工业控制系统安全浅谈

工业控制系统安全摘要：随着“两化”融合的推进和以太网技术在工业控制系统中的大量应用，进而引发的病毒和木马对SCADA系统的攻击事件频发，直接影响公共基础设施的安全，其造成的损失可能非常巨大，甚至不可估量。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒，为工业生产控制系统安全敲响了警钟。现在，国内外生产企业都把工业控制系统安全防护建设提上了日程。而在工业控制系统中，工控网络存在着特殊性，导致商用IT网络的安全技术无法适应工业控制系统。本文将从工业控制的角度，分析工业控制系统安全的特殊性，并提出解决工业控制系统安全的一些建议。关键词：工业控制；SCADA系统；安全防护1.工业控制系统介绍1.1工业控制系统工业控制系统(IndustrialControlSystems,ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏，不仅会影响产业经济的持续发展，更会对国家安全造成巨大的损害。典型的ICS控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。1.2工控网络的发展现场总线技术作为传统的数据通讯方式广泛地应用在工业控制中。经过多年的争论和斗争后，现场总线国际标准IEC–61158放弃了其制定单一现场总线标准的初衷，最终发布了包括10种类型总线的国际标准。因此，各大总线各具特点、不可互相替代的局面得到世界工控界的认可。多种现场总线协议和标准的共存，意味着在各总线之间实现相互操作、相互兼容的代价是高昂的，且困难的。目前控制器甚至远程I/O支持以太网的功能越来越强，在有些控制器和远程I/O模块中已经集成了Web服务器，从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/O模块中的当前状态值。采用以太网架构和开放的软件系统的制造企业也被称为“数字工厂”。此外，通过Internet可以实现对工业生产过程的实时远程监控，将实时生产数据与ERP系统以及实时的用户需求结合起来，使生产不只是面向订单的生产，而是直接面向机会和市场的“电子制造”，从而使企业能够适应经济全球化的要求。工控系统开放的同时，也减弱了控制系统与外界的隔离，工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。1.3工业网络协议TCP/IP等通用协议与开发标准引入工业控制系统，特别是物联网、云计算、移动互联网等新兴技术，使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。目前，市场上具有以太网接口和TCP/IP协议的设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷，促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中应用较为广泛的工业以太网之一是德国西门子公司研发的SIMATICNET工业以太网；拥有丰富的工业应用经验的施耐德电气公司，也推出了一系列完整、以TCP/IP以太网为基础、对用户高度友好的服务，专门用于工业控制领域。自1979年以来，Modbus就已成为工业领域串行链路协议方面的事实标准，它已经在数以百万计的自动化设备中作为通信协议得到了应用。由于它的成功应用，互联网社团给Modbus协议保留了TCP502端口作为专用端口。通过Modbus消息可以在TCP/IP以太网和互联网上交换自动化数据，以及其它各种应用(文件交换、网页、电子邮件等等)。其它知名的工控硬件厂商，也提供了支持以太网接口的通信协议。如Rockwell支持的EtherNet/IP协议，GE支持的SRTPTCP/IP、EGD、MODBUSTCP/IP协议，浙大中控、和利时支持的OPC协议等。如今，在同一个网络上，无需任何接口就可以有机地融合信息技术与自动化已成为现实。2.工业控制系统安全现状与传统的信息系统安全需求不同，ICS系统设计需要兼顾应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。根据ICS-CERT（US-CERT下属的专门负责工业控制系统的应急响应小组）的统计，2011年度共上报工业控制系统相关ICS事件198起，较2009和2010年均有较大上升（2009和2010年分别为9起和41起），其安全事件集中于能源、水利、化工、政府机构以及核设施等领域，其中能源行业的安全事件在三年间共52起，占安全事件总数的21%。针对各类安全事件，结合工业网络的威胁特点，总结有代表性的案例如下：典型工业控制系统入侵事件：2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4节车厢脱轨；2010年，“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营；2011年，黑客通过入侵数据采集与监控系统SCADA，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。通过上述案例分析可以看到，工业控制系统在考虑效率和实时性的同时，其安全性并未成为其考量的指标，随着其信息化程度的加速，其安全事件也呈逐年上升的态势，尽管数量上无法与互联网安全事件相比，但一旦发生，其影响范围之广、经济损失之大、持续时间之长，都是互联网安全事件无法比拟的，每一次事件，都代表着国民生活、生产遭受巨大影响，经济遭受重大损失和倒退，甚至可能危及到相关人员的健康与生命。3.工业控制系统的安全隐患工业控制系统的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问和操控控制网络系统，形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”，其整体安全性不在于其最强处，而取决于系统最薄弱之处，即安全漏洞所决定。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上，这种威胁就越来越大。目前互联网上已有几万个黑客站点，黑客技术不断创新，基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握，将产生不良的后果。对于工业控制网络系统，由于安全漏洞可能带来的直接安全隐患有以下几种。3.1安全策略和管理流程漏洞追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。3.2病毒与恶意代码病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成。3.3SCADA系统软件的漏洞国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD），在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞，但这些漏洞可能被黑客或恶意软件利用。3.4操作系统安全漏洞PC+Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中，上位机/操作站是实现与MES通信的主要网络结点，因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。3.5网络通信协议安全漏洞随着TCP(UDP)/IP协议被控制网络普遍采用，网络通信协议漏洞问题变得越来越突出。TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后，安全问题发生了。所以说，TCP/IP在先天上就存在着致命的安全漏洞。4.工业控制系统安全防护策略工业控制系统的安全防护需要从每一个细节进行考虑，从现场I/O设备、控制器，到操作站的计算机操作系统，工业控制网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御架构，分别采取不同的对应手段，构筑从整体到细节的立体防御体系。4.1通用防火墙在工业控制系统中的适用范围网络防火墙通过设置不同的安全规则，来控制设备或系统之间的数据流，在实际应用中，主要用于分析与互联网连接的TCP/IP协议簇。防火墙在网络中使用的前提是必须保证网络的连通性，通过规则设置和协议分析，来限制和过滤那些对管理比较敏感、不安全的信息，防止未经授权的访问。由于工业控制与网络商用网络的差异，常规的IT网络安全设置规则，用在控制网络上就会存在很多。因此，正确地设计、配置和维护硬件防火墙的规则，才可以保护工业控制网络系统的安全环境。建议设置的特殊规则包括：超文本传输协议(HTTP)一般来说，HTTP不应该被允许从企业管理网透过进入控制网络，因为他们带来重要的安全风险。如果HTTP服务到控制网络是绝对必需的，那么在防火墙中需要通过HTTP代理配置来阻止所有执行脚本和Java应用程序，而且建议特定的设备使用HTTPS更安全。限制文件传输协议(FTP)FTP和其它需要的文件传输协议（TFTP）用于在设备之间传输、交换文件，包括许多SCADA系统、DCS、PLC、RTU等系统中都有应用。不幸的是，FTP协议并没有任何安全原则，登入密码不加密，有些FTP为了实现历史缓冲区而出现溢出的漏洞，所以配置防火墙规则应阻塞其通信。如果FTP通讯不能被要求禁止，通过FTP输出数据时，应额外增加多个特征码授权认证，并提供加密的通信隧道。简单邮件传输协议(SMTP)SMTP在互联网上是主要的电子邮件传输协议。电子邮件经常包含恶意软件，所以不应该被允许以任何控制网络设备接收电子邮件，SMTP邮件主要用于从控制网络到办公网络之间输出发送报警信息。简单网络管理协议(SNMP)SNMP(（单网络管理协议）是用来为网络管理服务中心，提供与管理控制台与设备之间的监控与管理的会话规则，如路由器、网络设备、打印机和PLC。虽然为维持一个网络，SNMP是一个非常有用的服务，在安全方面却很软弱。SNMP2.0和SNMP1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。第三版本具相当的安全性，但却没有被广泛使用。从控制网中使用SNMPV1和V2的命令，都应被禁止，除非它是在一个完全独立的信任管理网络。即使设备已经支持SNMP3.0，许多厂商使用的还是标准的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然