今日頭條
官方微信
官方抖音
資訊頻道
1 引言
工業(yè)信息化的快速發(fā)展使得網絡技術在工業(yè)控制領域得到了大量應用,極大提高了企業(yè)的效益。為實現系統間的協同和信息共享,工業(yè)控制系統(ICS)也逐漸打破了以往的封閉性,逐步采用標準、通用的通信協議及軟硬件系統,并逐步趨向于將企業(yè)ERP系統與工業(yè)控制網進行互聯互通,甚至有些ICS也能以某些方式連接到互聯網等公共網絡中[1-2]。
ICS的信息安全已經引起了國家的重視,甚至提升到了一定的高度,并在政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業(yè)控制系統信息安全管理要求的同時,國家主管部門在科研、產品層面上正在積極部署工業(yè)控制系統的信息安全保障工作。
通過對我國一些工業(yè)制造企業(yè)ICS的調研發(fā)現,為保證進口ICS的正常運行,使用者很少或基本不對控制系統上的操作系統及應用系統進行升級[3]。由于目前針對ICS公布的漏洞較少且信息披露相對滯后,無法對ICS漏洞進行0 day響應,導致在面對病毒、木馬、黑客入侵等安全威脅時缺少必要的防護手段和應急預案。
“棱鏡門”事件表明,APT攻擊(高級持續(xù)性威脅)通常是政府和商業(yè)機構支持的黑客行為,具有攻擊技術先進、漏洞信息不對稱、長期潛伏、一擊致命的特點,已經成為針對ICS的主要攻擊方式[4]。由于我國在ICS軟、硬件方面短時間內難以達到完全自主可控,需要從系統防護的角度開展ICS信息安全防護工作。這對于在目前國內外信息安全形勢下,盡快提高我國工業(yè)生產領域ICS的整體安全性,保證工業(yè)生產正常運行,保守國家高新技術機密具有重要的政治、軍事和經濟意義。
本文首先對ICS特點及國外發(fā)生的安全事件進行了回顧與分析;之后結合我國工業(yè)生產領域,闡述ICS與其他系統如何在隔離環(huán)境下進行安全互聯互通和數據共享;最后提出面向我國ICS信息安全縱深防御體系建設的3項建議,并對解決方案進行探討。
2 ICS安全性威脅
平臺中心化向網絡中心化的轉變,使得ICS已不再是信息孤島。由于ICS自身特點以及在安全防護方面暴露出來的問題[5],如表1所示。由于工控網使用了專用的硬件、固件和通信協議,且安全防護升級較為緩慢,隨著與互聯網協議(IP)的結合,網絡安全漏洞和事故的可能性大大增加,其系統性的信息安全問題已日益顯現出來。
2014年ICS-CERT數據指出,ICS攻防雙方已把主要精力放在了工業(yè)網絡管理軟件和SCADA/HMI系統(占所有漏洞的56%)。例如,在“震網”事件中,“震網”病毒本身不感染任何生產設備,而是通過篡改控制設備(如上位機)發(fā)送的控制指令,導致離心機過載而毀壞。這是由于工控網絡的控制設備與生產終端(如數控機床)處于同一安全域,控制信息沒有受到監(jiān)控,一旦控制設備受到攻擊,將會威脅整個生產網。類似的案例還有針對歐美電力公司的“能源之熊”病毒;針對美國和加拿大水利系統中SCADA控制系統的Havex病毒等。
由于ICS系統漏洞公布通常較為滯后,且很多都為供應商惡意添加的后門,這給信息安全技術人員防范帶來了很大的困難。
圖1給出了2011~2014年,公開出來的漏洞主要威脅ICS設備的生產商。其中,以西門子、施耐德電氣等為代表的工業(yè)設備在我國先進制造行業(yè)內被廣泛使用,對其安全防護不容忽視。
圖1 2011~2014年公開漏洞涉及的ICS廠商(Top10)
3 工控網防護的主要技術路線
目前國內針對ICS的防護手段分為兩類技術路線:
(1)參考通用信息系統的信息安全防護體系,采取縱深防御的策略,通過集成搭建網絡隔離、身份認證系統、專業(yè)的工控防火墻及IDS設備、數控程序內容過濾系統,以及終端防護設備等開展防護。這一防護策略主要是在工控網的協議級別開展的。
(2)對進口工業(yè)設備中的固件(應用軟件、操作系統)部分進行分析后采取系統加固策略。加固策略可能包括:用戶與進程的文件強制訪問策略、應用程序強制訪問策略、系統安全區(qū)域劃分等。這一防護策略主要是在工控網的系統級別開展的。
通過分析,研究人員認為,技術路線(2)在國內現有技術水平和工業(yè)設備依靠大量引進的現狀下,短時間內難以做到工程化應用。理由如下:
·ICS大多數為封閉系統,以逆向分析為基本手段的系統加固方法其工作量和工作難度十分巨大;
·ICS以可靠性和連續(xù)性為首要目標,這種方法在無法掌握系統設計文件及相關代碼的情況下,勢必對系統可靠性造成嚴重影響;
·ICS千差萬別,在某一個系統上的成功加固案例無法簡單移植到其他系統上,普適性很差。
因此,在我國工業(yè)生產領域無法做到自主的前提下,采取協議級別的防護策略最為可行,且最容易開展工程試點應用。如果要從系統級別防護策略入手開展,最可行的方案是面向我國自主研發(fā)的ICS,在其軟、硬件的設計階段就引入安全性策略。
4 ICS安全性防護原則
在我國主要生產設備、操作系統、應用系統無法做到自主可控的背景下,研究人員提出了工控網信息安全縱深防御體系建設的3項指導原則:
(1)在清晰劃分安全邊界的基礎上[1-2],實現物理/邏輯隔離和訪問控制,并需要嚴格規(guī)范人、機操作行為;
(2)實時生產任務是防御重點,在線監(jiān)控是基本要求;
(3)操作系統和應用軟件安全是核心,平臺測試是基本保障。
圍繞上述3項原則,通過上線前的測試與漏洞分析,實現ICS安全性評估;通過訪問控制(身份認證、權限控制)、物理/邏輯隔離、惡意內容攔截實現主動防御;通過行為檢測和記錄,實現過程監(jiān)控和事后追蹤。
5 ICS信息安全縱深防護體系
研究人員認為需要在保證ICS正常運行的前提下,面對ICS在物理隔離環(huán)境下與企業(yè)ERP、OA、MES、DNC、MDC系統等之間實現數據共享的需求下,采取邊界防護與內部防護統籌實施的技術體系,保證ICS的信息安全[6-7]。
研究人員認為在未來的1~2年內,ICS縱深防御體系[3]的支撐技術與產品研發(fā)方向如下:
(1)通過單向隔離網關,實現企業(yè)的各類管理系統對工控設備的在線控制,同時保證設備狀態(tài)信息可以及時反饋到管理系統;
(2)添加身份認證機制,進行細粒度權限控制,提高保密強度;
(3)對工控網內的控制端進行專門防護,并在控制端與工控終端設備之間,針對專有的控制協議、數據和功能,采取專用的機加工代碼檢查與過濾技術,并采用專用的入侵檢測與安全防護(專用防火墻、殺毒軟件)機制;
(4)對于系統固件應通過專業(yè)安全性分析工具,結合人工經驗進行漏洞分析。
具體技術與產品部署思路如圖2所示。
圖2 ICS信息安全縱深防護體系部署思路
按照AMR組織提出的一個通用的制造企業(yè)信息傳遞環(huán)境,企業(yè)的信息系統可以分為三層,依次為業(yè)務計劃層、制造執(zhí)行層和過程控制層。這三個層次是決策細化下達和執(zhí)行結果匯總上傳的信息溝通模式。
從網絡構成來說,業(yè)務計劃層是企業(yè)的辦公網,主要涉及企業(yè)級應用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網絡,主要部署DNC、MES、MDC、數據庫等;過程控制層部署的是比較典型的控制網絡,可細分為工業(yè)以太網和工業(yè)總線網,這也是最為復雜的網絡。
按照通信線路和協議類型劃分,企業(yè)辦公網和工程師工作站通常使用傳統的以太網互相鏈接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網,目前常用的工業(yè)以太網協議有:Modbus、TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;
PLC與現場控制點、現場儀表等的連接由于目前以太網并不能完全勝任復雜的工控環(huán)境,無法保證通信的實時可靠,因此仍然大量使用傳統的現場總線網。
根據目前工控信息安全面臨的威脅以及可以采取的防護措施來看,與工控安全聯系最為緊密的是信息管理層、生產管理層和工業(yè)控制層。研究人員提出的ICS信息安全縱深防護體系支撐技術和產品研發(fā)主要包括以下幾個方面。
(1)基于傳統以太網互聯的信息管理層和生產管理層之間
·單向隔離網關
基于單向傳輸通道,通過專用通信協議并制定信息采集、分發(fā)策略,實現不同安全邊界之間信息資源交換的需求。
·專用防病毒軟件
面向生產管理層各終端和服務器上部署的各種應用系統研制專業(yè)的防病毒軟件,防止控制終端受到攻擊并被控制。
·辦公網與工控網統一身份認證網關
工控生產網與企業(yè)辦公網互相隔離,因此不能繼承企業(yè)辦公網中統一的身份認證系統,需要考慮在生產網內部部署統一身份認證網關。管理員可通過離線的方式為生產管理層的用戶提供證書及USB-KEY。統一身份認證網關進行證書驗證后,用戶即可登錄。
(2)基于工業(yè)以太網互聯的生產管理層和工業(yè)控制層之間
·數字簽名系統
在用戶登錄ICS后,其所作的任何操作都需要受到監(jiān)控并承擔責任,既要保證控制數據的完整性和正確性(不被破壞和篡改),也不允許命令發(fā)送者在出現問題或事故時進行抵賴(責任認定機制)。具體流程為:用戶使用數字簽名證書,通過統一身份認證網關登錄生產管理層,之后才可以下發(fā)控制指令;系統自動調用簽名服務器的簽名接口對控制指令數據包進行簽名;簽名數據包下發(fā)給位于工業(yè)控制層的簽名驗證模塊,當簽名驗證通過后,工控模塊即可向設備發(fā)送執(zhí)行指令。
·工控異常行為監(jiān)測與審計系統
需要配合統一身份認證系統、數字簽名系統和入侵檢測系統進行開發(fā),對工控網進行安全審計,及時發(fā)現人和網絡的異常情況并報警。
·工控終端防護系統
該防護系統作為ICS的最后一道防線,可采用串聯監(jiān)控的方式直接與工控終端(如數控機床)進行連接,可以實時對機加工程序進行分析與攔截,最大限度地保證了工控終端的安全。在控制端與生產設備之間,針對專有的控制協議進行解析,對控制信息(如加工程序),研制專用安全性檢測引擎,用于提升工業(yè)控制網絡環(huán)境中的信息安全保障能力。
6 展望
為把握工業(yè)控制系統信息安全技術發(fā)展的機遇,我國應該從國家層面,盡快組織攻克并研發(fā)自主、可控的ICS信息安全高端技術。通過將信息安全管控方法、支撐技術前移與集中,加強行業(yè)ICS信息安全內控能力建設。具體建議:
(1)開展頂層設計、整體規(guī)劃,建立統一、協調的國家信息安全指揮管理、技術防御和監(jiān)督管理科技協調機制,形成平戰(zhàn)結合、軍民融合的ICS信息安全技術支撐體系;
(2)圍繞我國ICS信息安全保障整體能力的提高,開展信息安全防護體系、應用安全、環(huán)境與行為規(guī)范、安全監(jiān)測與評估、安全柔性工程等核心關鍵技術研發(fā)、支撐平臺建設和相關標準制定;
(3)加強ICS信息安全的影響、技術對策與技術手段研究,結合我國ICS的特點,開展其信息安全戰(zhàn)略、法規(guī)與標準研究,形成包含技術、管理、法規(guī)等各層次的系統解決方案;
(4)系統開展ICS風險測評與攻防對抗技術研究,建立國家靶場與模擬仿真平臺,形成攻防演練機制,制定相應的技術標準與規(guī)范。
參考文獻:
[1] 唐一鴻, 楊建軍, 王惠蒞. SP 800-82《工業(yè)控制系統(ICS)安全指南》研究[J]. 信息技術與標準化, 2012, (01-02):44-47.
[2] 陳頌, 王光偉, 劉欣宇等. 信息系統安全風險評估研究[J]. 通信技術, 2012, 45 (1): 128 - 130.
[3] 桑圣潔. 工控生產網網絡及應用安全研究[J]. 計算機安全, 2014, (2).
[4] 許婷. 一種有效防范APT攻擊的網絡安全架構[J]. 信息安全與通信保密, 2013, (06): 65 - 67.
[5] STOUFFER K, FALCE J, SCARFONE K. Guide to Industrial Control Systems (ICS) Security[EB/OL]. 2011-6-22. http://www.securityvibes.com/docs/-DOC-1347.
[6] 張帥. 對APT攻擊的檢測與防御[J]. 信息安全與技術, 2011, (9): 125 - 127.
[7] Alcaraz, C., Femandez, G., Carvaial, F. Security aspects of SCADA and DCS environments in Critical Infrastructure Protection[J]. Springer Berlin Heidelberg, 2012, (7130): 120 - 149.
作者簡介
李寧(1981-),男,河北石家莊人,高級工程師,博士,現就職于中國航天科技集團公司第七一〇研究所,從事信息安全先進技術與產品研發(fā)工作,主要研究方向為嵌入式系統信息安全、工業(yè)控制協議安全性分析、嵌入式軟件脆弱性分析等研究。近五年從事國防基礎科研、863等信息安全類課題近10項。
王瀟茵(1982-),女,吉林四平人,高級工程師,博士,現就職于中國航天科技集團公司第七一〇研究所,從事預先研究工作,主要研究方向為網絡信息安全、工業(yè)控制系統信息安全、軟件安全研究等。近五年從事國防基礎科研、國家自然科學基金等信息安全類科研課題近10項。
經小川(1972-),男,江蘇南京人,研究員,碩士生導師,博士,現就職于中國航天科技集團公司第七一〇研究所,從事信息安全先進技術研究,主要研究方向工業(yè)控制系統信息安全、嵌入式系統安全性分析等。近五年來從事國防基礎科研、863、國家自然科學基金等課題10余項。
北京市公安局海淀分局備案號:11010802023656號