1 工業控制系統信息安全威脅
隨著工業信息化進程的快速推進,信息、網絡以及物聯網技術在智能電網、智能交通、工業生產系統等工業控制領域得到了廣泛的應用,極大地提高了企業的綜合效益。為實現系統間的協同和信息分享,工業控制系統也逐漸打破了以往的封閉性:采用標準、通用的通信協議及硬軟件系統,甚至有些工業控制系統以某些方式連接到互聯網等公共網絡中。
這使得工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統的信息安全威脅,而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要的行業中,其安全事故造成的社會影響和經濟損失會更為嚴重。出于政治、軍事、經濟、信仰等諸多目的,敵對的國家、勢力以及恐怖犯罪分子都可能把工業控制系統作為達成其目的的攻擊目標。
根據ICS-CERT(US-CERT下屬的專門負責工業控制系統的應急響應小組)的統計,自2011年以來,工業控制系統相關信息安全事件數量大幅度上升,如圖1所示。雖然針對工業控制系統的信息安全事件與互聯網上的攻擊事件相比,數量少得多,但由于工業控制系統對于國計民生的重要性,每一次事件都會帶來巨大的影響和危害。
圖1 ICS-CERT統計的工控信息安全事件(按財年)
2 現有工業控制領域信息安全工作進展
工業控制系統脆弱的安全狀況以及日益嚴重的攻擊威脅,已經引起了國家的高度重視, 甚至提升到“國家安全戰略”的高度,并在政策、標準、技術、方案等方面展開了積極應對。在明確重點領域工業控制系統信息安全管理要求的同時,國家主管部門在政策和科研層面上也在積極部署工業控制系統的信息安全保障工作。
自2013年以來,工業控制系統的信息安全問題在國內許多信息安全相關的技術大會上作為重要的研討議題頻繁出現,已成為工業控制系統相關的各行業以及信息安全領域的研究機構、廠商所關注的熱點方向之一。同時,國家在政策制定、技術標準研制、科研基金支持、促進行業內合作等方面也在逐步加大推動的力度。其中很多廠商在工業控制信息安全領域工作進展十分明顯。
2.1 工業控制系統制造商
隨著工業控制系統信息安全問題越來越受關注,各個工業控制系統制造商也將工業控制系統信息安全工作納入其工作范疇之中。在研發制造階段,很多制造商引入信息安全評估機制,對其生產的工業控制設備進行信息安全評估。目前以西門子、施耐德電氣、羅克韋爾自動化等為主的國際大型工業控制系統制造商都已經在積極進行工業控制系統信息安全研究。
以西門子為例,西門子中國研究院成立了信息安全部,專門針對工業控制系統進行信息安全研究工作,并提出了縱深防御的安全理念,將工廠安全、網絡信息安全、系統完整性統一考慮,形成解決方案[2],如圖2所示。
可以看到,西門子主要針對的是其自身的設備產品,給出了基于訪問控制、密碼保護在內的信息安全解決方案。
施耐德電氣、羅克韋爾自動化的情況與西門子比較類似,均提出了針對自身產品的工業控制系統信息安全解決方案。
從總體上看,先進的工業控制系統制造商都能夠提出自己的工業控制系統信息安全解決方案。但是這些制造商做這項工作也有其不足之處:各個廠商需要在IT安全領域與各種傳統IT安全廠商合作才可以實現其信息安全解決方案。而更為關鍵的OT(操作技術)安全領域,這些制造商僅能夠針對自身產品提供解決方案,無法提供跨廠商的OT安全解決方案。
2.2 工業控制信息安全供應商
目前也有很多重點在工業控制信息安全開展工作的廠商,這些廠商主要為工業控制系統用戶提供通用的工業控制信息安全產品或服務,如海天煒業、力控華康等廠商。這些工業控制信息安全供應商一般在工業控制領域都有技術積累,因此能夠快速推出工業控制信息安全設備。但由于這些廠商在信息安全領域的積累不足,所以推出的安全設備主要為訪問控制類產品,如工控防火墻、工控隔離網關等。
3 工業控制系統信息安全治理的治本之道
3.1 工業控制系統面臨更加苛刻的安全性要求
在工業控制系統中,無論是一次系統還是二次系統,以及間隔層還是過程層,業務的連續性、健康性是至關重要的。而工業控制系統由于其長期封閉、獨立的特性,造成了在信息安全方面建設的欠缺,不具備更多的容錯處理,比如異常指令的處理;不具備較大壓力的處理,比如快速數據傳輸、訪問等。在Gartner報告中 [4],總結了工業控制系統安全性相比IT環境的一些區別性特性:
圖2 西門子工業信息安全體系
·工業控制系統安全問題將直接對物理環境造成影響,有可能導致死亡、受傷、環境破壞和大規模關鍵業務中斷等;
·工業控制系統安全相比IT安全有更廣泛的威脅向量,包括安全限制和特有網絡協議的支持;
·工業控制系統安全涉及的系統廠商多,測試和開發環境多種多樣;
·一些工業控制系統安全環境面臨預算限制,這是與那些需要嚴格監管的IT的不同之處;
·在傳統的安全性和可用性作為主要安全特性的IT行業,工業控制系統行業還會關注對產品質量的協調影響,運營資產和下游后果的安全問題。
3.2 把成熟的 IT風險評估技術移植到工業控制系統環境中
在面對與IT系統不一樣的安全性要求的工業控制系統時,如何把成熟的IT風險評估技術移植到工業控制系統中成為必須要解決的問題。對這些挑戰進行小結的話,可以歸納為三個方面:一是如何覆蓋多樣的工業控制系統;二是如何在評估時保障業務的連續性和健康性;三是如何進行成熟的安全風險評估。以下將從這三個方面分別進行探討。
3.2.1 覆蓋多樣的工業控制系統
在安全風險評估時,不僅需要對在工業控制系統中使用的傳統IT設備/系統,比如操作系統、交換機、路由器、弱口令、FTP服務器、Web服務器等進行安全評估,還需要覆蓋工業控制系統中所特有的設備/系統,比如SCADA、DCS、PLC、現場總線等;同時,不僅要覆蓋對漏洞的評估,還需要對一些關鍵系統的配置進行安全性評估;在工控協議的支持上,需要對主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協議,其覆蓋范圍可參見圖3。
圖3 工控系統評估范圍
但是,根據IHS最近的研究報告“2013全球工業以太網和現場總線技術”[5]中的調查顯示,從2011年到2016年,雖然新增加網絡節點的總數量將會超過30%,但是現場總線和以太網產品的混合產品數量將會基本維持不變,從23%到26%僅僅增加3個百分點。由于技術更新的成本、難度,老式工業總線很難都替換成支持以太網的新式總線。因此,需要一種有效地手段,可以對基于老式總線工業控制系統進行漏洞掃描。綠盟科技的解決思路是,使用一種有效的基于總線轉換技術的漏洞掃描技術,也就是說通過對老式總線的接入方式的轉換,例如RS485轉換成以太網,使得采用標準工控總線協議的工業控制系統,例如Profibus-DP、Modbus等,可以通過以太網的方式進行漏洞掃描。這種技術可以有效地把基于以太網的成熟漏洞掃描技術引進到老式的工業控制系統中,實現更全面的安全風險評估。轉換思路如圖4所示。
圖4 工業控制系統總線轉換技術
3.2.2 在評估時保障業務的連續性和健康性
面對安全性要求更高的工業控制系統,需要在掃描時更加安全、可靠,而工業控制系統由于長期封閉建設的原因,設備/系統相比IT系統更加的脆弱。因此需要采用“零影響”的掃描技術以保障設備的零影響。在解決思路上,如果能把安全掃描融入到正常的業務中,也就是說掃描行為與正常的業務行為保持一致性,將很好地解決這個問題。同時,通過在IT系統中多年積累的安全掃描經驗,能夠更好地保障業務的連續性和健康性。
3.3 如何進行成熟的安全風險評估
結合漏洞的生命周期以及漏洞管理流程,可從以下三個方面進行成熟的安全風險評估:
3.3.1 可視化的工控風險展示
風險“可視化”是進行風險管控必不可少的特性。科學的風險發現、風險跟蹤技術可以很好地提高整體風險控制水平,可為企業帶來更高效率,有的甚至可以達到更好的效果。
綠盟科技根據多年的經驗積累,采用了更具實效性的儀表盤技術,從不同的角度展示設備風險及趨勢。
·包含資產整體的風險值、資產分析趨勢圖;
·包含主機風險等級分布、資產風險分布趨勢;
·能夠可視化的顯示當前資產的風險值及過去一段時間的變化趨勢。
3.3.2 基于工控資產的漏洞跟蹤
工控系統一般規模大,資產數量、漏洞數量、脆弱性問題也很多,匯總成大量的風險數據,會使安全管理人員疲于應付,又不能保證對重要資產的及時修補。
因此在漏洞跟蹤時需要盡量收集工控系統環境信息,建立起工控資產關系列表,系統基于資產信息進行脆弱性掃描和分析報告;需要從風險發生區域、類型、嚴重程度進行不同維度的分類分析報告,用戶可以全局掌握安全風險,關注重點區域、重點資產,對嚴重問題優先修補。對于需要定位工控資產安全脆弱性的安全維護人員,通過直接點擊儀表盤風險數據,可以逐級定位風險,直至定位到具體主機具體漏洞;同時需要提供強大的搜索功能,可以根據資產范圍、風險程度等條件搜索定位風險。
圖5 工控漏洞管理流程
3.3.3 完善的工控漏洞管理流程
安全管理不只是技術,更重要的是通過流程制度對安全脆弱性風險進行控制,很多公司制定了安全流程制度,但仍然有安全事故發生,人員對流程制度的執行起到關鍵作用,如何融入管理流程,并促進流程的執行是安全脆弱性管理產品需要解決的問題。
安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環節,結合安全流程中的預警、檢測、分析管理、審計環節,并通過事件告警督促安全管理人員進行風險修補。
4 結語
工業控制系統信息安全是近一兩年來備受各方關注的一個新興安全技術領域。工業控制系統制造商、傳統信息安全廠商和工控信息安全廠商都在這一領域投入力量展開研究,希望能夠給工業控制系統用戶提供一個有效的信息安全解決方案。
目前各類通用工業控制系統信息安全問題解決思路還是從外圍的訪問控制入手,本文給出一個從工業控制系統漏洞管理入手的解決思路,希望能夠從根本上更好地解決工業控制系統信息安全問題。綠盟科技也在依照這個思路開展研發工作,目前已經基本完成了工控漏洞掃描系統的研發工作,并且在一些工控環境進行驗證工作。希望在不久之后,更具針對性、更有效的工控漏洞掃描系統將會更好的在工業控制系統信息安全領域發揮作用。
作者簡介
張旭(1983-),男,北京人,現任北京神州綠盟科技有限公司風險與合規產品線推廣經理,具有多年安全運維、風險管理工作經驗。
向智(1978-),男,湖南邵陽人,現任北京神州綠盟科技有限公司風險與合規產品線產品經理,具有十年以上網絡安全行業的產品規劃、研究、開發和市場營銷管理工作經驗,在漏洞掃描、漏洞分析、協議分析、網絡攻擊檢測、威脅防護技術、網絡審計、防火墻領域有較多積累,對各種互聯網協議、工控系統協議、終端安全有深入了解。
參考文獻
[1]李鴻培,忽朝儉,王曉鵬.2014工業控制系統的安全研究與實踐[Z].綠盟科技,2014.
[2]工業信息安全貫穿自動化系統所有層級. http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.
[3]Tofino工業防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.
[4]Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.
[5]The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.
摘自《工業控制系統信息安全專刊(第一輯)》
