今日頭條
官方微信
官方抖音
資訊頻道冶金企業作為對國計民生具有重要影響的行業,其工控系統的信息安全日益得到了各單位的重視。最近,筆者對國內冶金企業某鋼廠重要工控系統信息安全管理情況進行了解,發現形勢不容樂觀,暴露出不少突出的安全問題,而這些問題又不單是技術問題,需要冶金企業、工業控制系統廠商、信息安全廠商的通力合作,共同面對冶金工業自動化控制系統信息安全方面的各種威脅。
1 冶金工業自動化控制系統信息安全管理現狀
冶金自動化控制系統包括數據采集與監控系統(SCADA)、過程控制系統(PCS)、分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術,它們是冶金工業控制系統的核心組件,可以說沒有自動化控制系統,就無法煉鋼、軋鋼。自動化控制系統信息安全不僅會造成信息的丟失,還可能造成工業過程生產故障的發生,從而造成人員損害及設備損壞,其直接財產的損失是巨大的,甚至會危及環境及國家安全。但是企業又不可能無限度地投入資源、資金、人力來保障安全,因為安全防護畢竟會給生產帶來一些不便利性,同時也會增加投資。因此需要在對自動化控制系統所面臨的主要安全威脅進行分析的基礎上,采取相應的措施,以期用最小的投入達到最大的保護。目前冶金企業自動化控制系統所面臨的安全威脅主要包括系統平臺安全、策略流程安全及網絡安全三個方面。
1.1 系統平臺安全
在冶金工業控制系統中,各類服務器是非常關鍵的設備,服務器上運行的操作系統平臺承載著核心業務系統,對前端實時操作系統正常運行具有重要影響,在工控安全的整個架構里面,服務器操作系統平臺的安全是不可或缺的一部分。以國內某鋼廠為例,主要對其工控機、服務器系統及病毒軟件的安裝情況進行了統計,如表1所示。
表1 工控機、服務器系統及病毒軟件的安裝情況統計表
該鋼廠共安裝工控機及服務器3493臺,其中Window XP系統工控機及服務器2874臺,占82.28%;其中1706臺安裝了殺毒軟件,占48.84%;僅有322臺能及時對系統漏洞及殺毒軟件進行更新。此外,通過對服務器有關數據運行情況的統計和分析,發現該公司還存在以下平臺信息安全隱患:缺乏對系統補丁或者更新的有效管理,部分系統應用補丁未經過徹底測試,存在不穩定的現象;缺乏病毒及惡意代碼的防護機制,大部分工控設備病毒防護軟件及惡意代碼防護程序(51.16%);病毒防護軟件種類繁多(如趨勢、瑞星、卡巴斯基、360殺毒軟件并存),病毒庫及惡意代碼庫不能及時進行更新,部分病毒及惡意代碼防護系統沒有得到充分測試(如部分安裝了360殺毒軟件的設備存在與控制系統不兼容的問題);部分關鍵配置未備份,重要數據未受保護存儲在移動設備中等。
由于Windows XP系統仍占據主導地位,而微軟公司從2014年4月8日之后已不再提供 Windows XP技術幫助,包括幫助保護電腦的自動更新、Microsoft Security Essentials(注:微軟開發的免費防病毒軟件)下載服務,系統補丁、病毒防護系統及軟件漏洞不能得到及時維護,會使得工控機及服務器更容易受到安全風險與病毒的攻擊,一旦受到攻擊,將會給企業的生產造成非常嚴重的影響。
1.2 策略及流程安全
作為信息安全的重要組成部分,制定滿足企業需求的安全策略,并依據策略制定管理流程,是確保冶金自動化控制系統穩定運行的根本保障。由于冶金工業控制系統網絡的相對封閉性,不少企業更看重自動化控制系統的實時性和可用性,而往往犧牲或者忽視了系統信息的安全性,所以無論公司高層還是基層管理、操作人員都要提高信息安全意識。特別是公司高層要對公司內部自動化控制系統的信息安全進行研究和部署,制定長期、持久的信息安全策略;強化對職工信息安全培訓,設置專職固定的信息安全管理人員;根據安全策略制定正規的安全制度流程及安全審計機制,加強對現場操作人員的管理、檢查和考核。
仍然存在中夜班職工在終端控制設備上看視頻、玩游戲,甚至非正規上互聯網的情況;在對現場工控機、PLC進行調試時,不規范接入移動電腦而造成系統因感染病毒而造成停機的事故時有發生;檢修時不規范的外聯設備,為外商不規范的開通公網測試。安全策略缺失、管理不到位,很容易造成信息泄露、黑客攻擊、病毒入侵等安全問題,嚴重時會導致自動化控制系統整個網絡癱瘓。對這些問題要做到防患于未然,真正做到“零容忍”。
1.3 網絡安全
冶金企業生產環境的控制網絡通常采用同一網段的以太網通訊連接,任何連接到網絡內的PC或操作站都能訪問網絡中的PLC(或RTU),對PLC(或RTU)進行操作甚至破壞PLC(或RTU)的組態程序,造成PLC(或RTU)的控制單元失靈或是現場設備停機乃至損毀。目前控制網絡中無任何隔離防護設備,如果操作站感染病毒,病毒將會輕易蔓延至整個網絡,可能會導致整個網絡數據堵塞或使操作站喪失操作能力,某些針對工業協議(如Modbus TCP)的病毒還可能會導致PLC控制單元死機,完全喪失控制能力。此外,部分控制系統網絡采用各種接入技術作為現有網絡的延伸,如無線和微波,這將引入一定的安全風險,同時PLC等現場設備在維護時,也可能因不安全的串口連接(如筆記本、移動U盤等不安全的移動維護設備未授權接入)或缺乏有效的配置進行有效性核查,而造成PLC(或RTU)設備運行參數被篡改,從而對整個冶金控制系統的運行造成危害。
2 冶金自動化控制系統信息安全風險防范
冶金企業的工控信息安全風險防范,需要遵循冶金生產的行業特點,切實結合生產現狀和管理現狀,依據控制系統風險分析及排序的結果,充分考慮風險防范的成本投入,有效利用技術措施與管理措施,針對風險防范的難易程度,采用分步實施的原則完成整體的風險防范。
2.1 平臺的升級、系統的加固與補丁管理
針對現有Windows 7系統占絕大多數的現狀,在積極制定系統平臺升級計劃的同時,更重要的是采取必要的控制措施,確保現有的系統平臺能夠安全穩定運行。
(1)聯合工控系統設備商及信息服務商對工控設備的運行平臺進行開發,確保工控系統能夠在更高一級的系統平臺上(Windows 7及Server 2008系統)安全運行,有計劃分批次對現有的Windows XP及Server 2003系統進行升級,確保運行平臺的安全。對微軟公司不提供WinXP技術支持的具體情況,要及早采取措施,主動應對強化管理。
(2)加強連接管理,所有工控機及服務器采用物理隔離策略,斷絕同外網的連接;嚴格控制USB口,禁止使用U盤、移動硬盤、無線上網設備等手段,確保工控系統安全。
(3)同工控設備的供應商溝通,在保證工控系統可用性的前提下,必須安裝殺毒軟件,定期對殺毒軟件進行升級,對病毒庫進行更新,殺毒軟件的升級要通過下載病毒庫升級包,并刻錄成光盤,進行離線升級;所有拷貝數據通過光盤刻錄方式來防止計算機病毒的感染。
(4)對工控機及服務器按照重要程度進行分解管理,重要工控系統計算機的程序定期通過專用移動存儲設備或專用備份硬盤進行備份;部分關鍵工控設備(如重要崗位一級、二級服務器)需配置備用服務器,并安裝相同的軟件,同時落實應急支撐隊伍,確保一旦出現事故能夠盡快恢復生產。
2.2 按照縱深防御的理念,逐步建立基于工控信息全生命周期的安全管控體系
縱深防御就是通過設置多層重疊的安全防護系統而構成多道防線,使得即使某一防線失效也能被其它防線彌補或糾正。它包括將工控設備在網絡上與其它不必要相聯的系統斷開,維護防火墻的完整性,建立安全策略與流程,進行網絡分區與(控制單元間的)邊界防護,建立安全的單元間通信,惡意軟件的檢測與防護,訪問控制與賬號管理,記錄設備訪問日志,并進行必要的審計等內容。縱深防御策略的目標有兩個:一是即使在某一點發生網絡安全事故,也能保證裝置或工廠的正常安全穩定運行;工廠操作人員能夠及時準確地確認故障點,并排除問題。
為實現這一目標,應從自動化控制系統安全體系架構設計、自動化控制系統的供應鏈安全、自動化控制系統上線前的安全檢查、自動化控制系統的安全運維與管理等方面進行綜合、全面考慮,逐步建立基于工控信息全生命周期的安全管控體系。
(1)自動化控制系統安全體系架構設計
應把信息安全融入到自動化控制系統的整體設計之中,在對冶金自動化控制系統安全需求進行系統分析,制定相應的安全規劃;對工控系統進行風險評估,切合實際地識別出該系統的安全脆弱性,面臨的安全威脅,以及風險的來源的基礎上,借助于產品安全、安全操作指南以及專業的工業安全服務,建立、部署層次化的多重安全措施,如通過防火墻、隔離網閘等網關類安全設備實現自動控制系統與其它信息系統間的有效隔離,并通過系統準入機制,確保系統訪問者的可信身份及使用設備的安全性等。
(2)自動化控制系統的供應鏈安全
應將自動化控制系統的供應鏈安全作為工業控制系統信息安全防護體系的組成部分,以防工業控制系統及其組件遭受因供應鏈安全所造成的威脅。目前國內主要的冶金企業鋼廠都無一例外地安裝使用了西門子、羅克韋爾自動化、ABB、TEMIC(東芝三菱)、yaskawa(日本安川)等公司生產的自動化控制系統及組件,一旦環境發生變化,自動化備件的采購及現場工控系統的維護就有可能受到嚴重威脅。此外,部分規模較小的供應商對產品存在的缺陷和安全認識不足,對出現的安全問題不能做到快速響應。因此在對工控系統及組件進行采購時,要充分考慮政治因素,并在采購合同中對系統的預期運行環境、系統的安全性能、安全保障等提出明確的要求。
(3)自動化控制系統上線前的安全檢查
自動化控制系統、系統組件或設備在上線運行前,應使用專門的工具(或通過第三方測評機構)對其中可能存在的安全隱患進行相應的安全檢測(包括但不限于漏洞掃描、配置核查、無線網絡的安全評估以及后門探測等),期望通過上線前安全檢測能夠及時發現潛在的安全隱患,進而通過系統加固、優化安全配置及安全防護策略等手段盡可能避免因自動化控制系統自身的缺陷所帶來的安全威脅。從工業控制系統上線前的安全檢查開始,把信息安全融入到正常的驗收體系中,除了功能性安全驗收外,信息安全驗收也要作為工業控制系統(系統組件或設備)能否正常上線的一個重要評估依據。
(4)自動化控制系統日常運行及維護管理
在冶金自動化控制系統的日常運行階段,應建立相應的人員安全管理制度及安全意識培訓機制,明確系統操作、管理人員的職責及授權,建立相關人員的操作行為監管及審計機制,通過制度、管理和技術手段來規范系統相關人員的系統操作行為。
對在線運行的自動化控制系統,要制定明確的邊界控制及系統防護策略,嚴格管理所有可能的自動化系統訪問入口(如工控系統網絡禁止與公共網絡連接,如若必須連接時,要逐一進行登記,采取設置防火墻、單向隔離等措施加以防護;禁止在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機;封閉或拆除終端設備外接端口等);要求終端設備(含服務器、計算機、打印機、掃描儀等)必須安裝正版操作系統及系統軟件,安裝必要的防病毒軟件;建立控制服務器等工業控制系統關鍵設備安全配置管理,對重點崗位的計算機系統必須設置使用權限及專人使用的保護機制,禁止非專業人員操作系統和不明軟件進入系統;崗位重點計算機系統用戶必須定期與不定期地進行文件備份工作,重要的數據要及時進行備份,對于存放重要數據和程序的存儲介質,要求將數據和程序分別存放,要貼有寫保護簽,以防數據和程序被破壞或感染病毒;建立工業控制系統信息安全檢查、安全測評檢查和漏洞發布制度,盡早發現系統存在的潛在安全風險,通過調整安全防護策略及安全整改實現對自動化控制系統防護能力的提升。
2.3 加強檢查,持續改進
要確保冶金自動化控制系統的信息安全關鍵在于提高每名職工的信息安全防范意識,并確保各項制度流程的落實。因此在建立完善的信息安全防控體系的同時,還要加強對職工信息安全及防范技術的培訓,并建立對操作崗位人員合理的評價及考核機制,自動化控制系統運行單位要從實際出發,定期組織開展信息安全檢查,排查安全隱患,堵塞安全漏洞。
3 兩點認識
冶金自動化控制系統信息安全不是一個單純的技術問題,而是一個從意識培養開始,涉及到管理、流程、架構、技術、產品等各方面的系統工程,需要自動化控制系統的管理方、運營方、集成商與組件供應商的共同參與,協同工作,并在整個工業基礎設施生命周期的各個階段持續實施,不斷改進才能保障冶金設備產線的安全運營。
此外冶金自動化控制系統是一個動態的過程,設備變更、系統升級等都會導致冶金自動化控制系統自身處于動態演化之中,而各種安全威脅、安全攻擊技術的復雜性和技巧性也在不斷演變,防范難度也會與日俱增,因此在冶金自動化控制系統信息安全也無法達到100%,信息安全需要冶金自動化控制系統生命周期的各個階段中持續實施、不斷改進。
作者簡介
繆明軍,男,畢業于哈爾濱工業大學,碩士,高級工程師,現任首鋼總公司設備部設備技術處處長,主要負責首鋼自動化設備技術管理。
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號