工業控制系統信息安全研究新動態①

丁曉倩,向 勇,李喜旺,吳 奕

1(中國科學院 沈陽計算技術研究所,沈陽 110168)

2(中國科學院大學,北京 100049)

工業控制系統(Industrial Control System,ICS)是一個用于描述監控與數據采集系統(Supervisory Control and Data Acquisition,SCADA)、分布式控制系統(Distributed Control System,DCS)和可編程邏輯控制器(Programmable Logic Controller,PLC)等多種用于工業生產的控制系統和自動化控制組件的通用術語[1].工業控制系統通常用于能源、冶金、石油化工等工業生產領域以及交通、水利、市政等公共服務領域,一旦遭受攻擊,不僅會對相關企業造成影響,還會引起國家安全和社會穩定問題.

隨著信息化與工業化的深度融合,IT 技術在工業控制領域應用的深度和廣度不斷擴大,使工業控制系統平臺更加標準化與簡單化,將ICS 逐步從封閉、孤立的系統轉化為開放、互聯的系統.但工業信息化帶來生產成本降低和競爭實力大大增強的同時,工業控制系統封閉網絡的屏障優勢逐漸減弱.信息技術的廣泛應用不僅使工業協議和系統的固有漏洞和安全風險不斷增加,還使其繼承了IT 網絡所面臨的安全威脅.2010年出現的“Stuxnet”病毒被認為是最早的專門針對工業控制系統的攻擊,緊隨其后出現了“Conficker”、“Haves”、“BlackEnerfy”等病毒.最近一些年更是出現一些以獲取錢財為目的的勒索軟件,例如“Warncery”、“Clearenegy”等.2018年8月,臺積電遭遇勒索軟件“WannaCry”變種的攻擊,導致生產中斷,造成1.7 億美元的損失[2].以上事例表明,ICS 面臨的威脅規模、類型和危險程度都在快速增加.截至2018年12月13日,美國工業控制系統網絡應急響應小組(Industrial Control System Cyber Emergency Response Team,ICS-CERT)在其官方網站發布安全通告累計1046 篇,且年安全通告篇數呈現持續上升趨勢[2],如圖1所示.由于傳統信息安全問題在工業控制領域的蔓延,傳統ICS 安全策略效果大不如前,亟需從工業協議缺陷、系統漏洞和數據安全等多方面研究安全解決方案.

圖1 ICS-CERT 安全通告統計圖

針對面臨的安全風險,國內外學者對ICS 信息安全關鍵技術研究進行了探討與總結.彭勇等[3]從ICS信息安全內涵出發,對當前ICS 信息安全研究現狀和信息安全關鍵技術的研究成果進行闡述,提出ICS 信息安全面臨的挑戰和重要的研究方向.在對ICS 安全綜合分析的基礎上,工業控制系統信息安全相關的最新研究成果和新型攻擊技術是當前的研究熱點,學術界和產業界對此提出基于實踐的縱深防御體系和安全建議[4–6].在前人對工控安全技術研究進展的基礎上,本文重點分析2018年工控安全國際會議ICS-CSR 提出的最新理論與技術,提出ICS 信息安全技術的重點研究方向,以期為讀者提供新的研究思路.

1 工業控制系統(ICS)

1.1 ICS 架構

典型的工業控制系統[7]是分層結構,從上至下分別為企業信息網絡、過程控制網絡和現場設備網絡,如圖2所示.

(1)企業信息網絡屬于IT 領域,通過防火墻與外部網絡連接,實現郵件收發、網頁瀏覽等網絡信息服務.一般由制造執行系統(Manufacturing Execution System,MES)和企業資源規劃(Enterprise Resource Planning,ERP)為代表的企業資源管理系統組成.

(2)過程控制網絡屬于工業控制系統領域,為上層應用服務和下層控制應用建立橋梁,解決軟、硬件集成問題,提高系統的開放性和互操作性.一般由SCADA、DCS 和PLC 的OPC (Object Linking and Embedding(OLE)for Process Control)服務器、工程師站和實時/歷史數據庫等組成.

(3)現場設備網絡位于最底層,屬于工業控制系統領域,在控制網絡的調度下采集數據信息,執行面向用戶的指令,保證系統正常運行.一般由人機界面(Human Machine Interface,HMI)、遠程終端單元(Remote Terminal Unit,RTU)和PLC 等現場儀表和控制設備組成.

1.2 ICS 信息安全

隨著信息技術在工業領域的應用,工業控制系統有了質的變化,研究人員對當今工業控制系統信息安全做出新的解釋,IEC62443-1-1 標準中針對工控系統信息安全的定義[8]是:“保護系統所采取的措施;由建立和維護系統的措施所得到的系統狀態;能夠免于對系統資源的非授權訪問和意外的變更、破壞或損失;基于計算機系統的能力,能夠保證授權人員和系統的合法操作權限,避免非授權人員和系統修改軟件及其數據或訪問系統功能;防止對工控系統非法、有害的入侵,或者干擾其正確和計劃的操作.”

來自互聯網的安全威脅已成為工業控制系統信息安全主要的威脅來源,但是由于工業控制系統本身的特點,其信息安全與傳統IT 系統的信息安全仍有較大差別,表1從攻擊方法、攻擊目的和攻擊后果等方面對二者進行對比分析.

圖2 ICS 典型架構圖[7]

表1 工控安全與傳統信息安全對比

1.3 ICS 信息安全技術

工業控制系統安全技術的研究重點主要在區域隔離、入侵檢測和風險評估3 方面.

(1)區域隔離技術

為了防止攻擊者通過工業控制系統的企業信息網絡對下層網絡進行滲透,不同層次網絡之間需要部署工業防火墻、網關等安全設施,控制跨層訪問并對層間數據交換進行深度過濾[2].工業防火墻對專用工業協議和通用TCP/IP 協議等數據包進行深度分析,通過構建的白名單體系過濾對系統資源的惡意訪問,有效阻止未授權軟、硬件或進程在系統中運行.

(2)入侵檢測技術

入侵檢測技術是一種通過收集與解析數據包信息,基于特征分析和異常檢測發現系統中隱藏的攻擊行為,主動采取防御措施的安全技術.當前國內外常用的入侵檢測技術主要有:入侵檢測系統、工控漏洞掃描和挖掘技術、工業監測預警平臺.分析ICS 的特性,工業入侵檢測系統從檢測對象出發,被劃分為基于流量監測、協議檢測和設備狀態檢測三大類[7,9],對系統行為信息逐步深入分析,實現對攻擊行為的有效感知和實時監測;工業漏洞掃描和挖掘針對工業控制系統中常見的PLC、DCS、HMI 等控制器進行探測,發現其中的系統漏洞,并通過FUZZ 等技術手段實現對工業專有協議的健壯性測試;工業監測預警平臺則是通過對系統安全日志與異常信息的關聯分析,結合現場行為發現惡意行為[2].

(3)風險評估技術

風險評估技術通過對網絡、系統、數據庫和業務應用運行日志的收集和分析,在模擬仿真系統平臺上對潛在的漏洞和安全隱患進行驗證,進而切合實際地識別出系統面臨的安全威脅以及風險的來源[3].當前,工業控制系統風險評估技術主要包含ICS 仿真平臺的構建、安全測試技術和風險評估工具[10].ICS 仿真平臺通過實驗數據構建真實系統環境,在仿真環境中利用安全測試工具對系統進行漏洞掃描和挖掘、滲透測試、補丁開發等安全試驗,不需要直接操作系統,避免影響真實系統的可用性和機密性.風險評估工具則是根據安全標準對系統行為進行分析,確定惡意行為和風險來源,以此給出系統安全加固建議.

2 ICS 信息安全研究進展

2018年第五屆ICS 與SCADA 信息安全研究國際會議(ICS-CSR)共收錄13 篇論文,展示當前工業控制系統信息安全領域的研究方向和應用技術.本文對會議論文中提出的安全方法進行研究與分析,按照基于評估對象的分類方法,發現論文中提及的技術主要從系統架構和通信協議兩方面出發,利用網絡攻擊模型、區塊鏈技術、神經網絡、安全工具等方法維護工業控制系統信息安全.

2.1 基于系統架構的安全解決方案

基于系統架構的安全研究是針對操作員站、工程師站、數據服務器等現場設備進行安全加固.安全解決方案會對發現的攻擊行為進行告警或者采取防御措施,以此阻止操作人員的誤操作和外界的攻擊行為.該解決方案適用于工業領域的所有控制系統及其設備,可以滿足各廠商的ICS 信息安全需求.

(1)通用系統架構安全解決方案

對系統架構進行安全研究與分析的前提是設備識別,文獻[11]提出一種利用設備MAC 地址的唯一性進行設備識別的輕量級被動網絡掃描技術,它可以在不影響ICS 正常運行的前提下集成到ICS 的安全體系中.該方法發現并識別設備后,可利用其供應商信息和網絡上公開的漏洞數據庫對設備進行漏洞分析,進而提高設備安全.為了更好的理解攻擊者的意圖和攻擊過程,文獻[12]從攻擊者的角度出發,研究網絡攻擊生命周期模型,以便采取與攻擊相對的安全策略.文章從基于過程的入侵檢測系統出發,提出一種名為SAMIIT的螺旋攻擊生命周期模型.該模型可以覆蓋整個攻擊生命周期,將基于機器學習的分類算法首次用于攻擊生命周期的警報映射,利用標簽分類將安全警報映射到系統環境中不同的攻擊階段和架構級別上,使安全管理人員根據映射有效分配安全管理策略,截斷攻擊過程,進而維護系統安全.與文獻[12]不同的是,文獻[13]直接從攻擊者的目標出發,針對信息物理系統(Cyber Physical System,CPS)所面臨的安全問題,利用攻擊樹(Attack Tree,AT)模型對模型FAST-CPS 進行擴展,提出一種評估CPS 安全的方法.該方法的貢獻在于,以被評估系統的架構模型為基礎,自動生成針對特定攻擊目標的攻擊樹,進而自動得出分析結果.為了讓系統相關人員了解系統安全信息,該方法給出兩種反饋類型,針對技術人員的技術型反饋和針對管理人員的非技術型反饋.該方法的具體操作步驟如圖3所示.

圖3 文獻[13]的方法概略圖

從圖3可以看出,攻擊樹生成算法的核心是利用攻擊模板對攻擊目標迭代精煉,直到攻擊目標不能再被分解為止.使用的攻擊模板是已知攻擊方法,可根據需求自由更換,大大提高了該方法的擴展性.

(2)PLC 系統架構安全解決方案

正如文獻[14]中提到的那樣,工業控制系統受到的威脅越來越多,工業控制系統中的PLC 引起了攻擊者的廣泛關注,但是PLC 的相關安全研究卻未引起人們的重視.在這方面,文獻[14,15]進行了研究和闡述.文獻[14]對西門子S7-1200 協議中的日志相關功能進行分析,針對日志在入侵檢測中的作用,提出一種名為PLCBlockMon 的PLC 邏輯.該邏輯僅記錄標識系統狀態和影響物理過程的變量數據,一方面簡化日志記錄的復雜性,另一方面也提高了檢測方法的安全性,減小入侵檢測系統的負載.文獻[15]則針對PLCs 中來自受信任節點的拒絕服務(Denial of Service,DoS)攻擊,提出一個入侵防御系統(Intrusion Prevention System,IPS).該系統最大的貢獻在于它的通用性,可以在任何PLC 系統使用而不受工業基礎設施的功能限制.該系統可以安裝在PLC 系統內部,降低攻擊者破壞IPS 的可能性;還可以安裝在PLC 外部,為PLC 系統增加一層安全層,鞏固深度防御方法.最重要的是,IPS 檢測到DoS 攻擊后會自動重啟,以徹底清除所有攻擊流量數據,確保系統正常運行,而不受攻擊影響.

(3)SCADA 系統架構安全解決方案

文獻[16]考慮到SCADA 系統組件中實現監控功能的數據完整性的重要性,使用區塊鏈技術提高系統組件中數據日志的完整性.文章將以工作量證明PoW(Proof of Work)為基礎的區塊鏈技術集成到CPS 系統中.為了提高系統資源利用率,不影響工業控制系統實時性的需求,文章引入時間概念,對消息到達時間進行預測.該方案的貢獻在于不僅對SCADA 系統中數據的完整性提供了可靠保證,優化驗證計算以交付難以篡改的數據日志,還充分考慮了工業控制系統的系統監控功能的實時性需求.

在安全研究中,為了更好的驗證安全解決方案的可行性,需要在工業控制系統中直接運行,但廠商不會允許在工業控制系統中部署不信任或未證實身份的設備,因此在研究中使用真實的SCADA 系統是不現實的.文獻[17]開發了一個新穎的開源框架,用于新建、部署和管理SCADA 系統仿真平臺,它可以在本地或遠程自動部署大量虛擬機用來復制SCADA 網絡.該框架包含多個虛擬主機模擬傳感器和執行器,使用HMI控制虛擬主機.同時,該框架提供一組自動化腳本,可以根據用戶需求自動部署可變數量的虛擬機.文章指出該框架符合IEC104 和OPC-UA 標準,并支持其他工業協議.最重要的是該框架建立在開源代碼庫的基礎上,是一款免費開源的仿真平臺軟件.

(4)智能電網系統架構安全解決方案

在我國工業領域的控制系統信息安全研究中,電力行業一直處于領先地位,但是電力行業安全的研究重心一直放在邊界安全上,沒有對系統架構安全進行深入研究,文獻[18]和文獻[19]分別對電力系統架構改進和重建兩方面做出分析.文獻[18]針對電網系統中電力存儲的檢測與防護,提出一種名為PSP 的儲能保護框架.文獻[18]認為當今電網的安全管理體系中,系統安全人員面對攻擊無法獲悉攻擊者的目標和攻擊過程,僅能夠觀察到部分設備的狀態變化情況,入侵檢測工具的分析結果也具有不確定性.為了應對攻擊者對電力存儲系統攻擊,電力設施的運營商必須以最小成本維持供電系統的穩定性.針對上述問題,文章設計一種名為PSP 的框架,它參考零和博弈問題,利用部分可觀察馬爾可夫決策過程(Partially Observable Markov Decision Process,POMDP)為系統問題建模,使用動態規劃算法求得最優解并進行驗證.該方案一方面充分考慮工控系統可用性至上的特性,從系統運行狀態出發,只要系統運行正常,處于連續一致的狀態,就不采取任何防御行動.另一方面充分考慮電力存儲的3 種形式,以適應電力運營商的存儲需求.文獻[19]指出,智能電網的系統架構正在向分布式系統模型方向發展,歐盟的ELECTRA 項目提出關于未來智能電網可能的系統架構WoC (Web of Cells)概念模型,如圖4所示.該模型最大的特點是“在當地解決當地問題”,單個細胞的穩定性通過細胞內的設備控制,系統整體的穩定性則由一個控制器控制.針對該系統架構,文章提出一種理論分析方法,首先將一次攻擊過程分解為多個攻擊階段,然后分別對各個階段進行建模評估,實現多段攻擊過程的安全分析.該方法最大的貢獻[20]在于引入時間屬性,指出攻擊成功的概率不僅是一個百分比,而是一個包含攻擊者攻擊過程可用時間的函數,以此對攻擊結果進行定量分析.

2.2 基于通信協議的安全解決方案

工業控制系統的協議眾多,早先工業控制系統為封閉系統,為了保證自己的核心競爭力和機密性,多采用不對外開放的專有協議.隨著TCP/IP 等通用協議在工業領域的應用,專有協議的安全缺陷開始被攻擊者利用,大部分專有協議的安全機制無鑒別、無加密、無審計,設備可通過掃描工業協議漏洞被發現,如表2[2].

文獻[21]以“Stuxnet”事件為引,針對PLC 系統面臨的嚴重的安全威脅,對西門子最新的S7-1211C 控制器協議和TIA (Totally Integrated Automation)軟件漏洞進行研究,為PLC 的安全研究做出極大貢獻.文章指出,首先,文中發現的漏洞并不復雜,復雜的是使用通訊協議本身的合法功能時產生的安全威脅;其次,通訊協議的身份認證機制和數據完整性檢查機制并不可靠;最后,現有的入侵檢測防御軟件的功能是有限的,對系統自身合法行為引起的安全威脅的檢測并不完善.文獻[22]更進一步,分析通用的西門子S7 通訊協議,其分析方法有更好的實用性.該方法使用神經網絡訓練系統模型,利用系統模型當前的網絡流量對系統異常進行監測.文章針對S7 通訊協議不需要身份驗證即可與PLC 建立連接并獲取數據的漏洞,開發S7 通訊協議客戶端用于攻擊測試.結果表明,該方法以97%的成功率檢測異常網絡數據包.這樣的結果為人們分析不同IDS 中的S7 通訊協議提供更加具體、可靠的依據,同時為配合其他檢測技術,建立檢測能力更高的入侵檢測系統提供幫助.

圖4 文獻[19]涉及的WoC 概念模型

表2 2018年不同協議可探測設備數量

同樣,用于監視和控制底層物理系統,滿足其更好的功能性和可用性需求的SCADA 系統也不能保證過程數據的機密性.文獻[23]針對IEC-104 協議開發一個解析器,對協議包解析后直接反饋到系統模型中,然后利用Bro 自適應性策略制定的物理約束和安全需求對SCADA 流量進行實時檢查.該方法可以在現場使用,探測到可疑和錯誤的命令或傳感器讀數時會自動生成警報,因此,該方法可以全面提高本地入侵檢測系統的安全性能.

文獻[24]則針對Modbus 協議提出新的入侵檢測方法.該文獻為基于軟件定義網絡(Software Defined Networking,SDN)的工業控制系統建立基于網絡的兩層入侵檢測系統.第一層由運行在交換機上的協議白名單組成,利用基于P4 (Programming Protocol-independent Packet Processors)的數據包處理器實時監控,將可疑數據包直接轉移到第二層進行深入檢測;第二層則由一個深度包探測器和Bro 組成,目的是更新第一層中的白名單.該文獻的主要貢獻有:首先,該兩層入侵檢測系統使用P4 編寫包處理器,為以后擴展其他工業協議奠定了基礎,且數據包處理器直接運行在交換機上,不需要額外添加設備,降低運營成本;其次,兩層的設計理念解決現有的白名單方法的缺點,系統不再直接拒絕可疑包,而是將其轉發到第二層做深入檢測,減小負載;最后,仿真實驗證明,該入侵檢測系統對工控系統的通訊僅有極小的通訊延遲,基本不影響系統的實時性要求.

以上4 篇文章的貢獻在于從工控系統中使用的專用通訊協議出發,針對通訊協議的安全漏洞提出相應的入侵檢測方法,不僅填補了工業協議相關研究方面的空白,還為后續ICS 信息安全研究提出新思路.

3 ICS 信息安全未來發展方向

本文對會議論文中提出的安全解決方案進行研究與分析,針對其中采用的技術與方法,對未來ICS 信息安全研究方向提出以下建議.

(1)網絡攻擊模型的應用

網絡攻擊模型的應用可以加深研究人員對網絡攻擊的認識和描述,通過網絡攻擊模型可以對整個攻擊過程進行結構化建模和形式化描述,幫助研究人員利用已有的攻擊行為背景對網絡攻擊進行深入分析.隨著IT 技術的發展和網上共享資源的增加,攻擊手段越來越多樣化,攻擊過程越來越復雜,想把攻擊完全隔離在系統之外是不可能的,只能根據已知攻擊行為的關聯性找出攻擊規律,進一步確定攻擊目標,從而針對攻擊過程采取階段性的防御策略來阻止攻擊.這足以可見網絡攻擊模型在當前背景下的重要作用.當前我國研究人員對網絡攻擊模型研究的實際應用還不完善,更加需要深入研究網絡攻擊模型的實際應用和理論創新,積極在入侵檢測和防御系統中應用網絡攻擊模型.

(2)開源的工業控制系統仿真平臺

由于工業控制系統的封閉性,廠商對不信任或未經身份驗證設備連接的拒絕,ICS 仿真平臺一直是研究的熱點,隨著仿真和虛擬技術的發展,工業控制系統系統仿真技術已得到廣泛應用.但是已有的仿真平臺聚焦于特定的工業協議和控制系統,通用性差,不具備擴展能力.更重要的是,大部分仿真平臺不開源,使用成本高,使得部分學術研究試驗不可再現,阻礙學術研究進展.隨著工業控制系統信息安全受重視程度的提高,迫切需要開發更多免費、開源的仿真平臺,以便其在信息安全研究進程中發揮重要作用.

(3)非技術型人機界面的研究

人機界面可以把系統中涉及和產生的數據信息轉為直觀的圖形化界面,方便系統和用戶之間的信息交互,但已有的人機界面多用于與技術人員進行溝通,專業性過強,非技術型研究人員不能簡單易懂的獲取相關信息,阻礙研究進程.工業控制系統信息安全研究中,不僅涉及以信息安全為背景的研究人員,還會涉及工業背景的研究人員,以及不具有任何安全知識背景管理層和用戶.為了更明確的表示安全結果,可視化人機界面要多者兼顧,提供技術型和非技術型人機界面,促進不同研究背景下安全技術的融合.

4 結束語

工業4.0 時代的到來,ICS 在國家關鍵基礎建設中的重要地位得到極大提高.同時,信息化與工業化的深度融合使工業控制系統繼承IT 系統的網絡安全威脅,但是工業控制系統ICS 與IT 系統之間存在巨大差異,不能直接將傳統IT 安全技術應用于ICS 中,需要根據實際需求研究適用于ICS 的安全技術,這使我國起步較晚的工業控制系統信息安全面臨著嚴峻的挑戰.本文對2018年ICS-CSR 會議涉及的先進的ICS 信息安全解決方案做出闡述與分析,并根據實際需求對研究方向提出針對性建議.總之,ICS 信息安全行業剛剛步入正軌,成長空間廣闊,仍需要研究人員對工業控制系統信息安全技術做出新的研究.