攜手共進工控系統信息安全之路

啟明星辰集團公司 孟雅輝

攜手共進工控系統信息安全之路

啟明星辰集團公司 孟雅輝

1　工控系統信息安全形勢

據權威工業安全事件信息庫RISI統計，截止到2016年初，全球已發生300余起針對工業控制系統的攻擊事件。如圖1所示。

圖1 公開的ICS漏洞數的年度變化趨勢

圖2為各行業發生的工控信息安全事件占比情況，涉及我國關鍵的國計民生行業。

圖2 各行業發生的工控信息安全事件占比

圖3為2011～2014年公開漏洞涉及的主要工業控制系統廠商。其中，以西門子、施耐德電氣等為代表的工業設備在我國各工業領域被廣泛使用，對其安全防護不容忽視。

圖3 公開漏洞涉及的主要工業控制系統廠商

圖4為工控系統漏洞占比情況，SCADA/HMI系統漏洞占比超過40%，PLC漏洞接近30%，DCS及OPC漏洞占到將近10%。

圖4 工控系統漏洞占比情況

2　工控系統信息安全特點

（1）工業控制系統固有漏洞

? 各大廠商工控產品都或多或少存在著漏洞，工業領域存在著軟、硬件的更新、升級、換代困難等問題。

? 工業控制系統協議在設計之初就缺乏安全性考慮，存在明文設計、缺乏認證、功能碼濫用等安全威脅。

? 缺乏完善信息安全管理規定，存在U盤管理、誤操作、惡意操作等安全威脅。

（2）工業控制系統建設周期長

一般一個大型工業項目建設周期長達5～10年，一套工業系統建設調試到穩定需要的周期很長，無法頻繁升級。

（3）各種其他原因

兩化融合使得工控系統面臨著更多傳統IT網絡的威脅。

3　工業控制系統面臨的脆弱性示例

3.1工業控制系統產品漏洞

工業控制系統產品漏洞，如Emerson RS3漏洞，SIEMENS PLC漏洞。工業領域因軟、硬件更新、升級、換代困難，漏洞不能得到及時修補。

3.2Modbus自身協議缺陷

不單是Modbus，像IEC104，PROFINET等主流的工控協議，都存在一些通用問題。為了追求實用性和時效性，犧牲了很多安全性，因此會導致黑客的攻擊。

3.3OPC協議自身的脆弱性

OPC協議目前廣泛應用于石油煉化、煉鋼廠、發電、精密制造領域。OPC協議在為大家帶來便利的同時，存在著非常大的安全隱患。首先，OPC協議架構基于Windows平臺，Windows系統所具有的漏洞和缺陷在OPC部屬環境下依然存在。并且，為了實現信息交互的便捷性，所有的Client端使用相同的用戶名和密碼來讀取OPC server所采集的數據。另外，只要Client端連接，所有的數據都會公布出去，極易造成信息的泄露。更有甚者，在某些不太規范的部屬環境下，OPC server一方面是為現場所采集的實時數據提供展示，另一方面又為MES層提供數據。相當于MES和現場數據共用一個OPC數據庫，MES一旦被攻擊，就會導致OPC的某個參數被修改，致使現場操作也會隨之變動。

4　工控系統面臨的信息安全問題

4.1工控系統面臨的信息安全問題-石化行業

（1）操作站、工程師站、服務器采用通用Windows系統，基本不更新補丁。

（2）DCS在與操作站、工程師站系統通信時，基本不使用身份認證、規則檢查、加密傳輸、完整性檢查等信息安全措施。

（3）生產執行層的MES服務器和監督控制層的OPC服務器之間缺少對OPC端口的動態識別，OPC服務器可以允許任何OPC客戶端連接獲取任何數據。

圖5 石化行業的工控系統結構圖

（4）工程師站權限非常大，有些是通用的工程師站，只要接入生產網絡，就可以對控制系統進行運維。

（5）多余的網絡端口未封閉，工控網絡互連時缺乏安全邊界控制。

（6）外部運維操作無審計監管措施。

4.2工控系統面臨的信息安全風險-先進制造

（1）某些工控系統的默認口令問題，如SUNRISE，CUSTOMER，EVENING。

（2）通過操作站感染病毒。

（3）串口網口轉換，定制協議過于簡單，缺乏校驗，串口傳輸環境的風險。業務指令異常無法發現。

（4）數據傳輸，NC代碼等文件傳輸存在安全隱患。

（5）DNC服務器等與辦公網放在一起，都是Windows系統安裝的傳統數據庫，大量使用FTP等進行數據交互，操作有被滲透的可能。

（6）第三方運維人員在運維設備時缺乏審計記錄，存在數據泄密或病毒侵入的威脅。

圖6 先進制造工控系統結構圖

4.3工控系統面臨的信息安全風險-電網和發電

4.3.1電網安全建設現狀

（1）當前正探索智能變電站的信息安全防護。

（2）建立可信計算密碼平臺，更新調度數字證書、縱向加密認證、橫向隔離裝置、防火墻、入侵檢測系統，搭建安全仿真平臺。

（3）智能變電站技術、分布式能源智能大電網，不僅有監視，還有控制。用電信息在互聯網上傳輸，需要加密；用戶的智能電器暴露在電力系統中，可能受到攻擊。

（4）安全區II的電廠和省調之間采用IEC104規約，框架確定，但是存在協議格式在實際應用中出現混亂的問題。

4.3.2發電（水電或者火電）面臨的風險

（1）所有發電控制系統連接在一區，無任何安全防護措施。

（2）隨著發電全廠一體化建設的推進，因聯通導致的風險越來越大。

（3）操作站采用通用操作系統，未安裝補丁，會感染病毒。

（4）OPC問題一樣突出。

（5）遠程運維問題依然存在，安全運維審計裝置缺失。

4.4工業控制系統信息安全風險途徑

通過以上分析，會發現像先進制造、發電、石油石化等行業，信息安全風險基本上是通過幾個典型的端口進入工控系統。

（1）“兩網連接”帶來的風險。生產網與辦公網相連，雖然控制系統是一個個單獨的系統，但是要建立全廠一體化控制，主控制系統和輔助控制系統全部連接到一個網絡中，由于網絡互連帶來的風險非常顯著。

（2）通過操作站帶來的風險。如安裝軟件、U盤的使用，人為的某些誤操作，都是通過操作站和工程師站端口進來的。如工程師站經常會被值班人員隨意操作，出現參數被誤修的情況。

（3）現場與遠程運維帶來的風險。

（4）工業無線帶來的風險。這種風險在軌道交通行業中非常明顯。

圖8 工業控制系統信息安全風險途徑

5　工控系統信息安全防護建設

5.1工控安全防護建設參考標準

（1）以451號文為基準。

（2）參考國際國內標準。

（3）結合行業生產特點。

5.2工控安全防護體系建設思路

工控安全防護思路依據“垂直分層、橫向分區、邊界防護 、內部監測 ”的總體策略。把工控系統分區、分域，進行邊界防護，內部監控。

5.3融合秩序的工控系統信息安全產品體系

在工業控制領域，整個流程秩序是非常嚴謹的，因此啟明星辰在考慮研發安全產品時，結合了工業控制系統特點，目前包括以下幾大支柱產品。

（1）旁路檢測

旁路檢測包括工控異常監測系統和工控網絡流秩序分析診斷。

工控異常監測系統：除了發現傳統的網絡入侵、病毒等特征之外，針對工控系統自身業務指令的異常，以及協議所固有的一些脆弱性，可以被利用的攻擊方式等，將這些規則整理到系統中進行監測。

工控網絡流秩序分析診斷：主要針對工業控制網絡內部，梳理每個設備之間的交互信息數據流特點，通過學習整理，了解通常是以多少屏和多少M的流量來發送信息，據此發現數據流是否出現異常。如果有積塞則展示出來。另一種情況是，在一應用場景會發現經常有向國外某個IP發送信息的情況，通過協助用戶方查詢，發現原來是在開發系統時引用了一個插件的問題。類似以上情況均可以通過網絡流量的分析展示出來。

（2）串聯防護

串聯防護產品包括工業防火墻和工業網閘，主要應用在兩網之間的隔離防護。其中工業網閘是結合工業現場情況，支持OPC。工業防火墻，除了做IP端口方面的訪問控制，具體的操作指令和功能碼都需要做細粒度的控制。

（3）操作站管理

操作站管理包括操作站安全管理系統和防病毒系統。

（4）現場防護

現場防護包括工控運維審計系統和WIFI入侵檢測與防護設備。

以上這些設備的監控數據均在工業控制系統信息安全管理系統中統一進行展現和管理，能夠統一地呈現工控系統的安全風險情況。數據的導入方式也可以是多種多樣的。

圖9 工控系統信息安全產品體系

此外，啟明星辰還建立了結合工控系統全生命周期的工控安全風險評估平臺，包括工控漏洞掃描、模糊測試工具，以及工控安全靜態檢查，安全配置基線核查的工具。目標是達到風險的可知、可防和可預測。

安全產品體系覆蓋了整個安全事件發生的全生命周期，包括事前的防護、事中的檢測和事后的審計、處理；覆蓋過程控制、生產控制、現場控制三個層面；集防護監測為一體的統一體系。安全防護產品可以部署在網絡邊界處、公共交換機的旁路接觸欄或者網絡安全防護的專用區域。

從國家的層面來說，我國正在積極倡導“工業4.0”、工業互聯網和《中國制造2025》。我國是工業制造大國，在這種發展趨勢下，工業制造中的互連互通將會越來越頻繁，信息安全問題不容忽視。我們必須攜手推進工業控制系統信息安全防護，聯合用戶、監管機構、自動化集成廠商、信息安全廠商、高校等一切力量共建威脅情報監測平臺，構建工控系統信息安全生態圈。

（文章整理自孟雅輝在2016年4月22日“工業控制系統信息安全風險信息共享研討會”上的報告）

孟雅輝（1981-），女，河北安平人，碩士，現任啟明星辰集團工控安全營銷部技術總監，承擔過多項大型信息安全和工控信息安全咨詢、產品研發、產品實施項目。