馬 淑 清

(內(nèi)蒙古大學(xué)交通學(xué)院，內(nèi)蒙古 呼和浩特 010020)

·計(jì)算機(jī)技術(shù)及應(yīng)用·

工業(yè)控制系統(tǒng)安全性初探

馬 淑 清

(內(nèi)蒙古大學(xué)交通學(xué)院，內(nèi)蒙古 呼和浩特 010020)

基于工業(yè)控制系統(tǒng)廣泛應(yīng)用于電力、油氣、市政、水利、鐵路、化工和制造等行業(yè)的數(shù)據(jù)采集與監(jiān)視控制，對(duì)此類系統(tǒng)中存在的脆弱性和面臨的外部威脅進(jìn)行了研究，構(gòu)建了研究工控系統(tǒng)安全屬性的模型，提出了緩解工控系統(tǒng)安全問題的一些思路。

工業(yè)控制系統(tǒng)，數(shù)據(jù)采集，監(jiān)視控制

0 引言

伴隨兩化融合的發(fā)展，計(jì)算機(jī)技術(shù)大量應(yīng)用到工業(yè)生產(chǎn)中，為工業(yè)控制自動(dòng)化的發(fā)展提供了支撐資源。工業(yè)控制系統(tǒng)(Industrial Control Systems，簡稱ICS)已經(jīng)在能源、鐵路和制造業(yè)得到了大量的應(yīng)用，大大提升了相關(guān)領(lǐng)域的業(yè)務(wù)的運(yùn)行水平。

工業(yè)控制系統(tǒng)在工業(yè)系統(tǒng)中應(yīng)用的廣泛，同時(shí)互聯(lián)互通的接口也日益增多，外部的威脅如果進(jìn)入到工控系統(tǒng)中，由于工控系統(tǒng)在安全建設(shè)之初更多的以實(shí)現(xiàn)功能為主，對(duì)于安全的考慮相對(duì)較少，工控系統(tǒng)可能存在缺陷，都有可能對(duì)系統(tǒng)造成影響。鑒于工控系統(tǒng)的重要性，所帶來的后果可能造成嚴(yán)重的社會(huì)影響和各方面的損失，因此有必要對(duì)其安全性進(jìn)行研究。典型的ICS通常是基于網(wǎng)絡(luò)的系統(tǒng)，使用特定的協(xié)議，針對(duì)這些特定的協(xié)議(下文簡稱為工控協(xié)議)進(jìn)行安全分析，對(duì)于全面地認(rèn)識(shí)ICS可能存在的安全問題至關(guān)重要。本文對(duì)工控協(xié)議存在的安全性進(jìn)行了初步的研究。

1 相關(guān)工作

Sun[1]的報(bào)告中對(duì)通過竊聽技術(shù)截獲網(wǎng)絡(luò)數(shù)據(jù)，通過中間人攻擊修改網(wǎng)絡(luò)數(shù)據(jù)，通過拒絕服務(wù)中斷網(wǎng)絡(luò)流，通過欺騙偽造認(rèn)證(報(bào)告使用authority，應(yīng)是authentication)進(jìn)行了分析，這四種攻擊分別違反了保密性、完整性、可用性和認(rèn)證四種安全屬性。P.Huitsing[2]和S.East[3]分別使用文獻(xiàn)[1]中分析的4種安全屬性對(duì)Modbus和DNP3可能遭受的攻擊進(jìn)行了分析。微軟MSDN雜志[4]中提出了從偽裝(Spoofing)、篡改(Tampering)、抵賴(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(wù)(Denial of Service)和提升權(quán)限(Elevation of Privilege)六個(gè)方面對(duì)威脅進(jìn)行建模的STRIDE模型，STRIDE模型對(duì)本文提出的安全屬性模型具有重要的啟發(fā)作用。

2 工控系統(tǒng)脆弱性分析

2.1 常用工控協(xié)議

由于各行業(yè)對(duì)ICS的要求不同，因此ICS在各行業(yè)的應(yīng)用情況差異較大。根據(jù)工控網(wǎng)的統(tǒng)計(jì)[1]：在中國，電力行業(yè)中ICS應(yīng)用最為廣泛，約占整個(gè)ICS市場(chǎng)的半壁江山，其中變電站自動(dòng)化約占ICS市場(chǎng)的40%，調(diào)度自動(dòng)化約占ICS市場(chǎng)的10%；市政行業(yè)約占ICS市場(chǎng)的30%，包括供水、供電、供暖、供氣、水處理和交通等多個(gè)具體行業(yè)；油氣管線行業(yè)約占ICS市場(chǎng)的8%；其他行業(yè)約占ICS市場(chǎng)的12%，包括水利、鐵路、化工和制造等多個(gè)具體行業(yè)，如圖1所示。ICS在各行業(yè)的應(yīng)用情況差異造成其在各行業(yè)的發(fā)展也不完全相同。其中，發(fā)展最早、應(yīng)用最為廣泛的是電力行業(yè)，電力行業(yè)發(fā)展時(shí)間最長，技術(shù)最先進(jìn)，使用的協(xié)議也最多，基本上所有的典型工控協(xié)議在電力行業(yè)均有使用，最為廣泛的電力行業(yè)發(fā)展勢(shì)頭最好，例如Modbus，Profibus，DNP3，IEC 60870-5-101/104，ICCP(即IEC 60870-6或者TASE.2)和IEC 61850等；相對(duì)于電力行業(yè)來說，其他行業(yè)的ICS發(fā)展相對(duì)滯后，使用情況比較類似且相對(duì)電力行業(yè)的ICS要簡單得多，采用的協(xié)議主要是Modbus，Profibus和DNP3等，如表1所示。

表1 典型工控協(xié)議在ICS中的使用情況

2.2 安全問題根源

ICS會(huì)遭遇到與傳統(tǒng)信息技術(shù)相同的安全問題。絕大多數(shù)工控協(xié)議在設(shè)計(jì)之初，主要關(guān)注于效率以支持經(jīng)濟(jì)需求、關(guān)注于實(shí)時(shí)性以支持精確需求、關(guān)注于可靠性以支持操作需求，但是通常會(huì)為了這些需求而放棄一些并不是絕對(duì)必需的特征或功能。例如，認(rèn)證(authentication)、授權(quán)(authorization)和不可抵賴(non-repudiation)等需要附加開銷的安全特征和功能。認(rèn)證的重要性在于，保證收到的消息來自合法的用戶，而允許未認(rèn)證用戶向系統(tǒng)發(fā)送控制命令會(huì)造成巨大的危害；授權(quán)的重要性在于保證不同的特權(quán)操作需要由擁有不同權(quán)限的認(rèn)證用戶來完成，可降低誤操作與內(nèi)部攻擊的概率；不可抵賴的重要性主要體現(xiàn)在事后審計(jì)和防止非法掃描與暴力破解上。

ICS也會(huì)遭遇到很多不同于傳統(tǒng)信息技術(shù)的安全問題，其根源在于其安全目標(biāo)不同。在傳統(tǒng)的信息技術(shù)領(lǐng)域，通常將保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱為安全的三種基本屬性。并且通常認(rèn)為保密性的優(yōu)先級(jí)最高，完整性次之，可用性最低。而ICS領(lǐng)域正好相反，如圖2所示。

ICS傳輸?shù)耐ǔＪ潜O(jiān)控和數(shù)據(jù)采集的信息，從數(shù)據(jù)本身來說，因需要在特定的環(huán)境中才能體現(xiàn)數(shù)據(jù)的價(jià)值，相對(duì)ICS的其他安全屬性來說，重要性相對(duì)來說要低些。完整性的重要性在于，錯(cuò)誤的數(shù)據(jù)可能劇烈地改變?cè)O(shè)備的控制設(shè)置或者引起系統(tǒng)功能失常，從而影響到正常的生產(chǎn)活動(dòng)，而且還有可能造成潛在的危害，如引起爆炸、火災(zāi)等事件?？捎眯缘闹匾栽谟?，攻擊者的主要目標(biāo)可能就在于通過拒絕服務(wù)攻擊癱瘓網(wǎng)絡(luò)，使業(yè)務(wù)無法正常進(jìn)行，造成業(yè)務(wù)的中斷，引起安全事故等。

2.3 安全屬性違例模型

要全面地認(rèn)識(shí)系統(tǒng)可能存在的安全問題，除了要理解安全的三種基本屬性，也應(yīng)該考慮其他一些用于描述信息安全不同特性的屬性。

基于對(duì)幾種常見的工控協(xié)議中存在的安全問題及其根源的深入研究，形成安全分析模式。該模型基于保密性、完整性、可用性、認(rèn)證、授權(quán)和不可抵賴這六種安全屬性，如圖3所示。

保密性違例時(shí)，信息被竊?。煌暾赃`例時(shí)，信息被修改；可用性違例時(shí)，信息不可達(dá)；認(rèn)證違例時(shí)，存在非法訪問；授權(quán)違例時(shí)，存在越權(quán)訪問；不可抵賴違例時(shí)，不可追溯信息來源。

我們針對(duì)工控協(xié)議中的DNP3做了深入的分析，發(fā)現(xiàn)了一些潛在的異常行為特征。

3 工控系統(tǒng)面臨的潛在威脅

3.1 異常操作行為

操作管理人員的技術(shù)水平和安全意識(shí)差別較大，容易發(fā)生越權(quán)訪問、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。事實(shí)上，國內(nèi)ICS相對(duì)封閉的環(huán)境，也使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。因此，對(duì)生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容和數(shù)據(jù)庫數(shù)據(jù)的真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常必要的。

現(xiàn)實(shí)環(huán)境中通常缺乏針對(duì)ICS的安全日志審計(jì)及配置變更管理。這是因?yàn)椴糠諭CS系統(tǒng)可能不具備審計(jì)功能或者雖有日志審計(jì)功能但系統(tǒng)的性能要求決定了它不能開啟審計(jì)功能所造成的結(jié)果。

由于工業(yè)控制系統(tǒng)通信協(xié)議缺乏統(tǒng)一的標(biāo)準(zhǔn)，使得這種定制工作代價(jià)巨大且不能通用也是造成ICS中違規(guī)操作行為審計(jì)缺乏的原因之一。

3.2 人員缺乏安全意識(shí)

由于工業(yè)控制系統(tǒng)不像互聯(lián)網(wǎng)或與傳統(tǒng)企業(yè)IT網(wǎng)絡(luò)那樣備受黑客的關(guān)注，在2010年“震網(wǎng)”事件發(fā)生之前很少有黑客攻擊工業(yè)控制網(wǎng)絡(luò)的事件發(fā)生；工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)也多考慮系統(tǒng)的可用性，普遍對(duì)安全性問題的考慮不足，更不用提制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及對(duì)人員的安全意識(shí)培養(yǎng)了?！昂推饺站谩痹斐扇藛T的安全意識(shí)淡薄，應(yīng)對(duì)安全事件的應(yīng)對(duì)能力不足。

人員安全意識(shí)薄弱將是造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的一個(gè)重要因素，特別是社會(huì)工程學(xué)相關(guān)的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板，通過人員的無意識(shí)行為造成對(duì)工控系統(tǒng)的威脅。

3.3 APT攻擊的影響

APT(高級(jí)可持續(xù)性威脅)的攻擊目標(biāo)更為明確，攻擊時(shí)會(huì)利用最新的0-day漏洞，強(qiáng)調(diào)攻擊技術(shù)的精心組合與攻擊者之間的協(xié)同；而且是不達(dá)目的不罷休的持久性攻擊。近年來以震網(wǎng)為代表的針對(duì)工業(yè)控制系統(tǒng)的攻擊事件都呈現(xiàn)了這些攻擊技術(shù)特征。

4 工控安全防護(hù)思路

4.1 建立工控安全基線庫

現(xiàn)有的工控系統(tǒng)缺乏對(duì)于安全的度量機(jī)制，二次系統(tǒng)的安全缺乏有效的安全基線。主站側(cè)各個(gè)業(yè)務(wù)系統(tǒng)大量采用IT系統(tǒng)來作為控制系統(tǒng)的支撐系統(tǒng)，基于IT系統(tǒng)的安全基線考量，但是缺乏對(duì)工控軟件本身的安全考量，需要針對(duì)控制系統(tǒng)基于業(yè)務(wù)的特性來重新定義安全基線。如我們考量安全基線時(shí)，不僅要考量基線的系統(tǒng)特征，還需要考量基線的應(yīng)用特征，同時(shí)需要考量業(yè)務(wù)系統(tǒng)結(jié)合剖面的應(yīng)用安全規(guī)則。

4.2 建立異常操作預(yù)計(jì)機(jī)制

基于對(duì)于ICS通信規(guī)約的深度解碼，基于對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)組態(tài)、通信組態(tài)的深度了解，實(shí)現(xiàn)在ICS系統(tǒng)中不同操作行為的有效監(jiān)視，基于多元素的操作指令的定義，如基于時(shí)間、人員身份、操作類型的定義，來準(zhǔn)確的判斷出通信過程中可能存在的異常操作行為，實(shí)現(xiàn)工業(yè)控制協(xié)議會(huì)話的過程記錄和審計(jì)；提供高危操作的異常報(bào)警；并提供安全事件之后的事后追查能力。

4.3 建立人員安全培訓(xùn)體系

對(duì)于工業(yè)控制系統(tǒng)來說整個(gè)網(wǎng)絡(luò)相對(duì)比較封閉，對(duì)于內(nèi)部人員安全意識(shí)和安全操作的規(guī)范就顯得異常重要。加強(qiáng)人員的安全意識(shí)的培養(yǎng)需要加強(qiáng)對(duì)人員安全的培訓(xùn)機(jī)制建立，并通過制度化的要求建立起安全的規(guī)章制度，形成常態(tài)化的安全意識(shí)體系。

5 結(jié)語

為增強(qiáng)ICS的整體安全性，有必要改善整個(gè)系統(tǒng)的安全特征。對(duì)于工控系統(tǒng)中安全特征進(jìn)行分析，將有助于凸顯系統(tǒng)中存在的安全問題，進(jìn)而指導(dǎo)安全機(jī)制的開發(fā)和相關(guān)安全產(chǎn)品開發(fā)適合于工控環(huán)境的安全規(guī)則，并促進(jìn)在工控協(xié)議安全性方面的改進(jìn)。

解決工控系統(tǒng)的安全問題，除了需要適用于工控環(huán)境的安全措施外，還需要加強(qiáng)對(duì)工控環(huán)境操作行為的審計(jì)，及時(shí)的發(fā)現(xiàn)其中可能存在的異常操作行為，及時(shí)采取相關(guān)的安全措施。同時(shí)，建立人員良好的安全意識(shí)，對(duì)于工控系統(tǒng)的安全防護(hù)也是大有裨益的。

[1] Sun Microsystems.Secure Enterprise Computing with the Solaris 8 Operating Environment.www.sun.com/software/whitepapers/wp-s8security/wp-s8security.pdf.

[2] P.Huitsing,R.Chandia,M.Papa,et al.Attack taxonomies for the Modbus protocols.International Journal of Critical Infrastructure Protection,2008(1):37-44.

[3] S.East,J.Butts,M.Papa,et al.A TAXONOMY OF ATTACKS ON THE DNP3 PROTOCOL.Critical Infrastructure Protection Ⅲ,IFIP AICT 311,2009：67-81.

[4] Microsoft MSDN.Uncover Security Design Flaws Using the STRIDE Approach.http://msdn.microsoft.com/zh-cn/magazine/cc163519.aspx.

[5] Modbus IDA.MODBUS Application Protocol Specification v1.1a.www.modbus.org/specs.php.

[6] IEEE Power & Energy Society.IEEE Standard for Electric Power Systems Communications Distributed Network Protocol(DNP3),IEEE Std 1815-2010.

Discussion on the safety of Industrial Control System

MA Shu-qing

(TransportationCollege,InnerMongoliaUniversity,Hohhot010020,China)

Industrial Control Systems are widely used in electric power, oil and gas, municipal, water conservancy, railway, chemical and manufacturing industries data acquisition and supervisory control. Based on the existence of such a system vulnerabilities and external threats facing the research, the study of Industrial Control System security properties model proposed mitigation Industrial Control System security issues some ideas.

Industrial Control Systems, data acquisition, supervisory control

1009-6825(2014)03-0260-03

2013-11-15

馬淑清(1965- )，女，副教授

TP317.1

A