摘要:工业控制系统是承载国家经济发展、维护社会稳定的重要基础设施,本文以石化、冶金、电力、轨交等重点行业为出发点,从安全软件选择与管理、配置和补丁管理、边界安全防护等方面,分析工控安全现状以及存在的信息安全隐患。
1.引言
随着信息技术的迅猛发展,工业控制系统在控制规模、控制技术和信息共享方面都有巨大的变化,由最初简单控制的封闭系统发展成现在复杂或者先进控制的开放系统,针对工业控制系统的网络攻击事件日益增多,石油化工、冶金、电力、轨道交通、烟草等国家重点行业面临前所未有的网络安全威胁。本文将结合典型行业特点,从网络、控制、应用和数据等方面,对工业控制系统信息安全现状及存在的信息安全隐患进行分析。
2.石化行业特点
2.1行业背景
石化行业信息化建设具有较好的基础,企业在管理层的指挥、协调和监控能力,上传下达的实时性、完整性和一致性都有很大提升,相应的网络安全防护情况也有了明显改善。随着石化企业管控一体化的推进,越来越多的工控系统通过信息网连接到互联网上,潜在的安全威胁与之俱增。2017年,中石化发布《关于加强工业控制系统安全防护的指导意见》,从安全配置、边界安全防护、安全监测、风险预警等方面对工控系统提出安全防护要求。
石化行业涉及互联网及集团网、管理网、生产网三层网络架构,包含采油、炼油、输油等生产环节。生产区域一般按照不同的生产工艺,以装置为单位进行生产区域划分,各生产区域内的工业控制系统一般包括:分布式控制系统(DCS)、可编程逻辑控制器(PLC)、安全仪表系统(SIS)、火灾及可燃气体报警系统(FGS)、SCADA系统等。石化行业工业控制系统注重安全、稳定、长期、满负荷、优质的运行,且相互关联、相互依存。
2.2存在的安全隐患
(1)装置品牌众多,安全运维困难。炼化采用DCS,仓储采用PLC,管输采用SCADA系统,各生产区域工控系统的品牌不一,难以统一管理,且控制设备种类繁多、国产化率较低、系统运行维护困难,无法做到安全自主可控。
(2)各层网络间无隔离防护。企业的控制网络系统复杂多样,缺乏必要的安全边界及区域功能划分,过程控制层与数据采集层,先进控制(APC)系统与过程控制网,控制器与操作员站(工程师站),缺少访问控制措施。一旦系统某节点出现病毒、木马等问题,会迅速蔓延至整个网络。
(3)工程师站缺少身份认证机制。工程师站一般情况下只有管理员账户,对操作员站、DCS控制器的组态行为通常缺乏身份认证,由于拥有最高操作权限,可以任意修改控制逻辑和流程,存在对现场设备直接组态的重大隐患。
(4)APC系统本身未加装任何安全防护。在项目工程师安装、调试和修改期间,APC系统需要频繁与外部进行数据交换,感染病毒的风险较高。一旦APC系统出现感染木马、病毒等问题,实时运行的控制系统安全将无法保障。
3.冶金行业特点
3.1行业背景
冶金行业信息化程度逐渐提高,但主流控制系统大部分装置是国外品牌,安全自主可控难以实现。随着两化融合的推进,绝大多数工控系统与企业管理信息系统处于同一网络平面,加上内网系统的远程运维需求及对U盘等外设的接入需求,致使工控网络边界安全和内网工业主机安全不受控。2016年,中国钢铁工业协会下发《关于做好防范PLC-Blaster蠕虫病毒工作的通知》,强调广泛应用于钢铁行业的西门子S7系列PLC设备是该病毒的主要攻击目标,潜在威胁极大,需结合自身实际情况组织针对性防范。
3.2存在的安全隐患
(1)生产控制网络及系统未分层、分区。分厂控制网络通常采用同一网段,现场PLC、DCS等重要控制设备缺少安全防护,同时各分厂控制网与骨干环网、生产监控网与办公网之间缺乏隔离防护措施,无法将恶意代码、非法操作等行为控制在安全区域内。
(2)通信协议多样,难以保障数据采集安全。由于控制流程复杂、设备种类繁多,采用的通信协议复杂多样,数据和接口类型千差万别,数据集中管理与维护难度较大,无法保证各采集平台的数据完整性。
(3)缺少安全监测和审计措施。操作和管理人员的技术水平不一、安全意识不足,容易出现越权访问、违规操作等情况,由于系统缺乏对用户操作行为的审计和监控,无法及时发现非法访问、操作异常、恶意攻击等行为,给生产系统埋下极大的安全隐患。
(4)无法对网络安全事件进行报警或追踪。大多数控制系统缺少日志分析与事件报警功能,安全事件发生时,系统不能对网络故障进行预警或报警,且无法追踪和定位事件的源头,针对性安全防护工作也就无从下手。
4.电力行业特点
4.1行业背景
电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。
4.2存在的安全隐患
(1)未建立工业控制主机和设备的安全配置策略。多数工业主机上未安装防病毒或白名单软件,且系统中存在大量USB存储设备使用记录,未通过主机外设安全管理技术手段实施访问控制,工业控制系统关键设备均未采用多因素认证方式。安全设备配置不合理,防火墙规则和路由器配置不当容易引发通信安全风险,访问控制规则配置不正确的防火墙可能许可不必要的网络数据传输,如在企业网和控制网之间进行数据交换,可能导致恶意攻击或恶意代码在系统网络的传播,重要工业数据容易被窃听。
(2)电力系统对时序要求严格,容易出现传输延迟等问题。SCADA和自动化控制系统对受控对象的直接操作具有高度时效性,不允许发生重大延迟和系统震荡,以变电站运作为例,触发电路开关延迟可能导致功率波动甚至停电。如果恶意攻击者频繁发起常见请求,即使防火墙能够阻止未授权的请求,但在数据处理能力不足、带宽受限的情况下,也会引起网络延迟,难以满足传输的实时性要求。
(3)系统各种业务的应用程序缺少验证机制。多数电力工业控制设备缺乏身份验证机制,即便有,大部分也为设备供应商默认的用户名和密码,极易被猜到或破解,一般不会定期更换密码,同时应用系统的资源(如文件、数据库表等)存在被越权使用的风险。对关键设备和组件缺少冗余配置,导致应用程序对故障的检测、处理和恢复能力不足,缺少对程序界面输入内容或是注入攻击的验证,如SQL注入攻击等,系统数据库存在泄漏的风险。
(4)管理信息大区积累大量电力敏感数据,存在泄漏或被篡改的风险。不仅仅是居民的用电数据,个人信息也存储在电力数据库中,电力调度、检修、运维等数据极易被批量查询,从而导出个人敏感信息,缺乏对敏感字符的过滤机制将带来安全风险。同时电力数据通常不进行定期备份,如果发生人为误操作导致数据更改或删除,或是数据库自身出现故障、服务器宕机,数据存储安全性难以保证。
5.轨交行业特点
5.1行业背景
随着计算机和网络技术的发展,特别是信号系统信息化的深度集成,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与PIS网络、语音广播等其他子系统互联,甚至与公共网络连接,导致病毒、木马等威胁向CBTC系统扩散。一旦CBTC系统出现信息安全问题,将对城市轨道交通的稳定运行和乘客的人身安全产生重大影响。某地轨道交通运营公司在《轨道交通信息安全技术架构》中提出信息安全建设的总体目标为:全面防护、保护重点、专区专用、强化边界,旨在提升信息安全的预警能力、保障能力、检测能力、应急能力和恢复能力。要求以GB/T 22239为基础,以“安全分区、网络专用、三网隔离、分级防护”为原则,在技术层面要求各系统统一技术架构和标准,按相应等级要求建设、实施。
5.2存在的安全隐患
(1)现场环境严苛,网络设备存在被动适应安全隐患。轨交现场的机电一体化设备通常部署在较为苛刻的环境中,传统的网络安全设备难以稳定运行,因此无法保证工业网络及控制系统的信息安全。苛刻的环境条件包括极端的温度、EMC、EMI等,其对传统网络安全设备造成的破坏可能比恶意程序或代码的攻击更为严重。
(2)无线通信安全性亟待加强。信号系统的无线信号是开放的,轨旁无线与列车通信链路采用同一频段,可能出现用户未经授权非法接入信号系统、数据在传输过程中被监听窃取等问题。无线网络的开放性增加了无线设备配置的安全风险,无线网加密机制存在安全隐患。
(3)轨交列控系统存在移动媒介、以太网接口以及设备接入隐患。工业主机大量使用外设接口,安全管理技术手段欠缺,存在USB协议、U盘运行、U盘固件设计隐患;多数交换机、工控机等设备中存在未使用且开放的端口,各种系统及设备接入缺乏访问控制措施。
(4)数据库安全隐患。管理方式不当、操作系统故障及软件故障都会导致轨道交通子系统性能的下降,影响系统的可用性;获得系统控制权限的攻击者可能接触到数据库,缺省密码或弱密码易导致关键控制数据被篡改或者丧失,或列车失去控制,严重甚至导致人员伤亡。
6.行业共性问题
(1)未进行安全域划分,安全边界模糊。大多数行业的工控系统各子系统之间没有隔离防护,未根据区域重要性和业务需求对工控网络进行安全区域划分,系统边界不清晰,边界访问控制策略缺失,重要网段和其他网段之间缺少有效的隔离手段,一旦出现网络安全事件,安全威胁无法控制在特定区域内。
(2)操作系统存在漏洞,主机安全防护不足。工程师站和操作员站一般是基于Windows平台,包括NT4.0、2000、XP、Win7、Server2003等,考虑到杀毒软件和系统补丁可能对控制系统的稳定运行造成影响,即便安装杀毒软件也存在病毒库过期等问题,因此通常不安装或运行杀毒软件,系统补丁在特殊情况下才进行更新或升级。同时,移动存储介质和软件运行权限管理缺失,控制系统极易感染病毒。
(3)通信协议的安全性考虑不足,容易被攻击者利用。专用的工控通信协议或规约在设计之初一般只考虑通信的实时性和可用性,很少或根本没有考虑安全性问题,例如缺乏强度足够的认证、加密或授权措施等,特别是工控系统中的无线通信协议,更容易受到中间人的窃听和欺骗性攻击。为保证数据传输的实时性,Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控协议多采用明文传输,易于被劫持和修改。
(4)安全策略和管理制度不完善,人员安全意识不足。目前大多数行业尚未形成完整合理的信息安全保障制度和流程,对工控系统规划、设计、建设、运维、评估等阶段的信息安全需求考虑不充分,配套的事件处理流程、人员责任体制、供应链管理机制有所欠缺。同时,缺乏工控安全宣传和培训,对人员安全意识的培养不够重视,工控系统经常会接入各种终端设备,感染病毒、木马等的风险极大,给系统安全可靠运行埋下隐患。
7.结语
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,保障系统信息安全是维护工业控制系统稳定运行的重要前提,是开展工业建设的坚实基础。针对不同的工业控制系统信息安全需求及系统运行情况,选择恰当的安全防护措施,全方位地对工业控制系统的安全风险进行分析和评估,才能确保各行业网络的安全、可靠,避免信息安全隐患造成不可预估的损失。
作者简介
甘俊杰(1993-),男,硕士,毕业于北京邮电大学,现就职于中国电子技术标准化研究院,主要从事工业信息安全方面的研究。
夏 冀,男,工程师,现就职于中国电子技术标准化研究院信息安全研究中心,主要从事工业信息安全标准研制工作。
李 琳,男,博士,现任中国电子技术标准化研究院工程师,工业控制系统安全标准和测评工业和信息化部重点实验室技术总监。