導(dǎo)讀:近9年多時(shí)間里��,我國(guó)在實(shí)施工控系統(tǒng)網(wǎng)絡(luò)安全各項(xiàng)工作的同時(shí)�����,也遇到了與互聯(lián)網(wǎng)安全����、信息系統(tǒng)安全完全不同的困難和挑戰(zhàn)�����,仍很?chē)?yán)峻……
來(lái)源|浙江大學(xué)工業(yè)控制系統(tǒng)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室
作者|馮冬芹
一����、工控系統(tǒng)已成為網(wǎng)絡(luò)空間安全的重要戰(zhàn)場(chǎng)
2010年��,伊朗發(fā)生了震驚世人的“震網(wǎng)”(Stuxnet)事件��,“震網(wǎng)”計(jì)算機(jī)病毒攻擊了伊朗納坦茲鈾濃縮基地和布什爾核電站使用的西門(mén)子PCS7控制系統(tǒng)���,破壞了大量鈾濃縮離心機(jī)和布什爾核電站發(fā)電機(jī)組�,導(dǎo)致伊朗核計(jì)劃至少被延遲2年��。
事件表明�����,網(wǎng)絡(luò)空間的安全威脅已從傳統(tǒng)的互聯(lián)網(wǎng)��、計(jì)算機(jī)等虛擬空間迅速延伸擴(kuò)展至物理世界的工業(yè)控制系統(tǒng)���。即“計(jì)算機(jī)病毒”可以在不破壞工控系統(tǒng)本身的情況下���,通過(guò)操控工業(yè)控制系統(tǒng)�����,引發(fā)生產(chǎn)中斷����、管道泄漏����、環(huán)境污染、裝備損毀��,甚至可以引發(fā)災(zāi)難事故��,導(dǎo)致社會(huì)動(dòng)蕩��,國(guó)家安全就會(huì)受到極大威脅����。工控系統(tǒng)已成為網(wǎng)絡(luò)空間安全越來(lái)越重要的新戰(zhàn)場(chǎng)���。人們?yōu)閰^(qū)別于傳統(tǒng)虛擬空間的病毒����,把“震網(wǎng)”稱(chēng)為“超級(jí)巡航導(dǎo)彈”、“軟件原子彈”�,等等。
自“震網(wǎng)”事件之后�����,針對(duì)工控系統(tǒng)攻擊的這種“軟件原子彈”威脅越來(lái)越多�、離我們也越來(lái)越近,甚至原先我們認(rèn)為物理隔離的工控系統(tǒng)也未能幸免:
(1)如2015年12月��,被認(rèn)為使用專(zhuān)網(wǎng)的烏克蘭伊萬(wàn)諾-弗蘭科夫斯克地區(qū)電力監(jiān)控系統(tǒng)遭到“BlackEnergy”惡意代碼的攻擊�����。烏克蘭新聞媒體TSN報(bào)道稱(chēng):“至少有三個(gè)電力區(qū)域被攻擊����,導(dǎo)致了數(shù)小時(shí)的停電事故”;“攻擊者入侵了監(jiān)控管理系統(tǒng)�����,超過(guò)一半的地區(qū)和部分伊萬(wàn)諾-弗蘭科夫斯克地區(qū)斷電幾個(gè)小時(shí)�����。”Kyivoblenergo電力公司發(fā)布公告稱(chēng):“公司因遭到入侵��,導(dǎo)致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現(xiàn)故障��,導(dǎo)致80000用戶(hù)斷電���?!?/p>
(2)2017年6月12日�,一款針對(duì)電力變電站系統(tǒng)進(jìn)行惡意攻擊的工控網(wǎng)絡(luò)攻擊武器Industroyer被發(fā)現(xiàn)對(duì)烏克蘭電網(wǎng)發(fā)起了攻擊。與BlackEnergy不同的是��,Industroyer據(jù)稱(chēng)沒(méi)有利用任何漏洞���,而是利用電力系統(tǒng)自身的工控協(xié)議����,直接控制斷路器����,導(dǎo)致變電站斷電���。
(3)2017年12月���,一種針對(duì)施耐德電氣公司的Triconex安全儀表系統(tǒng)控制器(SIS��,SafetyInstrumentSystem)的惡意軟件TRITON被發(fā)現(xiàn)�����。TRITON據(jù)稱(chēng)能修改安全儀表系統(tǒng)(SIS)的表決機(jī)制��,從而使安全保護(hù)功能失效�。
此外�,由于工控系統(tǒng)在操作人員的界面軟件使用了微軟操作系統(tǒng),因此針對(duì)互聯(lián)網(wǎng)��、計(jì)算機(jī)操作系統(tǒng)攻擊的病毒(如勒索病毒W(wǎng)annaCry)對(duì)工控系統(tǒng)也多多少少產(chǎn)生了一些影響��。
二�����、我國(guó)對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全給予了前所未有的高度重視
自2010年震網(wǎng)事件發(fā)生后���,我國(guó)從中央�����、各級(jí)部門(mén)����,到各大企業(yè)對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全給予了前所未有的高度重視:
(1)從國(guó)家層面,中央不僅成立了網(wǎng)絡(luò)安全與信息化委員會(huì)��,而且先后發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))�、《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)(國(guó)發(fā)〔2012〕23號(hào))》等文件,全國(guó)人民代表大會(huì)常務(wù)委員會(huì)也于2016年11月7日批準(zhǔn)發(fā)布了《網(wǎng)絡(luò)安全法》�����,自2017年6月1日起施行��,表明包括工控系統(tǒng)網(wǎng)絡(luò)安全在內(nèi)的網(wǎng)絡(luò)空間安全已上升到黨和國(guó)家����、法律的高度;
(2)從國(guó)家機(jī)關(guān)職能上��,國(guó)家和地方各職能機(jī)關(guān)�、部門(mén)都已把工控安全放在十分重要的位置,不僅出臺(tái)了相應(yīng)的文件���,而且開(kāi)展了各種形式的工控安全培訓(xùn)�、大賽等科普活動(dòng)以及等級(jí)保護(hù)測(cè)評(píng)��、安全評(píng)估�����、安全檢測(cè)��、安全檢查等實(shí)質(zhì)性工作����;
(3)從標(biāo)準(zhǔn)層面,全國(guó)信息安全標(biāo)委會(huì)TC260�����、工業(yè)測(cè)量與控制標(biāo)委會(huì)TC124�、全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC82等都在工控安全領(lǐng)域開(kāi)展了大量工作,發(fā)布了一系列與工控安全相關(guān)的國(guó)家標(biāo)準(zhǔn)����、行業(yè)標(biāo)準(zhǔn)���。2019年5月13日,包括云計(jì)算、移動(dòng)互聯(lián)��、物聯(lián)網(wǎng)�����、工業(yè)控制以及大數(shù)據(jù)安全在內(nèi)的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱(chēng)等保2.0標(biāo)準(zhǔn))也在眾人期待下正式發(fā)布,并將于2019年12月1日開(kāi)始實(shí)施�����。
(4)從科研組織上���,教育部也新設(shè)立了網(wǎng)絡(luò)空間安全一級(jí)學(xué)科���,各大高校也紛紛成立了相關(guān)學(xué)院和專(zhuān)業(yè)。
(5)從產(chǎn)業(yè)組織上��,國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟�,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟,中國(guó)信息安全技術(shù)產(chǎn)業(yè)聯(lián)盟��、中國(guó)工業(yè)信息安全聯(lián)盟等發(fā)展也很迅猛�����。
(6)在具體落實(shí)層面����,各工業(yè)企業(yè),特別是各重點(diǎn)基礎(chǔ)設(shè)施企業(yè)無(wú)不紛紛成立了專(zhuān)門(mén)的信息安全機(jī)構(gòu)�,可見(jiàn)其重視程度。
由此可見(jiàn)��,我國(guó)已建立起了覆蓋從國(guó)家層面��、法律�、職能機(jī)構(gòu)再到科研、標(biāo)準(zhǔn)�、產(chǎn)業(yè)和企業(yè)等所有層面的工控安全體系,足見(jiàn)對(duì)工控安全的重視程度����。
三、工控系統(tǒng)面臨的安全威脅仍很?chē)?yán)峻
當(dāng)前����,隨著“兩化融合”的不斷深入,我國(guó)電力系統(tǒng)��、石油煉化、水利���、城市與軌道交通����、輸油管線(xiàn)����、國(guó)防裝備、以及其他公用工程仍在大量使用的國(guó)外控制系統(tǒng)�,很難做到與互聯(lián)網(wǎng)物理隔離;工控系統(tǒng)的維護(hù)���、維修也仍然由這些工控系統(tǒng)的生產(chǎn)廠商所承擔(dān)���,因此面臨的安全形勢(shì)依然嚴(yán)峻:
(1)來(lái)自網(wǎng)絡(luò)的遠(yuǎn)程攻擊,如通過(guò)互聯(lián)網(wǎng)�、企業(yè)內(nèi)部網(wǎng)、無(wú)線(xiàn)網(wǎng)��,黑客和攻擊者就可以遠(yuǎn)程對(duì)工控系統(tǒng)實(shí)施攻擊�;
(2)通過(guò)移動(dòng)介質(zhì)的帶入攻擊,如移動(dòng)硬盤(pán)�����、U盤(pán)、光盤(pán)���、移動(dòng)終端等����;
(3)預(yù)埋代碼的潛伏式攻擊��,典型的途徑有工程實(shí)施時(shí)的預(yù)埋���、通過(guò)備品備件的預(yù)埋、通過(guò)維修維護(hù)帶入的預(yù)埋��。
四��、工控系統(tǒng)安全的主要威脅是有組織的專(zhuān)業(yè)化攻擊
從技術(shù)上看����,工控系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅來(lái)自于兩個(gè)方面:一個(gè)是傳統(tǒng)的網(wǎng)絡(luò)安全威脅,即利用操作系統(tǒng)�、應(yīng)用軟件的漏洞發(fā)起的攻擊威脅。這類(lèi)威脅主要是針對(duì)計(jì)算機(jī)所使用的計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件(如辦公軟件�、網(wǎng)站軟件等)的漏洞����,獲取計(jì)算機(jī)操作權(quán)限�����,或竊取隱私或敏感信息�����。
另一個(gè)更重要的安全威脅來(lái)源于對(duì)工控系統(tǒng)及其所控制的生產(chǎn)裝置����、生產(chǎn)工藝非常熟悉的有組織的攻擊。從公開(kāi)的資料可以發(fā)現(xiàn)��,“震網(wǎng)”雖然利用了操作系統(tǒng)的漏洞���,但這些漏洞只是被用于“震網(wǎng)”代碼的傳播���,其核心代碼卻是利用了西門(mén)子PCS7控制系統(tǒng)和核設(shè)施的特性,而發(fā)起惡意操控����,同時(shí)向操作人員界面軟件發(fā)送欺騙數(shù)據(jù)�����。
由此可見(jiàn)����,針對(duì)工控系統(tǒng)核心部件攻擊的“黑客”除了要具有一般的計(jì)算機(jī)操作系統(tǒng)和軟件知識(shí)外����,更利用了工控系統(tǒng)本身的軟件硬件特性和通信協(xié)議、操作指令和基礎(chǔ)設(shè)施生產(chǎn)裝置的弱點(diǎn)��,導(dǎo)致一般的互聯(lián)網(wǎng)安全技術(shù)人員難以發(fā)現(xiàn)�����,即具有“高專(zhuān)業(yè)性����、高隱蔽性�����、高復(fù)雜性���、難以被發(fā)現(xiàn)����、難以被跟蹤”(即“三高兩難”)特性。
五��、工控系統(tǒng)安全保護(hù)挑戰(zhàn)比一般信息系統(tǒng)大很多
從2010年的“震網(wǎng)”事件至今的近9年多時(shí)間里�����,我國(guó)在實(shí)施工控系統(tǒng)網(wǎng)絡(luò)安全各項(xiàng)工作的同時(shí)���,也遇到了與互聯(lián)網(wǎng)安全���、信息系統(tǒng)安全完全不同的困難和挑戰(zhàn),主要表現(xiàn)為以下幾個(gè)方面:
(1)對(duì)工控安全的理解��,更多還停留在互聯(lián)網(wǎng)安全和協(xié)議層面
與互聯(lián)網(wǎng)系統(tǒng)�、信息系統(tǒng)相比,工控系統(tǒng)大多是由傳感器���、控制裝置��、執(zhí)行機(jī)構(gòu)等多環(huán)節(jié)構(gòu)成的閉環(huán)系統(tǒng)�,其監(jiān)控軟件也是供操作員進(jìn)行工況監(jiān)視和簡(jiǎn)單的操作,工控協(xié)議用于傳輸生產(chǎn)過(guò)程中的數(shù)據(jù)�。因此,工控系統(tǒng)的網(wǎng)絡(luò)安全需要從以上所有要素以及生產(chǎn)裝置本身進(jìn)行綜合的考慮��。
(2)對(duì)工控安全惡意代碼攻擊原理和機(jī)制的了解有限
如今����,各種公開(kāi)報(bào)道、微博等各種社交媒體文件���,以及許多文章�、報(bào)告對(duì)工控安全事件的報(bào)道較多���、技術(shù)性分析較少;對(duì)工控安全網(wǎng)絡(luò)部分威脅的渲染較多����,對(duì)工控內(nèi)部的威脅分析較少;對(duì)操作系統(tǒng)“漏洞”介紹較多����,對(duì)工控系統(tǒng)自身軟硬件漏洞分析較少;對(duì)操作系統(tǒng)、郵件等的漏洞利用介紹較多�����,對(duì)于工控惡意代碼“長(zhǎng)什么樣��,什么時(shí)候來(lái)���,什么時(shí)候觸發(fā)�����,如何觸發(fā)���,什么時(shí)候離開(kāi)”等技術(shù)問(wèn)題,研究較少����,導(dǎo)致工控安全工作的開(kāi)展難以深入。
(3)當(dāng)前工控安全防護(hù)措施和產(chǎn)品的有效性有待檢驗(yàn)
當(dāng)前���,無(wú)論是針對(duì)工控系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)�����、安全評(píng)估����、安全檢測(cè)、安全檢查�,還是各種工控安全產(chǎn)品,雖然形式多樣��,但其有效性還遠(yuǎn)未得到用戶(hù)的認(rèn)可��,尤其是針對(duì)工控系統(tǒng)終端設(shè)備面臨的安全威脅�,“對(duì)錯(cuò)了癥、下錯(cuò)了藥”的問(wèn)題至今還未真正得到解決����。
(4)工控安全的標(biāo)準(zhǔn)難以在工控系統(tǒng)終端落地
當(dāng)前,關(guān)于工控安全的標(biāo)準(zhǔn)已有很多�����,如IEC62443國(guó)際標(biāo)準(zhǔn)(美國(guó)國(guó)際自動(dòng)化協(xié)會(huì)ISA的ISA99)�����、美國(guó)NIST發(fā)布的SP-800.53�,以及我國(guó)的等保2.0標(biāo)準(zhǔn)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等。但在實(shí)施過(guò)程中�����,面對(duì)運(yùn)行中的工控系統(tǒng)(尤其是其核心部件的控制器)時(shí)���,還會(huì)遇到“碰不得��、摸不得”的尷尬�。
(5)工控安全的實(shí)施難以得到工控設(shè)備生產(chǎn)廠商的配合
工控系統(tǒng)不同于互聯(lián)網(wǎng)系統(tǒng)�����、信息系統(tǒng)�,不僅要保證生產(chǎn)過(guò)程按工藝設(shè)計(jì)要求運(yùn)行在預(yù)定的工況,同時(shí)還要避免安全事故的發(fā)生���。換言之���,工控系統(tǒng)的生產(chǎn)廠商、集成廠商不僅要對(duì)生產(chǎn)過(guò)程的連續(xù)性�、可靠性負(fù)責(zé),還需要對(duì)生產(chǎn)的安全負(fù)責(zé)�����。這是傳統(tǒng)信息安全廠商和安全產(chǎn)品難以做到的。
六��、工控系統(tǒng)安全需要注意避免的幾個(gè)誤區(qū)
如上所述��,工控系統(tǒng)的網(wǎng)絡(luò)安全需要圍繞控制系統(tǒng)本身與生產(chǎn)裝置安全開(kāi)展�,在實(shí)踐中,要注意避免以下幾個(gè)誤區(qū):
(1)過(guò)于強(qiáng)調(diào)基于漏洞掃描的安全防護(hù)
如前所述�����,工控系統(tǒng)設(shè)計(jì)開(kāi)發(fā)工程師關(guān)注的是如何使產(chǎn)品更可靠����、可用性更高,所開(kāi)發(fā)的控制算法如何使被控對(duì)象更穩(wěn)定��、對(duì)外界干擾的魯棒性更高����,對(duì)網(wǎng)絡(luò)安全關(guān)注較少,因此其軟件���、硬件都存在著這樣或那樣的漏洞��。
然而�,目前市場(chǎng)流通的漏洞掃描產(chǎn)品僅僅能發(fā)現(xiàn)引發(fā)工控系統(tǒng)溢出��、宕機(jī)的漏洞��,而像“震網(wǎng)”�����、Industroyer�、TRITON那樣所能利用的漏洞,通過(guò)傳統(tǒng)的手段還難以發(fā)現(xiàn)��。
(2)過(guò)于強(qiáng)調(diào)補(bǔ)丁升級(jí)管理
眾所周知����,由于工控系統(tǒng)的軟件硬件之間的耦合非常緊密,使用了大量非私有的協(xié)議�����、技術(shù)和功能模塊���,一旦沒(méi)有經(jīng)過(guò)嚴(yán)格測(cè)試而給系統(tǒng)打補(bǔ)丁或者版本更新���,輕則導(dǎo)致藍(lán)屏�、重則導(dǎo)致這些組態(tài)監(jiān)控軟件不再可用�����;而工控系統(tǒng)的重啟是一個(gè)極其復(fù)雜的過(guò)程�����,一旦不慎���,極易導(dǎo)致生產(chǎn)中斷����、或因生產(chǎn)設(shè)備工藝不匹配而導(dǎo)致裝置損毀�����。
因此�,對(duì)于一些重要、尤其是核心基礎(chǔ)設(shè)施的工控系統(tǒng)�,打補(bǔ)丁、軟件版本更新必須慎之又慎!
(3)過(guò)于依賴(lài)工控系統(tǒng)的隔離安全
如前所述����,隨著“兩化融合”的不斷推進(jìn),生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為工控系統(tǒng)的基本架構(gòu)�,與外界完全隔離幾乎不可能�����。另外�����,維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦����、備品備件,都可能成為代碼帶入的工具���?!罢鹁W(wǎng)”據(jù)說(shuō)就是利用U盤(pán)帶入的�����。
(4)過(guò)于高估工業(yè)防火墻等傳統(tǒng)防護(hù)產(chǎn)品的作用
從目前工控系統(tǒng)的實(shí)際來(lái)看,工控系統(tǒng)除了它支持的私有協(xié)議和公開(kāi)專(zhuān)用協(xié)議之外�����,其他所有的協(xié)議都會(huì)被過(guò)濾����,不會(huì)被處理。換言之����,工控系統(tǒng)一般都具備了一般防火墻的能力。從這個(gè)意義上看����,目前市場(chǎng)上所謂的工業(yè)防火墻,也僅僅起到應(yīng)付檢查的自我安慰作用�。
(5)過(guò)于依賴(lài)單向通信隔離裝置
如上所述,針對(duì)工控系統(tǒng)的攻擊途徑有多種�����,有通過(guò)網(wǎng)絡(luò)遠(yuǎn)程實(shí)施的���,有通過(guò)無(wú)線(xiàn)接入的�����,更有通過(guò)移動(dòng)介質(zhì)�、工程實(shí)施與維保預(yù)埋、備品備件預(yù)埋等途徑���,單向通信隔離裝置也只能起到一部分作用����。
七��、工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)必須覆蓋工控系統(tǒng)本身���、生產(chǎn)工藝與操作流程等所有方面
從具體實(shí)踐來(lái)講,對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)需要從以下幾個(gè)層面綜合考慮:
第一層����,對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù),需要覆蓋工控系統(tǒng)軟件�����、硬件和網(wǎng)絡(luò)等所有部件��。
第二層,對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)���,需要結(jié)合生產(chǎn)工藝與操作流程而開(kāi)展�����。
第三層�����,針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)��,還必須覆蓋工控系統(tǒng)的設(shè)計(jì)�、生產(chǎn)����、調(diào)試、工程實(shí)施�、維修、運(yùn)行維護(hù)等全生命周期的所有環(huán)節(jié)�����。
工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)是一個(gè)極其復(fù)雜的系統(tǒng)工程�����,需要回歸控制系統(tǒng)的初心、回歸控制系統(tǒng)的本質(zhì)����,從工控系統(tǒng)的軟件、硬件�、網(wǎng)絡(luò)以及生產(chǎn)工藝、生產(chǎn)流程��、生產(chǎn)裝置等多方面同時(shí)著手�����,才能真正有效的對(duì)國(guó)家重要基礎(chǔ)設(shè)施安全進(jìn)行保護(hù)����。
聲明:本文為轉(zhuǎn)載類(lèi)文章����,如涉及版權(quán)問(wèn)題,請(qǐng)及時(shí)聯(lián)系我們刪除(QQ: 2737591964)����,不便之處�����,敬請(qǐng)諒解�����!
返回首頁(yè) 
網(wǎng)站客服
粵公網(wǎng)安備 44030402000946號(hào)