力控华康护航工业控制系统安全
工业控制系统,由一系列自动化控制组件以及实时数据采集、监测的过程控制组件共同构成,在电力设施、水力油气、交通运输等重要行业和领域有着广泛的应用,主要利用信息化手段,实现物理过程的监测和控制。
早期的工业控制系统和企业管理系统是封闭、隔离的,随着时代发展,为了实时数据采集与生产控制,需要将工业控制系统和企业管理系统直接通信交互。
电力、石化、交通、市政及关键基础行业对信息网络的依赖越来越强,相关行业的工业控制系统间也日益通过信息网络来实现信息互联互通及远程控制。因此工业控制系统将不能仅关注系统功能安全问题,更要注意防范来自网络空间的安全问题。
《2016工业控制系统漏洞趋势报告》显示,工业控制系统漏洞正在增多,在2014到2015年之间存在着49%高速增长。如何把控工控安全、提升防护能力已成为业界关注的焦点,业内分析,工控安全将成为政策部署的重点之一。
一、近两年主要工业控制系统(ICS)安全事件
BLACKENERGY(黑暗力量)攻击导致的断电事故
2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。
2016年12月17日晚,该公司再次遭到攻击,影响到基辅附近诺威佩特里夫茨村的北部变电站自动化控制系统,再次造成大规模停电事故,该停电事故主要影响的范围是基辅(乌克兰首都)北部及其周边地区。
Operation GHOUL(食尸鬼)行动
2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。
伊朗黑客攻击美国大坝事件
2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。
二、工控安全面临的根源问题
工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,智能楼宇系统、自来水厂控制系统、核电站管理系统,每一个工业控制系统都影响着人们的生产生活,网络安全已不仅存在于电脑中,对生活同样有重要影响。
目前来说,工控安全问题的最大根源在于信息安全从来不是工业控制系统的设计目标。从产品设计上看,大量工控设备都缺少安全机制,包括最基本的安全功能,如身份鉴别、访问控制、通信保护、安全审计等。
工业控制系统面临着安全挑战。从管理角度看,工业控制系统存在职责不清晰、安全意识薄弱、“重safety轻security”的问题,工控信息安全长期处于“三不管”地带,所有设备在上线前未经安全测评,上线后也很少进行安全评估。这些原因最终造成了当前工业控制系统恶意代码无防护,网络连接无隔离、系统漏洞难修补、网络状况无监测、远程通信无保护的状况。
在人员管理方面,随着工业与IT的融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业控制系统、传播恶意软件、忽略工作异常等,而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。
三、IT系统安全技术在工控领域的挑战
长期以来,在我国信息安全不是工业控制系统的首要设计目标,以“保密性-完整性-可用性”为设计要求的信息安全解决方案和标准很难满足工控行业对信息安全的需求,因此存在着适用程度低等问题。
工业控制系统与IT系统差别很大。工业控制系统强调实时性、可靠性,有些系统甚至要求毫秒级,系统不会轻易重启,且更新很慢。工业控制系统安全首先强调可用性,其次是完整性,最后是保密性。IT系统则更强调保密性、完整性,最后才是可用性。这两种安全目标的反差直接使得现有信息安全技术在工控领域面临很大的挑战。
比如漏洞扫描、渗透测试、补丁更新、主机监控等技术都由于可能会影响工业控制系统可用性而不被行业用户所接受。再加上工控网络大量采用私有通信协议,而且设备本身的处理能力低、对实时要求高,这些导致了防护隔离、入侵检测、通信加密、网络监控等传统信息安全技术都需要改变。
四、工业控制系统安全解决方向
随着工业化和信息化的深度融合,信息安全将成为工控网络安全的重要问题,而工控网络安全防护,应从管理和技术两方面进行:
从管理上,理顺“工控信息安全到底归谁管”的问题,也就是明确工控信息安全组织机构。在具体措施上可借鉴已有成熟的信息安全管理标准规范,并与现行的生产安全管理制度进行对照,查漏补缺,确保管理制度具备可行性。此外,还需加强人员的安全意识培训,覆盖信息安全领域和自动控制领域。
从技术上,加强工控网络防护及边界防护。在工控网络中部署工业防火墙及工业隔离产品,对工控网络进行安全防护,配置相应安全策略,做到对工控设备的访问控制,对工控协议数据的深度过滤。
企业整体工控网络可分为三层次:信息网、管理网和控制网。企业管理者通过从信息网ERP系统中提取有关生产数据用于制定综合管理决策;从管理网MES系统中获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能;控制网负责通过组态设计,完成过程控制及数据采集等各种功能。
在工控网络不同区域分别部署力控华康ISG工业防火墙、PSL工业隔离网关、PFC工业通讯网关、工控安全管理平台进行整体网络防护,如下图:
可实现以下功能:
1) 管理网和控制网之间的安全防护
本案中大量使用OPC 通讯协议,由于OPC 通讯采用不固定的端口号,使用传统的IT 防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的安全保障被降至最低。因此,在管理网和控制网之间部署力控华康PSL隔离网关,解决OPC 通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到相邻的工控网络及其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯安全。
力控华康PSL隔离网关内部采用2+1的双独立主机架构,控制端接入工业控制网络,通过采集接口完成各子系统数据的采集;信息接入到管理网络,完成数据到MES的传输。双主机之间通过专有的PSL网络隔离传输技术,截断 TCP 连接,彻底割断穿透性的 TCP 连接。PSL的物理层采用专用隔离硬件,链路层和应用层采用私有通信协议,数据流采用128 位以上加密方式传输,更加充分保障数据安全。PSL技术实现了数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保子系统控制系统不会受到攻击、侵入及病毒感染。
2) 管理网络和信息网络之间的安全防护
由于信息网络使用人员、网络结构、应用服务及系统的复杂性且与互联网相联,受病毒攻击和入侵的概率很大,存在较高的安全隐患。所以在和MES系统前端部署力控华康ISG工业防火墙,只允许相关工业协议的授权访问,防止病毒扩散,保证了控制网络的通讯安全。
考虑到PLC、DCS控制系统及控制器之间的通讯一般都采用制造商专有工业通讯协议,或者其它工业通信标准如Modbus 等。由于常规的IT 防火墙等安全防护产品不支持工业通讯协议,因此,对关键的控制器和控制系统的保护应使用专业的工业防火墙。一方面对工业防火墙进行规则组态时只允许制造商专有工业协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面也可以管控局部网络的讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而避免控制器死机。
4) 现场工业仪器设备统一数采及转发
在控制网中,现场存在仪器、仪表等接口类型及通讯协议复杂多样的情况,数据集中管理、维护存在很大的难度,因此,对现场工业仪器使用力控华康PFC工业通讯网关,可采集现场多种不同子系统、设备、智能仪表等的数据,进行数据集中汇总、分类和预处理,并向多个不同应用系统进行数据转发。
5) 安全设备统一管理
在整个网络中部署了多台安全设备,各安全设备还是以孤立的单点防御为主,彼此间缺乏有效的协作,不同的设备之间的信息也无法共享,通过力控华康工控安全管理平台,对网络中的安全设备进行统一管理,收集相关信息,进行关联分析,形成安全事件报表输出,有效的帮助管理员了解网络中的安全现状与风险,提供相关解决办法和建议。
提交
新郑卷烟厂工业控制网网络安全解决方案
鲁西化工信息安全解决方案
WannaCry“永恒之蓝“—力控华康护航工控安全之隔离篇
WannaCry勒索蠕虫-力控华康护航工控安全
力控华康中海油透平数据远传项目