2010年“震網”病毒事件破壞了伊朗核設施,震驚全球。這標志著網絡攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關鍵系統的“硬摧毀”階段。應對高級持續性威脅(AdvancedPersistent Threat, APT)攻擊已成為確保國家關鍵基礎設施安全、保障國家安全的核心問題。根據APT攻擊的威脅形式,工業控制系統面臨的安全問題主要包括以下幾個方面:
(1)控制器和操作站之間無隔離防護。PLC、RTU等現場設備非常脆弱,易受攻擊而導致崩潰。
(2)DCS系統和上層數采網絡之間無隔離防護。WINDOWS平臺的控制系統工作站感染病毒和傳播危害極大,目前缺乏用于工業協議的防火墻。
(3)APC和其它網絡無安全防護。APC經常和外界接觸,易受感染。
(4)OPC server無操作權限記錄。不同的用戶對OPC數據項的添加、瀏覽、讀/寫等操作設定不同的權限,目前做不到深入檢查。
(5)網絡事件無法追蹤記錄。對網絡故障進行快速診斷,記錄、存儲、分析為減少事故帶來的損失和加強日后的事件管理帶來很大的方便。
為什么APT攻擊能夠成功威脅到工業控制系統?
首先,工業控制系統的安全策略與管理流程不完善。主要表現為:缺乏工業控制系統的安全培訓與意識培養、缺乏安全架構與設計、缺乏安全審計、缺乏業務連續性與災難恢復計劃等安全策略文檔與管理支持。
其次,工業控制系統的系統平臺存在安全隱患。主要表現為:(1)操作系統存在漏洞;(2)硬件平臺存在隱患;(3)防病毒體系不健全。
最后,工業控制網絡存在脆弱性。主要體現在:
(1)網絡配置的脆弱性表現為有缺陷的網絡安全架構、口令傳輸未加密等;
(2)網絡硬件的脆弱性表現為未保護的物理端口、關鍵網絡缺乏冗余備份等;
(3)網絡邊界的脆弱性表現為未定義安全邊界、控制網絡傳輸而非控制網絡流量等;
(4) 網絡通信的脆弱性表現為未標志出關鍵監控與控制路徑,通信缺乏完整性檢查等。
根據上述分析,排除安全策略、防護缺陷等外在因素,工業控制系統自身的漏洞是帶來嚴重安全隱患的根本原因,而工控設備作為工業控制系統的關鍵基礎設施,它的漏洞問題不容忽視。
下面,以液位控制系統為例說明工業病毒如何利用工業漏洞進行攻擊。液位控制系統演示平臺模擬了煉油、化工生產工藝中液體凈化中液位控制過程。此演示平臺針對上位機軟件的漏洞,模擬“Stuxnet”病毒攻擊的效果,使底層凈化罐設備液位失控,而上位機監控畫面仍然顯示正常。其中上位機軟件的漏洞信息如表1所示。
漏洞簡介:KingView中存在基于堆的緩沖區溢出漏洞,該漏洞源于對用戶提供的輸入未經正確驗證。攻擊者可利用該漏洞在運行應用程序的用戶上下文中執行任意代碼,攻擊失敗可能導致拒絕服務。KingView
6.53.2010.18018版本中存在該漏洞,其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長請求執行任意代碼。
表1 SCADA系統漏洞信息
當系統正常運行未受到攻擊時,運行狀態如圖1所示。
圖1 系統正常運行的狀態
當上位機插入帶有病毒的U盤后,上位機系統感染工業病毒,液位控制系統無法正常運行,病毒感染后的系統運行狀態如圖2所示。
圖2 病毒感染后的系統狀態
從以上的例子可以得出結論:由于KingView中存在基于堆的緩沖區溢出漏洞,病毒利用該漏洞執行惡意操作,使得上位機HMI顯示與實際不符,即當液位控制系統出現液位已經超過警戒線時,不能及時排出罐中液體,并且該漏洞的存在可使中控室中的HMI仍然顯示正常,因此在工作人員無法察覺的情況下,造成一定經濟損失,嚴重時,可導致重大事故。
如圖3所示,當將中科工業防火墻置于PLC與上位機HMI之間,并再次插入帶有病毒的U盤時,可以觀察到,上位機界面顯示正常,并且執行系統并未發生任何故障。
圖3 中科工業防火墻的防護效果
中科工業防火墻SIA-IF1000-02TX基于工業級設計,面向工控協議的應用數據深度解析與檢測,具有良好的防護效果。其結構如圖4所示,技術參數如表2所示,產品特點如下:
表2 SIA-IF1000-02TX技術參數
·基于“區域”與“管道”的安全防護模型;
·工業級設計低功耗無風扇,工業級防腐設計,導軌式安裝;
·面向工控協議的應用數據深度防御;
·兼容所有PLC、HMI、RTU等工業控制設備;
·基于規則策略的訪問控制和Syslog的實時報警技術;
·通過管控軟件應用安全的通信方式進行組態;
·電源采用12VDC電壓冗余供電,提高硬件可靠性;
·多模式運行包括直通、管控和自學習模式。
圖4 中科工業防火墻的結構
圖5 天然氣長輸管道 SCADA系統中工業防火墻的部署
中科工業防火墻的典型部署結構如圖5所示。中科工業防火墻分別位于管理層與控制層之間和控制層內部,分別用于OPC解析與防護和Modbus解析與防護。位于管理層與控制層之間的中科工業防火墻可以起到分區隔離,避免病毒擴散的目的。位于控制層內部的中科工業防火墻可以起到保護控制器,阻止對控制器的任何非法訪問及控制的目的。
作者簡介
尚文利(1974-),黑龍江北安人,副研究員,博士,碩士研究生導師,現為中國科學院沈陽自動化研究所副研究員,主要研究方向為計算智能與機器學習、智能檢測與故障診斷、工業控制系統信息安全。
摘自《工業控制系統信息安全專刊(第一輯)》
