對(duì)諸如圖像,、語音信號(hào)等大數(shù)據(jù)量,、高速率傳輸?shù)囊?,又催生了?dāng)前在商業(yè)領(lǐng)域風(fēng)靡的以太網(wǎng)與控制網(wǎng)絡(luò)的結(jié)合,。這股工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化浪潮又將諸如嵌入式技術(shù),、多標(biāo)準(zhǔn)工業(yè)控制網(wǎng)絡(luò)互聯(lián),、無線技術(shù)等多種當(dāng)今流行技術(shù)融合進(jìn)來,,從而拓展了工業(yè)控制領(lǐng)域的發(fā)展空間,帶來新的發(fā)展機(jī)遇,。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計(jì),,截止到2011年10月,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件,。2001年后,,通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使針對(duì)工業(yè)控制系統(tǒng)(ICS)的病毒,、木馬等攻擊行為大幅度增長(zhǎng),,結(jié)果導(dǎo)致整體控制系統(tǒng)的故障,甚至惡性安全事故,,對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果,。比如伊朗核電站的震網(wǎng)病毒事件,,給全球工業(yè)界控制系統(tǒng)的信息安全問題敲響了警鐘。工控系統(tǒng)信息安全的需求變得更加迫切,。
我國(guó)工控領(lǐng)域的安全可靠性問題突出,,工控系統(tǒng)的復(fù)雜化,、IT化和通用化加劇了系統(tǒng)的安全隱患,潛在的更大威脅是我國(guó)工控產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力不強(qiáng),,嵌入式軟件,、總線協(xié)議、工控軟件等核心技術(shù)受制于國(guó)外,,缺乏自主的通信安全,、信息安全、安全可靠性測(cè)試等標(biāo)準(zhǔn),。工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,,要求加強(qiáng)與國(guó)計(jì)民生緊密相關(guān)的多個(gè)重點(diǎn)領(lǐng)域內(nèi)工業(yè)控制系統(tǒng)信息安全管理。事實(shí)告訴我們,,只有做到居安思危,、未雨綢繆,才能保證工業(yè)控制系統(tǒng)健康穩(wěn)定地運(yùn)行,。
1_副本.jpg
·2007年,,攻擊者入侵加拿大一個(gè)水利SCADA控制系統(tǒng),破壞了取水調(diào)度的控制計(jì)算機(jī)
·2008年,,攻擊者入侵波蘭某城市地鐵系統(tǒng),,通過電視遙控器改變軌道扳道器,致四節(jié)車廂脫軌
·2010年,,西門子首次監(jiān)測(cè)到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒,,也稱為震網(wǎng)病毒
·2010年,伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,,嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng)
·2011年,,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞
·2011年,,微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報(bào)數(shù)據(jù)
·2012年,,兩座美國(guó)電廠遭USB病毒攻擊,感染了每個(gè)工廠的工控系統(tǒng),,可被竊取數(shù)據(jù)
·2012年,,發(fā)現(xiàn)攻擊多個(gè)中東國(guó)家的惡意程序Flame火焰病毒,它能收集各行業(yè)的敏感信息,。
2_副本.jpg
我國(guó)同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,,比如2010年齊魯石化、2011年大慶石化煉油廠,,某裝置控制系統(tǒng)分別感染Conficker病毒,,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
2011年9月29日,工信部特編制下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知(工信部協(xié)[2011]451號(hào))》文件,。明確指出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì),,要求切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。
信息安全成為企業(yè)的焦點(diǎn)
如果以前不確定,,那么參加了信息安全會(huì)議之后,,現(xiàn)在你應(yīng)該足以相信,社會(huì)上確實(shí)有這樣一些人,,他們不但沒有為所做的壞事對(duì)公司或個(gè)人造成傷害而愧疚,,甚至幸災(zāi)樂禍。在信息安全的話題上,,我們不得不要預(yù)防對(duì)工業(yè)控制和自動(dòng)化系統(tǒng)的威脅,。
關(guān)鍵的工業(yè)流程和基礎(chǔ)設(shè)施,諸如石油,、化工,、電力、交通,、通信等,,這些關(guān)系到國(guó)計(jì)民生的重要地方,隨時(shí)都面臨著安全威脅,?;裟犴f爾(Honeywell)收購(gòu)美特利康(Matrikon)就明確顯示了過程控制供應(yīng)商和他們的用戶正在面臨這樣的威脅。請(qǐng)不要忘記發(fā)生在工業(yè)控制系統(tǒng)中最知名的攻擊:“震網(wǎng)”蠕蟲通過外圍設(shè)備U盤,,侵入控制網(wǎng)絡(luò),,更改PLC中的程序和數(shù)據(jù),對(duì)伊朗的核設(shè)施造成了嚴(yán)重的破壞,。
蓄意的攻擊和意外的事故,,輕者會(huì)造成設(shè)備的停機(jī),重者會(huì)造成人員傷亡和環(huán)境破壞的后果,。例如:聯(lián)合化工子公司山東新泰聯(lián)合化工有限公司在2011年11月19日所發(fā)生的安全事故,,導(dǎo)致該子公司全面進(jìn)入停產(chǎn)狀態(tài)。已有14人死亡,,5人受傷,。2011年日本福島核能電廠發(fā)生的核輻射事故,漏出的放射量是遭到原子彈轟炸時(shí)廣島的一百六十八倍,。我們還可以列舉很多這樣的例子,,但對(duì)于普通公眾,不一定意識(shí)到問題的嚴(yán)重性,。
網(wǎng)絡(luò)攻擊可能來自多種原因;黑客,,職業(yè)罪犯,,遭公司解雇或?qū)静粷M而離開的員工,企圖傷害公司信譽(yù)或盜竊公司機(jī)密的競(jìng)爭(zhēng)對(duì)手,。攻擊有時(shí)候是明顯的,你能發(fā)現(xiàn)某些地方出了問題,,有時(shí)候是隱秘的,,如某人潛入一臺(tái)控制器、PC或通信設(shè)備中,,偷聽會(huì)話,,竊取數(shù)據(jù),甚至進(jìn)行破壞操作,。這種威脅比千年蟲的威脅要大的多,,因?yàn)閅2K的背后沒有犯罪和政治動(dòng)機(jī)。
IEC從2009年起發(fā)布IEC62443標(biāo)準(zhǔn),,標(biāo)準(zhǔn)的標(biāo)題是:工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)的信息安全(Industrialcommunicationnetworks–Networkandsystemsecurity),。該標(biāo)準(zhǔn)為系列標(biāo)準(zhǔn),有些部分已經(jīng)完成發(fā)布,,有些部分編寫工作正在進(jìn)行,,今后會(huì)不斷推出。流程工業(yè)將是第一批采用這些標(biāo)準(zhǔn)的行業(yè),。據(jù)保守的估計(jì),,對(duì)大型分布式控制系統(tǒng)(DCS)實(shí)施信息安全比可編程控制器(PLC)系統(tǒng)要容易得多,因?yàn)樗鼈兌鄶?shù)部署在大型廠內(nèi),,且DCS系統(tǒng)的設(shè)計(jì)安裝要依據(jù)最佳工程實(shí)踐,,有一致性的標(biāo)準(zhǔn)和驗(yàn)收流程。而多數(shù)安裝在工廠的PLC系統(tǒng),,則沒有統(tǒng)一的設(shè)計(jì),、規(guī)劃、實(shí)施和驗(yàn)收,,因?yàn)橘?gòu)買金額相對(duì)較小,,安裝和調(diào)試的管理相對(duì)簡(jiǎn)單粗狂,因此留下諸多隱患,。
為了防止網(wǎng)絡(luò)攻擊,,信息安全項(xiàng)目需要一種有效和切實(shí)可行的機(jī)制,包括人員,、規(guī)程和技術(shù),。我們不能指望多數(shù)制造商很快就對(duì)他們的自動(dòng)化系統(tǒng)實(shí)施網(wǎng)絡(luò)信息安全項(xiàng)目。對(duì)信息安全的理解和從成功的案例中學(xué)習(xí)也需要時(shí)間,。重要的是我們不能有僥幸的想法,,總認(rèn)為網(wǎng)絡(luò)信息安全的問題不可能在我這里出現(xiàn),。我們需要積極地面對(duì)當(dāng)前的形勢(shì),認(rèn)真研究和討論IEC62443標(biāo)準(zhǔn),,檢查工廠的自動(dòng)化系統(tǒng),,對(duì)工廠整體的運(yùn)行情況進(jìn)行評(píng)估,發(fā)現(xiàn)可能存在的隱含漏洞,,和你的團(tuán)隊(duì)一起討論信息安全策略和解決方案,,這不僅能提高工廠運(yùn)行的效率,而且隨時(shí)防止有一天可能出現(xiàn)的網(wǎng)絡(luò)攻擊,,保護(hù)工廠的資產(chǎn),、人員和環(huán)境。
黑客如何攻擊工控系統(tǒng)網(wǎng)絡(luò)
網(wǎng)絡(luò)攻擊的基本步驟和方法同樣適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò);不過,,由于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)使用專門的系統(tǒng)和協(xié)議,,其攻擊步驟和方法也有一定的差異性。
3_副本.jpg
1,、信息搜集
工業(yè)控制系統(tǒng)的網(wǎng)絡(luò),、協(xié)議和系統(tǒng)都比較特殊,攻擊者要搜集到相關(guān)信息并不容易,,他們通常會(huì)從企業(yè)的公開信息,、輪班時(shí)間表、合作服務(wù)和貿(mào)易往來,,尤其是企業(yè)供應(yīng)商所提供產(chǎn)品的協(xié)議規(guī)范等入手,。
遺憾的是,搜集這些信息變得越來越容易,。如搜索引擎SHODAN,,可以根據(jù)端口、協(xié)議,、國(guó)家和其他條件搜索與互聯(lián)網(wǎng)關(guān)聯(lián)的所有設(shè)備,。任何使用HTTP、FTP,、SSH或Telnet協(xié)議的服務(wù)器,、網(wǎng)絡(luò)交換機(jī)、路由器或其他網(wǎng)絡(luò)設(shè)備都可以被它檢索到,,進(jìn)而輕易找到應(yīng)用SCADA協(xié)議的設(shè)備,。雖然很難置辦整個(gè)控制系統(tǒng)來實(shí)施逆向工程,但攻擊者可以通過各種公開或地下渠道了解控制系統(tǒng)相關(guān)設(shè)備的漏洞和后門,。
2,、網(wǎng)絡(luò)掃描
利用網(wǎng)絡(luò)掃描可以通過端口、協(xié)議等信息快速定位SCADA和DCS系統(tǒng),。例如,,如果掃描出某設(shè)備的502端口使用的是Modbus協(xié)議,,那么可以推斷,與該設(shè)備連接的很可能是HMI系統(tǒng)或某些監(jiān)管工作站,。
值得注意的是,,很多工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議對(duì)時(shí)延非常敏感,如果硬掃描,,很可能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓,。所以,如果攻擊者只是想中斷系統(tǒng)服務(wù),,那么,只要進(jìn)行簡(jiǎn)單的網(wǎng)絡(luò)掃描就可以達(dá)到目的;或者,,若掃描發(fā)現(xiàn),,實(shí)時(shí)協(xié)議只受到防火墻的保護(hù),那么只憑基本的黑客技術(shù),,實(shí)施DOS攻擊就可以奏效,。如果攻擊者另有圖謀,那就只能采取軟掃描方式,,以避免系統(tǒng)崩潰,。
目標(biāo)系統(tǒng)定位之后,再根據(jù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議的特點(diǎn)進(jìn)行后續(xù)掃描,,就可以獲取相關(guān)設(shè)備信息,。如:可以根據(jù)以太網(wǎng)/IP流量識(shí)別出關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)設(shè)備及屬性;可以根據(jù)DNP3響應(yīng)結(jié)果發(fā)現(xiàn)DNP3的從屬地址;可以通過截取EtherCAT幀信息或SERCOSⅢ主站數(shù)據(jù)電報(bào)得到所有隸屬設(shè)備及其時(shí)間同步信息。
3,、賬戶破解
很多工業(yè)控制系統(tǒng)是基于Windows的,,那些專門破解Windows賬戶信息的方法和工具也可以應(yīng)用到工業(yè)控制系統(tǒng)上。尤其是運(yùn)行在WindowsOLE和DCOM上的OPC系統(tǒng),,只要通過主機(jī)認(rèn)證就可以全面控制OPC環(huán)境,。如果無法獲得底層協(xié)議認(rèn)證,也可以通過枚舉方式破解控制系統(tǒng)內(nèi)其他用戶和角色,。如HMI用戶,、ICCP服務(wù)器憑據(jù)(雙向表)、主節(jié)點(diǎn)地址(任何主/從工業(yè)協(xié)議),、以往數(shù)據(jù)庫認(rèn)證信息等,。
進(jìn)入HMI,就可以直接控制HMI管理的進(jìn)程,,并竊取信息;進(jìn)入ICCP服務(wù)器,,就可以竊取或操縱控制中心之間的傳輸數(shù)據(jù)。所以說,,從功能上將物理設(shè)備和邏輯設(shè)備全部隔離到安全區(qū)域是非常重要的,。NIST800-82(工業(yè)控制系統(tǒng)安全防護(hù)指南)還建議采用賬戶復(fù)合認(rèn)證方式,。有了物理和數(shù)字的雙重保護(hù),賬戶就很難破解;也就是說,,即使知道了某個(gè)用戶名或某個(gè)密碼,,也很難通過賬戶認(rèn)證。
4,、實(shí)施攻擊
正如前面所述,,一次簡(jiǎn)單的網(wǎng)絡(luò)掃描就可以破壞工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。因?yàn)楣I(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議非常敏感,,信息流稍有變化,,協(xié)議就會(huì)失效。所以,,攻擊者利用硬掃描來破壞系統(tǒng),,利用軟掃描來偵測(cè)信息。另外,,也可以通過防火墻實(shí)施網(wǎng)絡(luò)掃描,,因?yàn)橥ㄟ^防火墻的開放端口進(jìn)行分組交換更加容易。一旦掃描通過,,黑客就可偽裝合法通訊,,對(duì)控制網(wǎng)絡(luò)實(shí)施DOS攻擊。
如果攻擊目的是侵入網(wǎng)絡(luò)或者潛伏網(wǎng)絡(luò),,我們以“震網(wǎng)”(Stuxnet)為例,,了解黑客可能會(huì)應(yīng)用的滲透技術(shù)?!罢鹁W(wǎng)”是一種專門針對(duì)工業(yè)控制系統(tǒng)的,、基于Windows平臺(tái)的蠕蟲病毒,它具有多種掃描和滲透機(jī)制,,能自我復(fù)制,,傳播能力強(qiáng),極具隱身性,。入侵網(wǎng)絡(luò)后,,“震網(wǎng)”會(huì)根據(jù)不同環(huán)境做出不同反應(yīng),如在“企業(yè)環(huán)境”,,它會(huì)尋找目標(biāo)HMI,,然后入侵HMI;在“工業(yè)環(huán)境”,它會(huì)感染HMI,,尋找目標(biāo)PLCs,,然后將惡意代碼植入其中;在“運(yùn)行環(huán)境”,它會(huì)利用PLC尋找某個(gè)帶特定參數(shù)運(yùn)行的IEDs,,然后植入代碼,,進(jìn)行破壞活動(dòng),。
簡(jiǎn)單來說,“震網(wǎng)”的攻擊手段可以總結(jié)為:以常見的黑客技術(shù)發(fā)動(dòng)初次攻擊;入侵SCADA和DCS后,,利用其資源再侵入其他工業(yè)控制系統(tǒng);對(duì)“非路由”系統(tǒng)(如有PLCs和IEDs中組成的總線),,它也可以進(jìn)行感染,并滲透進(jìn)更深層的工業(yè)生產(chǎn)過程中,。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的九大誤區(qū)
近年來,,由于能源需求持續(xù)增長(zhǎng)、管理模式不斷變化以及對(duì)信息通訊技術(shù)(ICT)的廣泛應(yīng)用,,工業(yè)控制系統(tǒng)正在經(jīng)受一場(chǎng)快速而深刻的變革,。原本相對(duì)簡(jiǎn)單、相對(duì)獨(dú)立的工控系統(tǒng)正在向自動(dòng)化,、信息化和網(wǎng)絡(luò)化發(fā)展,。雖然工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題已經(jīng)引起很多國(guó)家和權(quán)威機(jī)構(gòu)的高度重視,但是對(duì)相關(guān)企業(yè)和從業(yè)者來說,,仍是一個(gè)很新的領(lǐng)域,工作上還存在著很多誤區(qū),。
4_副本.jpg
誤區(qū)一:工業(yè)控制系統(tǒng)(ICS)是與外界隔離的
實(shí)際上,,基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng),還包括市場(chǎng)分析,、財(cái)務(wù)計(jì)劃等信息管理系統(tǒng),。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu),與外界完全隔離幾乎不可能,。另外,,維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦也會(huì)打破系統(tǒng)與外界的隔離,打開網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門,。
事實(shí)證明,,不管多嚴(yán)格的隔離措施也會(huì)有隱患發(fā)生。2003年Davis-Besse核電站被Slammer蠕蟲病毒侵入;2006年13家Daimler-Chrysler汽車企業(yè)因感染Zotob蠕蟲病毒被迫停工;2008年有超過千萬臺(tái)的設(shè)備,,包括所謂隔離了的設(shè)備,,受到Conficker蠕蟲病毒的攻擊。即使在太空也不能做到完全隔離:2008年美國(guó)宇航局證實(shí)其國(guó)際太空站筆記本電腦遭到病毒入侵,。2010年震驚世界的伊朗震網(wǎng)病毒,。
誤區(qū)二:沒有人會(huì)襲擊我們
上個(gè)世紀(jì),雖然有些零星事件發(fā)生,,公眾對(duì)ICS網(wǎng)絡(luò)安全問題并沒有足夠認(rèn)識(shí),。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報(bào)道之后,人們才意識(shí)到ICS系統(tǒng)一旦受襲擊有可能造成嚴(yán)重后果,。該次事件中,,由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)受到攻擊,,導(dǎo)致800,000升污水直接排放到環(huán)境中,。
另外,,ICS系統(tǒng)并不是堅(jiān)不可摧。2006年以來,,美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組對(duì)外公布的ICS系統(tǒng)安全漏洞越來越多,。2009底其數(shù)據(jù)庫顯示的24條SCADA相關(guān)漏洞都是已經(jīng)預(yù)警的,而且,,主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法,。
越來越多的跡象表明,ICS系統(tǒng)已經(jīng)受到黑客,、政治對(duì)手,、不滿的員工或犯罪組織等各類攻擊者的目標(biāo)關(guān)注。
誤區(qū)三:黑客不懂我們的協(xié)議/系統(tǒng),,系統(tǒng)非常安全
實(shí)際上,,工業(yè)環(huán)境中已廣泛使用商業(yè)標(biāo)準(zhǔn)件(COTS)和IT技術(shù);除開某些特殊環(huán)境,大部分通訊采用的是以太網(wǎng)和TCP/IP協(xié)議;ICS,、監(jiān)控站以及嵌入式設(shè)備的操作系統(tǒng)也多以Microsoft和Linux為主,。其中,Microsoft已通過智能能源參考架構(gòu)(SERA)打進(jìn)電力行業(yè),,意圖將微軟技術(shù)安插到未來智能電網(wǎng)架構(gòu)的核心中,。
那些特殊環(huán)境采用的內(nèi)部協(xié)議其實(shí)也有公開的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標(biāo)準(zhǔn)中都可以找到,。象Modbus這些工業(yè)協(xié)議,,不僅可以輕易找到詳細(xì)說明,其內(nèi)容也早已被黑客圈子熟知,。
另外,,由于ICS設(shè)備功能簡(jiǎn)單、設(shè)計(jì)規(guī)范,,只需少許計(jì)算機(jī)知識(shí)和耐心就可以完成其逆向工程,,何況大部分的工業(yè)協(xié)議都不具備安全防護(hù)特征。甚至某些應(yīng)急工具都可以自動(dòng)完成逆向工程,。
即使經(jīng)過加密處理的協(xié)議也可以實(shí)施逆向工程,。例如,GSM手機(jī)全球系統(tǒng),、繳費(fèi)終端及汽車點(diǎn)火裝置的射頻信號(hào),、DVD反復(fù)制保護(hù)機(jī)制,他們都采用專門的加密技術(shù),但最終都被破解,。
誤區(qū)四:ICS系統(tǒng)不需要防病毒軟件或有防病毒軟件就可以了;我們的防火墻會(huì)自動(dòng)提供保護(hù)等
認(rèn)為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(黑客不了解系統(tǒng))有關(guān),。實(shí)際上,除了Window平臺(tái)易受攻擊,,Unix/Linux都有過病毒或跨平臺(tái)病毒攻擊的經(jīng)歷,。Proof-of-concept病毒則是專門針對(duì)SCADA和AMI系統(tǒng)的。所以對(duì)ICS系統(tǒng),,防病毒軟件不可或缺,,并且需要定時(shí)更新。
那么,,有了防病毒軟件是否就高枕無憂了?雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件,,但對(duì)更隱蔽或鮮為人知的病毒的防御還遠(yuǎn)遠(yuǎn)不夠。而且,,防病毒軟件本身也有弱點(diǎn)存在,。從最近一次安全會(huì)議得知,在對(duì)目前使用最多的7個(gè)防病毒軟件進(jìn)行防病毒能力挑戰(zhàn)時(shí),,有6個(gè)可以在2分鐘內(nèi)被攻破,。
另外,雖然防火墻也是應(yīng)用最廣泛的安全策略之一,,但其發(fā)揮效用的前提是必須正確設(shè)置了防火墻的安全規(guī)則,。即使智能型防火墻,也需要自定義安全規(guī)則,。研究表明,由于設(shè)置規(guī)則比較復(fù)雜,,目前80%的防火墻都沒有正確配置,,都沒有真正起到安全防護(hù)的作用。
誤區(qū)五:網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行
事實(shí)證明,,ICS系統(tǒng)遭受攻擊后不僅可能影響運(yùn)行,,還可能導(dǎo)致嚴(yán)重后果。前面提到的澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件就是一例;2003年Davis-Besse核電站因Slammer蠕蟲病毒入侵導(dǎo)致系統(tǒng)計(jì)算機(jī)停機(jī)6小時(shí)以上;2007年美國(guó)愛達(dá)荷國(guó)家實(shí)驗(yàn)室一臺(tái)為13.8KV網(wǎng)格測(cè)試臺(tái)供電的柴油發(fā)電機(jī)因網(wǎng)絡(luò)攻擊而被毀;2008年Hatch核電廠一工程師在數(shù)據(jù)采集服務(wù)器上測(cè)試軟件更新時(shí),,在其不知情的情況下,,測(cè)試值被供應(yīng)商軟件同步設(shè)置到生產(chǎn)系統(tǒng)上,結(jié)果導(dǎo)致反應(yīng)堆自動(dòng)停機(jī)事故,。另外,,攻擊者也會(huì)想法設(shè)法接近ICS設(shè)備,如將攜有惡意軟件的U盤以禮相送;或是向收集到的目標(biāo)企業(yè)工作人員郵寄地址發(fā)送電子郵件,,一旦郵件內(nèi)鏈接被打開,,惡意軟件就會(huì)下載到工作站。攻擊者聲稱,通過這些惡意軟件,,他們可以全面控制工作站和SCADA系統(tǒng),。
誤區(qū)六:ICS組件不需要特別的安全防護(hù),供應(yīng)商會(huì)保證產(chǎn)品的安全性
人們能夠理解ICS系統(tǒng)核心組件(如數(shù)據(jù)庫,、應(yīng)用軟件,、服務(wù)器等)安全性的重要,但常常會(huì)忽視ICS系統(tǒng)外圍組件(如傳感器,、傳動(dòng)器,、智能電子設(shè)備、可編程邏輯控制器,、智能儀表,、遠(yuǎn)程終端設(shè)備等)的安全防護(hù)。其實(shí)這些外圍設(shè)備很多都內(nèi)置有與局域網(wǎng)相聯(lián)的網(wǎng)絡(luò)接口,,采用的也是TCP/IP協(xié)議,。這些設(shè)備運(yùn)行時(shí)可能還有一些調(diào)試命令,如telnet和FTP等,,未及時(shí)屏蔽,。這種情況在網(wǎng)絡(luò)服務(wù)器上也很常見。網(wǎng)絡(luò)服務(wù)器一般隱含有一項(xiàng)特殊功能,,即允許用戶通過定位某個(gè)網(wǎng)址重新啟動(dòng)遠(yuǎn)程終端設(shè)備(RTU),。
用戶通常以為供應(yīng)商會(huì)對(duì)他們產(chǎn)品的缺陷和安全性了如指掌,實(shí)際上供應(yīng)商對(duì)他們產(chǎn)品的認(rèn)識(shí)僅限于產(chǎn)品所能提供的功能方面,,而且對(duì)出現(xiàn)的安全問題也做不到快速響應(yīng),。2008年研究人員發(fā)現(xiàn)ICS特有的數(shù)據(jù)通訊協(xié)議(WonderwareSuitlink)存在漏洞后,立即聯(lián)系了供應(yīng)商Wonderware,,但是Wonderware1個(gè)月后才開始回應(yīng);等到Wonderware認(rèn)識(shí)到產(chǎn)品缺陷,,并知會(huì)Suitlink用戶相關(guān)補(bǔ)救措施時(shí),已是三個(gè)月以后的事了,。這件事讓很多供應(yīng)商開始關(guān)注自己產(chǎn)品的安全性,,但對(duì)大部分供應(yīng)商來說,還是任重道遠(yuǎn),。
誤區(qū)七:ICS系統(tǒng)的接入點(diǎn)容易控制
ICS系統(tǒng)存在很多未知或已知但不安全的接入點(diǎn),,如維護(hù)用的手提電腦可以直接和ICS網(wǎng)絡(luò)聯(lián)接、可不經(jīng)過防火墻的接入點(diǎn),、遠(yuǎn)程支持和維護(hù)接入點(diǎn),、ICS設(shè)備和非ICS設(shè)備的連接點(diǎn)、ICS網(wǎng)絡(luò)設(shè)備中的可接入端口等,。實(shí)際上,,ICS系統(tǒng)的所有者并不知曉有多少個(gè)接入點(diǎn)存在以及有多少個(gè)接入點(diǎn)正在使用,也不知道個(gè)人可以通過這種方式訪問ICS系統(tǒng)。
誤區(qū)八:系統(tǒng)安全可以一次性解決或是可以等到項(xiàng)目結(jié)束再解決
以前,,ICS系統(tǒng)功能簡(jiǎn)單,,外部環(huán)境穩(wěn)定,現(xiàn)場(chǎng)維護(hù)設(shè)備也非智能型,,所以,,針對(duì)某一問題的解決方案可以維持很長(zhǎng)一段時(shí)間不變。然而,,現(xiàn)在的ICS系統(tǒng)功能復(fù)雜,,外部環(huán)境經(jīng)常變化,現(xiàn)場(chǎng)維護(hù)設(shè)備也需要定期更新和維護(hù),。不僅ICS系統(tǒng)和現(xiàn)場(chǎng)維護(hù)設(shè)備需要安全防護(hù),,其管理和維護(hù)工作也需要安全防護(hù),而且是動(dòng)態(tài)管理的安全防護(hù),,即一旦有新的威脅或漏洞產(chǎn)生,,就要及時(shí)采取安全措施。
近些年,,雖然ICS項(xiàng)目建設(shè)開始關(guān)注系統(tǒng)安全,,但是由于工期較長(zhǎng),通常在最后階段才開始考慮安全防護(hù)問題,,但此時(shí)不僅實(shí)施不易,,而且成本頗高。因?yàn)樾枨笞兏酵砘蚵┒窗l(fā)現(xiàn)越遲,,更改或彌補(bǔ)的費(fèi)用越高,。
誤區(qū)九:?jiǎn)蜗蛲ㄐ?00%安全
某些情況下,極重要的ICS系統(tǒng)允許以單向通訊方式與其他安全區(qū)域聯(lián)接,。但是,,這種聯(lián)接方式是很不嚴(yán)密的,其安全程度高低取決于單向通信的實(shí)現(xiàn)方式,。方式一為限制發(fā)起方方式,,即通信只能由某一方發(fā)起,,然后雙方可以互相通信;方式二為限制負(fù)載流方式,,即在方式一基礎(chǔ)上,對(duì)方只能發(fā)送控制信號(hào),,不能發(fā)送數(shù)據(jù)或應(yīng)用信息;方式三最嚴(yán)格,,僅允許一方發(fā)送信息,不允許另一方發(fā)送任何信息,。方式一采用基本防火墻就能實(shí)現(xiàn),,方式二需要進(jìn)行信息包檢測(cè),方式三需要采用特殊設(shè)備實(shí)現(xiàn)。通常認(rèn)為,,將前兩種方式結(jié)合起來將是最安全的防護(hù)措施,。但是,即使它們可以提供很強(qiáng)的安全保護(hù),,網(wǎng)絡(luò)攻擊還是有可能發(fā)生,。因?yàn)榭刂坪托盘?hào)信息允許進(jìn)入受保護(hù)區(qū)域,經(jīng)過設(shè)備編譯后,,惡意代碼就有可能得到運(yùn)行,。所以,單向通信并不能提供100%的安全保護(hù),。