今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著自來水廠自動化水平的不斷提高,數字化、信息化技術的應用,自來水廠控制系統(tǒng)的安全風險問題日益突出。要有效防范風險,首先應分析清楚自來水廠控制系統(tǒng)存在的安全風險。
關鍵詞:自來水廠;控制系統(tǒng);安全風險
Abstract: With the continuous improvement of automation level in water plant and the application of digital and information technology, the safety risk issue of water plant control system becomes more and more serious. In order to prevent the risk effectively,the safety risk of the control system in water plant should be analyzed at first.
Key words: Water plant; Control system; Safety risk
1 引言
隨著自來水廠自動化水平的不斷提高,以及數字化、信息化技術的廣泛應用,自來水廠控制系統(tǒng)的安全風險問題日益突出。
2 自來水廠控制系統(tǒng)簡述
自來水處理廠的自動化生產,主要是指使用工業(yè)控制系統(tǒng)檢測現場水質狀況、控制工藝設備運行(如加藥設備、水泵機組、閥門、電氣柜等),實現對現場實時數據采集與上傳,工藝電控設備的順序、條件、計時、計數控制、PID調節(jié)控制等功能,并按照工藝要求依次完成混凝反應、沉淀處理、過濾處理、濾后消毒、加壓供水等環(huán)節(jié),最終將純凈衛(wèi)生的自來水可靠地送入千家萬戶的過程。
3 自來水廠控制系統(tǒng)網絡特點
自來水廠工業(yè)控制網絡有不同于IT網絡的很多特點,這些特點造成工業(yè)控制網絡安全防護的理念與IT網絡防護理念并不相同,具體體現以下幾方面。
3.1 網絡協(xié)議不同
工業(yè)控制網絡采用工業(yè)控制特有的協(xié)議,Modbus、DNP3、PROFINET以及多種私有協(xié)議,很多工業(yè)控制協(xié)議設計上并未考慮安全性,協(xié)議本身的通信不能有效驗證,從而給工業(yè)控制網絡帶來嚴重威脅。
3.2 設備廠商不同
工業(yè)控制網絡中多采用Siemens、Emerson、RockwellAutomation、Schneider Electric、GE等國外廠商的設備,這些設備中存在多種高危漏洞或后門,給系統(tǒng)安全帶來人為的嚴重威脅。
3.3 工業(yè)病毒傳播
工業(yè)控制網絡中缺少有效的病毒控制手段,一旦某個工業(yè)控制設備受到病毒感染,將迅速蔓延到其它控制設備,產生破壞作用或竊取工業(yè)數據,從而給工業(yè)控制網絡安全帶來嚴重威脅。
3.4 無線網絡接入
Wi-Fi技術等無線技術的普遍應用,在給工業(yè)生產帶來便利的同時,也帶來了安全威脅,工業(yè)控制網絡中固有的生產要求使其缺少有效的認證和控制機制,一旦通過無線接入,將使得整個系統(tǒng)暴露在非安全環(huán)境之下,給系統(tǒng)的安全性帶來重大隱患。
4 自來水廠控制系統(tǒng)面臨的安全風險
4.1 系統(tǒng)軟件升級困難
工業(yè)控制設備廠商會定期發(fā)布工業(yè)控制軟件補丁,用于解決工業(yè)控制系統(tǒng)中的問題,但工業(yè)控制網絡以穩(wěn)定性為基礎,頻繁升級補丁軟件,給系統(tǒng)的穩(wěn)定性帶來嚴重威脅,升級失敗或出錯將造成整個系統(tǒng)的不可用,給工業(yè)生產帶來巨大的損失。
4.2 網絡時延要求高
與傳統(tǒng)互聯(lián)網不同,工業(yè)控制系統(tǒng)中,對控制信號的傳輸時延和傳輸可靠性要求非常高,數據必須在固定的時間內可靠到達目標系統(tǒng),數據丟失、延遲、亂序傳輸等都將給控制系統(tǒng)帶來嚴重的問題。
4.3 病毒控制手段缺乏
工業(yè)控制網絡中很多控制設備單元都是封閉的系統(tǒng),無法通過病毒軟件進行病毒清理,同時缺少病毒在控制網絡中傳播的控制手段,一旦感染病毒將傳播到整個工業(yè)控制網絡,將給工業(yè)生產帶來嚴重影響。
4.4 工業(yè)控制協(xié)議多樣
工業(yè)控制網絡中存在多種控制協(xié)議,其中有大量的公有協(xié)議和私有協(xié)議,分布在網絡分層模型的多個層級,針對工業(yè)控制網絡的攻擊和病毒,承載在工業(yè)控制協(xié)議之上,需要采用深度DPI技術對工業(yè)控制網絡的安全威脅進行識別和有效控制。
4.5 設備的多樣性
工業(yè)控制網絡的設備多種多樣,每種設備都具有各自的特點,設備的安全等級參差不齊,給工業(yè)控制系統(tǒng)安全防護帶來很大困難。
4.6 行業(yè)工藝的多樣性
每個自來水廠都有多個工藝生產過程,組網連接及工藝設備都有一定的差異,工藝的多樣性給工業(yè)控制系統(tǒng)安全帶來隱患。
5 自來水廠控制系統(tǒng)漏洞分析
5.1 工業(yè)控制系統(tǒng)的漏洞
控制網絡中在運行的電腦很少或沒有機會安裝全天候病毒防護或更新版本。另外,控制器的設計都以優(yōu)化實時的I/O功能為主,而并不提供加強的網絡連接安全防護功能。由于PLC等控制系統(tǒng)缺乏安全性設計,所以PLC系統(tǒng)都是非常容易受到攻擊的對象,一般的黑客初學者能很容易地獲取入侵這些系統(tǒng)的工具。并且當前國家基礎實施控制系統(tǒng)基本上被國外廠商壟斷,設備都存在漏洞和固件后門。核心技術受制于人,增加了諸多不可控因素。就系統(tǒng)面臨的風險可以暫時定位來自網絡的風險和來自主機的風險,具體可以從通信協(xié)議漏洞、操作系統(tǒng)漏洞、安全策略和管理流程漏洞、防病毒軟件漏洞、應用軟件漏洞、多個網絡接口接入點、疏漏的網絡分割設計等方面進行分析。
5.2 通信協(xié)議漏洞
兩化融合(企業(yè)信息網與工業(yè)控制網絡)和物聯(lián)網的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網絡中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPC Classic協(xié)議(OPC DA、OPC HAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網絡安全問題被廣泛認識之前設計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
本項目中涉及的下位機控制器為Schneider Electric的PLC,上位機監(jiān)控軟件為Siemens WinCC組態(tài)軟件,其通訊方式必然采用通用的工業(yè)通信協(xié)議。傳統(tǒng)IT防火墻基于原目的地址加端口的防護策略,不能深度檢測建立在應用層上的數據內容,故基于工業(yè)通信協(xié)議能夠進行深度分析控制的工業(yè)防火墻的使用勢在必行。參考標準:《NISTSP800-82工業(yè)控制系統(tǒng)安全指南》表3-12網絡通信方面的脆弱性。
5.3 操作系統(tǒng)漏洞
本項目控制系統(tǒng)的工程師站、操作站、HMI都是基于Windows平臺的,為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常現場工程師在系統(tǒng)開車后不會對Windows平臺安裝任何補丁。但存在的問題是,不安裝補丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
5.4 防病毒軟件漏洞
為了保證工控應用軟件的可用性,通常水處理相關工控系統(tǒng)操作站不允許安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關鍵的一點是,其病毒庫需要不定期地經常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后,導致每年都會爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
5.5 應用軟件漏洞
由于應用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應對安全問題;另外當應用軟件面向網絡應用時,就必須開放其應用端口。因此常規(guī)的IT防火墻等安全設備很難保障其安全性。互聯(lián)網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如自來水處理廠以及其他大型設備的控制權,一旦這些控制權被不良意圖黑客所掌握,后果將不堪設想。
5.6 多個網絡接口接入點
自來水生產供給行業(yè)最大的安全隱患在于自來水的輸、配送管網線路鋪設范圍廣,通常采用大量的GPRS無線通訊方式進行管網狀況的數據傳輸,傳輸的數據不加密,傳輸的報文容易被截獲,從而給非法入侵提供了可乘之機。
其次,自來水廠多采用成套系統(tǒng),生產設備與控制系統(tǒng)配套使用,嚴重依賴國外的產品與技術,部分控制系統(tǒng)存在安全漏洞與固有后門。
在多個網絡事件中,原因都是源于對多個網絡端口進入點疏于防護,包括USB鑰匙、維修連接、筆記本電腦、非法連接等。
5.7 網絡分割設計的缺失
實際應用中的許多控制網絡都是“敞開的”,不同的子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC、ModBus、Profibus等通訊的工業(yè)控制網絡,從而造成安全故障通過網絡迅速蔓延。
6 結語
自來水廠控制系統(tǒng)存在安全漏洞,面臨安全風險,僅依靠防火墻等傳統(tǒng)互聯(lián)網安全設備無法滿足工業(yè)控制安全防護要求,工業(yè)控制安全防護需要針對工業(yè)控制系統(tǒng)專有的安全防護解決方案。
參考文獻:
[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統(tǒng)信息安全技術[M]. 北京:國防工業(yè)出版社, 2014, 5.
[2] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護指南[Z]. 2016.
作者簡介:
楊 超(1972-),女,天津人,高級工程師,本科,現就職于中國市政工程華北設計研究總院有限公司,主要從事給水、排水工程自動化系統(tǒng)的設計與研究。
劉 杰(1971-),男,山東萊州人,教授級高工,本科,現任中國市政工程華北設計研究總院有限公司第一設計研究院副總工程師,主要從事電氣工程及自動化方面的設計研究工作。
摘自《自動化博覽》2019年1月刊
北京市公安局海淀分局備案號:11010802023656號