工業控制系統網絡安全防護體系建設研究

蘇紅生,劉燕江,李高橋,李 明

(云南云天化紅磷化工有限公司,云南 開遠 661699)

0 引言

某公司目前在線運行的有分布式控制系統(distributed control system,DCS)、可編程邏輯控制器(programmable logic controller,PLC)系統及電力監控系統等40余套自動化系統。系統各裝置的實時生產數據通過過程控制用對象連接與嵌入(object linking and embedding for process control,OPC)服務器進入制造執行系統(manufacturing execution system,MES)。系統實時數據是公司生產調度的指令依據。工業控制系統(industrial control system,ICS)是DCS、PLC、監控與數據采集(supervisory control and data acquisition,SCADA)系統等多種工業系統的總稱[1]。ICS是企業生產的大腦與神經中樞,一旦出現安全問題,必定會給安全生產帶來影響。ICS安全主要包括功能安全與信息安全這2個方面[2]。在震網病毒事件發生之前,ICS安全主要是保障生產環節的功能安全,對系統信息安全防護的有效建設沒有引起足夠的重視。這使得傳統信息安全領域中常見的木馬、蠕蟲以及分布式拒絕服務(distributed denial of service,DDOS)等攻擊手段都能對ICS造成極大的破壞。極端情況下的惡意入侵、攻擊與破壞使生產過程失序,從而引發生產事故。近年來,越來越多的ICS安全事件讓政府、企業認識到其重要性和危害性,ICS安全已提升到國家安全戰略層面[3]。在當前復雜的國際形勢下,構建安全、自主可控的ICS網絡安全防護體系已刻不容緩。本文結合ICS遭遇網絡病毒攻擊事件,對ICS的特性和面臨的網絡安全威脅進行了分析,提出了構建多層級、多層次的縱深ICS網絡安全防護體系。初步建成的ICS網絡安全防護體系加強了公司在安全防范、預警感知、應急響應等方面的能力,有效避免了因ICS網絡安全帶來的損失,保障了業務的連續性。

1 ICS遭遇網絡病毒攻擊事件

近年來,全球各類網絡安全事件頻發。震網病毒、勒索病毒等重大網絡安全事件給ICS網絡安全敲響了警鐘。事實上,ICS已成為網絡攻擊的重災區[4]。

1.1 ICS遭遇網絡病毒攻擊

某年2月17日1∶31,某公司某裝置的OPC服務器接入MES的實時數據中斷,隨后多套裝置的數據相繼中斷。經信息管理員初步判斷,原因為信息數采機群或設備故障。信息管理員遠程登錄系統進行了處理,使得數據恢復。當日4∶36,多套裝置OPC服務器接入MES的實時數據又相繼中斷。信息管理員再次遠程登錄系統,但遠程登錄功能已失效。信息管理員趕到數采機房檢查時發現多臺數采機出現死機、藍屏、中央處理器資源占用100%等情況。

某公司在線運行的ICS服務器、操作站計算機均采用Windows操作系統。操作系統自帶的防火墻不對OPC協議的動態端口開放,是關閉的。DCS管理員檢查后發現多套裝置OPC服務器原本關閉的防火墻被打開,導致數采機無法獲取數據。而防火墻數次關閉后又被打開,最終只能禁用。DCS工程師站、操作員站出現藍屏、死機,啟動不了或重啟后短時運行又出現藍屏、死機等現象。電力監控系統操作站則是彈出自動重啟“倒計時1分鐘”窗口后陷入重復啟動中。通過網絡流量監測,信息管理員發現多套ICS的OPC服務器通過445端口向數采機發送異常數據包。經過分析,相關人員認為此次病毒與“永恒之藍”漏洞攻擊現象相似[5]。

1.2 遭遇病毒攻擊后采取的措施

信息管理員對數采機群重裝升級操作系統、打補丁、升級防毒殺毒軟件、關閉445端口。2月19日數采機群處理正常,管理信息網按節點方格逐一進行軟件升級及病毒查殺。由于沒有ICS安裝使用防查殺病毒軟件的經驗與措施,信息管理員只能使用賽門鐵克、卡巴斯基、360安全衛士幾款病毒查殺軟件對ICS在用計算機進行離線、在線檢測與測試,并分別檢測出Trojan.gen.2、Trojan Horse、w32.mandaph等病毒。安裝或使用上述幾款病毒查殺軟件后,裝有DeltaV、PCS7工業控制軟件的計算機出現無法啟動、運行速度慢、死機、藍屏等現象,只能采用網絡方格斷網、隔離、重裝系統進行處理。采用360安全衛士在安裝了ABB Freelance工業控制軟件的計算機上進行病毒查殺后,相關計算機沒有出現上述現象,在線運行測試也沒有發現異常。在本次病毒攻擊事件中,除A、Q裝置在運行的2套JX-300XP控制系統沒有發現明顯異常外,基本波及了在用的所有ICS,所幸沒有造成生產上的直接損失。

2 ICS的特性及安全風險

ICS是現代信息技術和控制技術的融合,屬于一類特殊的信息技術系統,有其自身的特性及面臨的安全風險。

2.1 ICS的特性

①ICS首先強調可用性,其次才是完整性與機密性。ICS是實時控制系統,對信息的可用性要求很高。ICS的設備,特別是現場級的控制器,大多是嵌入式設備。這些設備由于軟件、硬件資源有限,無法支撐復雜的信息安全功能。

②ICS是以生產過程控制為中心的系統,服務于工業生產過程,與物理過程緊密結合成為復雜的信息物理系統(cyber physical systems,CPS)[6]。ICS一旦受到攻擊,勢必給安全生產帶來影響,甚至造成嚴重的后果。ICS除了接受定期檢修,必須長期穩定、連續、可靠地運行,不能接受頻繁的升級更新操作。

③ICS廣泛采用工業以太網技術,基于互聯網協議、傳輸控制協議、用戶數據報協議通信。但其應用層協議是不同的。ICS對報文時延有嚴格的要求,而對吞吐量、并發連接數及連接速率往往要求不高[7]。

2.2 ICS面臨的安全風險

由于ICS要兼顧應用場景與控制管理等,以優先確保系統高可用性和業務連續性為主,致使一些成熟的信息技術系統信息安全產品無法直接應用于工業現場。這使得ICS因缺乏有效的安全防護措施而面臨安全風險[8]。某公司各套生產裝置的實時數據通過DCS/PLC的OPC服務器匯聚到第一層交換機,由對應各套DCS/PLC的數采機進行數據采集;數采機匯聚到第二層交換機,通過防火墻后由數采發布服務器供管理信息網訪問。

本文對照《信息安全技術網絡安全等級保護基本要求》[9]等規范,對某公司ICS網絡安全進行梳理。梳理結果如下。

①某公司網絡分為生產控制網和管理信息網這2個相對獨立的區域。不同的ICS相對獨立。其管理信息網與生產控制網邊界通過2臺OPC設備進行數據交換,無法滿足網絡隔離要求。

②ICS網絡邊界較為清晰,但生產控制層和現場控制層邊界未部署防護設備或安全措施。當某個系統遭受網絡攻擊時,可能迅速蔓延至其他系統。生產控制網絡中均缺乏有效的防入侵措施,在遭受外界病毒、木馬等攻擊侵擾時不能第一時間發現、記錄,并且不能對網絡攻擊或網絡安全事件進行及時預警與處理。

③ICS使用的計算機采用Windows操作系統,均未安裝任何主機防護軟件。為保證工業控制軟件的穩定性和可用性,生產網絡中的工作站和服務器均沒有部署殺毒軟件,存在被惡意代碼感染的風險。

④ICS日常運維過程中涉及的移動存儲介質的使用,缺乏有效的安全管控措施。工作U盤和私人U盤混用,容易引發病毒從“內部”進入ICS的風險。而外設風險是目前ICS網絡中公認普遍存在并具有威脅性的風險?！罢鹁W病毒”事件就是依靠U盤將外界網絡病毒攜帶進入ICS網絡的典型案例。

⑤“三分技術、七分管理”的網絡安全防護體系既包括適宜的技術防護措施,又包括完善的管理體系和制度。此次病毒攻擊事件暴露出組織在管理上存在的不足。

3 ICS網絡安全防護體系建設

ICS網絡整體架構按功能可劃分為4層,分別為現場設備控制層、現場控制層、生產控制層和企業管理層。

初步建成的ICS安全防護體系網絡拓撲如圖1所示。由于暫不涉及現場設備控制層的保護建設,所以圖1中未單獨標注該層。

3.1 ICS網絡安全監測運營平臺

運營平臺在ICS網絡關鍵節點部署工業安全審計,以采集網絡流量與日志信息,并將其轉發至全流量日志系統進行分析。分析結果為ICS安全運維管理人員提供安全事件管理和應急處置支持。同時,日志系統將分析結果轉發至集團公司工業安全集中監測分析平臺,在全局安全態勢中呈現,為集團公司側決策提供支撐。

①全流量日志分析系統。平臺部署一套全流量日志分析系統,以采集公司內各裝置DCS的OPC服務器節點的網絡流量和日志信息。該系統通過大數據分析,輸出結果指導ICS安全運行和管理,同時將相關結果轉發至集團公司態勢感知平臺。

②ICS網絡流量監測。平臺在OPC數采機群匯聚交換機旁路上部署工業安全審計,對網絡流量和日志數據進行雙重采集和監測。平臺基于工業協議深度解析,實時監測ICS網絡行為和狀態,檢測現場網絡中的違規操作、入侵行為及流量異常,并根據用戶定義的審計策略追蹤、溯源ICS網絡安全事件。

③主機探針軟件。平臺在OPC數采機上部署主機數據采集探針軟件,采集主機的關鍵信息,以提交全流量日志系統進行分析和管理。

3.2 安全通信網絡

在公司與互連網、集團公司接口處部署防火墻與上網行為管理系統,以深入洞察網絡流量中用戶、應用和內容,提供有效的應用層一體化安全防護。在企業管理層與生產控制層之間、生產控制層與現場控制層之間部署工業防火墻,通過合適的安全策略實現各ICS的OPC服務器與外部OPC系統的數據安全傳輸與隔離。

3.3 安全區域邊界

生產控制層和企業管理層邊界部署工業防火墻,以實現不同生產網絡層級間的隔離,重點保護現場控制層以下的關鍵控制器、主機和設備。工業防火墻具備工業協議深度解析功能,能夠對上、下位機之間的數據讀寫操作進行有效控制,從而保證控制功能安全。

在生產控制層和企業管理層之間的OPC數采機群匯聚交換機旁路上部署工業安全審計系統。通過全流量日志分析系統對來自工業安全審計系統的數據流量進行實時檢測分析,從而及時發現地址解析協議、DDOS以及隱藏于流量中的病毒、木馬、蠕蟲、溢出等攻擊并預警。

3.4 安全計算環境

在ICS網絡和相關服務器主機上部署工控主機衛士。主機衛士采用應用程序白名單技術,不在白名單列表內的應用程序、工具和進程都不能在主機或終端上運行。經過簽名可信任應用程序的正常升級、更新則不受影響。白名單技術可有效抵御零日漏洞和其他有針對性的攻擊,可對正在運行的應用程序、工具和進程提供全面可視性。ICS的應用程序相對來說數量少且固定,因此,白名單技術更適合于工業應用。

3.5 安全管理中心

在信息網部署全流量日志分析平臺,可以通過工業安全審計設備實時采集工業控制網絡中各種不同廠商的安全設備、網絡設備、主機、操作系統以及各種應用系統產生的日志、事件、報警等信息,并將數據信息匯集到展示平臺,以集中采集、存儲、查詢和審計處理。同時,本文梳理完善了ICS及網絡安全管理組織體系,制定了ICS應急處置預案、U盤等外設使用管理制度。

3.6 網絡安全等級保護測評

根據國家網絡安全等級保護制度、有關管理規范和技術標準,本文進行了網絡安全等級保護測評。經過測評可知,初步建成的ICS網絡安全防護體系綜合得分為70.5,評級為中,未發現高風險問題。對于測評中暴露出來的問題,將會在下一階段的建設工作中加以完善?；贗CS的特點,其內網的網絡防護既要考慮安全性,又要考慮對系統業務的影響,還要經過嚴格的長期測試及可行性驗證,特別對一些重要的工藝過程更要慎之又慎[10-11]。

4 ICS的選用

ICS網絡安全防護技術是有效阻止威脅對ICS可用性造成破壞的技術,但對于具體防護技術的選擇要依據企業所選用的ICS特點進行綜合考慮。因此,ICS的選用是ICS網絡安全防護體系建設中的一個非常重要的環節。

ICS是連接物理世界與互聯網世界的橋梁,是工業生產的神經中樞和大腦。隨著技術的進步,安全隱患已從軟件向硬件發展。在極端情況下,黑客等可通過入侵ICS,控制、破壞重要的生產設施,使生產過程失序或產生事故。DCS、PLC控制系統控制站負責現場部件的控制?？刂破魇亲詈蟮陌踩谰€,應具備以下特點:具有自主知識產權,包括芯片內核、操作系統、通信總線等;采用通信健壯性、協議安全性、自主可控性、代碼可靠性等關鍵技術;通過網絡安全測試[12]。

在當前復雜的國際形勢及日益嚴峻的網絡安全環境下,人們越來越意識到ICS自主可控的重要性。就DCS而言,現有國產系統與國外主流系統處于同一技術層次,且國產系統更加符合國人的使用習慣與國情,在安全上更有保障。國產系統是一個較佳的選擇[13-14 ]。某公司目前有多套DCS、PLC控制系統將要升級換代,并已采用國產DCS替換了多套國外DCS,取得了良好的運用效果[15]。

5 結論

ICS網絡安全防護體系的初步建設,為公司信息網絡、ICS安全運行提供了基本保障,實現了對病毒、木馬等惡意程序的預防。該體系防范內外部攻擊、軟件后門利用等多種威脅,加強公司在當前愈加惡劣的網絡環境下的安全防范和預警感知能力,有效避免因ICS網絡安全遭到破壞帶來的損失。隨著技術的發展、工業化與信息化的深度融合,針對ICS攻擊的技術門檻、攻擊成本在下降,而攻擊所帶來的后果與影響卻在不斷加劇。

ICS網絡安全防護體系建設并非是信息安全技術和產品的簡單疊加與應用。它涉及安全意識、技術和管理的方方面面,是一項需要長期不斷建設和完善的系統工程。