隨著國際國內工業互聯網、工業4.0、中國制造2025戰略的提出,信息技術(IT, Information Technology)和操作技術(OT, OperaTIonal Technology)一體化已成為必然趨勢。在這種趨勢下,工業自動化控制系統正逐漸從封閉、孤立的系統轉化為開放互聯的系統,工業自動化生產開始在所有網絡層次上橫向與垂直集成。
然而隨著工控系統的開放性與日俱增,系統安全漏洞和缺陷更容易被病毒所利用,工業控制系統又涉及電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業,一旦遭受攻擊會帶來巨大的損失。事實上,對于電力、水利、能源、制造業等領域的工業控制系統的入侵事件,在此之前就已經層出不窮。
例如,2008年的波蘭Lodz的城鐵系統被惡意攻擊,導致4節車廂脫離正常軌道;2010年,“震網”病毒攻擊伊朗核設施;2016年,烏克蘭電網遭遇黑客攻擊,造成大范圍停電等等。
工業控制系統安全國家地方聯合工程實驗室與360威脅情報中心制圖
根據美國工業控制系統網絡緊急響應小組(ICS-CERT)最新統計報告,2016年美國關鍵基礎設施存在492個安全漏洞,相關漏洞涉及供水、能源和石油行業等關鍵基礎設施。
自2000年1月截止到2017年12月,根據我國國家信息安全漏洞共享平臺(CNVD)統計,所有的信息安全漏洞總數為101734個,其中工業控制系統漏洞總數為1437個。2017年CNVD統計的新增信息安全漏洞4798個,工控系統新增漏洞數351個,均比去年同期有顯著增長。
和IT信息系統不一樣,工業控制系統安全有自身的獨特性,例如惡意代碼不敢殺、不能殺。基于工控軟件與殺毒軟件的兼容性,在操作站(HMI)上通常不安裝殺毒軟件,即使是有防病毒產品,其基于病毒庫查殺的機制在工控領域使用也有局限性,主要是網絡的隔離性和保證系統的穩定性要求導致病毒庫對新病毒的處理總是滯后的,這樣,工控系統每年都會大規模地爆發病毒,特別是新病毒。
除了來自外部攻擊外,另一方面是來自工業系統自身安全建設的不足。例如很多工控設備缺乏安全設計,主要來自各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等方面,其在設計之初可能未考慮完整性、身份校驗等安全需求,存在輸入驗證,許可、授權與訪問控制不嚴格,不當身份驗證,配置維護不足,憑證管理不嚴,加密算法過時等安全挑戰。例如:國產數控系統所采用的操作系統可能是基于某一版本Linux進行裁剪的,所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改,可能持續使用多年,有的甚至超過十年,而這些內核、文件系統、服務多年所爆出的漏洞并未得到更新,安全隱患長期保留。
總結起來看,工業網絡主要面臨以下安全問題:
1.工業網絡安全威脅級別越來越高,漏洞類型多種多樣
通過2017年ICS-CERT和CNVD安全漏洞平臺統計新增漏洞數據發現,工業控制系統信息安全事件大幅提高,高危漏洞比重增多,攻擊破壞力不斷增強,對關鍵基礎設施的安全防護存在重大威脅。
2.網絡結構快速變化,目前工控技術存在隱患
1) 工業控制系統規模急速膨脹,工控系統極少升級,易受病毒攻擊感染;
2) 系統普遍缺乏監測手段,無法感染未知設備;在執行服務器操作時,缺乏系統審計;
3) 在執行關鍵操作時,缺乏日志記錄;工控設備存在諸多漏洞,RTU/PLC安全隱患突出;
4) 在工控系統中,開放對外接口會帶來安全隱患;網絡結構快速變化,原有IP數據網信息安全技術遠遠不能滿足工業控制系統的安全要求。
3.網絡邊界不夠清晰,局部安全問題易擴散到整個系統
在工業控制系統中,對網絡內各個組成部分的安全需求缺乏統一規劃,沒有對核心業務系統的訪問進行很好的控制;各接入系統之間沒有進行明確的訪問控制,網絡之間彼此可以互相訪問,邊界入手易,系統內入手難。
4.工控安全標準有待完善,安全企業重視不足
毫無疑問,工業控制系統安全是國家關鍵信息基礎設施安全的重要組成部分。為促進工控網絡安全健康發展,工業控制系統安全國家地方聯合工程實驗室(由國家發展與改革委員會批準授牌成立,由360企業安全集團承建的對外開放的工業控制安全技術方面的公共研究平臺)提出如下建議:
1.建立網絡安全滑動標尺動態安全模型
該標尺模型共包含五大類別,分別為架構安全(Architecture)、被動防御(Passive Defense)、積極防御(AcTIon Defense)、威脅情報(Intelligence)和進攻反制(Offense)。這五大類別之間具有連續性關系,并有效展示了防御逐步提升的理念。
架構安全:在系統規劃、建立和維護的過程中充分考慮安全防護;
被動防御:在無人員介入的情況下,附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統,如:工業安全網關/防火墻、工業主機防護、工業審計等;
積極防御:分析人員對處于所防御網絡內的威脅進行監控、響應、學習(經驗)和應用知識(理解)的過程;
威脅情報:收集數據、將數據利用轉換為信息,并將信息生產加工為評估結果以填補已知知識缺口的過程;
進攻反制:在友好網絡之外對攻擊者采取的直接行動(按照國內網絡安全法要求,對于企業來說主要是通過法律手段對攻擊者進行反擊)。通過以上幾個層面的疊加演進,最終才能夠實現進攻反制,維護工業互聯網的整體安全。
2.從安全運營的角度,建立企業的工業安全運營中心
在IT和OT一體化推進發展中,IT技術在OT領域大量使用,IT所面對的風險也跟隨進入了OT網絡,因此工業企業對這兩個應用角度都要識別風險的切入點,列舉相關的風險,并且要進行一體化的規劃。
工業安全運營中心(IISOC)基于威脅情報和本地大數據技術對工控系統通信數據和安全日志進行快速、自動化的關聯分析,及時發現工控系統異常和針對工控系統的威脅,通過可視化的技術將這些威脅和異常的總體安全態勢展現給用戶,通過對告警和響應的自動化發布、跟蹤、管理,實現安全風險的閉環管理。威脅情報、威脅檢測、深度包解析、工業大數據關聯分析、可視化展現、閉環響應實現以工業安全運營為中心的一體化防護體系。安全運營目的是解決越來越多的安全產品部署在網絡中形成的“安全防御孤島”問題。
3.組建IT&OT融合的安全管理團隊
組建IT&OT融合的信息安全管理團隊,對整個工業控制系統進行安全運營。對安全管理團隊進行必要的指導,根據具體場景建立合適的安全策略管理和響應恢復機制,及時應對安全威脅。企業要想成功部署工業網絡安全項目,需重視同時掌握信息技術(IT)和操作技術(OT)的人才,有的放矢。訂購安全服務和威脅情報,定期對安全管理團隊進行培訓,建立IT、OT的安全統一規劃,使得安全管理團隊成員盡量利用統一標準進行安全事件的處理。
4.在技術層面提高防護能力
終端層面:針對CNC等老舊設備,部署輕量級白名單(系統進程)的防護措施;針對性能好的生產設備,部署統一的終端殺毒軟件,如360天擎;移動介質,例如U盤,進行統一管控(主機防護)。
網絡層面:橫向分區、縱向分層,將辦公網、工控網、生產網有效劃分;網絡邊界處部署安全網關,最小權限原則:只開放必要端口,進行精細化訪問管控。
監控層面:摸清資產家底,集中統一管理,并精心維護;部署工業安全運營中心,對公司網絡安全狀況進行持續監測與可視化展現。
可恢復性(備份層面):針對CNC等老舊設備,定期請工控廠商進行系統備份;針對性能好的辦公和生產電腦,定期自行進行系統和數據備份。