工业控制系统(ICS)对于支持国家关键基础设施和维护国家安全至关重要。ICS所有者和运营商采用新技术提高运营效率,将操作技术(OT)连接到企业信息技术(IT)系统和物联网(IoT)设备后,由此产生的网络安全风险引起人们的广泛关注。针对电力、石油和天然气行业的网络攻击就像飓风一样不可避免,网络犯罪分子专注于利用新的数字化网络和物联网连接设备,以此为跳板,接入关键基础设施,通过破坏电力、石油天然气和水等公共服务危害社会。特别是勒索软件和其他网络攻击,通常以ICS为目标实施破坏运营或窃取知识产权等攻击。因此,能源行业、制造行业、公用事业、医疗保健和其它依赖于ICS的运营机构需要采取积极有效的措施,保护当前和计划中的ICS的基础设施及信息安全。
1 工业控制系统的类型
ICS是一个通用术语,用于描述不同类型的控制系统和相关仪器,其中包括用于自动化工业过程的设备、系统、网络和控制。根据行业不同,每个ICS功能也不相同,旨在以电子方式高效地管理任务。ICS包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)以及其他控制系统,例如通常在工业部门和关键基础设施中安装可编程逻辑控制器(PLC)。ICS中使用的设备和协议涵盖制造、运输、能源、水处理等行业及电气和核电站等关键基础设施。
1.1 数据采集与监控系统(SCADA)
SCADA系统由分布在不同位置的设备组成,如PLC或其他商业硬件模块。SCADA系统可以采集和传输数据,并与人机界面(HMI)集成,为众多过程输入和输出提供集中监测和控制。使用SCADA主要目的:一是通过集中控制系统对现场站点进行远程监测和控制。不同于工人必须长途跋涉来现场执行任务或收集数据,SCADA系统能够自动执行此任务。二是现场设备控制本地操作。例如阀门和断路器的打开或关闭,从传感器系统收集数据以及监控当地环境的报警条件。三是监控关键基础设施。SCADA是包含传感器和控制器的系统,允许远程监控其他设备或系统,如发电厂、变电站、管道和其他大型工业设施等。
1.2 分布式控制系统(DCS)
DCS常用于制造、发电、化工制造、炼油厂以及水处理等行业,主要用于控制整个生产过程。在DCS中,设定点被发送到控制器,该控制器能够指示阀门甚至执行器以保持所需设定值的方式运行。来自现场的数据可以存储以供将来参考,用于简单的过程控制,甚至可以用于高级控制策略,其中包含来自工厂另一部分的数据。每个DCS使用集中式监控回路管理作为整个生产过程一部分的多个本地控制器或设备,使行业能够快速访问生产和运营数据。通过生产过程中使用的多个设备,DCS能够减少单个故障对整个系统的影响。DCS工作原理是通过以太网接口连接到过程不同部分的PLC,包括服务器,用户和维护人员可以基于Web软件轻松访问。
1.3 可编程逻辑控制器(PLC)
PLC可视作一种可编程计算机,用于监控来自不同传感器的输入,以及在将数据发送到其他设备之前的过程数据。PLC为大多数ICS提供了基本的控制系统,没有PLC,它们将无法正常或有效地运行。PLC的范围可以从与处理器集成的外部设备中安装模块化设备,包括具有数十个输入和输出(I/O)小型模块化设备到具有数千个I/O的大型机架,通常与其他PLC和SCADA系统联网。
2 工业控制系统的组件
工业控制系统通过IT和OT、PLC、远程终端(RTU)、智能电子设备(Intelligent Electronic Device,IED)和确保各组件通信的接口等技术系统实现组网和安全运行。
2.1 IT和OT
OT变量包括监视和控制现场物理设备的硬件和软件系统。OT任务因行业而异,在工业环境中监控温度的设备是OT设备的一部分。IT和OT的融合有利于为企业供应链提供更大的集成度和可见性,包括其关键资产、物流、计划和运营流程,对供应链跟踪了解有助于公司保持竞争力。但OT和IT的融合也带来了新的风险:网络犯罪分子更容易地访问系统组件,许多公司的OT基础设施在网络攻击保护方面做得很不到位。
2.2 PLC
这是一种硬件类型,在DCS和SCADA系统中用作整个系统的控制组件,通过传感器和执行器等反馈控制设备对正在运行的过程进行本地管理。在SCADA中,PLC提供与RTU相同的功能。在DCS中,PLC用作监控方案中的本地控制器。PLC也作为主要组件在较小的控制系统配置中实现。
2.3 RTU
RTU是一种微处理器控制的现场设备,它接收命令并将信息发送回主终端单元(MTU)。
2.4 控制回路
每个控制回路都由PLC和执行器等硬件组成。控制回路解析来自传感器、控制阀、断路器、开关、电机和其他类似设备的信号。这些传感器测量的变量被传输到控制器以执行任务和/或完成过程。
2.5 人机界面
一种图形用户界面(GUI)应用程序,允许操作员和控制器硬件之间进行交互,不仅可以显示ICS环境中设备收集的状态信息和历史数据,而且还可用于监控和配置设定值、控制算法以及调整和建立控制器中的参数。
2.6 远程诊断和维护
这是一个模块,用于识别、预防异常操作或故障并从中恢复。
2.7 控制服务器
控制服务器托管DCS或PLC监控软件,并与较低级别的控制设备进行通信。
2.8 SCADA服务器或主终端单元(MTU)
这是一个向现场的RTU发出命令的设备。
2.9 智能电子设备
一种智能设备,能够获取数据、与其他设备通信以及执行本地处理和控制。在SCADA和DCS等控制系统中使用简易告警装置允许在本地一级自动进行控制。
2.10 数据历史库
数据历史记录器是一个集中式数据库,用于记录ICS环境中的所有过程信息,然后将数据导出,公司将收集的数据用于流程分析、统计流程控制和企业级规划。
3 工业控制系统信息安全风险分析
为了提高系统功能和生产效率,每个ICS都在IT和OT中不断采用新技术和软件。随着IT和OT的合并,它们成为网络犯罪分子重要的攻击目标。当前,OT基础设施中使用的安全解决方案的常见缺陷之一是无法保护SCADA等传统控制系统(特别是现场控制层),同时还将面对云计算、大数据分析及IoT等新兴技术的挑战。对ICS的成功攻击对任何公司都会产生严重影响,其中包括操作停机、设备损坏、财务损失、知识产权盗窃以及生命安全等风险。
3.1 网络犯罪分子攻击ICS动机和方式
网络犯罪分子常用作案手法围绕着盗窃金钱、财务信息等。目前,攻击者开始了解被盗敏感数据的价值,因此攻击ICS的动机不仅仅是通过工业间谍活动获得简单的经济利益。最常见的潜在攻击组织或个人包括国家政府、恐怖分子、犯罪集团、工业间谍和黑客。对ICS的攻击的第一阶段通常涉及允许攻击者对环境的侦察,然后采用不同策略,帮助攻击者在目标网络中站稳脚跟。此时的战略和战术与针对性攻击高度相似。攻击者利用ICS的所有可能的漏洞和特定配置启动恶意软件,一旦识别并利用这些漏洞,攻击的影响就可能导致某些操作和功能的更改或对现有控件配置的调整。对ICS发起攻击的复杂性取决于不同因素,从系统安全性到预期影响。
3.2 ICS风险识别过程
工业控制系统风险评估的基本要素包括资产、威胁、保障能力以及脆弱性。风险评估围绕这些基本要素展开,在对这些基本要素的评估过程中需要充分考虑与基本要素相关的各类属性。
风险不可能降低到零,实施了安全措施后还会有残留风险。有些残留风险来自于保障能力的不足,需要加强控制,而有些残留风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的风险。
资产评估。资产是对被评估方具有价值的信息或资源,是安全策略的保护对象。资产价值是资产重要程度或敏感程度的表征。
威胁评估。威胁是指可能危害系统或导致被评估方不希望发生的事故的潜在起因。威胁是客观存在的,不同的资产面临威胁不同,同一个资产不同威胁发生的可能性和造成的影响也不同。全面、准确地识别威胁有利于做好防范措施。威胁评估要识别出威胁源、威胁途径及可能性和威胁影响,并对威胁进行分析赋值。
脆弱性评估。脆弱性是资产自身存在的,威胁总是要利用资产的脆弱性才可能造成危害。评估方应考虑工业控制系统脆弱性具有难以修复、原则上需要保密的特点,从物理环境、网络、平台和安全管理4个方面对工业控制系统脆弱性进行评估。
3.3 ICS遭攻击的漏洞类别
ICS涉及IT和OT,因此按类别对漏洞进行分组有助于确定和实施缓解策略。据了解,美国国家标准与技术研究院(NIST)的ICS安全指南,将这些类别划分为与策略和程序相关的问题,从硬件、操作系统和ICS应用程序等平台和网络中发现漏洞。
(1)策略和过程漏洞。安全体系结构和设计不足;很少或根本没有ICS环境的安全审核;ICS的安全策略不足;缺少ICS特定的配置更改管理;没有正式的ICS安全培训和意识计划;缺乏安全实施的管理机制;没有特定于ICS的操作连续性或灾难恢复计划;没有根据ICS环境制定具体的安全策略。
(2)平台配置漏洞。便携式设备上的数据不受保护;使用默认系统配置;不存储或备份关键配置;不更新操作系统和应用程序安全修补程序;操作系统和应用程序安全补丁的实施未进行详尽的测试;不充分的访问控制策略,例如ICS用户具有太多或两个很少的权限;缺少足够的密码策略、意外泄露密码、未使用密码、使用默认密码或使用弱密码。
(3)平台硬件漏洞。对安全变更的测试不足;关键组件缺乏冗余;ICS组件的不安全远程访问;发电机或不间断电源(UPS)缺乏备用电源;用于连接网络的双网络接口卡;关键系统的物理保护不足;连接到ICS网络的未记录资产;未经授权的人员可以物理访问设备;失去环境控制可能导致硬件过热;射频和电磁脉冲(EMP)会对电路造成中断和损坏。
(4)平台软件漏洞。针对ICS软件的拒绝服务(DoS)攻击;未安装入侵检测/防御软件;默认情况下未启用已安装的安全功能;ICS软件可能容易受到缓冲区溢出攻击;未定义、定义不明确或“非法”网络数据包的处理不当:操作系统中未禁用不必要的服务,可能会被利用;没有适当的日志管理,这使得跟踪安全事件变得困难;用于进程控制(OPC)的OLE通信协议容易受到远程过程调用(RPC)和分布式组件对象模型(DCOM)漏洞的攻击;使用不安全的行业范围ICS协议,如DNP3、Modbus和PROFIBUS;配置和编程软件的身份验证和访问控制不足;许多ICS通信协议通过传输介质以明文形式传输消息;ICS软件和协议的技术文档很容易获得,有利于对手计划成功地攻击;日志和端点传感器无法实时监控,安全漏洞也无法快速识别。
(5)恶意软件防护漏洞。未安装防病毒软件;防病毒检测特征码未更新;安装在ICS环境中的防病毒软件,未进行详尽的测试。
(6)网络配置漏洞。网络安全架构设计薄弱;密码在传输过程中未加密;网络设备配置未正确存储或备份;网络设备上未定期更改密码;不使用数据流控制控件,例如访问控制列表(ACL);网络安全设备配置不当,例如防火墙、路由器等规则配置不正确。
(7)网络硬件漏洞。关键网络缺乏冗余;网络设备的物理保护不足;失去环境控制可能导致硬件过热;非关键人员可以访问设备和网络连接;不安全的USB和PS/2端口,可用于连接未经授权的拇指驱动器、键盘记录器等。
(8)网络边界漏洞。未定义网络安全边界;终端资产物理管控不到位;组网设备多个系统共用;防火墙不存在或配置不正确;用于非控制流量(如网页浏览和电子邮件)的ICS控制网络;控制网络服务不在ICS控制网络内,例如DNS、DHCP由控制网络使用,但通常安装在企业网络中。
(9)通信漏洞。未确定关键监视和控制路径;用户、数据或设备的身份验证不合格或不存在;许多ICS通信协议没有内置完整性检查,因此对手可以轻松操纵通信而不被发现;标准、记录良好的协议以纯文本形式使用,例如嗅探的Telnet,可以使用协议分析器分析和解码FTP流量。
(10)无线连接漏洞。客户端和接入点之间的身份验证不足;客户端和接入点之间的数据保护不足。
(11)网络监控和日志记录漏洞。没有ICS网络的安全监控;防火墙和路由器日志不足使得跟踪安全事件变得困难。
3.4 工业控制系统遭攻击产生的影响
对ICS系统的攻击通常都是有针对性的攻击,它们使用ICS入口路径在系统内获得立足点,从而允许它们横向进入公司内部。其中最引人注目的案例是Stuxnet蠕虫,它被用来操纵伊朗核设施内的离心机,以及BlackEnergy之类的活动影响了乌克兰的发电设施,使客户无法供电。尽管大多数攻击都集中在数据盗窃和工业间谍活动上,但上述两起案件都展示了恶意软件如何产生联动效应。网络攻击对使用ICS的行业的影响,取决于目标运营性质或网络犯罪分子进行攻击的动机等。
(1)系统、操作系统或应用程序配置中的更改。当系统被篡改时,可能会产生不需要的或不可预测的结果。这样做可能是为了掩盖恶意软件行为或任何恶意活动。这也可能影响威胁参与者目标的输出。
(2)PLC、RTU和其他控制器的变化。与系统的变化类似,控制器模块和其他设备的更改可能导致设备或设施损坏。这还可能导致进程故障和禁用对进程的控制。
(3)向运营部门报告的错误信息。这种情况可能会由于错误信息而导致实施不需要的或不必要的操作。此类事件可能导致可编程逻辑发生变化。这还有助于隐藏恶意活动,包括事件本身或注入的代码。
(4)安全控制装置被篡改。阻止故障保险的正常运行和其他保护措施会使员工甚至外部客户的生命处于危险之中。
4 增强工业控制系统信息安全的实践思考
尽管用于保护工业控制系统与企业IT系统的优先级和技术存在很大差异,但一些行业协会已经制定将ICS与IT系统连接或融合的标准和安全指南。目前,工业互联网联盟(IIC)、美国国家标准与技术研究院(NIST)和国际电工委员会(IEC),通过为工业网络部署纵深防御保护,在工业网络上启用安全设置,通过教育、策略和监控管理安全性等改善ICS网络安全。鉴此,为进一步增强ICS信息安全,在实践过程中可以采取以下措施。
4.1 做好安全网络基础架构设计
安全网络是设计使然。大多数自动化网络在几年甚至几十年内已经缓慢地部署、添加和修改。许多PLC网络和设备从未设计连接到工厂网络或互联网,并且通常缺乏强大的安全功能。由于首要任务是保持工厂运行,因此网络的设计更多地考虑了简单性而不是安全性。为了部署安全的工业网络,首先需要考虑的是“纵深防御”网络设计。纵深防御网络设计始于将网络划分为逻辑区域,每个逻辑区域都由工业防火墙隔离和保护。然后,在每个区域之间,可以设置防火墙规则,用于过滤或管理网络中各区域之间的数据通信。纵深防御设计旨在从内到外保护网络。以智能工厂为例,虽然在IT网络和OT网络之间部署防火墙很重要,但这还不够。在OT网络中,还应安装用于关键资产的附加防火墙,例如用于分布式控制系统(DCS)的控制器。设备越关键所需的安全保护就越多。这是纵深防御设计的基本原则。为使未经授权的人员更难访问关键系统,可以通过限制对单个区域的访问而不是授予对整个网络的完全访问权限来最大程度地减少安全漏洞的潜在影响。入侵防御系统(IPS)或入侵检测系统(IDS)是可以考虑用于工业网络系统的高级系统。IPS/IDS将监视网络数据中的恶意活动,它通常用于IT/办公室网络。但它也可用于工业控制系统网络,因为有越来越多的应用程序在基于Windows的工业计算机上运行。安全网络设计的另一个重要因素是安全的远程访问。与在笔记本电脑上使用VPN软件从家中访问企业网络类似,还可以部署加密的VPN连接以进行远程监视或远程维护。鉴于此,从保护网络基础结构做起:可以将ICS细分为多个子系统,并定义子系统之间的数据通信需求;在每个网段之间安装工业防火墙并正确配置数据通信策略(例如,阻止与受保护子系统进行不必要的数据通信);安装IPS或IDS以监控工业网络上的恶意活动;为任何远程监控或远程维护访问设置VPN连接。
4.2 进一步强化设备的安全性
支持工业网络安全的关键是强化设备安全,实施重点防护。这是指保护连接到工业控制系统的网络交换机、路由器和其他设备。其中一些方法包括用户身份验证、维护数据的完整性和机密性,以及使用身份验证来控制网络访问。这些都是我们在日常生活中使用自己的个人设备时可能遇到的所有事情。例如,在线访问银行或信用卡账户需要强密码。如果在一定次数的失败尝试后无法登录,则账户可能会被锁定,需要联系支持人员来证明身份。这是用户身份验证背后的基本概念。另一个示例是Web浏览器消息,该消息会在连接不安全时通知用户,因为用户尝试访问的站点需要或建议使用HTTPS进行加密的Web会话。这是数据完整性和机密性背后的基本理念。用户从新设备登录,必须通过注册的电子邮件地址或短信到已注册的手机来验证设备,这是身份验证和访问控制的概念。虽然大多数人都熟悉这些概念,但关键系统中的工业设备在部署时几乎没有安全配置是很常见的。在许多情况下,它们仍然具有制造商提供的默认用户名和密码。除了前面提到的安全设置之外,还应该考虑漏洞管理。计算机上进行过的Windows更新只是将修补程序应用于发现和修复的已知漏洞。漏洞几乎会影响每个软件和设备制造商的组件,因此与具有明确定义的补丁漏洞响应计划的供应商合作比以往任何时候都更加重要。鉴于此,强化设备安全性是关键所在:确认没有在设备上使用默认密码,尤其是网络设备,如工业以太网交换机、路由器、无线接入点或蜂窝路由器;选择至少包含八个字符且难以猜到的强密码;启用访问锁定功能;启用访问控制列表。此功能可以在工业网络设备上预注册设备IP或MAC地址,并且仅允许与访问控制规则匹配的设备使用网络;使用VPN或HTTPS会话对通过Web控制台远程访问工业设备的通信进行加密,这有助于防止敏感数据(如登录账户ID和密码)被盗;咨询设备供应商,了解如何在设备安全补丁和更新可用后的最短时间内获取它们。
4.3 周期性识别ICS安全风险
强化持续技术跟进和持续检测评估的模式。风险评估是识别ICS风险的重要手段,是实现工控系统信息安全纵深防御的前提,其主要作用就是准确地评估工控系统存在的主要信息安全问题和潜在风险,其风险评估结果正是工控系统安全防护与监控策略建立的基础和先决条件。同时,工控系统作为国家关键基础设施应用于各重点行业及领域,在生命周期的不同阶段,其风险评估重点也有所不同。故工控系统的风险评估,应该从设备的采购、运行、维护、报废阶段分别进行。通过定期开展风险评估工作,可识别当前ICS面临的威胁,识别威胁攻击路径。鉴于此,强化工控风险评估的周期性实施:定期开展风险评估工作,识别不同时期的关键风险点;识别工控系统不同资产的物理管控,确保无关人员和非授权人员不应接触终端和网络;组织专业队伍开展攻防演练,识别人员应急和技术应急储备;关注不同攻击点带来的攻击影响。
4.4 注重提高安全管理和教育水平
强化安全管理或监控网络安全理念,其中包括教育/培训使用ICS的工程师以遵守新的安全策略。确保网络安全政策和实践得到贯彻执行的教育可能是最重要的最佳实践,也是最难成功实施的。为了促进合规性,可能还需要考虑投资专用软件工具,以更有效地管理ICS安全策略。特别是一些工业网络管理软件可以帮助扫描网络设备,提供库存列表,以便轻松识别是否存在可疑文件或风险文件,并将其删除。某些工具甚至可以帮助用户始终如一地配置新设备以符合用户选择的安全设置,直观地验证设备是否已正确配置,甚至可以备份配置文件以帮助在发生事件时进行网络恢复。另一个重要功能是实时事件通知和日志记录,它会在发生安全事件(如多次失败的登录尝试、违反防火墙规则或设备配置更改)时通知用户。日志记录可以帮助查明漏洞,并在损坏发生之前修复它们。实际上,安全信息和事件管理(SIEM)系统是IT网络管理中非常重要的组件。因此,一些工业网络管理系统还提供API(如RESTful API)或支持通用网络协议(如SNMP),以便与现有SIEM系统集成ICS。鉴于此,进一步强化安全管理与教育:为设计、操作和维护ICS系统的操作员制定安全策略,政策还应考虑第三方承包商和设备供应商;培训和教育系统工程师了解网络安全的重要性并熟悉新政策;为端点、设备和网络设备制定安全策略;加大安全监控工具资金等方面的投入,用于监控和备份相关资产的安全设置;记录和备份工业控制系统设备与工业网络设备的事件日志;使用支持与现有ITSIEM系统集成的ICS,例如支持RESTful API或SNMP的系统。
5 结语
随着物联网的爆炸式发展以及新技术在工业领域的广泛应用,制造系统和过程控制变得越来越复杂,定期识别数据采集与监控系统的风险并确定其优先级,以便分析威胁并解决关键基础架构中的漏洞。随着智能制造战略的全面推进,工业数字化、网络化、智能化加快发展,工控安全作为国家关键信息基础设施的重要组成部分,已成为国家安全防护的重中之重。在工业网络安全以及万物互联的未来,传统OT系统成功转型到“第四次工业革命”,工业网络安全是我们每个人的工作,人人都可以发挥至关重要的作用。