工控安全防护的误区
2018-03-03雷远东
尽管工业控制系统的网络安全问题已经引起很多国家和权威机构的高度重视,但是对于相关企业和从业者来说,仍然是一个很新的领域,工作上还存在很多误区,主要包括如下几个方面:
1.工控系统是与外界隔离的。实际上,基础设施领域不仅包括生产和控制系统,还包括市场分析、财务计划等信息管理系统,生产系统与管理系统的互联早已经成为工控系统的基本架构,与外界完全隔离几乎不可能;另外,维护用的移动设备或笔记本电脑也会打破系统与外界的隔离,打开网络安全风险之门。
事实证明,不管多严格的隔离措施也会有隐患发生。2003年Davis-Besse核电站被Slammer蠕虫病毒侵入;2016年13家Daimler-Chrysler汽车企业因感染Zotob蠕虫病毒被迫停工;2008年有超过千万台的设备受到Conficker蠕虫病毒的攻击,包括所谓隔离了的设备。
2.没有人会袭击我们。上个世纪,虽然有些零星攻击事件发生,但是公众对工控系统网络安全问题并没有足够重视。直到2000年澳大利亚MaroochyShire排水系统受攻击事件报道之后,人们才意识到工控系统一旦受攻击有可能造成严重后果,在该次事件中,由于数据采集和监控系统(SCADA)受到攻击,导致大量污水直接排放到环境中。
而且,主流黑客工具已经集成有其中一些漏洞的攻击方法。越来越多迹象表明,工控系统已经受到黑客、政治对手、不满的员工或犯罪组织等各类攻击者的目标关注。
3.黑客不懂我们的协议/系统,系统非常安全。实际上,工业环境中已广泛使用商业标准件(COTS)和IT技术;除了某些特殊环境,大部分通讯采用的是以太网和TCP/IP 协议 ;ICS、监控站点以及嵌入式设备的操作系统也多以微软和Linux为主,其中微软已通过智能能源参考架构(SERA)打进电力行业,意图将微软技术安插到未来智能电网架构的核心中。那些特殊环境采用的内部协议其实也有公开的文档可查。
典型的电力系统通讯协议定义在IEC和IEEE标准中都可以找到,像Modbus这些工业协议,不仅可以轻易找到详细说明,其内容也早已被黑客圈子熟知。
另外,由于工控设备功能简单、设计规范,只需少许计算机知识和耐心就可以完成其逆向工程,而且大部分的工业协议都不具备安全防护特征,有些应急工具甚至可以自动完成逆向工程。
4.工控系统不需要防病毒软件或有防病毒软件就可以了,防火墙会自动提供安全防护。实际上,除了Windows平台易遭受攻击,Unix/Linux都有过病毒或跨平台病毒攻击的经历。比如Proof-of-concept病毒是专门针对SCADA和AMI系统的,所以对于工控系统,防病毒软件不可或缺,并且需要定期更新。但是有了防病毒软件并非能够高枕无忧,虽然当前措施可以抵御大部分已知的恶意软件,但对更隐蔽或鲜为人知的病毒的防御还远远不够,而且防病毒软件自身也存在弱点,经过测试,部分防病毒软件甚至能够在几分钟之内被攻破。
另外,虽然防火墙也是应用最广泛的安全策略之一,但其发挥效用的前提是必须正确设置了防火墙的安全规则,即使使用智能型防火墙,也需要自定义安全规则。
研究表明,由于设置规则比较复杂,目前80%的防火墙都没有正确配置,未真正起到安全防护的作用。
5.网络安全事件不会影响系统运行。事实证明,工控系统在遭受攻击后不仅可能影响运行,还可能导致严重后果。前面提到的澳大利亚MaroochyShire排水系统受攻击事件就是一例。另外,攻击者也会想方设法接近工控设备,如向收集到的目标企业工作人员邮箱地址发送电子邮件,一旦邮件内链接被打开,恶意软件就会下载到工作站,通过这些恶意软件,攻击者就可以全面控制工作站和SCADA系统。
6.工控组件不需要特别的安全防护,供应商会保证产品的安全性。人们能够理解工控系统核心组件(如数据库、应用软件、服务器等)安全的重要性,但经常忽视工控系统外围组件(如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等)的安全防护。其实这些外围设备很多都内置有与局域网相连的网络接口,采用的也是TCP/IP协议,这些设备运行时可能还有一些调试命令,如Telnet和FTP等,未得到及时屏蔽。
实际上供应商对他们产品的认识仅限于产品所能提供的功能方面,对出现的安全问题做不到快速响应。
2008年研究人员发现工控系统特有的数据通讯协议(WonderwareSuitlink) 存 在漏洞后,立即联系了供应商Wonderware,但Wonderware一个月后才回应,等到Wonderware认识到产品缺陷,并通知用户补救时,已是三个月以后的事了。
7.工控系统的接入点容易控制。工控系统存在很多未知或已知但不安全的接入点,如维护用的手提电脑可以直接和工控系统网络连接等。实际上很多工控系统的所有者并不知晓有多少接入点存在以及有多少接入点正在使用,也不知道个人可以通过这种方式访问工控系统。
8.系统安全可以一次性解决或是可以等到项目结束再解决。以前,工控系统功能简单,外部环境稳定,现场维护设备也非智能型,所以,针对某一问题的解决方案可以维持很长一段时间不变。然而,现在的工控系统功能复杂,外部环境经常变化,现场维护设备也需要定期更新和维护。不仅工控系统和现场维护设备需要安全防护,其管理和维护工作也需要安全防护,而且是动态管理的安全防护,即一旦有新的威胁或漏洞产生,就要及时采取安全措施。
近年来,虽然工控系统项目建设开始关注安全,但由于工期较长,通常在最后阶段才开始考虑安全防护问题,但此时不仅实施不易,而且成本颇高,因为需求变更越晚或漏洞发现越迟,更改或弥补的费用越高。
9.单向通信百分百安全。某些情况下,极重要的工控系统运行以单向通讯方式与其他安全区域连接,但是这种连接方式很不严密,其安全程度高低取决于单向通信的实现方式。
方式一为限制发起方方式,即通信只能由某一方发起,然后双方可以互相通信;方式二为限制负载流方式,即在方式一基础上,对方只能发送控制信号,不能发送数据或应用信息;方式三最严格,仅允许一方发送信息,不允许另一方发送任何信息。
方式一采用基本防火墙就能实现,方式二需要进行消息包检测,方式三需要采用特殊设备实现。通常认为将前两种方式结合起来将是最安全的防护措施。但即使可以提供很强的安全保护,网络攻击还是有可能发生的。因为控制和信号信息允许进入受保护区域,经过设备编译后,恶意代码就有可能得到运行,所以单向通信并不能提供100%的安全保护。