工控系统的安全性值得被重视
扫描二维码
随时随地手机看文章
对诸如图像、语音信号等大数据量、高速率传输的要求,又催生了当前在商业领域风靡的以太网与控制网络的结合。这股工业控制系统网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来,从而拓展了工业控制领域的发展空间,带来新的发展机遇。
据权威工业安全事件信息库RISI统计,截止到2011年10月,全球已发生200余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电站的震网病毒事件,给全球工业界控制系统的信息安全问题敲响了警钟。工控系统信息安全的需求变得更加迫切。
我国工控领域的安全可靠性问题突出,工控系统的复杂化、IT化和通用化加剧了系统的安全隐患,潜在的更大威胁是我国工控产业综合竞争力不强,嵌入式软件、总线协议、工控软件等核心技术受制于国外,缺乏自主的通信安全、信息安全、安全可靠性测试等标准。工信部发布《关于加强工业控制系统信息安全管理的通知》,要求加强与国计民生紧密相关的多个重点领域内工业控制系统信息安全管理。事实告诉我们,只有做到居安思危、未雨绸缪,才能保证工业控制系统健康稳定地运行。
·2007年,攻击者入侵加拿大一个水利SCADA控制系统,破坏了取水调度的控制计算机
·2008年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,致四节车厢脱轨
·2010年,西门子首次监测到专门攻击该公司工业控制系统的Stuxnet病毒,也称为震网病毒
·2010年,伊朗政府宣布布什尔核电站员工电脑感染Stuxnet病毒,严重威胁核反应堆安全运营
·2011年,黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏
·2011年,微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据
·2012年,两座美国电厂遭USB病毒攻击,感染了每个工厂的工控系统,可被窃取数据
·2012年,发现攻击多个中东国家的恶意程序Flame火焰病毒,它能收集各行业的敏感信息。
我国同样遭受着工业控制系统信息安全漏洞的困扰,比如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯不同程度地中断。
2011年9月29日,工信部特编制下发《关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)》文件。明确指出工业控制系统信息安全面临着严峻的形势,要求切实加强工业控制系统信息安全管理。
信息安全成为企业的焦点
如果以前不确定,那么参加了信息安全会议之后,现在你应该足以相信,社会上确实有这样一些人,他们不但没有为所做的坏事对公司或个人造成伤害而愧疚,甚至幸灾乐祸。在信息安全的话题上,我们不得不要预防对工业控制和自动化系统的威胁。
关键的工业流程和基础设施,诸如石油、化工、电力、交通、通信等,这些关系到国计民生的重要地方,随时都面临着安全威胁。霍尼韦尔(Honeywell)收购美特利康(Matrikon)就明确显示了过程控制供应商和他们的用户正在面临这样的威胁。请不要忘记发生在工业控制系统中最知名的攻击:“震网”蠕虫通过外围设备U盘,侵入控制网络,更改PLC中的程序和数据,对伊朗的核设施造成了严重的破坏。
蓄意的攻击和意外的事故,轻者会造成设备的停机,重者会造成人员伤亡和环境破坏的后果。例如:联合化工子公司山东新泰联合化工有限公司在2011年11月19日所发生的安全事故,导致该子公司全面进入停产状态。已有14人死亡,5人受伤。2011年日本福岛核能电厂发生的核辐射事故,漏出的放射量是遭到原子弹轰炸时广岛的一百六十八倍。我们还可以列举很多这样的例子,但对于普通公众,不一定意识到问题的严重性。
网络攻击可能来自多种原因;黑客,职业罪犯,遭公司解雇或对公司不满而离开的员工,企图伤害公司信誉或盗窃公司机密的竞争对手。攻击有时候是明显的,你能发现某些地方出了问题,有时候是隐秘的,如某人潜入一台控制器、PC或通信设备中,偷听会话,窃取数据,甚至进行破坏操作。这种威胁比千年虫的威胁要大的多,因为Y2K的背后没有犯罪和政治动机。
IEC从2009年起发布IEC62443标准,标准的标题是:工业通信网络-网络和系统的信息安全(Industrialcommunicationnetworks–Networkandsystemsecurity)。该标准为系列标准,有些部分已经完成发布,有些部分编写工作正在进行,今后会不断推出。流程工业将是第一批采用这些标准的行业。据保守的估计,对大型分布式控制系统(DCS)实施信息安全比可编程控制器(PLC)系统要容易得多,因为它们多数部署在大型厂内,且DCS系统的设计安装要依据最佳工程实践,有一致性的标准和验收流程。而多数安装在工厂的PLC系统,则没有统一的设计、规划、实施和验收,因为购买金额相对较小,安装和调试的管理相对简单粗狂,因此留下诸多隐患。
为了防止网络攻击,信息安全项目需要一种有效和切实可行的机制,包括人员、规程和技术。我们不能指望多数制造商很快就对他们的自动化系统实施网络信息安全项目。对信息安全的理解和从成功的案例中学习也需要时间。重要的是我们不能有侥幸的想法,总认为网络信息安全的问题不可能在我这里出现。我们需要积极地面对当前的形势,认真研究和讨论IEC62443标准,检查工厂的自动化系统,对工厂整体的运行情况进行评估,发现可能存在的隐含漏洞,和你的团队一起讨论信息安全策略和解决方案,这不仅能提高工厂运行的效率,而且随时防止有一天可能出现的网络攻击,保护工厂的资产、人员和环境。
黑客如何攻击工控系统网络
网络攻击的基本步骤和方法同样适用于工业控制系统网络;不过,由于工业控制系统网络使用专门的系统和协议,其攻击步骤和方法也有一定的差异性。
1、信息搜集
工业控制系统的网络、协议和系统都比较特殊,攻击者要搜集到相关信息并不容易,他们通常会从企业的公开信息、轮班时间表、合作服务和贸易往来,尤其是企业供应商所提供产品的协议规范等入手。
遗憾的是,搜集这些信息变得越来越容易。如搜索引擎SHODAN,可以根据端口、协议、国家和其他条件搜索与互联网关联的所有设备。任何使用HTTP、FTP、SSH或Telnet协议的服务器、网络交换机、路由器或其他网络设备都可以被它检索到,进而轻易找到应用SCADA协议的设备。虽然很难置办整个控制系统来实施逆向工程,但攻击者可以通过各种公开或地下渠道了解控制系统相关设备的漏洞和后门。
2、网络扫描
利用网络扫描可以通过端口、协议等信息快速定位SCADA和DCS系统。例如,如果扫描出某设备的502端口使用的是Modbus协议,那么可以推断,与该设备连接的很可能是HMI系统或某些监管工作站。
值得注意的是,很多工业控制系统的网络协议对时延非常敏感,如果硬扫描,很可能导致整个网络瘫痪。所以,如果攻击者只是想中断系统服务,那么,只要进行简单的网络扫描就可以达到目的;或者,若扫描发现,实时协议只受到防火墙的保护,那么只凭基本的黑客技术,实施DOS攻击就可以奏效。如果攻击者另有图谋,那就只能采取软扫描方式,以避免系统崩溃。
目标系统定位之后,再根据工业控制系统网络协议的特点进行后续扫描,就可以获取相关设备信息。如:可以根据以太网/IP流量识别出关键基础设施保护(CIP)设备及属性;可以根据DNP3响应结果发现DNP3的从属地址;可以通过截取EtherCAT帧信息或SERCOSⅢ主站数据电报得到所有隶属设备及其时间同步信息。
3、账户破解
很多工业控制系统是基于Windows的,那些专门破解Windows账户信息的方法和工具也可以应用到工业控制系统上。尤其是运行在WindowsOLE和DCOM上的OPC系统,只要通过主机认证就可以全面控制OPC环境。如果无法获得底层协议认证,也可以通过枚举方式破解控制系统内其他用户和角色。如HMI用户、ICCP服务器凭据(双向表)、主节点地址(任何主/从工业协议)、以往数据库认证信息等。
进入HMI,就可以直接控制HMI管理的进程,并窃取信息;进入ICCP服务器,就可以窃取或操纵控制中心之间的传输数据。所以说,从功能上将物理设备和逻辑设备全部隔离到安全区域是非常重要的。NIST800-82(工业控制系统安全防护指南)还建议采用账户复合认证方式。有了物理和数字的双重保护,账户就很难破解;也就是说,即使知道了某个用户名或某个密码,也很难通过账户认证。
4、实施攻击
正如前面所述,一次简单的网络扫描就可以破坏工业控制系统网络。因为工业控制系统网络协议非常敏感,信息流稍有变化,协议就会失效。所以,攻击者利用硬扫描来破坏系统,利用软扫描来侦测信息。另外,也可以通过防火墙实施网络扫描,因为通过防火墙的开放端口进行分组交换更加容易。一旦扫描通过,黑客就可伪装合法通讯,对控制网络实施DOS攻击。
如果攻击目的是侵入网络或者潜伏网络,我们以“震网”(Stuxnet)为例,了解黑客可能会应用的渗透技术。“震网”是一种专门针对工业控制系统的、基于Windows平台的蠕虫病毒,它具有多种扫描和渗透机制,能自我复制,传播能力强,极具隐身性。入侵网络后,“震网”会根据不同环境做出不同反应,如在“企业环境”,它会寻找目标HMI,然后入侵HMI;在“工业环境”,它会感染HMI,寻找目标PLCs,然后将恶意代码植入其中;在“运行环境”,它会利用PLC寻找某个带特定参数运行的IEDs,然后植入代码,进行破坏活动。
简单来说,“震网”的攻击手段可以总结为:以常见的黑客技术发动初次攻击;入侵SCADA和DCS后,利用其资源再侵入其他工业控制系统;对“非路由”系统(如有PLCs和IEDs中组成的总线),它也可以进行感染,并渗透进更深层的工业生产过程中。
工业控制系统网络安全防护的九大误区
近年来,由于能源需求持续增长、管理模式不断变化以及对信息通讯技术(ICT)的广泛应用,工业控制系统正在经受一场快速而深刻的变革。原本相对简单、相对独立的工控系统正在向自动化、信息化和网络化发展。虽然工业控制系统的网络安全问题已经引起很多国家和权威机构的高度重视,但是对相关企业和从业者来说,仍是一个很新的领域,工作上还存在着很多误区。
误区一:工业控制系统(ICS)是与外界隔离的
实际上,基础设施领域不仅包括生产和控制系统,还包括市场分析、财务计划等信息管理系统。生产系统与管理系统的互联已经成为ICS的基本架构,与外界完全隔离几乎不可能。另外,维护用的移动设备或移动电脑也会打破系统与外界的隔离,打开网络安全风险之门。
事实证明,不管多严格的隔离措施也会有隐患发生。2003年Davis-Besse核电站被Slammer蠕虫病毒侵入;2006年13家Daimler-Chrysler汽车企业因感染Zotob蠕虫病毒被迫停工;2008年有超过千万台的设备,包括所谓隔离了的设备,受到Conficker蠕虫病毒的攻击。即使在太空也不能做到完全隔离:2008年美国宇航局证实其国际太空站笔记本电脑遭到病毒入侵。2010年震惊世界的伊朗震网病毒。
误区二:没有人会袭击我们
上个世纪,虽然有些零星事件发生,公众对ICS网络安全问题并没有足够认识。直到2000年澳大利亚MaroochyShire排水系统受攻击事件报道之后,人们才意识到ICS系统一旦受袭击有可能造成严重后果。该次事件中,由于数据采集和监控系统(SCADA)受到攻击,导致800,000升污水直接排放到环境中。
另外,ICS系统并不是坚不可摧。2006年以来,美国计算机应急响应小组对外公布的ICS系统安全漏洞越来越多。2009底其数据库显示的24条SCADA相关漏洞都是已经预警的,而且,主流黑客工具如MetasploitFramework中已经集成有其中一些漏洞的攻击方法。
越来越多的迹象表明,ICS系统已经受到黑客、政治对手、不满的员工或犯罪组织等各类攻击者的目标关注。
误区三:黑客不懂我们的协议/系统,系统非常安全
实际上,工业环境中已广泛使用商业标准件(COTS)和IT技术;除开某些特殊环境,大部分通讯采用的是以太网和TCP/IP协议;ICS、监控站以及嵌入式设备的操作系统也多以Microsoft和Linux为主。其中,Microsoft已通过智能能源参考架构(SERA)打进电力行业,意图将微软技术安插到未来智能电网架构的核心中。
那些特殊环境采用的内部协议其实也有公开的文档可查。典型的电力系统通讯协议定义在IEC和IEEE标准中都可以找到。象Modbus这些工业协议,不仅可以轻易找到详细说明,其内容也早已被黑客圈子熟知。
另外,由于ICS设备功能简单、设计规范,只需少许计算机知识和耐心就可以完成其逆向工程,何况大部分的工业协议都不具备安全防护特征。甚至某些应急工具都可以自动完成逆向工程。
即使经过加密处理的协议也可以实施逆向工程。例如,GSM手机全球系统、缴费终端及汽车点火装置的射频信号、DVD反复制保护机制,他们都采用专门的加密技术,但最终都被破解。
误区四:ICS系统不需要防病毒软件或有防病毒软件就可以了;我们的防火墙会自动提供保护等
认为ICS系统不需要防病毒和误区一(系统是隔离的)和误区三(黑客不了解系统)有关。实际上,除了Window平台易受攻击,Unix/Linux都有过病毒或跨平台病毒攻击的经历。Proof-of-concept病毒则是专门针对SCADA和AMI系统的。所以对ICS系统,防病毒软件不可或缺,并且需要定时更新。
那么,有了防病毒软件是否就高枕无忧了?虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件,但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且,防病毒软件本身也有弱点存在。从最近一次安全会议得知,在对目前使用最多的7个防病毒软件进行防病毒能力挑战时,有6个可以在2分钟内被攻破。
另外,虽然防火墙也是应用最广泛的安全策略之一,但其发挥效用的前提是必须正确设置了防火墙的安全规则。即使智能型防火墙,也需要自定义安全规则。研究表明,由于设置规则比较复杂,目前80%的防火墙都没有正确配置,都没有真正起到安全防护的作用。
误区五:网络安全事件不会影响系统运行
事实证明,ICS系统遭受攻击后不仅可能影响运行,还可能导致严重后果。前面提到的澳大利亚MaroochyShire排水系统受攻击事件就是一例;2003年Davis-Besse核电站因Slammer蠕虫病毒入侵导致系统计算机停机6小时以上;2007年美国爱达荷国家实验室一台为13.8KV网格测试台供电的柴油发电机因网络攻击而被毁;2008年Hatch核电厂一工程师在数据采集服务器上测试软件更新时,在其不知情的情况下,测试值被供应商软件同步设置到生产系统上,结果导致反应堆自动停机事故。另外,攻击者也会想法设法接近ICS设备,如将携有恶意软件的U盘以礼相送;或是向收集到的目标企业工作人员邮寄地址发送电子邮件,一旦邮件内链接被打开,恶意软件就会下载到工作站。攻击者声称,通过这些恶意软件,他们可以全面控制工作站和SCADA系统。
误区六:ICS组件不需要特别的安全防护,供应商会保证产品的安全性
人们能够理解ICS系统核心组件(如数据库、应用软件、服务器等)安全性的重要,但常常会忽视ICS系统外围组件(如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等)的安全防护。其实这些外围设备很多都内置有与局域网相联的网络接口,采用的也是TCP/IP协议。这些设备运行时可能还有一些调试命令,如telnet和FTP等,未及时屏蔽。这种情况在网络服务器上也很常见。网络服务器一般隐含有一项特殊功能,即允许用户通过定位某个网址重新启动远程终端设备(RTU)。
用户通常以为供应商会对他们产品的缺陷和安全性了如指掌,实际上供应商对他们产品的认识仅限于产品所能提供的功能方面,而且对出现的安全问题也做不到快速响应。2008年研究人员发现ICS特有的数据通讯协议(WonderwareSuitlink)存在漏洞后,立即联系了供应商Wonderware,但是Wonderware1个月后才开始回应;等到Wonderware认识到产品缺陷,并知会Suitlink用户相关补救措施时,已是三个月以后的事了。这件事让很多供应商开始关注自己产品的安全性,但对大部分供应商来说,还是任重道远。
误区七:ICS系统的接入点容易控制
ICS系统存在很多未知或已知但不安全的接入点,如维护用的手提电脑可以直接和ICS网络联接、可不经过防火墙的接入点、远程支持和维护接入点、ICS设备和非ICS设备的连接点、ICS网络设备中的可接入端口等。实际上,ICS系统的所有者并不知晓有多少个接入点存在以及有多少个接入点正在使用,也不知道个人可以通过这种方式访问ICS系统。
误区八:系统安全可以一次性解决或是可以等到项目结束再解决
以前,ICS系统功能简单,外部环境稳定,现场维护设备也非智能型,所以,针对某一问题的解决方案可以维持很长一段时间不变。然而,现在的ICS系统功能复杂,外部环境经常变化,现场维护设备也需要定期更新和维护。不仅ICS系统和现场维护设备需要安全防护,其管理和维护工作也需要安全防护,而且是动态管理的安全防护,即一旦有新的威胁或漏洞产生,就要及时采取安全措施。
近些年,虽然ICS项目建设开始关注系统安全,但是由于工期较长,通常在最后阶段才开始考虑安全防护问题,但此时不仅实施不易,而且成本颇高。因为需求变更越晚或漏洞发现越迟,更改或弥补的费用越高。
误区九:单向通信100%安全
某些情况下,极重要的ICS系统允许以单向通讯方式与其他安全区域联接。但是,这种联接方式是很不严密的,其安全程度高低取决于单向通信的实现方式。方式一为限制发起方方式,即通信只能由某一方发起,然后双方可以互相通信;方式二为限制负载流方式,即在方式一基础上,对方只能发送控制信号,不能发送数据或应用信息;方式三最严格,仅允许一方发送信息,不允许另一方发送任何信息。方式一采用基本防火墙就能实现,方式二需要进行信息包检测,方式三需要采用特殊设备实现。通常认为,将前两种方式结合起来将是最安全的防护措施。但是,即使它们可以提供很强的安全保护,网络攻击还是有可能发生。因为控制和信号信息允许进入受保护区域,经过设备编译后,恶意代码就有可能得到运行。所以,单向通信并不能提供100%的安全保护。