智能化工业控制系统的信息安全保障
2015-10-27张建军程鹏
张建军 程鹏
工业控制系统是国家关键基础设施运行的“大脑”。随着两化深度融合的不断推进,工业控制系统研发设计、生产装备、流程管理、物流配送、能源管理,正在从数字化、网络化迈向智能化。对国内工业控制系统及其信息安全基本状况的调查结果显示,我国工业控制系统防护面临日益严峻的信息安全形势,认真分析工业控制系统信息安全的主要脆弱性,加强国内信息安全工作迫在眉睫。
制造业是国民经济的主体,是立国之本、兴国之器、强国之基。推进信息化与工业化深度融合是我国实施制造强国战略第一个十年行动纲领《中国制造2025》的战略任务和重点之一,而智能制造则是两化深度融合的主攻方向。工业控制系统作为智能制造的重要组成部分,作用和影响巨大,其信息安全正面临着严峻的挑战。
工业控制系统广泛应用于电力、石油化工、核能、航空、铁路等行业,是这些国家关键基础设施运行的“大脑”。现代信息技术与现代控制技术的深度结合,在为控制技术带来新的创新机会、为企业带来新的商业模式的同时,也将信息网络中的信息安全问题一起带入了现代工业控制系统中。从2010年众所周知的“震网病毒”事件,2011年“Duqu病毒”和2012年的“火焰病毒”,到今天互联网上随处可见的黑客攻击工具,处处展现的是工控系统遭受攻击的“战况”,充分显示了工业控制系统信息安全问题的现实迫切性。因此,以美国为代表的“工业互联网”、以德国为代表的“工业4.0”,都将信息安全作为重中之重。从2011年开始,国务院先后出台《工业转型升级规划(2011—2015)》、《关于大力推进信息化发展和切实保障信息安全的若干意见》、《中国制造2025》等一系列文件,都强调了两化融合中信息安全保障的重要性。
工业控制系统智能化过程中
信息安全挑战加剧
随着两化深度融合的不断推进,工业控制系统研发设计、生产装备、流程管理、物流配送、能源管理,正在从数字化、网络化迈向智能化。信息通信技术正在从单项业务应用向多业务综合集成转变,从单一企业应用向产业链协同应用转变,从局部流程优化向全业务流程再造转变,从传统生产方式向柔性智能生产方式转变, 国内大量企业在国家支持和自发驱动下,开展了升级换代工作,主要有如下几种方式:
在原有工业控制系统中,增加通信模块,将工业生产数据实时传输给生产管理系统,提高生产效率;
在原来相对独立甚至封闭的工业控制网络里,增加路由网关设备,保持相关生产系统间的联动以及生产管理系统的实时监控;
购置新工业控制系统,系统具备先进的智能通信设备,可实现一体化的智能生产。
在上述智能化过程中,信息安全保障工作却进展缓慢,体现在如下几个方面:
信息安全空白:借助信息化手段提高生产效率的同时,并没有考虑信息安全防护措施,有些工业控制系统甚至与互联网保持“亲密接触”。中国电子科技网络信息安全有限公司(以下简称中国网安)的“工业控制系统接入互联网威胁感知系统”目前已探明连接互联网的工业控制系统有万余个,涉及供热、供水、能源等众多城市关键基础设施。
信息安全浅表化:部分企业为了满足生产联动,将原来相互独立的工业控制系统互联,或者将生产控制网接入到企业管理网;为了满足信息安全需求,虽然增加了信息安全防护设备,但使用的却是信息系统常用的防火墙。此类信息系统的防火墙并不支持常用的工业控制协议,因此安装的防火墙防护作用非常有限。此类现象目前非常普遍。
信息安全僵化:个别企业认识到工业控制系统信息安全的重要性,在工业控制系统改造过程中,主动增加了安全防护措施,例如工业防火墙、工控网络监控系统,但由于工业控制系统对高可靠运行生产的要求,作为使用方,在信息安全运维过程中,相应的信息安全策略并没有随着外界攻击技术的发展而调整,导致在实际运行过程中,信息安全问题依然时有发生。
两化融合中,信息安全保障不到位,但是针对工业控制系统的攻击技术却呈现出日新月异的发展趋势,主要体现在:
攻击工具层出不穷:针对工业控制系统的攻击工具,被黑客制作并散布在互联网上,使得攻击成本越来越低。
攻击范围迅速扩大:早期针对部署在关键基础设施的工业控制系统进行攻击,需要较强的攻击能力;但随着工业控制系统信息安全问题公众化后,许多黑客开始利用互联网上轻易得到的攻击工具,瞄准很多基本不具备信息安全防护能力的行业或企业进行攻击,虽然没有严重的恶性事件,却造成严重经济损失。
攻击频率不断增加:越来越多的黑客开始借助工具,对工业控制系统进行持续攻击,严重影响了生产效率。
攻击后果愈发严重:早期针对工业控制系统的攻击以窃取资料为多,但随着黑客攻击的普及化,为追求“轰动效益”,很多攻击就演变为破坏工业控制系统,直接导致停产甚至是生产线损毁,给企业造成重大经济损失,例如有企业因为蠕虫攻击导致损失3000万元。
我国工控系统信息安全防护
不容乐观
根据中国网安的调查,国内工业控制系统国产化率低,尤其是中高端系统严重依赖国外进口设备。以近几个月针对煤矿、化工厂、环保材料的若干家企业深入调研为例,调研对象涵盖工业控制系统组态软件、工程师站、操作员站、控制器,包括DCS、PLC等,工业控制系统及相关设备国产化情况见表1:
调研还发现一些较为严重的问题,比如工业控制系统连接互联网、移动介质随意接入控制网内计算机、使用无线设备时缺乏安全防护等等。
国内工业控制系统信息安全防护状况不容乐观。
重要工业控制系统运行基本正常,存在偶发安全事件。从实地调研情况来看,工业控制系统虽然没有发生影响巨大的恶意信息安全事件,但受调研企业或多或少发生过工业控制系统因计算机病毒引发的信息安全事故,影响了企业正常生产。如某化工企业辅助系统的操作站曾因感染病毒,导致操作站不断重新启动,影响生产辅助系统管网压力异常波动,进而影响多个重要的生产装置的稳定生产;某制造企业MES系统因移动介质和移动计算机接入控制不严,导致计算机病毒的引入和蔓延,对MES系统造成影响。endprint
工业控制信息安全防护设备应用尚未普及。在网络安全防护方面,普遍使用的是信息系统防火墙产品,无法对工业控制系统实施有效的信息安全防护;极个别企业的重要工业控制系统在数据采集监控层和控制层之间安装了专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题。据受调查企业普遍反映,由于企业安全意识薄弱和职责不清问题,专用的工业防火墙等工业控制信息安全防护产品尚未得到大规模应用。
在过程工业及关键行业里,一些重要工业控制系统,未部署信息安全防护产品。部署在关键行业的工业控制系统,本来是严格执行网络物理隔离,网络边界相对安全。但随着先进信息技术的引进,例如机器人无线控制、恶劣环境无线监控等,带给生产效率提升的同时,也使得原来处于相对封闭状态的控制系统开始暴露在外。
工控系统信息安全的主要脆弱性
工业控制产品漏洞屡见不鲜
根据中国网安的整理,截至2015年9月10日,中国国家信息安全漏洞库(CNNVD)、Common Vulnerabilities & Exposures(CVE)、The Industrial Control Systems Cyber Emergency Response Team(ICS-CERT美国工业控制系统应急响应小组)三大组织公开发布的与工业控制系统相关漏洞数量为568个,涉及国内外相关厂商120个。
目前工业控制系统使用的现场控制设备、过程控制自动化软件、工程师站、操作员站、OPC接口机等设备中大量使用了标准的信息网络技术或产品。这些技术和产品并没有针对工控系统的应用环境进行优化和专门设计,导致为工控系统引入了大量的“冗余功能和配置”。工控系统的设计、实施、工程人员并没有意识到这些“冗余功能和配置”所引发的安全问题,仍然按照老思路实现控制功能。也有一部分工控厂家、控制系统开发人员注意到了信息安全,但由于相关知识和技能的缺乏,控制系统自身设计、实现的安全功能不仅没能充分利用信息系统所提供的基础安全技术和功能,而且还存在一些设计上的错误和缺陷(如:不正确的密钥管理、口令保护措施等)。如前所述,在所调研单位使用的厂商相关设备漏洞中,罗克韦尔公司相关设备高危漏洞4个,西门子公司相关设备高危漏洞7个,横河公司相关设备高危漏洞6个。Windows XP操作系统截至SP3补丁更新时高危漏洞239个,在2014年4月8日停止服务支持后,发现的高危漏洞为119个,共计358个。典型的工业控制系统信息安全高危漏洞如表2所示,造成其中的原因见表中说明一栏。
工控网络安全防护薄弱点较多
网络边界防护措施薄弱。大部分企业中,因为工业控制系统类型的多样化以及安全管理意识和职责不明确等原因,一方面网络间的数据传输和授权管理未实施明确的安全策略,另一方面企业管理层连接互联网,从而导致互联网用户可以利用企业管理网络系统的漏洞,通过“隧道”方式直接获取生产控制网关键设备的运行控制数据,对工业控制系统运行带来造成重大安全隐患。
网络配置脆弱性。突出表现在,企业为了确保整个网络的稳定和高效,一是相关网络交换设备几乎从未配置安全策略;二是在网络设备不配置密码口令或密码明文传输,且密码位数低甚至口令长时间不更改;三是无线网络应用越来越多,但无线终端和AP之间认证机制未采用安全认证机制方式,很容易被截取。
缺乏有效的网络独立审计系统。很多工业控制系统已运行使用多年,相比现在的大多数网络攻击,现场控制设备通信能力非常有限,致使控制网内稍有风吹草动就会产生后果,例如利用网络地址解析协议(ARP)的欺骗攻击,轻则影响控制数据实时传输,重则导致现场控制设备出现通信故障。有效的网络独立审计系统,可以及时发现网络威胁并报警,但大多数工业控制系统都缺乏此类设备。
终端安全管理问题突出
工业控制系统计算机最大特点是相对固定,各工程师站、操作员站和OPC接口计算机等大都采用WINDOWS系统,这些系统常年无法升级补丁,也没有相应的病毒防护措施。一旦移动介质管理出现疏忽,则会导致病毒等感染事件频发。
部分企业在工业控制系统检修或排除故障过程中,使用远程维护或诊断,或者使用外部移动终端,同时未采取严格的安全措施,可能导致系统的非授权访问。同时移动终端自身的安全问题(如病毒、木马等恶意程序),也可能感染整个系统。对于使用国外品牌而开放远程诊断维护的工业控制系统,这一问题显得尤为突出。
缺乏有效的全生命周期安全管理
工业控制系统普遍缺乏有效的手段对远程维护操作、移动终端访问、设备配置更新等重要操作行为的有效管理,大多依赖手动“作业单”方式。
工业控制系统生命周期一般在15~30年不等,而支撑工业控制系统运行的硬件设备(如工程师站、操作员站、服务器、交换机等)、应用软件(如操作系统、数据库、组态软件等)、网络结构和安全防护措施仅能适应最初设计的应用条件。
随着工业控制系统所支撑工艺的成熟、产量的增长,运维的需求大大增加,这就促使运维人员不断将工业控制系统运维的信息化产品(硬件、软件等)接入到工业控制系统网络、生产网络、企业管理网络、甚至互联网中,以提高生产效率。
这种“私搭乱建”现象却给企业控制系统生产带来了极大的安全隐患,而安全管理手段的缺乏,使得在原有基础上出现了很多管理者完全不了解的工业控制网络。
操作人员信息安全意识和技能
有待提高
由于工业控制系统信息安全涉及到多个部门,在企业内部,工业控制系统的管理主要涉及设备管理部门(如自动化部/设备处),信息安全管理主要涉及信息化管理部门(如信息中心),不同部门管理的对象和重点有所区别,现阶段多数企业存在职责不清的问题。
另外,自动化专业的操作人员对于信息安全的意识和技能尚有不足,实际操作中不能有效贯彻执行公司统一的信息安全策略,所以在多数企业中存在着信息安全管理制度执行难的问题。
加强工业控制系统信息安全
对策建议
面临日益严峻的信息安全形势,针对薄弱的工业控制系统防护现状,加强国内信息安全工作迫在眉睫。当前工业控制系统信息安全保障工作应按照国家网络与信息安全相关政策和制度要求,开展重点行业工业控制系统信息安全风险评估,加强重点行业工业控制系统信息安全防护建设,为两化融合创造可靠的信息安全保障。
工业控制系统信息安全不仅是国家安全的体现,更是企业发展的现实需求,因此加强工业控制系统信息安全应当是“整体联动、可持续发展”的智能安全,即国家自上而下的体系化指导、产业化引导,企业自下而上的主动配合、自发实践。
国家体系化指导:建立面向工业领域的信息安全技术支撑、产品检测、检查评估综合保障体系,加强人才队伍建设,为企业加强工业控制系统信息安全提供指导。
国家产业化引导:加快建设仿真测试、持续提升工业信息安全保障能力。推广安全可靠的工业控制系统信息安全产品及技术,增强自主可控能力和企业信息安全水平。
企业主动配合:按照国家的统一要求,积极开展企业工业控制系统信息安全检查评估工作,协助国家掌握和提高工业控制系统信息安全防护水平。
企业自发实践:按照企业的业务发展需求,积极开展工业控制系统信息安全实践应用,在保障企业安全的同时,协助国家完成工业控制系统信息安全布局。
依据中国网安在工控信息安全领域多年经验,可以区别对待在役的存量工控系统和新建的增量工控系统,深入开展信息安全检查工作,加强工业控制系统资产管理工作。按照“固隔监”的安全防护思路,利用存量系统的停车检修时机,做好工控系统边界信息安全防护,实现工控网络独立审计,加强工控信息安全管理和运维工作;对于增量系统,可以在设计环节就增加信息安全整体防护措施,最终做到工业控制系统全生命周期的信息安全保障。(本文所介绍情况均来自中国电子科技网络信息安全有限公司的调研和研究成果。)endprint