擊更為嚴重。
(2)無線通信安全性亟待加強。信號系統(tǒng)的無線信號是開放的,軌旁無線與列車通信鏈路采用同一頻段,可能出現(xiàn)用戶未經(jīng)授權(quán)非法接入信號系統(tǒng)、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取等問題。無線網(wǎng)絡(luò)的開放性增加了無線設(shè)備配置的安全風險,無線網(wǎng)加密機制存在安全隱患。
(3)軌交列控系統(tǒng)存在移動媒介、以太網(wǎng)接口以及設(shè)備接入隱患。工業(yè)主機大量使用外設(shè)接口,安全管理技術(shù)手段欠缺,存在USB協(xié)議、U盤運行、U盤固件設(shè)計隱患;多數(shù)交換機、工控機等設(shè)備中存在未使用且開放的端口,各種系統(tǒng)及設(shè)備接入缺乏訪問控制措施。
(4)數(shù)據(jù)庫安全隱患。管理方式不當、操作系統(tǒng)故障及軟件故障都會導(dǎo)致軌道交通子系統(tǒng)性能的下降,影響系統(tǒng)的可用性;獲得系統(tǒng)控制權(quán)限的攻擊者可能接觸到數(shù)據(jù)庫,缺省密碼或弱密碼易導(dǎo)致關(guān)鍵控制數(shù)據(jù)被篡改或者喪失,或列車失去控制,嚴重甚至導(dǎo)致人員傷亡。
6.行業(yè)共性問題
(1)未進行安全域劃分,安全邊界模糊。大多數(shù)行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒有隔離防護,未根據(jù)區(qū)域重要性和業(yè)務(wù)需求對工控網(wǎng)絡(luò)進行安全區(qū)域劃分,系統(tǒng)邊界不清晰,邊界訪問控制策略缺失,重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段,一旦出現(xiàn)網(wǎng)絡(luò)安全事件,安全威脅無法控制在特定區(qū)域內(nèi)。
(2)操作系統(tǒng)存在漏洞,主機安全防護不足。工程師站和操作員站一般是基于Windows平臺,包括NT4.0、2000、XP、Win7、Server2003等,考慮到殺毒軟件和系統(tǒng)補丁可能對控制系統(tǒng)的穩(wěn)定運行造成影響,即便安裝殺毒軟件也存在病毒庫過期等問題,因此通常不安裝或運行殺毒軟件,系統(tǒng)補丁在特殊情況下才進行更新或升級。同時,移動存儲介質(zhì)和軟件運行權(quán)限管理缺失,控制系統(tǒng)極易感染病毒。
(3)通信協(xié)議的安全性考慮不足,容易被攻擊者利用。專用的工控通信協(xié)議或規(guī)約在設(shè)計之初一般只考慮通信的實時性和可用性,很少或根本沒有考慮安全性問題,例如缺乏強度足夠的認證、加密或授權(quán)措施等,特別是工控系統(tǒng)中的無線通信協(xié)議,更容易受到中間人的竊聽和欺騙性攻擊。為保證數(shù)據(jù)傳輸?shù)膶崟r性,Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控協(xié)議多采用明文傳輸,易于被劫持和修改。
(4)安全策略和管理制度不完善,人員安全意識不足。目前大多數(shù)行業(yè)尚未形成完整合理的信息安全保障制度和流程,對工控系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維、評估等階段的信息安全需求考慮不充分,配套的事件處理流程、人員責任體制、供應(yīng)鏈管理機制有所欠缺。同時,缺乏工控安全宣傳和培訓,對人員安全意識的培養(yǎng)不夠重視,工控系統(tǒng)經(jīng)常會接入各種終端設(shè)備,感染病毒、木馬等的風險極大,給系統(tǒng)安全可靠運行埋下隱患。
7.結(jié)語
工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全,保障系統(tǒng)信息安全是維護工業(yè)控制系統(tǒng)穩(wěn)定運行的重要前提,是開展工業(yè)建設(shè)的堅實基礎(chǔ)。針對不同的工業(yè)控制系統(tǒng)信息安全需求及系統(tǒng)運行情況,選擇恰當?shù)陌踩雷o措施,全方位地對工業(yè)控制系統(tǒng)的安全風險進行分析和評估,才能確保各行業(yè)網(wǎng)絡(luò)的安全、可靠,避免信息安全隱患造成不可預(yù)估的損失。
作者簡介
甘俊杰(1993-),男,碩士,畢業(yè)于北京郵電大學,現(xiàn)就職于中國電子技術(shù)標準化研究院,主要從事工業(yè)信息安全方面的研究。
夏 冀,男,工程師,現(xiàn)就職于中國電子技術(shù)標準化研究院信息安全研究中心,主要從事工業(yè)信息安全標準研制工作。
李 琳,男,博士,現(xiàn)任中國電子技術(shù)標準化研究院工程師,工業(yè)控制系統(tǒng)安全標準和測評工業(yè)和信息化部重點實驗室技術(shù)總監(jiān)。
