隨著國際國內(nèi)工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0,、中國制造2025戰(zhàn)略的提出,,信息技術(shù)(IT, Information Technology)和操作技術(shù)(OT, OperaTIonal Technology)一體化已成為必然趨勢。在這種趨勢下,,工業(yè)自動化控制系統(tǒng)正逐漸從封閉,、孤立的系統(tǒng)轉(zhuǎn)化為開放互聯(lián)的系統(tǒng),工業(yè)自動化生產(chǎn)開始在所有網(wǎng)絡(luò)層次上橫向與垂直集成,。
然而隨著工控系統(tǒng)的開放性與日俱增,,系統(tǒng)安全漏洞和缺陷更容易被病毒所利用,,工業(yè)控制系統(tǒng)又涉及電力、水利,、冶金,、石油化工、核能,、交通運輸,、制藥以及大型制造行業(yè),一旦遭受攻擊會帶來巨大的損失,。事實上,,對于電力、水利,、能源,、制造業(yè)等領(lǐng)域的工業(yè)控制系統(tǒng)的入侵事件,在此之前就已經(jīng)層出不窮,。
例如,,2008年的波蘭Lodz的城鐵系統(tǒng)被惡意攻擊,導(dǎo)致4節(jié)車廂脫離正常軌道,;2010年,,“震網(wǎng)”病毒攻擊伊朗核設(shè)施;2016年,,烏克蘭電網(wǎng)遭遇黑客攻擊,,造成大范圍停電等等。
工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室與360威脅情報中心制圖
根據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)最新統(tǒng)計報告,,2016年美國關(guān)鍵基礎(chǔ)設(shè)施存在492個安全漏洞,,相關(guān)漏洞涉及供水,、能源和石油行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施,。
自2000年1月截止到2017年12月,根據(jù)我國國家信息安全漏洞共享平臺(CNVD)統(tǒng)計,,所有的信息安全漏洞總數(shù)為101734個,,其中工業(yè)控制系統(tǒng)漏洞總數(shù)為1437個。2017年CNVD統(tǒng)計的新增信息安全漏洞4798個,,工控系統(tǒng)新增漏洞數(shù)351個,,均比去年同期有顯著增長。
和IT信息系統(tǒng)不一樣,,工業(yè)控制系統(tǒng)安全有自身的獨特性,,例如惡意代碼不敢殺、不能殺,?;诠た剀浖c殺毒軟件的兼容性,,在操作站(HMI)上通常不安裝殺毒軟件,即使是有防病毒產(chǎn)品,,其基于病毒庫查殺的機制在工控領(lǐng)域使用也有局限性,,主要是網(wǎng)絡(luò)的隔離性和保證系統(tǒng)的穩(wěn)定性要求導(dǎo)致病毒庫對新病毒的處理總是滯后的,這樣,,工控系統(tǒng)每年都會大規(guī)模地爆發(fā)病毒,,特別是新病毒。
除了來自外部攻擊外,,另一方面是來自工業(yè)系統(tǒng)自身安全建設(shè)的不足,。例如很多工控設(shè)備缺乏安全設(shè)計,主要來自各類機床數(shù)控系統(tǒng),、PLC,、運動控制器等所使用的控制協(xié)議、控制平臺,、控制軟件等方面,,其在設(shè)計之初可能未考慮完整性、身份校驗等安全需求,,存在輸入驗證,,許可、授權(quán)與訪問控制不嚴(yán)格,,不當(dāng)身份驗證,,配置維護不足,憑證管理不嚴(yán),,加密算法過時等安全挑戰(zhàn),。例如:國產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進行裁剪的,所使用的內(nèi)核,、文件系統(tǒng),、對外提供服務(wù)、一旦穩(wěn)定均不再修改,,可能持續(xù)使用多年,,有的甚至超過十年,而這些內(nèi)核,、文件系統(tǒng),、服務(wù)多年所爆出的漏洞并未得到更新,安全隱患長期保留,。
總結(jié)起來看,,工業(yè)網(wǎng)絡(luò)主要面臨以下安全問題:
1.工業(yè)網(wǎng)絡(luò)安全威脅級別越來越高,漏洞類型多種多樣
通過2017年ICS-CERT和CNVD安全漏洞平臺統(tǒng)計新增漏洞數(shù)據(jù)發(fā)現(xiàn),工業(yè)控制系統(tǒng)信息安全事件大幅提高,,高危漏洞比重增多,,攻擊破壞力不斷增強,對關(guān)鍵基礎(chǔ)設(shè)施的安全防護存在重大威脅,。
2.網(wǎng)絡(luò)結(jié)構(gòu)快速變化,,目前工控技術(shù)存在隱患
1) 工業(yè)控制系統(tǒng)規(guī)模急速膨脹,工控系統(tǒng)極少升級,,易受病毒攻擊感染,;
2) 系統(tǒng)普遍缺乏監(jiān)測手段,無法感染未知設(shè)備,;在執(zhí)行服務(wù)器操作時,,缺乏系統(tǒng)審計;
3) 在執(zhí)行關(guān)鍵操作時,,缺乏日志記錄,;工控設(shè)備存在諸多漏洞,RTU/PLC安全隱患突出,;
4) 在工控系統(tǒng)中,,開放對外接口會帶來安全隱患;網(wǎng)絡(luò)結(jié)構(gòu)快速變化,,原有IP數(shù)據(jù)網(wǎng)信息安全技術(shù)遠(yuǎn)遠(yuǎn)不能滿足工業(yè)控制系統(tǒng)的安全要求,。
3.網(wǎng)絡(luò)邊界不夠清晰,局部安全問題易擴散到整個系統(tǒng)
在工業(yè)控制系統(tǒng)中,,對網(wǎng)絡(luò)內(nèi)各個組成部分的安全需求缺乏統(tǒng)一規(guī)劃,,沒有對核心業(yè)務(wù)系統(tǒng)的訪問進行很好的控制;各接入系統(tǒng)之間沒有進行明確的訪問控制,,網(wǎng)絡(luò)之間彼此可以互相訪問,,邊界入手易,系統(tǒng)內(nèi)入手難,。
4.工控安全標(biāo)準(zhǔn)有待完善,,安全企業(yè)重視不足
毫無疑問,工業(yè)控制系統(tǒng)安全是國家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分,。為促進工控網(wǎng)絡(luò)安全健康發(fā)展,,工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室(由國家發(fā)展與改革委員會批準(zhǔn)授牌成立,由360企業(yè)安全集團承建的對外開放的工業(yè)控制安全技術(shù)方面的公共研究平臺)提出如下建議:
1.建立網(wǎng)絡(luò)安全滑動標(biāo)尺動態(tài)安全模型
該標(biāo)尺模型共包含五大類別,,分別為架構(gòu)安全(Architecture)、被動防御(Passive Defense),、積極防御(AcTIon Defense),、威脅情報(Intelligence)和進攻反制(Offense)。這五大類別之間具有連續(xù)性關(guān)系,,并有效展示了防御逐步提升的理念,。
架構(gòu)安全:在系統(tǒng)規(guī)劃,、建立和維護的過程中充分考慮安全防護;
被動防御:在無人員介入的情況下,,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng),,如:工業(yè)安全網(wǎng)關(guān)/防火墻、工業(yè)主機防護,、工業(yè)審計等,;
積極防御:分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進行監(jiān)控、響應(yīng),、學(xué)習(xí)(經(jīng)驗)和應(yīng)用知識(理解)的過程,;
威脅情報:收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息,,并將信息生產(chǎn)加工為評估結(jié)果以填補已知知識缺口的過程,;
進攻反制:在友好網(wǎng)絡(luò)之外對攻擊者采取的直接行動(按照國內(nèi)網(wǎng)絡(luò)安全法要求,對于企業(yè)來說主要是通過法律手段對攻擊者進行反擊),。通過以上幾個層面的疊加演進,,最終才能夠?qū)崿F(xiàn)進攻反制,維護工業(yè)互聯(lián)網(wǎng)的整體安全,。
2.從安全運營的角度,,建立企業(yè)的工業(yè)安全運營中心
在IT和OT一體化推進發(fā)展中,IT技術(shù)在OT領(lǐng)域大量使用,,IT所面對的風(fēng)險也跟隨進入了OT網(wǎng)絡(luò),,因此工業(yè)企業(yè)對這兩個應(yīng)用角度都要識別風(fēng)險的切入點,列舉相關(guān)的風(fēng)險,,并且要進行一體化的規(guī)劃,。
工業(yè)安全運營中心(IISOC)基于威脅情報和本地大數(shù)據(jù)技術(shù)對工控系統(tǒng)通信數(shù)據(jù)和安全日志進行快速、自動化的關(guān)聯(lián)分析,,及時發(fā)現(xiàn)工控系統(tǒng)異常和針對工控系統(tǒng)的威脅,,通過可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶,通過對告警和響應(yīng)的自動化發(fā)布,、跟蹤,、管理,實現(xiàn)安全風(fēng)險的閉環(huán)管理,。威脅情報,、威脅檢測、深度包解析,、工業(yè)大數(shù)據(jù)關(guān)聯(lián)分析,、可視化展現(xiàn)、閉環(huán)響應(yīng)實現(xiàn)以工業(yè)安全運營為中心的一體化防護體系。安全運營目的是解決越來越多的安全產(chǎn)品部署在網(wǎng)絡(luò)中形成的“安全防御孤島”問題,。
3.組建IT&OT融合的安全管理團隊
組建IT&OT融合的信息安全管理團隊,,對整個工業(yè)控制系統(tǒng)進行安全運營。對安全管理團隊進行必要的指導(dǎo),,根據(jù)具體場景建立合適的安全策略管理和響應(yīng)恢復(fù)機制,,及時應(yīng)對安全威脅。企業(yè)要想成功部署工業(yè)網(wǎng)絡(luò)安全項目,,需重視同時掌握信息技術(shù)(IT)和操作技術(shù)(OT)的人才,,有的放矢。訂購安全服務(wù)和威脅情報,,定期對安全管理團隊進行培訓(xùn),,建立IT、OT的安全統(tǒng)一規(guī)劃,,使得安全管理團隊成員盡量利用統(tǒng)一標(biāo)準(zhǔn)進行安全事件的處理,。
4.在技術(shù)層面提高防護能力
終端層面:針對CNC等老舊設(shè)備,部署輕量級白名單(系統(tǒng)進程)的防護措施,;針對性能好的生產(chǎn)設(shè)備,,部署統(tǒng)一的終端殺毒軟件,如360天擎,;移動介質(zhì),,例如U盤,進行統(tǒng)一管控(主機防護),。
網(wǎng)絡(luò)層面:橫向分區(qū),、縱向分層,將辦公網(wǎng),、工控網(wǎng),、生產(chǎn)網(wǎng)有效劃分;網(wǎng)絡(luò)邊界處部署安全網(wǎng)關(guān),,最小權(quán)限原則:只開放必要端口,,進行精細(xì)化訪問管控。
監(jiān)控層面:摸清資產(chǎn)家底,,集中統(tǒng)一管理,,并精心維護;部署工業(yè)安全運營中心,,對公司網(wǎng)絡(luò)安全狀況進行持續(xù)監(jiān)測與可視化展現(xiàn),。
可恢復(fù)性(備份層面):針對CNC等老舊設(shè)備,定期請工控廠商進行系統(tǒng)備份,;針對性能好的辦公和生產(chǎn)電腦,,定期自行進行系統(tǒng)和數(shù)據(jù)備份,。