工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系建設研究

蘇紅生,劉燕江,李高橋,李 明

(云南云天化紅磷化工有限公司,云南 開遠 661699)

0 引言

某公司目前在線運行的有分布式控制系統(tǒng)(distributed control system,DCS)、可編程邏輯控制器(programmable logic controller,PLC)系統(tǒng)及電力監(jiān)控系統(tǒng)等40余套自動化系統(tǒng)。系統(tǒng)各裝置的實時生產(chǎn)數(shù)據(jù)通過過程控制用對象連接與嵌入(object linking and embedding for process control,OPC)服務器進入制造執(zhí)行系統(tǒng)(manufacturing execution system,MES)。系統(tǒng)實時數(shù)據(jù)是公司生產(chǎn)調度的指令依據(jù)。工業(yè)控制系統(tǒng)(industrial control system,ICS)是DCS、PLC、監(jiān)控與數(shù)據(jù)采集(supervisory control and data acquisition,SCADA)系統(tǒng)等多種工業(yè)系統(tǒng)的總稱[1]。ICS是企業(yè)生產(chǎn)的大腦與神經(jīng)中樞,一旦出現(xiàn)安全問題,必定會給安全生產(chǎn)帶來影響。ICS安全主要包括功能安全與信息安全這2個方面[2]。在震網(wǎng)病毒事件發(fā)生之前,ICS安全主要是保障生產(chǎn)環(huán)節(jié)的功能安全,對系統(tǒng)信息安全防護的有效建設沒有引起足夠的重視。這使得傳統(tǒng)信息安全領域中常見的木馬、蠕蟲以及分布式拒絕服務(distributed denial of service,DDOS)等攻擊手段都能對ICS造成極大的破壞。極端情況下的惡意入侵、攻擊與破壞使生產(chǎn)過程失序,從而引發(fā)生產(chǎn)事故。近年來,越來越多的ICS安全事件讓政府、企業(yè)認識到其重要性和危害性,ICS安全已提升到國家安全戰(zhàn)略層面[3]。在當前復雜的國際形勢下,構建安全、自主可控的ICS網(wǎng)絡安全防護體系已刻不容緩。本文結合ICS遭遇網(wǎng)絡病毒攻擊事件,對ICS的特性和面臨的網(wǎng)絡安全威脅進行了分析,提出了構建多層級、多層次的縱深ICS網(wǎng)絡安全防護體系。初步建成的ICS網(wǎng)絡安全防護體系加強了公司在安全防范、預警感知、應急響應等方面的能力,有效避免了因ICS網(wǎng)絡安全帶來的損失,保障了業(yè)務的連續(xù)性。

1 ICS遭遇網(wǎng)絡病毒攻擊事件

近年來,全球各類網(wǎng)絡安全事件頻發(fā)。震網(wǎng)病毒、勒索病毒等重大網(wǎng)絡安全事件給ICS網(wǎng)絡安全敲響了警鐘。事實上,ICS已成為網(wǎng)絡攻擊的重災區(qū)[4]。

1.1 ICS遭遇網(wǎng)絡病毒攻擊

某年2月17日1∶31,某公司某裝置的OPC服務器接入MES的實時數(shù)據(jù)中斷,隨后多套裝置的數(shù)據(jù)相繼中斷。經(jīng)信息管理員初步判斷,原因為信息數(shù)采機群或設備故障。信息管理員遠程登錄系統(tǒng)進行了處理,使得數(shù)據(jù)恢復。當日4∶36,多套裝置OPC服務器接入MES的實時數(shù)據(jù)又相繼中斷。信息管理員再次遠程登錄系統(tǒng),但遠程登錄功能已失效。信息管理員趕到數(shù)采機房檢查時發(fā)現(xiàn)多臺數(shù)采機出現(xiàn)死機、藍屏、中央處理器資源占用100%等情況。

某公司在線運行的ICS服務器、操作站計算機均采用Windows操作系統(tǒng)。操作系統(tǒng)自帶的防火墻不對OPC協(xié)議的動態(tài)端口開放,是關閉的。DCS管理員檢查后發(fā)現(xiàn)多套裝置OPC服務器原本關閉的防火墻被打開,導致數(shù)采機無法獲取數(shù)據(jù)。而防火墻數(shù)次關閉后又被打開,最終只能禁用。DCS工程師站、操作員站出現(xiàn)藍屏、死機,啟動不了或重啟后短時運行又出現(xiàn)藍屏、死機等現(xiàn)象。電力監(jiān)控系統(tǒng)操作站則是彈出自動重啟“倒計時1分鐘”窗口后陷入重復啟動中。通過網(wǎng)絡流量監(jiān)測,信息管理員發(fā)現(xiàn)多套ICS的OPC服務器通過445端口向數(shù)采機發(fā)送異常數(shù)據(jù)包。經(jīng)過分析,相關人員認為此次病毒與“永恒之藍”漏洞攻擊現(xiàn)象相似[5]。

1.2 遭遇病毒攻擊后采取的措施

信息管理員對數(shù)采機群重裝升級操作系統(tǒng)、打補丁、升級防毒殺毒軟件、關閉445端口。2月19日數(shù)采機群處理正常,管理信息網(wǎng)按節(jié)點方格逐一進行軟件升級及病毒查殺。由于沒有ICS安裝使用防查殺病毒軟件的經(jīng)驗與措施,信息管理員只能使用賽門鐵克、卡巴斯基、360安全衛(wèi)士幾款病毒查殺軟件對ICS在用計算機進行離線、在線檢測與測試,并分別檢測出Trojan.gen.2、Trojan Horse、w32.mandaph等病毒。安裝或使用上述幾款病毒查殺軟件后,裝有DeltaV、PCS7工業(yè)控制軟件的計算機出現(xiàn)無法啟動、運行速度慢、死機、藍屏等現(xiàn)象,只能采用網(wǎng)絡方格斷網(wǎng)、隔離、重裝系統(tǒng)進行處理。采用360安全衛(wèi)士在安裝了ABB Freelance工業(yè)控制軟件的計算機上進行病毒查殺后,相關計算機沒有出現(xiàn)上述現(xiàn)象,在線運行測試也沒有發(fā)現(xiàn)異常。在本次病毒攻擊事件中,除A、Q裝置在運行的2套JX-300XP控制系統(tǒng)沒有發(fā)現(xiàn)明顯異常外,基本波及了在用的所有ICS,所幸沒有造成生產(chǎn)上的直接損失。

2 ICS的特性及安全風險

ICS是現(xiàn)代信息技術和控制技術的融合,屬于一類特殊的信息技術系統(tǒng),有其自身的特性及面臨的安全風險。

2.1 ICS的特性

①ICS首先強調可用性,其次才是完整性與機密性。ICS是實時控制系統(tǒng),對信息的可用性要求很高。ICS的設備,特別是現(xiàn)場級的控制器,大多是嵌入式設備。這些設備由于軟件、硬件資源有限,無法支撐復雜的信息安全功能。

②ICS是以生產(chǎn)過程控制為中心的系統(tǒng),服務于工業(yè)生產(chǎn)過程,與物理過程緊密結合成為復雜的信息物理系統(tǒng)(cyber physical systems,CPS)[6]。ICS一旦受到攻擊,勢必給安全生產(chǎn)帶來影響,甚至造成嚴重的后果。ICS除了接受定期檢修,必須長期穩(wěn)定、連續(xù)、可靠地運行,不能接受頻繁的升級更新操作。

③ICS廣泛采用工業(yè)以太網(wǎng)技術,基于互聯(lián)網(wǎng)協(xié)議、傳輸控制協(xié)議、用戶數(shù)據(jù)報協(xié)議通信。但其應用層協(xié)議是不同的。ICS對報文時延有嚴格的要求,而對吞吐量、并發(fā)連接數(shù)及連接速率往往要求不高[7]。

2.2 ICS面臨的安全風險

由于ICS要兼顧應用場景與控制管理等,以優(yōu)先確保系統(tǒng)高可用性和業(yè)務連續(xù)性為主,致使一些成熟的信息技術系統(tǒng)信息安全產(chǎn)品無法直接應用于工業(yè)現(xiàn)場。這使得ICS因缺乏有效的安全防護措施而面臨安全風險[8]。某公司各套生產(chǎn)裝置的實時數(shù)據(jù)通過DCS/PLC的OPC服務器匯聚到第一層交換機,由對應各套DCS/PLC的數(shù)采機進行數(shù)據(jù)采集;數(shù)采機匯聚到第二層交換機,通過防火墻后由數(shù)采發(fā)布服務器供管理信息網(wǎng)訪問。

本文對照《信息安全技術網(wǎng)絡安全等級保護基本要求》[9]等規(guī)范,對某公司ICS網(wǎng)絡安全進行梳理。梳理結果如下。

①某公司網(wǎng)絡分為生產(chǎn)控制網(wǎng)和管理信息網(wǎng)這2個相對獨立的區(qū)域。不同的ICS相對獨立。其管理信息網(wǎng)與生產(chǎn)控制網(wǎng)邊界通過2臺OPC設備進行數(shù)據(jù)交換,無法滿足網(wǎng)絡隔離要求。

②ICS網(wǎng)絡邊界較為清晰,但生產(chǎn)控制層和現(xiàn)場控制層邊界未部署防護設備或安全措施。當某個系統(tǒng)遭受網(wǎng)絡攻擊時,可能迅速蔓延至其他系統(tǒng)。生產(chǎn)控制網(wǎng)絡中均缺乏有效的防入侵措施,在遭受外界病毒、木馬等攻擊侵擾時不能第一時間發(fā)現(xiàn)、記錄,并且不能對網(wǎng)絡攻擊或網(wǎng)絡安全事件進行及時預警與處理。

③ICS使用的計算機采用Windows操作系統(tǒng),均未安裝任何主機防護軟件。為保證工業(yè)控制軟件的穩(wěn)定性和可用性,生產(chǎn)網(wǎng)絡中的工作站和服務器均沒有部署殺毒軟件,存在被惡意代碼感染的風險。

④ICS日常運維過程中涉及的移動存儲介質的使用,缺乏有效的安全管控措施。工作U盤和私人U盤混用,容易引發(fā)病毒從“內(nèi)部”進入ICS的風險。而外設風險是目前ICS網(wǎng)絡中公認普遍存在并具有威脅性的風險。“震網(wǎng)病毒”事件就是依靠U盤將外界網(wǎng)絡病毒攜帶進入ICS網(wǎng)絡的典型案例。

⑤“三分技術、七分管理”的網(wǎng)絡安全防護體系既包括適宜的技術防護措施,又包括完善的管理體系和制度。此次病毒攻擊事件暴露出組織在管理上存在的不足。

3 ICS網(wǎng)絡安全防護體系建設

ICS網(wǎng)絡整體架構按功能可劃分為4層,分別為現(xiàn)場設備控制層、現(xiàn)場控制層、生產(chǎn)控制層和企業(yè)管理層。

初步建成的ICS安全防護體系網(wǎng)絡拓撲如圖1所示。由于暫不涉及現(xiàn)場設備控制層的保護建設,所以圖1中未單獨標注該層。

3.1 ICS網(wǎng)絡安全監(jiān)測運營平臺

運營平臺在ICS網(wǎng)絡關鍵節(jié)點部署工業(yè)安全審計,以采集網(wǎng)絡流量與日志信息,并將其轉發(fā)至全流量日志系統(tǒng)進行分析。分析結果為ICS安全運維管理人員提供安全事件管理和應急處置支持。同時,日志系統(tǒng)將分析結果轉發(fā)至集團公司工業(yè)安全集中監(jiān)測分析平臺,在全局安全態(tài)勢中呈現(xiàn),為集團公司側決策提供支撐。

①全流量日志分析系統(tǒng)。平臺部署一套全流量日志分析系統(tǒng),以采集公司內(nèi)各裝置DCS的OPC服務器節(jié)點的網(wǎng)絡流量和日志信息。該系統(tǒng)通過大數(shù)據(jù)分析,輸出結果指導ICS安全運行和管理,同時將相關結果轉發(fā)至集團公司態(tài)勢感知平臺。

②ICS網(wǎng)絡流量監(jiān)測。平臺在OPC數(shù)采機群匯聚交換機旁路上部署工業(yè)安全審計,對網(wǎng)絡流量和日志數(shù)據(jù)進行雙重采集和監(jiān)測。平臺基于工業(yè)協(xié)議深度解析,實時監(jiān)測ICS網(wǎng)絡行為和狀態(tài),檢測現(xiàn)場網(wǎng)絡中的違規(guī)操作、入侵行為及流量異常,并根據(jù)用戶定義的審計策略追蹤、溯源ICS網(wǎng)絡安全事件。

③主機探針軟件。平臺在OPC數(shù)采機上部署主機數(shù)據(jù)采集探針軟件,采集主機的關鍵信息,以提交全流量日志系統(tǒng)進行分析和管理。

3.2 安全通信網(wǎng)絡

在公司與互連網(wǎng)、集團公司接口處部署防火墻與上網(wǎng)行為管理系統(tǒng),以深入洞察網(wǎng)絡流量中用戶、應用和內(nèi)容,提供有效的應用層一體化安全防護。在企業(yè)管理層與生產(chǎn)控制層之間、生產(chǎn)控制層與現(xiàn)場控制層之間部署工業(yè)防火墻,通過合適的安全策略實現(xiàn)各ICS的OPC服務器與外部OPC系統(tǒng)的數(shù)據(jù)安全傳輸與隔離。

3.3 安全區(qū)域邊界

生產(chǎn)控制層和企業(yè)管理層邊界部署工業(yè)防火墻,以實現(xiàn)不同生產(chǎn)網(wǎng)絡層級間的隔離,重點保護現(xiàn)場控制層以下的關鍵控制器、主機和設備。工業(yè)防火墻具備工業(yè)協(xié)議深度解析功能,能夠對上、下位機之間的數(shù)據(jù)讀寫操作進行有效控制,從而保證控制功能安全。

在生產(chǎn)控制層和企業(yè)管理層之間的OPC數(shù)采機群匯聚交換機旁路上部署工業(yè)安全審計系統(tǒng)。通過全流量日志分析系統(tǒng)對來自工業(yè)安全審計系統(tǒng)的數(shù)據(jù)流量進行實時檢測分析,從而及時發(fā)現(xiàn)地址解析協(xié)議、DDOS以及隱藏于流量中的病毒、木馬、蠕蟲、溢出等攻擊并預警。

3.4 安全計算環(huán)境

在ICS網(wǎng)絡和相關服務器主機上部署工控主機衛(wèi)士。主機衛(wèi)士采用應用程序白名單技術,不在白名單列表內(nèi)的應用程序、工具和進程都不能在主機或終端上運行。經(jīng)過簽名可信任應用程序的正常升級、更新則不受影響。白名單技術可有效抵御零日漏洞和其他有針對性的攻擊,可對正在運行的應用程序、工具和進程提供全面可視性。ICS的應用程序相對來說數(shù)量少且固定,因此,白名單技術更適合于工業(yè)應用。

3.5 安全管理中心

在信息網(wǎng)部署全流量日志分析平臺,可以通過工業(yè)安全審計設備實時采集工業(yè)控制網(wǎng)絡中各種不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)以及各種應用系統(tǒng)產(chǎn)生的日志、事件、報警等信息,并將數(shù)據(jù)信息匯集到展示平臺,以集中采集、存儲、查詢和審計處理。同時,本文梳理完善了ICS及網(wǎng)絡安全管理組織體系,制定了ICS應急處置預案、U盤等外設使用管理制度。

3.6 網(wǎng)絡安全等級保護測評

根據(jù)國家網(wǎng)絡安全等級保護制度、有關管理規(guī)范和技術標準,本文進行了網(wǎng)絡安全等級保護測評。經(jīng)過測評可知,初步建成的ICS網(wǎng)絡安全防護體系綜合得分為70.5,評級為中,未發(fā)現(xiàn)高風險問題。對于測評中暴露出來的問題,將會在下一階段的建設工作中加以完善。基于ICS的特點,其內(nèi)網(wǎng)的網(wǎng)絡防護既要考慮安全性,又要考慮對系統(tǒng)業(yè)務的影響,還要經(jīng)過嚴格的長期測試及可行性驗證,特別對一些重要的工藝過程更要慎之又慎[10-11]。

4 ICS的選用

ICS網(wǎng)絡安全防護技術是有效阻止威脅對ICS可用性造成破壞的技術,但對于具體防護技術的選擇要依據(jù)企業(yè)所選用的ICS特點進行綜合考慮。因此,ICS的選用是ICS網(wǎng)絡安全防護體系建設中的一個非常重要的環(huán)節(jié)。

ICS是連接物理世界與互聯(lián)網(wǎng)世界的橋梁,是工業(yè)生產(chǎn)的神經(jīng)中樞和大腦。隨著技術的進步,安全隱患已從軟件向硬件發(fā)展。在極端情況下,黑客等可通過入侵ICS,控制、破壞重要的生產(chǎn)設施,使生產(chǎn)過程失序或產(chǎn)生事故。DCS、PLC控制系統(tǒng)控制站負責現(xiàn)場部件的控制。控制器是最后的安全防線,應具備以下特點:具有自主知識產(chǎn)權,包括芯片內(nèi)核、操作系統(tǒng)、通信總線等;采用通信健壯性、協(xié)議安全性、自主可控性、代碼可靠性等關鍵技術;通過網(wǎng)絡安全測試[12]。

在當前復雜的國際形勢及日益嚴峻的網(wǎng)絡安全環(huán)境下,人們越來越意識到ICS自主可控的重要性。就DCS而言,現(xiàn)有國產(chǎn)系統(tǒng)與國外主流系統(tǒng)處于同一技術層次,且國產(chǎn)系統(tǒng)更加符合國人的使用習慣與國情,在安全上更有保障。國產(chǎn)系統(tǒng)是一個較佳的選擇[13-14 ]。某公司目前有多套DCS、PLC控制系統(tǒng)將要升級換代,并已采用國產(chǎn)DCS替換了多套國外DCS,取得了良好的運用效果[15]。

5 結論

ICS網(wǎng)絡安全防護體系的初步建設,為公司信息網(wǎng)絡、ICS安全運行提供了基本保障,實現(xiàn)了對病毒、木馬等惡意程序的預防。該體系防范內(nèi)外部攻擊、軟件后門利用等多種威脅,加強公司在當前愈加惡劣的網(wǎng)絡環(huán)境下的安全防范和預警感知能力,有效避免因ICS網(wǎng)絡安全遭到破壞帶來的損失。隨著技術的發(fā)展、工業(yè)化與信息化的深度融合,針對ICS攻擊的技術門檻、攻擊成本在下降,而攻擊所帶來的后果與影響卻在不斷加劇。

ICS網(wǎng)絡安全防護體系建設并非是信息安全技術和產(chǎn)品的簡單疊加與應用。它涉及安全意識、技術和管理的方方面面,是一項需要長期不斷建設和完善的系統(tǒng)工程。