今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著工業(yè)信息化進程的快速推進,信息、網絡技術在工業(yè)控制領域得到了廣泛的應用。工業(yè)控制系統(tǒng)逐漸打破了以往的封閉性,這使得工業(yè)控制系統(tǒng)必將面臨黑客入侵等傳統(tǒng)的信息安全威脅。本文分析了工業(yè)控制系統(tǒng)面臨的信息安全威脅,以及現(xiàn)有工業(yè)控制領域信息安全工作的進展,提出了綠盟科技應對工業(yè)控制系統(tǒng)信息安全問題的解決思路,從根本上發(fā)現(xiàn)并解決工業(yè)控制系統(tǒng)信息安全問題。
關鍵詞:工業(yè)控制系統(tǒng);漏洞
Abstract: With the rapid development of industrial informatization, the information and network technology has been widely adopted in the industrial control area. The isolation of the industrial control system (ICS) has gradually been broken down, which incurs information security threats for the traditional industrial control system, such as hacker intrusions. This paper analyzes the security threats to the industrial control system as well as the progress of the current industrial control system security. And this paper also puts forward NSFOCUS's solutions to the ICS security
issues in order to detect and eliminate the threats from the root.
Key words: Industrial control system; Vulnerability
1 工業(yè)控制系統(tǒng)信息安全威脅
隨著工業(yè)信息化進程的快速推進,信息、網絡以及物聯(lián)網技術在智能電網、智能交通、工業(yè)生產系統(tǒng)等工業(yè)控制領域得到了廣泛的應用,極大地提高了企業(yè)的綜合效益。為實現(xiàn)系統(tǒng)間的協(xié)同和信息分享,工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性:采用標準、通用的通信協(xié)議及硬軟件系統(tǒng),甚至有些工業(yè)控制系統(tǒng)以某些方式連接到互聯(lián)網等公共網絡中。
這使得工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應用在電力、交通、石油化工、核工業(yè)等國家重要的行業(yè)中,其安全事故造成的社會影響和經濟損失會更為嚴重。出于政治、軍事、經濟、信仰等諸多目的,敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控制系統(tǒng)作為達成其目的的攻擊目標。
根據ICS-CERT(US-CERT下屬的專門負責工業(yè)控制系統(tǒng)的應急響應小組)的統(tǒng)計,自2011年以來,工業(yè)控制系統(tǒng)相關信息安全事件數(shù)量大幅度上升,如圖1所示。雖然針對工業(yè)控制系統(tǒng)的信息安全事件與互聯(lián)網上的攻擊事件相比,數(shù)量少得多,但由于工業(yè)控制系統(tǒng)對于國計民生的重要性,每一次事件都會帶來巨大的影響和危害。
2 現(xiàn)有工業(yè)控制領域信息安全工作進展
工業(yè)控制系統(tǒng)脆弱的安全狀況以及日益嚴重的攻擊威脅,已經引起了國家的高度重視, 甚至提升到“國家安全戰(zhàn)略”的高度,并在政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業(yè)控制系統(tǒng)信息安全管理要求的同時,國家主管部門在政策和科研層面上也在積極部署工業(yè)控制系統(tǒng)的信息安全保障工作。
自2013年以來,工業(yè)控制系統(tǒng)的信息安全問題在國內許多信息安全相關的技術大會上作為重要的研討議題頻繁出現(xiàn),已成為工業(yè)控制系統(tǒng)相關的各行業(yè)以及信息安全領域的研究機構、廠商所關注的熱點方向之一。同時,國家在政策制定、技術標準研制、科研基金支持、促進行業(yè)內合作等方面也在逐步加大推動的力度。其中很多廠商在工業(yè)控制信息安全領域工作進展十分明顯。
2.1 工業(yè)控制系統(tǒng)制造商
隨著工業(yè)控制系統(tǒng)信息安全問題越來越受關注,各個工業(yè)控制系統(tǒng)制造商也將工業(yè)控制系統(tǒng)信息安全工作納入其工作范疇之中。在研發(fā)制造階段,很多制造商引入信息安全評估機制,對其生產的工業(yè)控制設備進行信息安全評估。目前以西門子、施耐德電氣、羅克韋爾自動化等為主的國際大型工業(yè)控制系統(tǒng)制造商都已經在積極進行工業(yè)控制系統(tǒng)信息安全研究。
以西門子為例,西門子中國研究院成立了信息安全部,專門針對工業(yè)控制系統(tǒng)進行信息安全研究工作,并提出了縱深防御的安全理念,將工廠安全、網絡信息安全、系統(tǒng)完整性統(tǒng)一考慮,形成解決方案[2],如圖2所示。
可以看到,西門子主要針對的是其自身的設備產品,給出了基于訪問控制、密碼保護在內的信息安全解決方案。
施耐德電氣、羅克韋爾自動化的情況與西門子比較類似,均提出了針對自身產品的工業(yè)控制系統(tǒng)信息安全解決方案。
從總體上看,先進的工業(yè)控制系統(tǒng)制造商都能夠提出自己的工業(yè)控制系統(tǒng)信息安全解決方案。但是這些制造商做這項工作也有其不足之處:各個廠商需要在IT安全領域與各種傳統(tǒng)IT安全廠商合作才可以實現(xiàn)其信息安全解決方案。而更為關鍵的OT(操作技術)安全領域,這些制造商僅能夠針對自身產品提供解決方案,無法提供跨廠商的OT安全解決方案。
2.2 工業(yè)控制信息安全供應商
目前也有很多重點在工業(yè)控制信息安全開展工作的廠商,這些廠商主要為工業(yè)控制系統(tǒng)用戶提供通用的工業(yè)控制信息安全產品或服務,如海天煒業(yè)、力控華康等廠商。這些工業(yè)控制信息安全供應商一般在工業(yè)控制領域都有技術積累,因此能夠快速推出工業(yè)控制信息安全設備。但由于這些廠商在信息安全領域的積累不足,所以推出的安全設備主要為訪問控制類產品,如工控防火墻、工控隔離網關等。
3 工業(yè)控制系統(tǒng)信息安全治理的治本之道
3.1 工業(yè)控制系統(tǒng)面臨更加苛刻的安全性要求
在工業(yè)控制系統(tǒng)中,無論是一次系統(tǒng)還是二次系統(tǒng),以及間隔層還是過程層,業(yè)務的連續(xù)性、健康性是至關重要的。而工業(yè)控制系統(tǒng)由于其長期封閉、獨立的特性,造成了在信息安全方面建設的欠缺,不具備更多的容錯處理,比如異常指令的處理;不具備較大壓力的處理,比如快速數(shù)據傳輸、訪問等。在Gartner報告中[4],總結了工業(yè)控制系統(tǒng)安全性相比IT環(huán)境的一些區(qū)別性特性:
·工業(yè)控制系統(tǒng)安全問題將直接對物理環(huán)境造成影響,有可能導致死亡、受傷、環(huán)境破壞和大規(guī)模關鍵業(yè)務中斷等;
·工業(yè)控制系統(tǒng)安全相比IT安全有更廣泛的威脅向量,包括安全限制和特有網絡協(xié)議的支持;
·工業(yè)控制系統(tǒng)安全涉及的系統(tǒng)廠商多,測試和開發(fā)環(huán)境多種多樣;
·一些工業(yè)控制系統(tǒng)安全環(huán)境面臨預算限制,這是與那些需要嚴格監(jiān)管的IT的不同之處;
·在傳統(tǒng)的安全性和可用性作為主要安全特性的IT行業(yè),工業(yè)控制系統(tǒng)行業(yè)還會關注對產品質量的協(xié)調影響,運營資產和下游后果的安全問題。
3.2 把成熟的IT風險評估技術移植到工業(yè)控制系統(tǒng)環(huán)境中
在面對與IT系統(tǒng)不一樣的安全性要求的工業(yè)控制系統(tǒng)時,如何把成熟的IT風險評估技術移植到工業(yè)控制系統(tǒng)中成為必須要解決的問題。對這些挑戰(zhàn)進行小結的話,可以歸納為三個方面:一是如何覆蓋多樣的工業(yè)控制系統(tǒng);二是如何在評估時保障業(yè)務的連續(xù)性和健康性;三是如何進行成熟的安全風險評估。以下將從這三個方面分別進行探討。
3.2.1 覆蓋多樣的工業(yè)控制系統(tǒng)
在安全風險評估時,不僅需要對在工業(yè)控制系統(tǒng)中使用的傳統(tǒng)IT設備/系統(tǒng),比如操作系統(tǒng)、交換機、路由器、弱口令、FTP服務器、Web服務器等進行安全評估,還需要覆蓋工業(yè)控制系統(tǒng)中所特有的設備/系統(tǒng),比如SCADA、DCS、PLC、現(xiàn)場總線等;同時,不僅要覆蓋對漏洞的評估,還需要對一些關鍵系統(tǒng)的配置進行安全性評估;在工控協(xié)議的支持上,需要對主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協(xié)議,其覆蓋范圍可參見圖3。
但是,根據IHS最近的研究報告“2013全球工業(yè)以太網和現(xiàn)場總線技術”[5]中的調查顯示,從2011年到2016年,雖然新增加網絡節(jié)點的總數(shù)量將會超過30%,但是現(xiàn)場總線和以太網產品的混合產品數(shù)量將會基本維持不變,從23%到26%僅僅增加3個百分點。由于技術更新的成本、難度,老式工業(yè)總線很難都替換成支持以太網的新式總線。因此,需要一種有效地手段,可以對基于老式總線工業(yè)控制系統(tǒng)進行漏洞掃描。綠盟科技的解決思路是,使用一種有效的基于總線轉換技術的漏洞掃描技術,也就是說通過對老式總線的接入方式的轉換,例如RS485轉換成以太網,使得采用標準工控總線協(xié)議的工業(yè)控制系統(tǒng),例如Profibus-DP、Modbus等,可以通過以太網的方式進行漏洞掃描。這種技術可以有效地把基于以太網的成熟漏洞掃描技術引進到老式的工業(yè)控制系統(tǒng)中,實現(xiàn)更全面的安全風險評估。轉換思路如圖4所示。
3.2.2 在評估時保障業(yè)務的連續(xù)性和健康性
面對安全性要求更高的工業(yè)控制系統(tǒng),需要在掃描時更加安全、可靠,而工業(yè)控制系統(tǒng)由于長期封閉建設的原因,設備/系統(tǒng)相比IT系統(tǒng)更加的脆弱。因此需要采用“零影響”的掃描技術以保障設備的零影響。在解決思路上,如果能把安全掃描融入到正常的業(yè)務中,也就是說掃描行為與正常的業(yè)務行為保持一致性,將很好地解決這個問題。同時,通過在IT系統(tǒng)中多年積累的安全掃描經驗,能夠更好地保障業(yè)務的連續(xù)性和健康性。
3.3 如何進行成熟的安全風險評估
結合漏洞的生命周期以及漏洞管理流程,可從以下三個方面進行成熟的安全風險評估:
3.3.1 可視化的工控風險展示
風險“可視化”是進行風險管控必不可少的特性。科學的風險發(fā)現(xiàn)、風險跟蹤技術可以很好地提高整體風險控制水平,可為企業(yè)帶來更高效率,有的甚至可以達到更好的效果。
綠盟科技根據多年的經驗積累,采用了更具實效性的儀表盤技術,從不同的角度展示設備風險及趨勢。
·包含資產整體的風險值、資產分析趨勢圖;
·包含主機風險等級分布、資產風險分布趨勢;
·能夠可視化的顯示當前資產的風險值及過去一段時間的變化趨勢。
3.3.2 基于工控資產的漏洞跟蹤
工控系統(tǒng)一般規(guī)模大,資產數(shù)量、漏洞數(shù)量、脆弱性問題也很多,匯總成大量的風險數(shù)據,會使安全管理人員疲于應付,又不能保證對重要資產的及時修補。
因此在漏洞跟蹤時需要盡量收集工控系統(tǒng)環(huán)境信息,建立起工控資產關系列表,系統(tǒng)基于資產信息進行脆弱性掃描和分析報告;需要從風險發(fā)生區(qū)域、類型、嚴重程度進行不同維度的分類分析報告,用戶可以全局掌握安全風險,關注重點區(qū)域、重點資產,對嚴重問題優(yōu)先修補。對于需要定位工控資產安全脆弱性的安全維護人員,通過直接點擊儀表盤風險數(shù)據,可以逐級定位風險,直至定位到具體主機具體漏洞;同時需要提供強大的搜索功能,可以根據資產范圍、風險程度等條件搜索定位風險。
3.3.3 完善的工控漏洞管理流程
安全管理不只是技術,更重要的是通過流程制度對安全脆弱性風險進行控制,很多公司制定了安全流程制度,但仍然有安全事故發(fā)生,人員對流程制度的執(zhí)行起到關鍵作用,如何融入管理流程,并促進流程的執(zhí)行是安全脆弱性管理產品需要解決的問題。
安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環(huán)節(jié),結合安全流程中的預警、檢測、分析管理、審計環(huán)節(jié),并通過事件告警督促安全管理人員進行風險修補。
4 結語
工業(yè)控制系統(tǒng)信息安全是近一兩年來備受各方關注的一個新興安全技術領域。工業(yè)控制系統(tǒng)制造商、傳統(tǒng)信息安全廠商和工控信息安全廠商都在這一領域投入力量展開研究,希望能夠給工業(yè)控制系統(tǒng)用戶提供一個有效的信息安全解決方案。
目前各類通用工業(yè)控制系統(tǒng)信息安全問題解決思路還是從外圍的訪問控制入手,本文給出一個從工業(yè)控制系統(tǒng)漏洞管理入手的解決思路,希望能夠從根本上更好地解決工業(yè)控制系統(tǒng)信息安全問題。綠盟科技也在依照這個思路開展研發(fā)工作,目前已經基本完成了工控漏洞掃描系統(tǒng)的研發(fā)工作,并且在一些工控環(huán)境進行驗證工作。希望在不久之后,更具針對性、更有效的工控漏洞掃描系統(tǒng)將會更好的在工業(yè)控制系統(tǒng)信息安全領域發(fā)揮作用。
參考文獻
[1] 李鴻培, 忽朝儉, 王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實踐[Z].綠盟科技,2014.
[2] 工業(yè)信息安全貫穿自動化系統(tǒng)所有層級. http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.
[3] Tofino工業(yè)防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.
[4] Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.
[5] The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.
作者簡介
張旭(1983-),男,北京人,現(xiàn)任北京神州綠盟科技有限公司風險與合規(guī)產品線推廣經理,具有多年安全運維、風險管理工作經驗。
向智(1978-),男,湖南邵陽人,現(xiàn)任北京神州綠盟科技有限公司風險與合規(guī)產品線產品經理,具有十年以上網絡安全行業(yè)的產品規(guī)劃、研究、開發(fā)和市場營銷管理工作經驗,在漏洞掃描、漏洞分析、協(xié)議分析、網絡攻擊檢測、威脅防護技術、網絡審計、防火墻領域有較多積累,對各種互聯(lián)網協(xié)議、工控系統(tǒng)協(xié)議、終端安全有深入了解。
北京市公安局海淀分局備案號:11010802023656號