工業(yè)控制網(wǎng)絡(luò)安全分析與對(duì)策

2018-12-12 12:31冉啟奎

國(guó)防科技工業(yè) 2018年9期

冉啟奎

工業(yè)控制網(wǎng)絡(luò)指工業(yè)控制系統(tǒng)中的全數(shù)字化、雙向、多站的通信系統(tǒng)，是工業(yè)控制系統(tǒng)（ICS）的重要組成部分。作為近年來(lái)發(fā)展形成的工業(yè)控制領(lǐng)域的網(wǎng)絡(luò)技術(shù)，工業(yè)控制網(wǎng)絡(luò)是計(jì)算機(jī)網(wǎng)絡(luò)、通信技術(shù)與工業(yè)自動(dòng)控制技術(shù)結(jié)合的產(chǎn)物。它適應(yīng)了企業(yè)信息集成系統(tǒng)、管理控制一體化系統(tǒng)的發(fā)展趨勢(shì)與需要，是IT技術(shù)在工業(yè)自動(dòng)控制領(lǐng)域的延伸。

近些年來(lái)以太網(wǎng)進(jìn)入了工業(yè)控制領(lǐng)域，形成了新型的工業(yè)控制以太網(wǎng)技術(shù)。工業(yè)以太網(wǎng)技術(shù)以其價(jià)格低廉、穩(wěn)定可靠、通信速率高、軟硬件產(chǎn)品豐富、應(yīng)用廣泛以及支持技術(shù)成熟等優(yōu)點(diǎn)，已成為最受歡迎的工業(yè)通信網(wǎng)絡(luò)。

工業(yè)控制網(wǎng)絡(luò)的安全問(wèn)題分析

工業(yè)以太網(wǎng)作為工業(yè)控制網(wǎng)絡(luò)的基本架構(gòu)可以將企業(yè)傳統(tǒng)的三層網(wǎng)絡(luò)系統(tǒng)合成一體，使數(shù)據(jù)的傳輸速率更快，實(shí)時(shí)性更高，并可與企業(yè)辦公信息網(wǎng)無(wú)縫集成，實(shí)現(xiàn)數(shù)據(jù)的共享，提高網(wǎng)絡(luò)運(yùn)作效率。但同時(shí)也引入了一系列的網(wǎng)絡(luò)安全問(wèn)題，如工業(yè)以太網(wǎng)可能會(huì)受到包括病毒感染、非法操作等網(wǎng)絡(luò)安全威脅。

工業(yè)控制網(wǎng)絡(luò)的安全問(wèn)題其實(shí)一直存在，只是以往的工業(yè)控制系統(tǒng)相對(duì)封閉，網(wǎng)絡(luò)信息安全方面暴露出的問(wèn)題較少，因此沒(méi)有得到相應(yīng)的重視。但是隨著近年來(lái)工業(yè)控制系統(tǒng)越來(lái)越開(kāi)放，越來(lái)越多地采用通用操作系統(tǒng)、通訊協(xié)議和標(biāo)準(zhǔn)，與企業(yè)信息管理系統(tǒng)的結(jié)合也越來(lái)越緊密，信息安全的問(wèn)題也就顯得越發(fā)突出了。

2010年7月發(fā)生在伊朗的“震網(wǎng)”病毒事件向我們敲響了警鐘。由于工業(yè)控制網(wǎng)絡(luò)作為工業(yè)控制系統(tǒng)的組成部分已經(jīng)廣泛應(yīng)用于我國(guó)國(guó)民經(jīng)濟(jì)的各主要行業(yè)和領(lǐng)域，成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成，但是絕大部分工業(yè)控制網(wǎng)絡(luò)設(shè)備都是采用國(guó)外產(chǎn)品，一旦出現(xiàn)問(wèn)題必將是災(zāi)難性的，因此工業(yè)控制網(wǎng)絡(luò)的安全問(wèn)題是關(guān)系到國(guó)家經(jīng)濟(jì)安全和戰(zhàn)略安全的重要問(wèn)題，必須引起高度重視。

工業(yè)控制網(wǎng)絡(luò)的脆弱性分析

工業(yè)控制系統(tǒng)的種類有很多，根據(jù)不同的應(yīng)用環(huán)境，大致可以分為設(shè)備級(jí)、現(xiàn)場(chǎng)級(jí)和系統(tǒng)級(jí)。設(shè)備級(jí)和現(xiàn)場(chǎng)級(jí)系統(tǒng)大多采用嵌入式的結(jié)構(gòu)，使用專用實(shí)時(shí)操作系統(tǒng)和實(shí)時(shí)數(shù)據(jù)庫(kù)。由于其計(jì)算資源有限，為了保證實(shí)時(shí)性和可用性，系統(tǒng)在設(shè)計(jì)時(shí)往往不過(guò)多考慮信息安全的需求，從關(guān)鍵芯片到文件系統(tǒng)、進(jìn)程調(diào)度、內(nèi)存分配等都可能存在安全漏洞。隨著設(shè)備和現(xiàn)場(chǎng)級(jí)系統(tǒng)越來(lái)越智能化和網(wǎng)絡(luò)化，它已經(jīng)成為潛在的重點(diǎn)攻擊目標(biāo)。類似“震網(wǎng)”病毒入侵PLC這種具有很強(qiáng)的目的性和專業(yè)性的入侵攻擊，一旦利用了系統(tǒng)的安全漏洞，其后果和損失往往是巨大的。

在操作系統(tǒng)方面，由于考慮人機(jī)交互以及與其他生產(chǎn)管理系統(tǒng)、信息系統(tǒng)的互聯(lián)，越來(lái)越多地采用了通用操作系統(tǒng)。例如工程師站、操作員站一般采用的都是Windows平臺(tái)，但為了系統(tǒng)的穩(wěn)定運(yùn)行，通?，F(xiàn)場(chǎng)工程師在系統(tǒng)投入運(yùn)行后不會(huì)對(duì)操作系統(tǒng)平臺(tái)安裝任何補(bǔ)丁，從而使通用操作系統(tǒng)的安全漏洞未能得到彌補(bǔ)，留下安全隱患。

在網(wǎng)絡(luò)方面，隨著TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，通信協(xié)議漏洞問(wèn)題也日益突出。例如，OPC通訊采用不固定的端口號(hào)，導(dǎo)致無(wú)法使用傳統(tǒng)的防火墻來(lái)確保網(wǎng)絡(luò)的安全訪問(wèn)控制。

在應(yīng)用軟件方面，隨著越來(lái)越多的功能要求，工業(yè)控制系統(tǒng)軟件的規(guī)模和復(fù)雜度不斷增大，加上普遍使用中斷和優(yōu)先級(jí)來(lái)滿足系統(tǒng)實(shí)時(shí)性需求，帶來(lái)了軟件流程的不確定性問(wèn)題，這些都加大了對(duì)軟件進(jìn)行測(cè)試的難度。另外由于缺少統(tǒng)一的安全防護(hù)規(guī)范，工業(yè)控制系統(tǒng)軟件普遍存在安全設(shè)計(jì)缺陷，而應(yīng)用軟件產(chǎn)生的漏洞是最容易被攻擊者利用的，取得被控設(shè)備的控制權(quán)，從而造成嚴(yán)重后果。

工業(yè)控制網(wǎng)絡(luò)面臨的威脅分析

一方面，敵對(duì)政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等對(duì)工業(yè)控制網(wǎng)絡(luò)虎視耽耽。國(guó)家關(guān)鍵基礎(chǔ)所依賴的很多重要工業(yè)控制系統(tǒng)都是基于工業(yè)控制網(wǎng)絡(luò)的，其安全是國(guó)家經(jīng)濟(jì)穩(wěn)定運(yùn)行的關(guān)鍵，是信息戰(zhàn)中敵方的重點(diǎn)攻擊目標(biāo)。

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)工業(yè)控制網(wǎng)絡(luò)造成破壞。

在以太網(wǎng)絡(luò)技術(shù)融合進(jìn)工業(yè)控制網(wǎng)絡(luò)后，傳統(tǒng)網(wǎng)絡(luò)上常見(jiàn)的安全問(wèn)題已經(jīng)出現(xiàn)在工業(yè)控制網(wǎng)絡(luò)中。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件、訪問(wèn)各類網(wǎng)站，這類行為不僅影響工作效率、浪費(fèi)系統(tǒng)資源，而且是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。

針對(duì)工業(yè)控制網(wǎng)絡(luò)的主要攻擊手段分析

事實(shí)上工業(yè)控制網(wǎng)絡(luò)暴露著很多問(wèn)題，在這些系統(tǒng)或者子系統(tǒng)上的信息攻擊可以通過(guò)遠(yuǎn)程登錄或者病毒木馬實(shí)現(xiàn)?；诠I(yè)控制網(wǎng)絡(luò)暴露問(wèn)題的特點(diǎn)，常見(jiàn)的攻擊手段如下：

后門(mén)遠(yuǎn)程控制。后門(mén)是指軟件自身具備的能繞過(guò)軟件的安全控制機(jī)制，從隱秘的通道獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法。在軟件開(kāi)發(fā)時(shí)，開(kāi)發(fā)人員設(shè)置后門(mén)可以方便修改和測(cè)試程序中的缺陷。但如果后門(mén)被其他人知道（可以是有意透露或者被探測(cè)到的后門(mén)），在發(fā)布軟件之前沒(méi)有去除后門(mén)，它就對(duì)計(jì)算機(jī)系統(tǒng)安全造成了致命威脅。

網(wǎng)絡(luò)病毒木馬攻擊滲透。病毒和木馬都屬于惡意代碼，往往利用系統(tǒng)漏洞進(jìn)行滲透。從功能上看，有些病毒能破壞目標(biāo)，有些是收集特定信息。研究人員發(fā)現(xiàn)，這些特定的任務(wù)模塊可捕捉鍵盤(pán)敲擊、竊取密碼、刪除硬盤(pán)數(shù)據(jù)、激活語(yǔ)音系統(tǒng)竊聽(tīng)網(wǎng)絡(luò)電話和聊天內(nèi)容，甚至利用藍(lán)牙功能竊取與被感染電腦相連的智能手機(jī)、平板電腦中的內(nèi)容。

工業(yè)控制網(wǎng)絡(luò)的安全防御對(duì)策網(wǎng)絡(luò)防護(hù)目標(biāo)

要保證工業(yè)控制網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，必須達(dá)到以下三個(gè)目標(biāo)：

一是通訊可控。能夠直觀地觀察、監(jiān)控、管理通訊網(wǎng)絡(luò)中的數(shù)據(jù)，這是首先要達(dá)到的目標(biāo)。對(duì)工業(yè)控制網(wǎng)絡(luò)而言，僅需要保證工業(yè)專有協(xié)議數(shù)據(jù)通過(guò)即可，對(duì)其他通訊應(yīng)一律禁止，創(chuàng)造一個(gè)干凈的通信網(wǎng)絡(luò)環(huán)境。

二是區(qū)域隔離。工業(yè)控制網(wǎng)絡(luò)最可怕的是病毒的急速擴(kuò)散，它會(huì)瞬間令整個(gè)網(wǎng)絡(luò)癱瘓。所以即使在工業(yè)控制網(wǎng)局部出現(xiàn)問(wèn)題，也需要保持裝置或工廠的安全穩(wěn)定運(yùn)行。應(yīng)通過(guò)在關(guān)鍵通道上部署網(wǎng)絡(luò)隔離設(shè)備，創(chuàng)造多個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境。

三是報(bào)警追蹤。能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其他問(wèn)題，準(zhǔn)確找到故障的發(fā)生點(diǎn)，是維護(hù)控制網(wǎng)絡(luò)安全的前提。把網(wǎng)絡(luò)安全問(wèn)題消滅在萌芽中，同時(shí)通過(guò)對(duì)報(bào)警事件記錄存儲(chǔ)，為已發(fā)生過(guò)的安全事件提供分析依據(jù)。

網(wǎng)絡(luò)防護(hù)措施第一，工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分。從總體結(jié)構(gòu)上來(lái)講，工業(yè)系統(tǒng)網(wǎng)絡(luò)可分為三個(gè)層次：企業(yè)管理層、數(shù)據(jù)采集信息層和控制層。

企業(yè)管理層主要是辦公自動(dòng)化系統(tǒng)，一般使用通用以太網(wǎng)，可以從數(shù)據(jù)采集信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)據(jù)采集信息層主要是從控制層獲取數(shù)據(jù)，完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析等功能?？刂茖迂?fù)責(zé)通過(guò)組態(tài)設(shè)計(jì)，完成數(shù)據(jù)采集、A/D 轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID控制等各種功能。

系統(tǒng)的每一個(gè)安全漏洞都會(huì)導(dǎo)致不同的后果，所以將它們單獨(dú)隔離防護(hù)十分必要。對(duì)于額外的安全性和可靠性要求，在主要的安全區(qū)還可以根據(jù)操作功能進(jìn)一步劃分成子區(qū)。這樣一旦局部發(fā)生信息安全事故，就能避免擴(kuò)散，從而大大提高工廠生產(chǎn)安全運(yùn)行的可靠性，同時(shí)降低由此帶來(lái)的其他風(fēng)險(xiǎn)及清除費(fèi)用。

第二，基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全。針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)，結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，基于縱深防御策略，需要以下五個(gè)層面的安全防護(hù)：

一是企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間的安全防護(hù)。在企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間加入防火墻，建立DMZ區(qū)。一方面進(jìn)行了網(wǎng)絡(luò)的區(qū)域劃分，另一方面只允許兩個(gè)網(wǎng)絡(luò)之間通過(guò)DMZ區(qū)進(jìn)行合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對(duì)數(shù)據(jù)采集監(jiān)控層的未經(jīng)授權(quán)的非法訪問(wèn)，同時(shí)也防止管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到工業(yè)控制網(wǎng)絡(luò)。

考慮到數(shù)據(jù)采集監(jiān)控層一般采用工業(yè)以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對(duì)此部位的安全防護(hù)建議使用專門(mén)的工業(yè)級(jí)防火墻和工業(yè)網(wǎng)閘。

二是數(shù)據(jù)采集監(jiān)控層和控制層之間的安全防護(hù)。該部位通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號(hào)，因此，在數(shù)據(jù)采集監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻，解決OPC通訊采用動(dòng)態(tài)端口帶來(lái)的安全防護(hù)瓶頸問(wèn)題，阻止病毒和任何其他的非法訪問(wèn)，提升網(wǎng)絡(luò)區(qū)域劃分能力，防止區(qū)域內(nèi)的病毒感染不會(huì)擴(kuò)散到其他網(wǎng)絡(luò)，從本質(zhì)上保證網(wǎng)絡(luò)通訊安全。

三是保護(hù)關(guān)鍵控制器?？刂破髋c其他設(shè)備之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其他工業(yè)通信標(biāo)準(zhǔn)，如Modbus等。因此，對(duì)關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對(duì)防火墻進(jìn)行規(guī)則組態(tài)時(shí)只允許工業(yè)專有協(xié)議通過(guò)，阻擋來(lái)自操作站的任何非法訪問(wèn)；另一方面可以對(duì)網(wǎng)絡(luò)通訊流量進(jìn)行管控，指定只有某個(gè)專有操作站才能訪問(wèn)指定的控制器；同時(shí)，也可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其他攻擊的影響，避免控制器死機(jī)。

四是隔離工程師站。對(duì)于網(wǎng)絡(luò)中的工程師站，考慮到它在項(xiàng)目實(shí)施階段通常需要接入第三方設(shè)備（U盤(pán)、筆記本電腦等），而且是在整個(gè)控制系統(tǒng)開(kāi)車(chē)的情況下實(shí)施，存在較高的安全隱患，受到病毒攻擊和入侵的風(fēng)險(xiǎn)很大。在工程師站前端增加工業(yè)防火墻，將工程師站單獨(dú)隔離，防止病毒擴(kuò)散，保證網(wǎng)絡(luò)的通訊安全。

五是和第三方控制系統(tǒng)之間的安全防護(hù)。為了確保兩個(gè)區(qū)域之間數(shù)據(jù)交換的安全，管控通訊數(shù)據(jù)，應(yīng)使用工業(yè)防火墻將安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離，保證只有合法可信的、經(jīng)過(guò)授權(quán)的訪問(wèn)和通訊才能通過(guò)網(wǎng)絡(luò)通信管道。同時(shí)提升網(wǎng)絡(luò)安全區(qū)域劃分能力，有效地阻止病毒感染的擴(kuò)散。

采用安全管理平臺(tái) 安全管理平臺(tái)的功能包括集成系統(tǒng)中所有的事件和報(bào)警信息，并對(duì)報(bào)警信息進(jìn)行等級(jí)劃分。提供實(shí)時(shí)畫(huà)面顯示、歷史數(shù)據(jù)存儲(chǔ)、報(bào)警確認(rèn)、報(bào)警細(xì)目查詢、歷史數(shù)據(jù)查詢等功能。