今日頭條
官方微信
官方抖音
資訊頻道★ 張志偉,豐存旭浙江中控技術(shù)股份有限公司
摘要:工業(yè)控制系統(tǒng)在發(fā)展之初是相對封閉和獨立的,傳統(tǒng)工業(yè)控制系統(tǒng)安全防護(hù)往往采用物理隔離等方式。隨著通信信息技術(shù)的發(fā)展和深入應(yīng)用,整個工業(yè)控制系統(tǒng)可與數(shù)據(jù)采集網(wǎng)、生產(chǎn)管理網(wǎng)和辦公網(wǎng)實現(xiàn)信息互聯(lián)和數(shù)據(jù)交互。網(wǎng)絡(luò)蠕蟲、永恒之藍(lán)、震網(wǎng)等病毒的攻擊,工控系統(tǒng)漏洞的利用,互聯(lián)網(wǎng)、可移動存儲介質(zhì)、設(shè)備未經(jīng)授權(quán)的操作及人為因素等使得網(wǎng)絡(luò)安全問題直接延伸到工業(yè)控制系統(tǒng),導(dǎo)致工業(yè)控制系統(tǒng)固有漏洞和攻擊面不斷增加,易引發(fā)工業(yè)生產(chǎn)的緊急停車、設(shè)備故障,或影響工控系統(tǒng)組件的可靠性和靈敏度,由此產(chǎn)生的安全事件或事故也日趨增多,給傳統(tǒng)工業(yè)控制系統(tǒng)防護(hù)體系帶來嚴(yán)峻挑戰(zhàn)。本文針對工控網(wǎng)絡(luò)存在的信息安全風(fēng)險進(jìn)行深入剖析,細(xì)致挖掘工控企業(yè)信息安全痛點,圍繞滿足政策合規(guī)和工控網(wǎng)絡(luò)安全能力提升需求開展安全設(shè)計,達(dá)到縱深防御效果,全生命周期提升工控網(wǎng)絡(luò)安全防護(hù)水平。
關(guān)鍵詞:工控安全;主機加固;信息安全
1 引言
隨著工控企業(yè)信息化的推進(jìn),MES和EMS的建設(shè)越來越多,原本相互獨立的DCS、PLC、儀器儀表及SCADA等控制子系統(tǒng)需要通過網(wǎng)絡(luò)和信息系統(tǒng)連接在一起。這些子系統(tǒng)負(fù)責(zé)完成控制任務(wù),一旦受到惡性攻擊和病毒感染,就會導(dǎo)致工業(yè)控制系統(tǒng)的控制組件和整個生產(chǎn)線被迫停止運轉(zhuǎn),甚至造成人員傷亡等嚴(yán)重后果。
2 工控網(wǎng)絡(luò)安全現(xiàn)狀
(1)網(wǎng)絡(luò)邊界安全控制能力較弱,入侵及威脅傳播防御能力差
盡管進(jìn)行了網(wǎng)絡(luò)分段隔離(有的企業(yè)甚至沒有做隔離),各層通常沒有防火墻或者其他安全訪問控制策略,數(shù)據(jù)交互隨意,導(dǎo)致攻擊進(jìn)入任意層次后都會比較容易直接威脅到現(xiàn)場設(shè)備層對設(shè)備的控制。同時,隨著跨裝置應(yīng)用的豐富,各裝置的網(wǎng)絡(luò)連接也缺乏足夠的邊界保護(hù)。
(2)計算機及工控系統(tǒng)嚴(yán)重漏洞檢測及處理不及時,系統(tǒng)安全風(fēng)險大
工控企業(yè)PC終端、服務(wù)器、PLC控制器等普遍存在系統(tǒng)安全漏洞,包括能夠造成遠(yuǎn)程代碼執(zhí)行攻擊和越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞。由于設(shè)備、協(xié)議多導(dǎo)致管理難度大,以及企業(yè)專業(yè)技能缺乏、安全認(rèn)識不足等現(xiàn)實問題,造成工業(yè)控制系統(tǒng)的補丁管理困難,難以及時處理威脅嚴(yán)重的漏洞。
(3)違規(guī)操作及越權(quán)行為監(jiān)控不力,主機安全不可控
缺乏對移動介質(zhì)的安全管控,操作人員直接通過主機USB接口、串口、光驅(qū)等外設(shè)進(jìn)行文件、程序等傳輸,是當(dāng)前病毒感染的主要途徑之一;企業(yè)由實施階段進(jìn)入生產(chǎn)運維階段后,任意接入計劃外操作站、移動筆記本、網(wǎng)絡(luò)設(shè)備,甚至違規(guī)接入互聯(lián)網(wǎng)等行為都是重大安全隱患。
(4)基于工控協(xié)議的安全保護(hù)機制欠缺,缺乏針對性
專有的工業(yè)控制通信協(xié)議或規(guī)約在設(shè)計時通常更強調(diào)通信的實時性及可用性,對安全性普遍考慮不足,比如缺少足夠強度的認(rèn)證、加密、授權(quán)等。隨著Modbus、OPC、SiemensS7、IEC104等工業(yè)協(xié)議的廣泛認(rèn)知提升,攻擊者更容易掌握協(xié)議的格式和內(nèi)容,對PLC等系統(tǒng)的攻擊變得更加容易,因此針對工控協(xié)議的安全防范就更加重要。
(5)缺乏網(wǎng)絡(luò)攻擊行為動態(tài)監(jiān)測部署,主動防御能力欠缺
隨著針對工控系統(tǒng)的攻擊行為的增加,互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應(yīng)用到工業(yè)領(lǐng)域。傳統(tǒng)防御以不斷豐富病毒知識和攻擊特征來預(yù)防非法網(wǎng)絡(luò)行為,缺乏主動學(xué)習(xí)能力,因此如何動態(tài)監(jiān)測攻擊行為并進(jìn)行預(yù)測性主動防御將是未來工控安全建設(shè)的關(guān)鍵技術(shù)。
(6)重要操作站和工程師站數(shù)據(jù)備份恢復(fù)措施缺失
工控現(xiàn)場重要的組態(tài)數(shù)據(jù)會通過移動存儲介質(zhì)進(jìn)行離線備份,通常備份周期很長,難以做到定期自動備份。當(dāng)前勒索病毒頻發(fā),現(xiàn)有備份方案面對勒索病毒等嚴(yán)重病毒危害不足以有效應(yīng)對。
3 工控網(wǎng)絡(luò)安全設(shè)計
以“縱深防御”為指導(dǎo)思想,遵照網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn),在工控系統(tǒng)安全需求的基礎(chǔ)上,建立預(yù)警、防護(hù)、檢測、響應(yīng)自適應(yīng)閉環(huán)的安全防護(hù)體系,同時為工控系統(tǒng)提供可定制的安全服務(wù),全面感知工控系統(tǒng)遇到或可能遇到的網(wǎng)絡(luò)安全風(fēng)險,提升系統(tǒng)的整體安全防御能力,構(gòu)建單位可信、可控、可管的安全防護(hù)體系。建設(shè)工控安全技術(shù)體系,體現(xiàn)“一個中心,三重防護(hù)”。一個中心是指安全管理中心,三重防護(hù)是指通信網(wǎng)絡(luò)、區(qū)域邊界和計算環(huán)境的防護(hù)。
3.1 工業(yè)網(wǎng)絡(luò)邊界防護(hù)
在控制器與各計算機系統(tǒng)之間部署工業(yè)防火墻。一方面通過訪問控制策略限定指定的計算機才能訪問控制器,管控網(wǎng)絡(luò)通信對象,降低計劃外設(shè)備非法訪問風(fēng)險;另一方面,通過OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多種工業(yè)協(xié)議深度解析支持,實現(xiàn)指令級別的過濾防護(hù),避免來源于HMI等計算機的非法控制命令下達(dá)。
工控網(wǎng)絡(luò)不同裝置之間部署具有工業(yè)協(xié)議深度解析功能的工控防火墻,實現(xiàn)針對工控網(wǎng)絡(luò)及工業(yè)協(xié)議的邏輯隔離、報文過濾、訪問控制等功能。通過加裝工業(yè)防火墻,并配置防火墻安全規(guī)則(包過濾、規(guī)則學(xué)習(xí)、攻擊防護(hù)、IP/MAC等)可以有效實現(xiàn)對工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間的邊界防護(hù)。
3.2 工業(yè)主機安全
工控網(wǎng)絡(luò)操作站、工程師站等主機采用“白+黑”防護(hù)機制為目標(biāo)主機提供多層次安全保護(hù)。根據(jù)白名單列表對可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控,白名單內(nèi)的可執(zhí)行文件允許執(zhí)行,對白名單外的可執(zhí)行文件阻止執(zhí)行,有效阻止病毒、木馬及0-day漏洞的感染和被利用,保障工控主機安全。同時該機制具備強大黑名單功能,可對系統(tǒng)文件進(jìn)行深度掃描,識別并查殺惡意代碼。主機安全衛(wèi)士具有網(wǎng)絡(luò)防護(hù)功能,僅允許白名單內(nèi)的程序和端口進(jìn)行網(wǎng)絡(luò)訪問;支持對重要文件的保護(hù),僅允許特定的程序訪問。主機安全衛(wèi)士軟件滿足符合性、連續(xù)性和可靠性的設(shè)計原則,內(nèi)存占用和CPU使用率低,具備強大的自身安全性和易管理性。
3.3 工業(yè)網(wǎng)絡(luò)監(jiān)測審計
工控網(wǎng)絡(luò)部署入侵檢測系統(tǒng)實現(xiàn)攻擊行為檢測。系統(tǒng)通過對工控網(wǎng)絡(luò)流量的采集、分析和監(jiān)測,進(jìn)行特征提取并與規(guī)則庫進(jìn)行匹配,快速有效識別出工業(yè)控制網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)異常行為和網(wǎng)絡(luò)攻擊行為,并進(jìn)行實時告警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。
(1)入侵檢測系統(tǒng)能夠監(jiān)視整個網(wǎng)絡(luò)、子網(wǎng)或者某一特定協(xié)議、地址及端口的報文流量和字節(jié)流量,進(jìn)行實時統(tǒng)計和展示,還可通過對網(wǎng)絡(luò)流量數(shù)據(jù)的分析,發(fā)現(xiàn)網(wǎng)絡(luò)異常行為或攻擊行為。
(2)入侵檢測系統(tǒng)內(nèi)置大量關(guān)聯(lián)分析場景,如認(rèn)證登錄、授權(quán)行為、違規(guī)行為、系統(tǒng)變更、攻擊入侵、敏感操作和設(shè)備故障等,通過事件關(guān)聯(lián)分析引擎,可從低風(fēng)險的事件中實時發(fā)現(xiàn)高風(fēng)險的網(wǎng)絡(luò)攻擊和違規(guī)行為。
(3)采用機器學(xué)習(xí)算法學(xué)習(xí)特定工控系統(tǒng)通信行為,形成可信網(wǎng)絡(luò)行為規(guī)則。
3.4 工業(yè)安全管理
在工廠生產(chǎn)網(wǎng)核心交換機上,建立單獨的工控安全運維管理區(qū),實現(xiàn)對工廠的工控網(wǎng)絡(luò)安全管理中心功能。安全管理中心設(shè)計策略如下:
(1)安全管理平臺,對工業(yè)環(huán)境中的主機進(jìn)行安全狀態(tài)監(jiān)測和工業(yè)主機防護(hù)系統(tǒng)的集中管理和監(jiān)控;
(2)安全管理平臺,對工控網(wǎng)絡(luò)監(jiān)測狀態(tài)、工業(yè)主機安全狀態(tài)、工控網(wǎng)絡(luò)安全事件等安全信息進(jìn)行集中收集和處理,對工控網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析、展示和報警;
(3)安全管理平臺,對工控環(huán)境中的工業(yè)防火墻和主機安全防護(hù)系統(tǒng)進(jìn)行集中管理,并對防火墻和主機安全防護(hù)系統(tǒng)日志進(jìn)行統(tǒng)一采集和告警分析;
(4)工業(yè)日志審計系統(tǒng),對工控系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備及工業(yè)主機日志信息進(jìn)行集中收集和審計分析。
3.5 工業(yè)網(wǎng)絡(luò)設(shè)備安全設(shè)計
針對工控企業(yè)工業(yè)網(wǎng)內(nèi)大量的工業(yè)交換機、路由器、防火墻等網(wǎng)絡(luò)和安全設(shè)備進(jìn)行安全加固,加固內(nèi)容至少應(yīng)包括:
(1)加密保存系統(tǒng)賬戶口令;
(2)采用SSH進(jìn)行遠(yuǎn)程管理;
(3)限制遠(yuǎn)程管理地址;
(4)啟用賬戶口令復(fù)雜度策略;
(5)啟用賬戶登錄失敗處理策略;
(6)修改默認(rèn)賬戶,刪除多余賬戶;
(7)啟用日志審計,并將日志集中上傳至日志服務(wù)器;
(8)對交換機和路由器進(jìn)行基線加固配置,關(guān)閉不必要的服務(wù)和端口,手動關(guān)閉交換機、路由器、防火墻等設(shè)備空閑端口;
(9)在交換機上設(shè)置MAC地址與端口綁定和MAC地址與IP地址綁定功能。
3.6 工業(yè)應(yīng)用系統(tǒng)安全設(shè)計
對工控企業(yè)工業(yè)網(wǎng)內(nèi)的DCS、PLC、SCADA等工業(yè)控制軟件和業(yè)務(wù)數(shù)據(jù)從軟件屬性的合法性、文件數(shù)據(jù)的完整性、保密性、身份鑒別、口令、惡意輸入、補丁更新、信息真實性、拒絕服務(wù)、中間人攻擊、重放攻擊、信息嗅探、內(nèi)存漏洞等方面進(jìn)行梳理防護(hù),實現(xiàn)DCS、SIS、PLC等工控業(yè)務(wù)安全,保障生產(chǎn)持續(xù)穩(wěn)定進(jìn)行。業(yè)務(wù)安全設(shè)計策略如下:
(1)根據(jù)密碼管理策略設(shè)置業(yè)務(wù)應(yīng)用系統(tǒng)用戶密碼,密碼長度和組成滿足口令復(fù)雜度要求,并定期更換;
(2)對工控系統(tǒng)配置文件中涉及到的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的用戶口令應(yīng)采用MD5等單向加密方式進(jìn)行加密處理,禁止將明文口令填寫在配置文件中;
(3)刪除臨時賬戶和測試賬戶,重命名默認(rèn)賬戶,修改其默認(rèn)口令,限制其訪問權(quán)限,禁止匿名用戶登錄;
(4)通過工業(yè)安全監(jiān)測系統(tǒng)對工業(yè)用戶操作行為進(jìn)行安全審計;
(5)對應(yīng)用系統(tǒng)審計日志進(jìn)行集中保存和分析,保存期限至少6個月;
(6)對通過人機接口和程序接口輸入的數(shù)據(jù)進(jìn)行有效性檢查。
3.7 備份恢復(fù)系統(tǒng)設(shè)計
部署數(shù)據(jù)備份恢復(fù)系統(tǒng),針對重要工程師站和歷史趨勢服務(wù)器進(jìn)行定期的自動化數(shù)據(jù)備份。當(dāng)現(xiàn)場重要終端遭受病毒攻擊或硬件故障時,可以通過備份恢復(fù)服務(wù)器進(jìn)行數(shù)據(jù)恢復(fù)。
4 工控網(wǎng)絡(luò)安全建設(shè)收益
本文所述針對工控企業(yè)常用網(wǎng)絡(luò)架構(gòu),以分層分區(qū)為原則進(jìn)行工控安全設(shè)計,以主動防范、及時發(fā)現(xiàn)、快速處理為目標(biāo)來提升工控安全防御能力,主要達(dá)到了以下效果:
(1)各層次、各區(qū)域之間有效隔離防護(hù):通過防火墻限定通信對象和內(nèi)容,阻斷非法入侵和危險傳播。其中工業(yè)防火墻還可以進(jìn)行基于協(xié)議解析的控制命令過濾,重點保護(hù)PLC控制器安全,保證生產(chǎn)正常進(jìn)行。
(2)工控入侵檢測系統(tǒng):動態(tài)監(jiān)測網(wǎng)絡(luò)信息流,及時發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)木馬病毒入侵行為、針對工控設(shè)備的攻擊行為、未知設(shè)備接入和工控網(wǎng)絡(luò)流異常變化趨勢等,報警聯(lián)調(diào)防護(hù)設(shè)備。
(3)違規(guī)操作監(jiān)測和預(yù)防:實時監(jiān)控外設(shè)使用情況和運行進(jìn)程,設(shè)置管理策略,預(yù)防設(shè)備違規(guī)接入和計劃外軟件安裝行為,杜絕內(nèi)部威脅傳播。
5 結(jié)束語
綜上所述,在工控現(xiàn)場基于縱深防御工控網(wǎng)絡(luò)安全架構(gòu)開展網(wǎng)絡(luò)安全建設(shè),在滿足政策法規(guī)的同時提升工控網(wǎng)絡(luò)的安全防護(hù)能力和水平,確保工控網(wǎng)絡(luò)安全穩(wěn)定運行,為現(xiàn)場裝置安穩(wěn)長滿運行保駕護(hù)航。
作者簡介
張志偉(1987-),男,河南林州人,中級工程師,現(xiàn)就職于浙江中控技術(shù)股份有限公司,主要研究方向為工控安全。
豐存旭(1984-),男,甘肅慶陽人,中級工程師,現(xiàn)就職于浙江中控技術(shù)股份有限公司,主要研究方向為工控安全。
參考文獻(xiàn):
[1] 李強, 田慧蓉, 杜霖, 劉曉曼. 工業(yè)互聯(lián)網(wǎng)安全發(fā)展策略研究[J]. 世界電信, 2016, (4) : 16 - 19.
[2] 張偉, 于目奎, 羅顯科. 鋼鐵企業(yè)工控安全研究與設(shè)計[J]. 工業(yè)加熱, 2020, (4) : 48 - 52.
[3] 陸贊. 基于工業(yè)控制系統(tǒng)的安全體系建設(shè)研究[J]. 中國管理信息化, 2016, 19 (13) : 117 - 119.
[4] 孫易安, 井柯, 汪義舟. 工業(yè)控制系統(tǒng)安全網(wǎng)絡(luò)防護(hù)研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號