论文部分内容阅读
【摘 要】电厂工业控制系统是国家关键基础设施的重要组成部分,其安全性关系到国家战略安全。为了从本质上分析工业控制系统的安全需求,对比了工业控制系统和信息系统的区别。将电厂工业控制网络划分为不同的层级,不同的层级对应不同的安全域。根据纵深防御的基本原则,给出电厂工业控制网络的多层纵深防御体系结构,针对不同的层级进行相应保护。分析了电厂工业控制网络纵深防御体系结构中边界防御的关键技术,防火墙技术和入侵检测技术。从安全检测、态势监测、安全防护、纵深防御四个方面总结了一套电厂工业控制系统安全防护体系。
【关键词】发电厂;工业控制系统;安全防护体系;纵深防御
1引言
随着两化融合以及“互联网+”的深入推进。工业控制系统(Industrial Control System,ICS)逐渐引入工业以太网,使用通用的TCP/IP协议,使得工业控制系统趋向于“一网到底”。在IT(信息技术)系统中存在的攻击行为正逐步向工业控制系统蔓延,导致工业控制系统面临类似IT网络的诸多信息安全问题。2010年攻击工业控制系统的“震网病毒”为工业控制系统的信息安全提出了严峻的挑战。本文从工业控制系统信息安全的特点、面临的威胁出发,研究基于纵深防御的电厂工业控制系统安全防护体系结构。
2 工业控制系统信息安全特征
工业控制系统中的安全关注的是设备的安全,防止由于设备出现工作异常而引发人员和环境的安全问题。
2.1工业控制系统与IT系统的本质区别
工业控制系统与IT系统最本质的区别在于:工业控制系统属于信息物理融合系统(Cyber Physical System),IT系统通常属于信息系统。工业控制系统及其相关信息系统按照功能层次分为从上到下的五层架构:
第4层 厂区管理层。企业系统层包括组织机构管理工业生产所需业务相关活动的功能。
第3层 企业管理层。运行管理层负责管理生产所需最终产品的工作流,它包括运行/系统管理、具体生产调度管理、可靠性保障等。
第2层 监测层。监测控制层它包括监测和控制物理过程的功能,它包括操作员人机接口、监测控制功能、过程历史搜集等功能。
第1层 控制层。本地或基本控制层主要包括传感和操作物理过程的功能,也包括控制系统的Safety和保护功能。该层中的典型设备包括DCS、PLC、RTU等。
第0层 现场层。现场层是实际的物理过程,在这一层中包括各种不同类型的生产设施,典型设备包括直接连接到过程和过程设备的传感器和执行器等。现场层属于物理空间,与各行业工业控制直接相关;正是由于该层物理空间的过程对安全性、完整性、可用性方面的要求以及同第1、2、3层信息空间融合才产生工业控制系统特有的需求。
2.2 工业控制系统的两种安全属性
工业控制系统的安全属性有两种:功能安全(Functional Safety)和信息安全(Security)。
功能安全主要考虑由于随机硬件故障所导致的组件或系统失效对健康、安全或环境的影响;信息安全主要保护过程本身、组织机构专有信息、公众信心以及国家安全。
工控安全是控制领域和信息安全领域的融合,从威胁来看,需要考虑黑客、蓄意破坏者等人为因素的威胁,也需要考虑当前系统和设备中的软件、硬件等技术漏洞以及管理策略、流程等管理漏洞。
2.3 工业控制网络面临的威胁
工业控制网络存在的脆弱性主要来自以下几个方面:
1)网络体系结构:工业控制系统由原来的封闭系统逐步开放,而相应的安全措施没有及时部署,导致体系结构安全性降低。
2)数据流控制:数据流控制没有实施,直接访问网络设备没有限制。
3)网络设备配置:不合适的防火墙规则和路由器的访问控制列表(ACL)。
4)网络设备冗余:网络设备应能够持续提供安全服务,在紧急的情况下,当前工作的网络设备出现非预期情况下,备份设备未能及时进行切换和提供服务,导致网络安全性下降。
3工业控制网络的纵深防御体系结构
纵深防御策略的应用有其基本原则,需要结合具体行业工业控制网络的特征,设计出具有针对性的工业控制网络纵深防御体系结构,体系中的防火墙和入侵检测等关键安全设备才能发挥重要作用。
3.1纵深防御的基本概念和原则
纵深防御(Defense-in-Depth)这一术语源自军事防御战略。在信息安全领域,纵深防御指管理者将信息资产分层防御,阻止攻击者试图得到非授权的访问。根据不同的安全需求,将系统划分为不同的安全域(security zone)。纵深防御就是针对不同的安全域实施不同的安全策略。每个安全域都有一个边界,对域内资产的访问可能来自内部或者外部。针对攻击源来自系统内部或外部,纵深防御体系提供不同的保护。从安全的观点来说,系统的多个层级或区域,提供了实现纵深防御的基础。 纵深防御的关键是加强安全域的边界防御,需要在不同的级别上应用不同的保护措施。3.2工业控制网络的纵深防御体系结构
在工业控制系统中,纵深防御最初应用在核工业领域。首要措施是阻止安全事件的发生,当首要措施失效后采取的措施是控制安全事件的发展,而前面的措施都失效后所采取的措施是将影响降到最低。
如前所述,工业控制系统及其相关信息系统分成五个层级。可将工业控制网络划分不同的安全域。外部网络划分为外部域;企业系统层划分为企业域;运行管理層、监测控制层划分为数据域;本地控制层和现场层划分为控制域。根据以上安全域的划分,设计工业控制网络纵深防御体系结构,在安全域及域边界部署防火墙和入侵检测设备。在企业域,具有DMZ的企业级防火墙,防御外部网络的安全威胁;在数据域,具有DMZ的工业控制级防火墙,用于保护整个控制系统;在控制域,现场设备级防火墙则用于保护诸如PLC(Programmable Logic Controller)或RTU(Remote-Terminal Unit)等关键设备。 3.3工控网络纵深防御体系的关键技术
对于工业控制网络,最主要的网络安全技术是防火墙和入侵检测系统。
3.3.1防火墙技术
工业控制网络目前都已转向采用基于硬件的防火墙技术。工业防火墙对工业控制专用协议提供支持,如Profibus等。通常使用随机端口侦听或者远程过程调用等工作方式,主要通过规则更新的方式进行兼容。同时采用DPI(深度报文检测)技术来实现对封装在TCP/IP协议负载内的工业控制协议检测,发现、识别、分类、重新路由或阻止具有特殊数据或代码有效载荷的数据包。现场设备级防火墙的獨立设计可以阻止对控制系统的非授权访问,对控制系统再进行多级别的访问控制过滤。
3.3.2入侵检测技术
入侵检测技术主要包括基于规则和基于统计的入侵检测系统。
在基于规则的入侵检测系统中,可以将Snort应用于在工业控制领域,例如增加了Snort对拒绝服务、命令注入、响应注入和系统侦查等入侵行为的检测和预防能力。
基于统计的入侵检测系统可以使用统计方法将网络流量分类为正常或异常。
4电厂工业控制系统安全分析
4.1电厂工业控制系统安全的特点
与传统信息系统的安全相比,电厂工业控制系统的安全主要具有以下特点。
1)安全要求不同。工业控制系统的首要原则是保障业务连续性,生产过程中任何的中断都不能被允许。因此,在考虑电厂工控系统安全时要优先保证可用性。
2)通信规约安全性不同。传统信息系统采用统一的TCP/IP协议和HTTP等标准协议;工控系统有大量专用和私有协议,适用于多种应用需求,在设计之初并未充分考虑安全需求,存在严重的安全漏洞。
3)终端安全性差。电厂业务系统使用大量嵌入式终端设备,在使电厂更加网络化、智能化、多功能的同时,也带来了更多的安全风险。研究表明大部分智能终端设备存在大量安全隐患和安全漏洞,一旦遭受攻击,将导致电力设备故障,后果不堪设想。
4)安全危害程度严重。传统信息系统攻击主要影响虚拟资产,然而针对电厂工控系统的攻击可能直接破坏物理设备,导致重大安全事故。
4.2电厂工业控制系统的安全风险
分析工控系统历史安全事件,电厂工控系统存在的安全风险主要源于以下几方面。
1)工控通信协议缺乏安全设计。专用工控通信协议在设计阶段仅强调通信实时性与可用性,普遍欠缺安全机制,例如表1列出部分工控通信协议在设计阶段存在的安全漏洞,这些漏洞很有可能受到攻击者的利用;再如控制中心与站控系统之间主要采用IEC60870-5-101/104规约进行通信,但104规约欠缺加密与认证等安全机制,且一直采用固定的2404端口,存在被窃听、替换的安全风险。
2)长期“带病”作业。工控系统安全威胁的根本原因是普遍存在的后门和漏洞。据统计,2010年以前工控系统漏洞数量相对较少(每年新增至多5个),2010年以后快速增长,2011年公开的工控系统漏洞多达200个,此后几年均超过100多个,并且这些漏洞普遍存在于当前应用广泛的主流工控产品中。
3)安全审计功能欠缺。来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作是电厂工控系统面临的主要安全风险之一。部分工控系统不具备安全审计功能、安全审计功能不完善、性能原因安全审计功能不开启导致工控系统违规操作缺乏有效的监控、管理和审计,给电厂工控系统埋下极大的安全隐患。
4)安全管理机制亟待完善。缺失或不够完善的安全管理成为导致电厂工业控制系统安全风险的一个重要因素:
①终端、计算机接口等接入限定不够明确,不同版本、安全要求、通信要求的设备直接或间接互联,导致工控系统内部感染、快速传播病毒几率倍增;
②缺乏安全机制实施方面的管理机制,缺少针对工控系统不间断操作或者灾难恢复机制,导致工业现场容易留下安全隐患;
③电厂工控系统的运行维护严重依赖厂商人员,现场操作与维护人员安全意识浅薄,有意或无意的错误操作都有可能给电厂运行带来致命灾难。
5)高级可持续性威胁(Advanced Persistent Threat,APT)攻击等新型攻击手段层出不穷。APT主要利用最新的0-day漏洞,与工控系统的正常业务过程紧密贴合,采用多种攻击技术或组合攻击手段达到其目的,攻击过程缓慢,具有针对性、持续性、隐蔽性。为了达到有效的攻击,会持续寻找攻击的宿主目标。在工业现场普遍缺乏安全防护手段的情况下,利用0-day漏洞的这类新型攻击正成为电厂工控系统安全防护的新挑战。
5电厂工控系统纵深防御安全防护体系
在深入分析典型工控安全事件,本文从安全检测、安全态势监测、安全防护、纵深防御四个方面总结出一套针对电厂工业控制系统的安全体系框架
5.1安全检测
从漏洞检测、恶意代码检测、恶意行为检测、APT检测等方面建立安全的检测能力,及时发现电厂工控系统的异常情况。
1)漏洞检测。针对电厂工控系统中的现场测控设备、网络设备、计算机设备、安全设备、工控通信协议等,结合污点传播分析、符号执行、动态二进制分析、软件逆向工程、渗透测试等技术手段实现漏洞检测与挖掘。结合专业机构、安全厂商、CS-CERT、CVE等发布的漏洞信息,形成电厂工控系统漏洞库核心资源。及时完成补丁的制作与发布,严格管理补丁安装。
2)恶意代码检测。工控系统攻击者逐渐将攻击对象转移至底层系统,从而逃避检测,因此,生产控制大区内主站端和重要的厂站端、企业管理信息大区内分别部署一套恶意代码检测与防护系统,对关键工控设备、底层组件、临时接入设备、远控协议等实施多层次的恶意代码扫描检测,及时更新恶意代码特征码,采取防范恶意代码措施。 3)恶意行为检测。搜集电厂工控系统已知的恶意行为,形成电厂业务安全威胁样本库,并提取相关特征。综合恶意行为动态审计等技术手段,及时发现工控系统中组态软件、应用软件、现场测控终端、移动终端等恶意行为,并提供实时告警和拦截,生成审计报告。
4)APT检测。针对高级持续性威胁(Advanced Persistent Threat,APT)行为的检测,需要针对电厂工控系统中的站控系统、关键监测设备、现场终端、安全设备、工控协议等进行持续的数据采集与监测,结合行为模式、白名单分析等技术手段对异常行为进行多层次分析,识别APT行为并采取相应的防范措施。
5.2态势监测
构建电厂工控系统运行状态、网络流量、通信协议、外部交互等多层次综合监测,全面掌握电厂工控系统运行安全态势。
1)状态监测。实现资产的分组管理,对电厂工控系统的关键控制设备、现场设备的运行状态、软硬件配置变更、设备资源占用情况、各关键控制模块的状态等进行监测。
2)网络流量监测。对电厂工控系统内网网络流量进行实时监测,通过采集、识别、存储和诊断,通过异常的网络流量识别发现非法外联,异常的网络应用和通信行为,对异常网络流量进行实时报警,从而发现工控内网中存在的安全隐患。
3)工控协议监测。对常用的电厂工控协议通信过程及状态的监测,从协议类型、协议可信性、协议可用性、协议攻击、异常数据包、重放攻击等方面监测电厂工控协议的通信安全,监控并统计数据传输的成功与失败,根据不同的协议类型和用户进行流量统计,对工控协议的异常通信进行实时告警。
4)外部交互监测。生产控制大区应当逐步推广内网安全监测功能,收集边界处安全设备和网络设备的日志信息,利用网络流量分析技术监测电厂系统与外部系统的交互行为与数据,及时发现非法外联、外部入侵等安全事件并告警。
5.3安全防护
从DCS/PLC/RTU、网络、数据、应用等方面提高电厂工控系统的安全防护能力。
1)DCS/PLC/RTU防护。生产控制大区站控系统、现场终端、企业管理信息大区移动终端等操作系统应当通过安全配置、安全补丁等手段进行安全加固,采用专用软件强化操作系统访问控制能力以及配置安全的应用程序。
2)网络防护。由于电厂工控系统中采用的工控设备厂商众多,工控协议私有,需要基于动态二进制分析、反编译、逆向工程深度剖析工控协议,并部署专用工业防火墙,保护关键控制器件。在制定工业防火墙规则时,只允许专用工控协议通过。
3)数据防护。电厂工控系统中的数据安全主要包括数据本身安全和数据防护的安全,分别从加密算法和备份恢复两方面展开数据安全防护:一方面,生产控制大区内部通信,及其与企业管理信息大区间的通信应当综合对称、非对称加密、哈希技术保证数据传输过程中的机密性、完整性;另一方面,通过信息存储的方式保证数据的完整、安全,冗余配置关键主机设备、网络设备和关键部件。实现调度自动化系统实时数据、监控系统、实时调度业务三个层面的备用,形成分布式冗余备用调度体系,保障重要业务数据的可用性。
4)应用防护。为了提高电厂工控系统的安全性,应当采用数字证书、安全标签实现运行过程中的安全授权和强制执行控制及强制访问控制。基于公钥基础设施(Public Key Infrastructure,PKI)能够为电厂工控系统中的关键应用、关键设备提供高强度的身份认证,保障应用的机密性、完整性、可用性。
5.4纵深防御
根据工业控制系统分层参考模型,首先是安全域的设计,电厂划分为企业域包括企业系统层,数据域包括运行管理层、监测控制层,控制域包括本地控制层和现场层。其次是各安全域内及域邊界的安全机制设计,包含认证、入侵检测、数据包过滤、联动机制等。再次是安全审计机制的设计,包括日志和事件管理等,使用SIEM(Security Incident Event Management)技术来对日志和事件进行集中管理。最后是冗余设计,能够让工业控制网络在遇到安全事件时及时恢复,包括工控设备、网络设备、主机设备、安全设备等设备的冗余。整体设计之后,电厂工业控制网络中部署的多种安全措施,才能形成整体防护能力。
6结束语
工业控制系统的安全是电厂安全稳定运行的技术保障。本文通过分析工控系统安全事件,探讨电厂工控系统所面临的安全风险,结合国内外已有的研究现状,从安全检测、态势监测、安全防护、纵深防御四方面归纳总结了一套电厂工控系统安全防护体系。电厂工控系统安全研究是一个长期过程,与黑客攻击技术相对立,互相博弈。目前,电厂工控系统的安全研究正处于起步阶段,还有广阔的空间供科技人员探索。
参考文献:
[1] 高昆仑,王志皓,等.基于可信计算技术构建电力监测控制系统网络安全免疫系统[J].工程科学与技术,2017,49(2),29-35.
[2] 蒋宁,林浒,尹震宇,黄艳.工业控制网络的信息安全及纵深防御体系结构研究[J].小型微型计算机系统 2017,38(4):830-833
[3] 张勇.网络安全态势感知模型研究与系统实现.中国科学技术大学.博士学位论文 2010.
[4] 应欢,刘松华,等.电力工业控制系统安全技术综述[J].电力信息与通信技术,2018,16(3):56-63.
作者简介:
贾治(1977.12-)男 汉族 江苏南京人;计算机科学与技术专业 硕士 工程师;研究方向:工业网络与信息安全、信息化
(作者单位:国核自仪系统工程有限公司)
【关键词】发电厂;工业控制系统;安全防护体系;纵深防御
1引言
随着两化融合以及“互联网+”的深入推进。工业控制系统(Industrial Control System,ICS)逐渐引入工业以太网,使用通用的TCP/IP协议,使得工业控制系统趋向于“一网到底”。在IT(信息技术)系统中存在的攻击行为正逐步向工业控制系统蔓延,导致工业控制系统面临类似IT网络的诸多信息安全问题。2010年攻击工业控制系统的“震网病毒”为工业控制系统的信息安全提出了严峻的挑战。本文从工业控制系统信息安全的特点、面临的威胁出发,研究基于纵深防御的电厂工业控制系统安全防护体系结构。
2 工业控制系统信息安全特征
工业控制系统中的安全关注的是设备的安全,防止由于设备出现工作异常而引发人员和环境的安全问题。
2.1工业控制系统与IT系统的本质区别
工业控制系统与IT系统最本质的区别在于:工业控制系统属于信息物理融合系统(Cyber Physical System),IT系统通常属于信息系统。工业控制系统及其相关信息系统按照功能层次分为从上到下的五层架构:
第4层 厂区管理层。企业系统层包括组织机构管理工业生产所需业务相关活动的功能。
第3层 企业管理层。运行管理层负责管理生产所需最终产品的工作流,它包括运行/系统管理、具体生产调度管理、可靠性保障等。
第2层 监测层。监测控制层它包括监测和控制物理过程的功能,它包括操作员人机接口、监测控制功能、过程历史搜集等功能。
第1层 控制层。本地或基本控制层主要包括传感和操作物理过程的功能,也包括控制系统的Safety和保护功能。该层中的典型设备包括DCS、PLC、RTU等。
第0层 现场层。现场层是实际的物理过程,在这一层中包括各种不同类型的生产设施,典型设备包括直接连接到过程和过程设备的传感器和执行器等。现场层属于物理空间,与各行业工业控制直接相关;正是由于该层物理空间的过程对安全性、完整性、可用性方面的要求以及同第1、2、3层信息空间融合才产生工业控制系统特有的需求。
2.2 工业控制系统的两种安全属性
工业控制系统的安全属性有两种:功能安全(Functional Safety)和信息安全(Security)。
功能安全主要考虑由于随机硬件故障所导致的组件或系统失效对健康、安全或环境的影响;信息安全主要保护过程本身、组织机构专有信息、公众信心以及国家安全。
工控安全是控制领域和信息安全领域的融合,从威胁来看,需要考虑黑客、蓄意破坏者等人为因素的威胁,也需要考虑当前系统和设备中的软件、硬件等技术漏洞以及管理策略、流程等管理漏洞。
2.3 工业控制网络面临的威胁
工业控制网络存在的脆弱性主要来自以下几个方面:
1)网络体系结构:工业控制系统由原来的封闭系统逐步开放,而相应的安全措施没有及时部署,导致体系结构安全性降低。
2)数据流控制:数据流控制没有实施,直接访问网络设备没有限制。
3)网络设备配置:不合适的防火墙规则和路由器的访问控制列表(ACL)。
4)网络设备冗余:网络设备应能够持续提供安全服务,在紧急的情况下,当前工作的网络设备出现非预期情况下,备份设备未能及时进行切换和提供服务,导致网络安全性下降。
3工业控制网络的纵深防御体系结构
纵深防御策略的应用有其基本原则,需要结合具体行业工业控制网络的特征,设计出具有针对性的工业控制网络纵深防御体系结构,体系中的防火墙和入侵检测等关键安全设备才能发挥重要作用。
3.1纵深防御的基本概念和原则
纵深防御(Defense-in-Depth)这一术语源自军事防御战略。在信息安全领域,纵深防御指管理者将信息资产分层防御,阻止攻击者试图得到非授权的访问。根据不同的安全需求,将系统划分为不同的安全域(security zone)。纵深防御就是针对不同的安全域实施不同的安全策略。每个安全域都有一个边界,对域内资产的访问可能来自内部或者外部。针对攻击源来自系统内部或外部,纵深防御体系提供不同的保护。从安全的观点来说,系统的多个层级或区域,提供了实现纵深防御的基础。 纵深防御的关键是加强安全域的边界防御,需要在不同的级别上应用不同的保护措施。3.2工业控制网络的纵深防御体系结构
在工业控制系统中,纵深防御最初应用在核工业领域。首要措施是阻止安全事件的发生,当首要措施失效后采取的措施是控制安全事件的发展,而前面的措施都失效后所采取的措施是将影响降到最低。
如前所述,工业控制系统及其相关信息系统分成五个层级。可将工业控制网络划分不同的安全域。外部网络划分为外部域;企业系统层划分为企业域;运行管理層、监测控制层划分为数据域;本地控制层和现场层划分为控制域。根据以上安全域的划分,设计工业控制网络纵深防御体系结构,在安全域及域边界部署防火墙和入侵检测设备。在企业域,具有DMZ的企业级防火墙,防御外部网络的安全威胁;在数据域,具有DMZ的工业控制级防火墙,用于保护整个控制系统;在控制域,现场设备级防火墙则用于保护诸如PLC(Programmable Logic Controller)或RTU(Remote-Terminal Unit)等关键设备。 3.3工控网络纵深防御体系的关键技术
对于工业控制网络,最主要的网络安全技术是防火墙和入侵检测系统。
3.3.1防火墙技术
工业控制网络目前都已转向采用基于硬件的防火墙技术。工业防火墙对工业控制专用协议提供支持,如Profibus等。通常使用随机端口侦听或者远程过程调用等工作方式,主要通过规则更新的方式进行兼容。同时采用DPI(深度报文检测)技术来实现对封装在TCP/IP协议负载内的工业控制协议检测,发现、识别、分类、重新路由或阻止具有特殊数据或代码有效载荷的数据包。现场设备级防火墙的獨立设计可以阻止对控制系统的非授权访问,对控制系统再进行多级别的访问控制过滤。
3.3.2入侵检测技术
入侵检测技术主要包括基于规则和基于统计的入侵检测系统。
在基于规则的入侵检测系统中,可以将Snort应用于在工业控制领域,例如增加了Snort对拒绝服务、命令注入、响应注入和系统侦查等入侵行为的检测和预防能力。
基于统计的入侵检测系统可以使用统计方法将网络流量分类为正常或异常。
4电厂工业控制系统安全分析
4.1电厂工业控制系统安全的特点
与传统信息系统的安全相比,电厂工业控制系统的安全主要具有以下特点。
1)安全要求不同。工业控制系统的首要原则是保障业务连续性,生产过程中任何的中断都不能被允许。因此,在考虑电厂工控系统安全时要优先保证可用性。
2)通信规约安全性不同。传统信息系统采用统一的TCP/IP协议和HTTP等标准协议;工控系统有大量专用和私有协议,适用于多种应用需求,在设计之初并未充分考虑安全需求,存在严重的安全漏洞。
3)终端安全性差。电厂业务系统使用大量嵌入式终端设备,在使电厂更加网络化、智能化、多功能的同时,也带来了更多的安全风险。研究表明大部分智能终端设备存在大量安全隐患和安全漏洞,一旦遭受攻击,将导致电力设备故障,后果不堪设想。
4)安全危害程度严重。传统信息系统攻击主要影响虚拟资产,然而针对电厂工控系统的攻击可能直接破坏物理设备,导致重大安全事故。
4.2电厂工业控制系统的安全风险
分析工控系统历史安全事件,电厂工控系统存在的安全风险主要源于以下几方面。
1)工控通信协议缺乏安全设计。专用工控通信协议在设计阶段仅强调通信实时性与可用性,普遍欠缺安全机制,例如表1列出部分工控通信协议在设计阶段存在的安全漏洞,这些漏洞很有可能受到攻击者的利用;再如控制中心与站控系统之间主要采用IEC60870-5-101/104规约进行通信,但104规约欠缺加密与认证等安全机制,且一直采用固定的2404端口,存在被窃听、替换的安全风险。
2)长期“带病”作业。工控系统安全威胁的根本原因是普遍存在的后门和漏洞。据统计,2010年以前工控系统漏洞数量相对较少(每年新增至多5个),2010年以后快速增长,2011年公开的工控系统漏洞多达200个,此后几年均超过100多个,并且这些漏洞普遍存在于当前应用广泛的主流工控产品中。
3)安全审计功能欠缺。来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作是电厂工控系统面临的主要安全风险之一。部分工控系统不具备安全审计功能、安全审计功能不完善、性能原因安全审计功能不开启导致工控系统违规操作缺乏有效的监控、管理和审计,给电厂工控系统埋下极大的安全隐患。
4)安全管理机制亟待完善。缺失或不够完善的安全管理成为导致电厂工业控制系统安全风险的一个重要因素:
①终端、计算机接口等接入限定不够明确,不同版本、安全要求、通信要求的设备直接或间接互联,导致工控系统内部感染、快速传播病毒几率倍增;
②缺乏安全机制实施方面的管理机制,缺少针对工控系统不间断操作或者灾难恢复机制,导致工业现场容易留下安全隐患;
③电厂工控系统的运行维护严重依赖厂商人员,现场操作与维护人员安全意识浅薄,有意或无意的错误操作都有可能给电厂运行带来致命灾难。
5)高级可持续性威胁(Advanced Persistent Threat,APT)攻击等新型攻击手段层出不穷。APT主要利用最新的0-day漏洞,与工控系统的正常业务过程紧密贴合,采用多种攻击技术或组合攻击手段达到其目的,攻击过程缓慢,具有针对性、持续性、隐蔽性。为了达到有效的攻击,会持续寻找攻击的宿主目标。在工业现场普遍缺乏安全防护手段的情况下,利用0-day漏洞的这类新型攻击正成为电厂工控系统安全防护的新挑战。
5电厂工控系统纵深防御安全防护体系
在深入分析典型工控安全事件,本文从安全检测、安全态势监测、安全防护、纵深防御四个方面总结出一套针对电厂工业控制系统的安全体系框架
5.1安全检测
从漏洞检测、恶意代码检测、恶意行为检测、APT检测等方面建立安全的检测能力,及时发现电厂工控系统的异常情况。
1)漏洞检测。针对电厂工控系统中的现场测控设备、网络设备、计算机设备、安全设备、工控通信协议等,结合污点传播分析、符号执行、动态二进制分析、软件逆向工程、渗透测试等技术手段实现漏洞检测与挖掘。结合专业机构、安全厂商、CS-CERT、CVE等发布的漏洞信息,形成电厂工控系统漏洞库核心资源。及时完成补丁的制作与发布,严格管理补丁安装。
2)恶意代码检测。工控系统攻击者逐渐将攻击对象转移至底层系统,从而逃避检测,因此,生产控制大区内主站端和重要的厂站端、企业管理信息大区内分别部署一套恶意代码检测与防护系统,对关键工控设备、底层组件、临时接入设备、远控协议等实施多层次的恶意代码扫描检测,及时更新恶意代码特征码,采取防范恶意代码措施。 3)恶意行为检测。搜集电厂工控系统已知的恶意行为,形成电厂业务安全威胁样本库,并提取相关特征。综合恶意行为动态审计等技术手段,及时发现工控系统中组态软件、应用软件、现场测控终端、移动终端等恶意行为,并提供实时告警和拦截,生成审计报告。
4)APT检测。针对高级持续性威胁(Advanced Persistent Threat,APT)行为的检测,需要针对电厂工控系统中的站控系统、关键监测设备、现场终端、安全设备、工控协议等进行持续的数据采集与监测,结合行为模式、白名单分析等技术手段对异常行为进行多层次分析,识别APT行为并采取相应的防范措施。
5.2态势监测
构建电厂工控系统运行状态、网络流量、通信协议、外部交互等多层次综合监测,全面掌握电厂工控系统运行安全态势。
1)状态监测。实现资产的分组管理,对电厂工控系统的关键控制设备、现场设备的运行状态、软硬件配置变更、设备资源占用情况、各关键控制模块的状态等进行监测。
2)网络流量监测。对电厂工控系统内网网络流量进行实时监测,通过采集、识别、存储和诊断,通过异常的网络流量识别发现非法外联,异常的网络应用和通信行为,对异常网络流量进行实时报警,从而发现工控内网中存在的安全隐患。
3)工控协议监测。对常用的电厂工控协议通信过程及状态的监测,从协议类型、协议可信性、协议可用性、协议攻击、异常数据包、重放攻击等方面监测电厂工控协议的通信安全,监控并统计数据传输的成功与失败,根据不同的协议类型和用户进行流量统计,对工控协议的异常通信进行实时告警。
4)外部交互监测。生产控制大区应当逐步推广内网安全监测功能,收集边界处安全设备和网络设备的日志信息,利用网络流量分析技术监测电厂系统与外部系统的交互行为与数据,及时发现非法外联、外部入侵等安全事件并告警。
5.3安全防护
从DCS/PLC/RTU、网络、数据、应用等方面提高电厂工控系统的安全防护能力。
1)DCS/PLC/RTU防护。生产控制大区站控系统、现场终端、企业管理信息大区移动终端等操作系统应当通过安全配置、安全补丁等手段进行安全加固,采用专用软件强化操作系统访问控制能力以及配置安全的应用程序。
2)网络防护。由于电厂工控系统中采用的工控设备厂商众多,工控协议私有,需要基于动态二进制分析、反编译、逆向工程深度剖析工控协议,并部署专用工业防火墙,保护关键控制器件。在制定工业防火墙规则时,只允许专用工控协议通过。
3)数据防护。电厂工控系统中的数据安全主要包括数据本身安全和数据防护的安全,分别从加密算法和备份恢复两方面展开数据安全防护:一方面,生产控制大区内部通信,及其与企业管理信息大区间的通信应当综合对称、非对称加密、哈希技术保证数据传输过程中的机密性、完整性;另一方面,通过信息存储的方式保证数据的完整、安全,冗余配置关键主机设备、网络设备和关键部件。实现调度自动化系统实时数据、监控系统、实时调度业务三个层面的备用,形成分布式冗余备用调度体系,保障重要业务数据的可用性。
4)应用防护。为了提高电厂工控系统的安全性,应当采用数字证书、安全标签实现运行过程中的安全授权和强制执行控制及强制访问控制。基于公钥基础设施(Public Key Infrastructure,PKI)能够为电厂工控系统中的关键应用、关键设备提供高强度的身份认证,保障应用的机密性、完整性、可用性。
5.4纵深防御
根据工业控制系统分层参考模型,首先是安全域的设计,电厂划分为企业域包括企业系统层,数据域包括运行管理层、监测控制层,控制域包括本地控制层和现场层。其次是各安全域内及域邊界的安全机制设计,包含认证、入侵检测、数据包过滤、联动机制等。再次是安全审计机制的设计,包括日志和事件管理等,使用SIEM(Security Incident Event Management)技术来对日志和事件进行集中管理。最后是冗余设计,能够让工业控制网络在遇到安全事件时及时恢复,包括工控设备、网络设备、主机设备、安全设备等设备的冗余。整体设计之后,电厂工业控制网络中部署的多种安全措施,才能形成整体防护能力。
6结束语
工业控制系统的安全是电厂安全稳定运行的技术保障。本文通过分析工控系统安全事件,探讨电厂工控系统所面临的安全风险,结合国内外已有的研究现状,从安全检测、态势监测、安全防护、纵深防御四方面归纳总结了一套电厂工控系统安全防护体系。电厂工控系统安全研究是一个长期过程,与黑客攻击技术相对立,互相博弈。目前,电厂工控系统的安全研究正处于起步阶段,还有广阔的空间供科技人员探索。
参考文献:
[1] 高昆仑,王志皓,等.基于可信计算技术构建电力监测控制系统网络安全免疫系统[J].工程科学与技术,2017,49(2),29-35.
[2] 蒋宁,林浒,尹震宇,黄艳.工业控制网络的信息安全及纵深防御体系结构研究[J].小型微型计算机系统 2017,38(4):830-833
[3] 张勇.网络安全态势感知模型研究与系统实现.中国科学技术大学.博士学位论文 2010.
[4] 应欢,刘松华,等.电力工业控制系统安全技术综述[J].电力信息与通信技术,2018,16(3):56-63.
作者简介:
贾治(1977.12-)男 汉族 江苏南京人;计算机科学与技术专业 硕士 工程师;研究方向:工业网络与信息安全、信息化
(作者单位:国核自仪系统工程有限公司)