今日頭條
官方微信
官方抖音
資訊頻道
隨著智能制造與工業(yè)4.0戰(zhàn)略的提出,工業(yè)生產(chǎn)的數(shù)字化成為一種不可阻擋的未來趨勢(shì),高度融合IT技術(shù)的工業(yè)自動(dòng)化將會(huì)得到迅速而廣泛的應(yīng)用,對(duì)于工業(yè)控制系統(tǒng)的信息安全的關(guān)注將達(dá)到前所未有的高度和廣度。
威脅信息安全的主要包括黑客攻擊、病毒、數(shù)據(jù)操縱、蠕蟲和特洛伊木馬等技術(shù)。數(shù)據(jù)顯示,黑客的攻擊目標(biāo)已經(jīng)從原來的商業(yè)互聯(lián)網(wǎng)絡(luò)逐步擴(kuò)展到工業(yè)控制系統(tǒng),主要目標(biāo)集中在能源、水利、化工、政府機(jī)構(gòu)以及核設(shè)施等領(lǐng)域。信息安全事件呈逐年上升的趨勢(shì),其背后不乏犯罪、商業(yè)間諜、恐怖主義、甚至某些國(guó)家贊助的間諜活動(dòng)。
菲尼克斯電氣是mGuard工業(yè)防火墻技術(shù)的發(fā)明者,也是工業(yè)信息安全的技術(shù)和市場(chǎng)領(lǐng)導(dǎo)者。mGuard工業(yè)防火墻技術(shù)始于2001年,在全球已經(jīng)得到了十多萬客戶的應(yīng)用和驗(yàn)證,應(yīng)用領(lǐng)域包括汽車、機(jī)械制造、儀表自動(dòng)化、能源和軌道交通等行業(yè)。
菲尼克斯電氣可以為客戶提供全面的工業(yè)信息安全產(chǎn)品和技術(shù)服務(wù),包括mGuard硬件防火墻,內(nèi)嵌式的Linux OS內(nèi)核程序,mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)等。
那么,工業(yè)控制系統(tǒng)信息安全所面臨的主要威脅有哪些?辦公網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)信息安全的主要差異是什么?典型的工業(yè)級(jí)網(wǎng)絡(luò)防火墻的特點(diǎn)和優(yōu)勢(shì)體現(xiàn)在哪里? 本文將一一為您闡述。
1、工業(yè)控制系統(tǒng)信息安全威脅分析:
工業(yè)控制系統(tǒng)信息安全的潛在威脅主要來自黑客攻擊、病毒、數(shù)據(jù)操縱、蠕蟲和特洛伊木馬等。
a)來自黑客的攻擊:
目前,由于安全制度的缺失,大量的工業(yè)控制系統(tǒng)在完全沒有保護(hù)的情況下被連接到互聯(lián)網(wǎng)中,而這些設(shè)備大都使用默認(rèn)的用戶名和密碼,可以輕易的被登陸和訪問,這些控制系統(tǒng)往往非常脆弱,易于被攻擊,而最危險(xiǎn)的是這些控制系統(tǒng)的使用者對(duì)這些危險(xiǎn)毫無察覺。
(數(shù)據(jù)來源:2011年 劍橋大學(xué))
上面這兩張圖片來自劍橋大學(xué)2011年提供的一個(gè)分析報(bào)告,通過這個(gè)報(bào)告我們可以看出,只要通過網(wǎng)絡(luò)搜索引擎(Shodan搜索引擎)進(jìn)行簡(jiǎn)單的搜索,就可以找到連接在互聯(lián)網(wǎng)的工業(yè)網(wǎng)絡(luò)設(shè)備。網(wǎng)站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統(tǒng)及一個(gè)粒子回旋加速器,真正的可怕之處就是這些設(shè)備幾乎都沒有安裝安全防御措施,可以隨意進(jìn)入。
黑客還可以利用黑客工具和技術(shù),例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。某些黑客甚至將攻擊SCADA系統(tǒng)的代碼公布到網(wǎng)絡(luò)上。
由此可見,黑客的攻擊目標(biāo)已經(jīng)從原來的商業(yè)互聯(lián)網(wǎng)絡(luò)逐步擴(kuò)展到工業(yè)控制系統(tǒng)和SCADA系統(tǒng)中,而其背后的目的包括犯罪、商業(yè)間諜、恐怖主義、甚至某些國(guó)家贊助的間諜活動(dòng)。
b)來自病毒的破壞
由于操作維護(hù)人員、第三方的系統(tǒng)維護(hù)服務(wù)商或訪客的不當(dāng)操作,將有可能將隱藏在U盤、移動(dòng)設(shè)備、筆記本電腦中的病毒傳播到工業(yè)控制系統(tǒng)中。如果沒有防護(hù)措施,這些病毒會(huì)利用系統(tǒng)的安全漏洞,在網(wǎng)絡(luò)中進(jìn)行自我復(fù)制和傳播,感染工業(yè)控制計(jì)算機(jī)或攻擊可編程控制器。
i 直接攻擊PLC控制器的病毒(Stuxnet)
Stuxnet蠕蟲病毒(超級(jí)工廠病毒)是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒,能夠利用對(duì)windows系統(tǒng)和工業(yè)控制軟件的漏洞進(jìn)行攻擊。Stuxnet蠕蟲病毒會(huì)攻擊可編程邏輯控制器(PLC),向PLC中寫入數(shù)據(jù),并根據(jù)情況和需求改變PLC的流程。
該病毒可以通過U盤和局域網(wǎng)進(jìn)行傳播,國(guó)內(nèi)已有超過500萬網(wǎng)民及多個(gè)行業(yè)的領(lǐng)軍企業(yè)遭Stuxnet蠕蟲病毒攻擊,而且由于安全制度上的缺失,該病毒還存在很高的大規(guī)模傳播風(fēng)險(xiǎn)。
(數(shù)據(jù)來源:http://zh.wikipedia.org/wiki/%E9%9C%87%E7%BD%91#cite_note-27)
ii 間接攻擊的病毒(Dragonfly / Havex)
Dragonfly病毒是繼Stuxnet之后又一強(qiáng)大的病毒,它的目標(biāo)就是侵入特定的工業(yè)控制系統(tǒng)(ICS),竊取其系統(tǒng)信息和數(shù)據(jù)并做進(jìn)一步的傳播和擴(kuò)散。
Dragonfly病毒是在2014年開始傳播并被發(fā)現(xiàn)的,黑客滲透了三個(gè)工業(yè)系統(tǒng)服務(wù)商的軟件升級(jí)服務(wù)器,致使其客戶通過升級(jí)服務(wù)下載了數(shù)百個(gè)包含惡意軟件的升級(jí)安裝文件。
iii 可自我復(fù)制的惡意軟件(Conficker / Kido)
Conficker蠕蟲是以微軟的windows操作系統(tǒng)為攻擊目標(biāo)的計(jì)算機(jī)蠕蟲病毒,目前全球已有超過1500萬臺(tái)電腦受到感染。
conficker蠕蟲使用特定的RPC請(qǐng)求在目標(biāo)電腦上執(zhí)行代碼,一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在有漏洞的計(jì)算機(jī)系統(tǒng),就會(huì)激活該漏洞進(jìn)行遠(yuǎn)程感染。
Conficker這一類的蠕蟲病毒會(huì)增加網(wǎng)絡(luò)負(fù)載,造成網(wǎng)絡(luò)的不穩(wěn)定,也會(huì)使被感染的系統(tǒng)CPU負(fù)載增高,使得整個(gè)系統(tǒng)不可靠。
(數(shù)據(jù)來源:Conficker working group)
c)工業(yè)控制系統(tǒng)信息安全事件發(fā)生的數(shù)量和所受攻擊類型的分析:
據(jù)目前已知的數(shù)據(jù)顯示,工業(yè)控制系統(tǒng)的信息安全事件主要集中于能源、水利、化工、政府機(jī)構(gòu)以及核設(shè)施等領(lǐng)域。而且在中國(guó),這類事件的發(fā)生也呈逐年上升的趨勢(shì)。
(數(shù)據(jù)來源:權(quán)威工業(yè)安全事件信息庫(kù) RISI(Repository of Security Incidents) 2014)
從以上分析可以看出,工業(yè)控制系統(tǒng)信息安全事件呈快速上升趨勢(shì),且所受攻擊可能來自方方面面,幸運(yùn)的是菲尼克斯電氣所提供的mGuard工業(yè)信息安全技術(shù)可以很好地解決以上問題。
2、辦公網(wǎng)絡(luò)信息安全和工業(yè)自動(dòng)化網(wǎng)絡(luò)信息安全的主要差別
辦公電腦和網(wǎng)絡(luò)與工業(yè)電腦和信息網(wǎng)絡(luò)有很大區(qū)別,針對(duì)信息安全所做的防護(hù)措施也不盡相同。
表1 在辦公室和工業(yè)環(huán)境中信息系統(tǒng)的不同特點(diǎn)
由表1可以看出,工業(yè)控制計(jì)算機(jī)和工業(yè)網(wǎng)絡(luò)在對(duì)安全性的要求、使用壽命、信息安全防護(hù)手段等方面有著特殊要求。由于系統(tǒng)兼容性和穩(wěn)定性的需要,工業(yè)控制計(jì)算機(jī)往往都不會(huì)安裝殺毒軟件和經(jīng)常升級(jí)系統(tǒng)補(bǔ)丁,特別是一些服役多年的工控設(shè)備,往往得不到更新支持,這些毫無防護(hù)的控制系統(tǒng)非常脆弱。病毒和毫無經(jīng)驗(yàn)的黑客都可以對(duì)其發(fā)起致命性的攻擊。菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)不但可以防止黑客從網(wǎng)絡(luò)入侵,同時(shí)可以對(duì)病毒實(shí)現(xiàn)監(jiān)控和防御。
3、菲尼克斯電氣mGuard工業(yè)控制系統(tǒng)信息安全解決方案的特點(diǎn)
菲尼克斯電氣的mGuard工業(yè)防火墻技術(shù)始于2001年,為工業(yè)企業(yè)客戶提供信息安全產(chǎn)品和相關(guān)技術(shù)服務(wù),目前在全球已經(jīng)安裝了超過10萬個(gè)工業(yè)級(jí)防火墻。主要的客戶包括汽車、機(jī)械制造、儀表自動(dòng)化、能源、軌道交通。
所提供的產(chǎn)品和服務(wù)包括mGuard硬件防火墻,內(nèi)嵌式的Linux OS內(nèi)核程序,mGuard相關(guān)軟件解決方案以及mGuard的各種定制化信息安全服務(wù)。
mGuard主要安全性能介紹:
a)OPC深度數(shù)據(jù)包監(jiān)測(cè)技術(shù)
許多工業(yè)級(jí)蠕蟲病毒都是通過遠(yuǎn)程過程調(diào)用(RPC)協(xié)議進(jìn)行傳播,在現(xiàn)代工業(yè)控制系統(tǒng)中,RPC協(xié)議被廣泛使用,工業(yè)集成技術(shù)OPC Classic就需要允許RPC通訊。因此它經(jīng)常被黑客和病毒利用,用以攻擊SCADA和工業(yè)控制系統(tǒng)。如果禁用RPC協(xié)議,會(huì)導(dǎo)致工業(yè)控制系統(tǒng)通訊故障,OPC深度數(shù)據(jù)包監(jiān)測(cè)技術(shù)(DPI)可以識(shí)別正常的OPC通訊請(qǐng)求,并阻止惡意信息和不恰當(dāng)?shù)腟CADA/ICS通訊,同時(shí)避免對(duì)控制系統(tǒng)造成不必要的影響,這在工業(yè)控制系統(tǒng)信息安全防護(hù)中是十分必要的。
DPI細(xì)粒度防火墻控制將精確地保證服務(wù)器與客戶端之間的OPC通訊,提供最高級(jí)別的安全,確保針對(duì)蠕蟲病毒的防護(hù)。甚至,mGuard的智能深度數(shù)據(jù)包檢測(cè)技術(shù)還可以使OPC通訊在NAT路由模式下正常工作(如IP掩蔽或1:1NAT模式),世界上只有mGuard工業(yè)防火墻具有這樣的技術(shù)。
b)惡意軟件及病毒檢測(cè)技術(shù)
傳統(tǒng)的防火墻僅能禁止黑客的入侵和蠕蟲病毒的傳播,不能對(duì)工控機(jī)中潛在的病毒進(jìn)行防控,也無法根除這些危險(xiǎn)源。
菲尼克斯電氣的mGuard工業(yè)防火墻具有通用互聯(lián)網(wǎng)文件系統(tǒng)完整性監(jiān)測(cè)技術(shù)(CIFS Integrity Monitoring,簡(jiǎn)稱CIM)。利用這個(gè)技術(shù),mGuard可以定期監(jiān)測(cè)指定工控機(jī)內(nèi)文件系統(tǒng),判斷該計(jì)算機(jī)系統(tǒng)中的.EXE文件和.DLL文件是否被非授權(quán)的改寫。
mGuard還可以利用CIFS病毒掃描技術(shù),調(diào)用病毒掃描服務(wù)器,對(duì)指定工控機(jī)內(nèi)的文件系統(tǒng)進(jìn)行病毒掃描,這樣就可以主動(dòng)消滅惡意軟件和病毒,該功能對(duì)于工控機(jī)的硬件性能和系統(tǒng)兼容性沒有任何特殊要求。
總體來說CIM技術(shù)可以為工業(yè)控制系統(tǒng)提供信息安全防護(hù),而不需要為工控機(jī)升級(jí)安全補(bǔ)丁,并與原有硬件和系統(tǒng)軟件兼容,可永久在線監(jiān)測(cè)和掃描,對(duì)病毒有防御功能,不占用CPU和網(wǎng)絡(luò)負(fù)載,支持Win95/98, CE5+, NT, 2000, XP, Vista, 7 及各種LINUX 操作系統(tǒng),當(dāng)發(fā)現(xiàn)病毒或非正常的文件寫入時(shí)將觸發(fā)報(bào)警并自動(dòng)響應(yīng)(如啟動(dòng)第三方病毒工具,升級(jí)安全級(jí)別)。使用CIM技術(shù),將節(jié)省大量系統(tǒng)信息安全升級(jí)改造的成本。
c)三種不同的防護(hù)模式
為了提高工業(yè)控制系統(tǒng)信息安全,需要對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分成不同安全級(jí)別的區(qū)域,從而實(shí)現(xiàn)縱深防御來隔離系統(tǒng)中的重要部分。菲尼克斯電氣的mGuard具有三種不同的防護(hù)模式,可以靈活的適用于不同的安全區(qū)域。
i 單一隱秘模式(專利技術(shù)):
隱秘模式用于完美保護(hù)某個(gè)單一設(shè)備,在這樣的模式中mGuard不具備IP地址,因此對(duì)于黑客來說完全是隱形的,這樣的模式也不會(huì)改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu),mGuard將會(huì)過濾所有通向被保護(hù)設(shè)備的數(shù)據(jù)。
ii 多重隱秘(橋接)模式:
多重隱秘(橋接)模式用于保護(hù)一組設(shè)備,mGuard將會(huì)過濾所有通向被保護(hù)設(shè)備的數(shù)據(jù),在這樣的結(jié)構(gòu)中,mGuard需要一個(gè)內(nèi)部的網(wǎng)絡(luò)IP地址。多重隱秘(橋接)模式一般用來保護(hù)多臺(tái)設(shè)備,而這些被保護(hù)設(shè)備與非安全設(shè)備有可能在同一網(wǎng)段內(nèi)。
iii 路由模式:
路由模式用來在兩個(gè)網(wǎng)絡(luò)之間建立安全防護(hù),mGuard將會(huì)完美保護(hù)位于內(nèi)部網(wǎng)絡(luò)的控制設(shè)備,mGuard在外部網(wǎng)絡(luò)(子網(wǎng)A)和內(nèi)部網(wǎng)絡(luò)(子網(wǎng)B)各需要一個(gè)IP地址。路由模式一般用來連接工業(yè)控制網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)。
d)mGuard Secure Cloud 技術(shù)
通過mGuard Secure Cloud技術(shù),菲尼克斯電氣的安全專家可以通過遠(yuǎn)程VPN功能為mGuard客戶提供各種不同級(jí)別的安全服務(wù),比如說,定期為客戶的工業(yè)控制系統(tǒng)和數(shù)據(jù)做安全檢查,并出具相應(yīng)的專業(yè)報(bào)告,為客戶的工業(yè)控制系統(tǒng)信息安全提供專家級(jí)的建議。
e) mGuard硬件裝置
菲尼克斯電氣可以提供適用于不同場(chǎng)合的mGuard工業(yè)防火墻,這些不同的硬件具有相同的固件并且可以獲得免費(fèi)升級(jí)服務(wù),都可以通過WEB界面進(jìn)行配置,也可以通過mGuard Device Manager管理軟件進(jìn)行集中的管理和配置,可以互相兼容,全部支持mGuard Secure Cloud服務(wù)。
如今,全世界的工業(yè)大國(guó)都紛紛將工控及其安全問題提到戰(zhàn)略級(jí)別,比如德國(guó)工業(yè)4.0就將工控安全作為重要環(huán)節(jié)單獨(dú)考慮。2011年9月,工信部還特別下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》。2015年2月1日,推薦性國(guó)家標(biāo)準(zhǔn)GB/T30976.1~.2-2014《工業(yè)控制系統(tǒng)信息安全》正式開始實(shí)施。由此可見,加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作已是當(dāng)務(wù)之急。而菲尼克斯電氣的mGuard工業(yè)防火墻所具有的多重防護(hù)模式、深度數(shù)據(jù)包檢測(cè)技術(shù)、惡意軟件及病毒檢測(cè)技術(shù)和mGuard Secure Cloud 技術(shù)是專門針對(duì)工業(yè)領(lǐng)域開發(fā)的信息安全防護(hù)技術(shù),將對(duì)工業(yè)控制系統(tǒng)信息安全保障工作提供有力支持。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)