总体安全保障框架
安全需求的变化图 1 对 2015 年发生的工控安全事件中,入侵工业控制系统所使用的关键技术
进行了统计,网络钓鱼仍然是被经常 使用的攻击方法,因为它是相对易于执行和有效的。
|
工业控制系统 安全需求的变化图 1 对 2015 年发生的工控安全事件中,入侵工业控制系统所使用的关键技术 进行了统计,网络钓鱼仍然是被经常 使用的攻击方法,因为它是相对易于执行和有效的。通过弱身份验证技术所发生的入侵仍处于一个比较高的比例,网络 扫描和 SQL注入的尝试也保持较高的比例。作为资产所有者应确保他们的网络防御措施能够解决这些流行的入侵技术。而根据 2014 年 ICS-CERT发布的数据,工业控制系统硬件制造行业发生的网络渗透事件高达 65 例,占总比的 27%。2014 的年度报告显示,在所有的攻击事件中,55% 的被调查事件显示,高级持续性威胁被用于攻击工业控制系 统的安全漏洞 。另有部分安全风险来自黑客活动、网络罪犯以及机构的内部威胁。报告称,由于缺乏归因数据,大部分 攻击难以追踪,245 例攻击中的 94 例尚无法确定攻击方式。图 1 FY-2015 Mid-Year: Attempted Infection Vector.① ① 引用自:ICS-CERT 的 2015 财年半年报 工业控制系统安全技术演进路线图 工业自动化控制系统正逐渐从封闭、孤立的系统转化为开放互联的系统,工业自动化生产开始在所有 网络层次上横向与垂直集成;将工业自动化控制网络与 IT 网络相连,以及为实现远程维护与 Internet 连接; 越来越多地采用开放标准以及基于 PC的系统。工业自动化生产领域在享受开放、互联技术带来的技术进步、 生产率提高与竞争实力大大增强的利益的同时,也面临着越来越严重的安全威胁。 攻击技术路线 结合 ICS-CERT往年安全事件的统计数据分析的结果可知,近年来,工业控制系统相关的安全事件正在呈快速增长 的趋势,且这些事件多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业。这与关键基础行业对于 现实社会的重要性及其工控系统的自动化、信息化程度较高有着紧密的关系。 由于大部分工业控制系统安全事件的相关报道和曝光程度相对较低,根据公开的信息整理了部分近年来的工业控 制系统安全事件列表如下,由此可以看出 ICS 攻击技术路线大致演变过程: |时间|事件简介| |2000 年|澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为 是新系统的磨合问题,后来发现是该厂前工程师 Vitek Boden 因不满工作续约被拒而蓄意报复所为。| |2003 年|美国俄亥俄州 Davis-Besse 核电站和其它电力设备受到 SQL Slammer 蠕虫病毒攻击,网络数据传输量剧增,导致该核电 站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。| |2006 年|美国阿拉巴马州的 Browns Ferry 核电站 3 号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致 3 号 机组被迫关闭。| |2007 年|攻击者入侵加拿大一个水利 SCADA 控制系统,破坏了取水调度的控制计算机| |2008 年|攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,致四节车厢脱轨。| |2010 年|西门子首次监测到专门攻击该公司工业控制系统的 Stuxnet 病毒,也称为震网病毒。| |2010 年|伊朗政府宣布布什尔核电站员工电脑感染 Stuxnet 病毒,严重威胁核反应堆安全运营。| |2011 年|黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏。| |2011 年|微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据。| |2012 年|两座美国电厂遭 USB病毒攻击,感染了每个工厂的工控系统,可被窃取数据。| |2012 年|发现攻击多个中东国家的恶意程序 Flame 火焰病毒,它能收集各行业的敏感信息。| |2013 年| 美国著名黑客巴纳比?杰克在旧金山突然神秘死亡,巴纳比?杰克生前的“明星事件”回顾: 1. 利用他独创黑客技术令自动提款机狂吐钞票 2. 扫描方圆 100 米之内的所有胰岛素泵,识别它们的注册码,将这些注册码程序化,并将它们分配给全部 300 个单位的 胰岛素,对于一型糖尿病患者来说,这是很容易致命的。 3. 9 米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列 830V高压电击,从而令“遥控杀人”成为现实。 | |2014 年|“蜻蜓组织”利用恶意程序 Havex(与震网类似),对欧、美地区的一千多家能源企业进行了攻击。| |2015 年|……| 表1 近年来发生的工控安全事件 通过对大量工业控制系统信息安全事件的分析,我们发现大多数的工业控制系统信息安全事件影响范围和危害程 度较大,且在此类事件中显露出来的攻击思路和攻击野在一段时间内会带来示范效应。结合传统 IT系统的攻击演变 过程,总结出工业控制系统的攻击路线图。 攻击者变化
图 2 工业控制系统攻击路线图 工控安全技术的发展 目前在役的工业控制系统大多是上个世纪末期开始研制的,由于当时的工业控制系统大多采用专用实时操作系统、 Arcnet、FDDI 等网络设备和令牌环、令牌总线等特殊的网络协议,整个系统相对封闭,受到入侵的可能性不大。同时 由于设计人员普遍缺乏信息安全的意识,在系统架构方面基本上没有考虑信息安全设计。 工业控制系统虽然长期“带病运行”,直到 2010 年左右 Stuxnet 蠕虫为代表的 ICS 信息安全事件使人们开始重 工业控制系统安全,也正是从这一时期开始,工业控制系统安全逐步被重视,大多数安全组织特别是国家力量开始对工 业控制系统的安全性进行研究,同时不少工业控制系统厂家都对原系统进行升级,但这些升级大多属于局部修改,未能 全面考虑信息安全问题,导致了信息安全风险的逐步扩大。 工控系统安全技术的发展看,目前工控系统的安全防护主要以边界防护为主。早期通过 IT防火墙或者网闸等产品, 通过基于 IP的策略来为工控系统提供安全防护,同时部分工控系统辅以入侵检测设备来对进入工控系统的流量进行审 计。从实际的应用的效果看,通过基于访问控制规则的防火墙技术可以在边界处有效的过滤对工控系统的访问流量,但 是,通过 IT防火墙缺乏对控制系统包的深度过滤,针对工控系统的攻击流量在加入到正常通信流量中时,往往缺乏有 效的识别,一旦攻击流量进行工控系统基本是可以在系统中“肆意而为了”;现阶段工控网络的边界处部署的防护措施 网闸是也一种常用的技术手段,网闸来实现生产控制系统与信息系统之间的隔离。通过网闸可以单向限制信息系统向工 控系统的数据传输,可以实现通过通信的双向认证实现对工控系统的防护,经历了几代技术的发展,网闸实现了基于单 比特数据响应和验证,由于数据格式内容的固定及数据传输输出字节数量的限制,可以保障传输数据的可靠性。 伴随着工业控制系统安全技术的发展,针对工业控制系统本身需求的工业防火墙出现了,比较早的引入国内的多 芬诺工业防火墙是国内较早采用工业防火墙,国内厂商陆续推出了工业防火墙,传统防火墙以黑名单策略配置为主,生 产控制系统操作中相关的指令操作生产系统中黑名单潜在导致生产操作中断的风险,工业防火墙大多采用白名单机制, 通过对已知的操作过程进行定义过滤掉非法的操作和指令等。从现有的工业防火墙产品看不但支持商用防火墙的基础访 问控制功能,更重要的是它提供针对工业协议的数据级深度过滤,实现了对 Modbus、OPC、S7 等主流工业协议和规 约的细粒度检查、过滤,以针对工控协议的设备地址、寄存器类型、寄存器范围和读写属性等进行检查,可防范各种非 法的操作和数据进入现场控制网络。针对传统隔离装置无法深度解析工业控制系统的规约和协议的协议,无法基于寄存 器地址和控制过程进行精细处理的情况,工业网闸技术除了具备隔离隔离装置的技术特性外,还可以实现对工业控制现 场的每个测点赋予“只读”或“读 / 写”两种不同的权限。当设为“只读”权限时,所有数据回置操作被禁止从而实现 单向数据传输,达到保护现场设备安全的目的。 从行业上看,电力工控系统(电力监控系统)同一生产环境中的不同区域之间采用单项隔离装置来实现不同区域 之间的隔离,在于其他生产环境之间联系的数据通道上仍然是采用了传统的 IT防火墙进行隔离,通过策略限制 IP通信 和限制传输传输端口,同时依赖于数据通道的加密措施和相关前置机本身具有的数据处理和查询机制的安全保障来提升 系统的安全性。石油和石化领域中部分生产企业已经使用了工控防火墙做生产系统与信息系统之间的隔离,部分企业采 用了工业防火墙做同一生产区域的不同安全区域之间的安全隔离;部分钢铁和关键制造业中也采用了工控防火墙做相关 区域的隔离,但是还没有形成一定的规模效应。烟草行业中存在多用应用形式,有 IT防火墙、工业防火墙和网闸,但 是都还没有形成大规模的应用。 从工业控制系统安全事件看,单纯的边界安全防护技术已经不能够解决工业控制系统所面临的安全问题,相关的 防护技术已经向纵深防护的方向发展,从工业控制系统的安全生命周期的角度来考虑工业控制系统的安全。从漏洞的挖 掘→漏洞检测→工控审计→工业蜜罐(蜜罐场)→未知威胁检测→态势感知→综合预警的方向发展,以及综合应用相关 技术来提升工业控制系统所面临的安全威胁。从研究力量上看,原有的信息安全企业、研究机构和大学已经开展了针对 研究,工控系统的企业、研究机构和大学也在逐步开展针对工业控制系统的安全研究,但是,从整个产业的发展看,整 体工业控制系统安全的与工业控制技术在融合方面还有一段距离。 工业控制系统为了保障业务的稳定运行,也开发了大量的功能安全功能,功能安全的技术,通过多点失效保障与 表决机制等,来保障执行一个关键操作,其中更多是防止误操作对工业控制系统的影响,而功能安全所具备的失效保障 的措施,在应潜在的对外部攻击所导致的功能失效方式也起到一定的作用。但是安全系统ppt,随着工业控制系统信息化的程度的加 深,必然导致了工业控制系统受攻击面在增多,融合实际的操作规程要求、融合实际的功能安全属性、基于业务的流程 与工艺的行为建模和分析,形成信息安全技术手段与业务有机的融合的技术,才能在工业控制系统信息安全领域实现真 正的突破。 另一方面随着智能电网、中国智造、能源互联网、中国制造 2025 等新型业务形态的出现,一些新的业务运行的形 势的出现,如智能发电、虚拟电站、智能风电、智能工厂、云工厂等出现,使业务系统之间的交叉和连接关系变得更加 复杂。传统控制系统的边界已经开始变得不那清晰,原有的以边界防护为主手段的防护体系必将面临的重大挑战。融合 工控安全技术、虚拟化安全技术、云安全技术、大数据等技术的防护体系会成为未来工控安全发展的一个重要方向。 总体安全保障框架 工控系统安全使命 :
满足合规性需求 保障生产安全 图 3 总体安全保障框架 基于绿盟科技对工控系统安全需求的理解,结合国内工控安全的规范要求及国外相关标准内容,绿盟科技提出从 技术、管理和运行三个维度来保障来保障工业控制系统安全。三个保障维度中主要包含:网络边界防护、安全纵深防护、 安全运行管理和安全管理制度要求等几个方面,融合了技术、管理和运行的要求来保障工业控制系统的安全。同时,我 们结合工业控制系统运行阶段的特点,提出了针对工业控制系统的三个能力建设,包含从上线前的安全检测、安全能力 部署、安全运行三个阶段,覆盖工业控制系统运行周期的安全保障。 参考资料 绿盟 2015绿盟科技工控安保框架白皮书 友情链接 核动力厂网络安全技术政策(试行)2021 (编辑:财气旺网 - 财气网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
