工控网络安全浅析
2021-02-27黄杰
◆黄杰
工控网络安全浅析
◆黄杰
(中国石油西南油气田公司天然气净化总厂 重庆 400021)
工控网络即工业控制网络,广泛应用于石化、电力、冶金、航天等诸多现代工业。随着工业化与信息化的深度融合、“智慧工厂”建设的大力推进,工控系统的受到的关注越来越高,工控网络安全问题更加突显。本文浅析了目前工控网络在“两化融合”背景下的安全现状和面临的安全风险,并分析了一些安全防护方法。
工控网络;网络安全;脆弱性;两化融合
1 前言
2017年6月1日《网络安全法》正式实施,突显网络空间已经成为继海、陆、空、天之后的第五大国家主权空间,工控网络作为网络空间的重要组成部分,涉及国家命脉、关系国计民生,应用范围广泛,应当予以充分重视。
目前,我国工控系统整体的安全状况形势严峻,具体有以下几个方面:一是多数企业在工控网络安全方面的投入相对不足;二是服务于工控网络安全方面的资源较少;三是工业互联网对工控安全带来了前所未有的新挑战;四是工控系统核心技术多由国外企业垄断;五是工控网络安全相关的人才储备严重不足。
2 工控网络结构
工控网络可以简单理解为工控系统中的网络部分,工控系统需要通过各种仪表、传感器采集实时生产数据,实现对现场设备的控制。图1是工控网络的典型架构,将工控网络分为了现场总线控制网络、过程控制与监控网络、企业办公网三个逻辑层,下面将具体说明。
图1 工控网络的典型架构
现场总线控制网络包含了现场设备层和现场控制层,它们之间利用现场总线技术将传感器、继电器等现场设备与PLC、RTU等现场控制设备相连,直接采集现场数据到DCS,完成基本的数据采集和过程控制;向上是过程控制与监控网络,包含过程监控层和生产管理层。其中过程监控层负责监控及展示生产数据,生产管理层主要为上层企业网络提供数据支持;最上层是企业办公网络,主要通过对各种数据的应用进行辅助决策。
3 工控网络脆弱性分析
工控网络最关注的是可用性,因为工业生产环境恶劣,但对设备的稳定性要求又极高,这就使得以前的工控设备在设计时就将的功能简化,没有多余的算力来支持网络安全程序的运行。所以工控网络天生脆弱。
3.1 设备的脆弱性
生产现场的各种智能仪表、传感器等采集设备通过现场总线与PLC、RTU等控制设备相连,没有用户认证、数据加密等安全功能。同时工控协议中天生存在着各种安全漏洞,而且多数厂商的工控系统存在私有通信协议,在数据交互的过程中无法实现基本的访问控制策略和认证机制,即使在不同安全等级的网络之间配置了边界隔离设备,仍然存在因策略配置不当而被穿透的风险。
3.2 网络的脆弱性
信息化技术可以为企业要提质增效,同样也能让工控网络和办公网络亲密无间,企业在享受信息技术带来的变革时,也必须面临更多安全问题。本就不太健壮的TCP/IP协议在和OPC协议相遇后随之而来的是更多的安全漏洞,Linux和Windows等通用产品在漏洞威胁日益严峻的今天将给工控网络带来更大的暴露面。国与国之间的网络战已经日趋常态化,而工控网络正是被攻击的重点,这显然已经对国家安全带来了前所未有的严峻挑战。
3.3 安全意识薄弱带来的脆弱性
在我们的日常生活中广泛存在弱口令、密码复用等都是因为网络安全意识薄弱而导致的结果。工控系统历来注重可用性,对安全性问题考虑不足,网络安全策略更是无从谈起,企业的工控网络安全管理制度也多是流于形式。技术与制度两方面的缺失从而造成人员网络安全意识淡薄。而工控网络安全在国家安全中所占比重的日益增加,以及信息技术在工控系统中的广泛应用,安全意识将成为工控网络安全的最大风险。
4 典型网络威胁
4.1 高级持续性威胁
高级持续性威胁(APT)是一种隐匿而持久的网络攻击行为,针对特定的目标发起定向攻击,通常是为了获取组织或国家的机密信息。APT攻击过程较为复杂,不仅是攻击手段多样化,而且还大量运用各种最先进的技术,其主要特征是攻击持续性长、针对性强、技术性强、复杂度高,是一种不计成本的攻击方式。所以APT攻击背后都有技术力量强大的团队支撑,甚至是国家层面的行为。这些特性也让传统的网络安全防御手段失效,很难进行有效防范,从而带来较为严重的安全问题。
4.2 工控网络安全漏洞
传统的工控网络是一种专用网络,处于一个相对封闭的网络环境,因此工控系统在设计之初都认为不会有安全威胁而忽视了安全性考虑。工控网络中的数据传输都是没有加密的明文,也没有任何身份认证机制,在系统正式运行前几乎不会进行安全漏洞检测,在投入生产后为了保障可用性,也很少会对系统和软件进行升级。这样脆弱的工控网络直接接入互联网就如同在温室中培养出来的花朵突然暴露在烈日、暴雨之下,毫无安全性可言。
图2显示了已知公开的工控相关安全漏洞在不同产品上的分布情况。其中上位机软件和各类系统的漏洞占据了多数,下位机的漏洞主要集中在PLC上,服务器和网络设备也占据了一定的比例。
图2 2000-2016年公开工控漏洞影响产品统计数据
4.3 安全设计缺失
除了被动的威胁,还有工控网络先天不足所造成的主动威胁。由于“震网”事件的影响,在2010年后针对工控系统的网络攻击出现了大幅增长,主要是因为大量使用中的工控系统,存在网络安全设计严重缺失的问题。
究其原因是制造厂商将工控系统的可靠性与可用性在设计时放在了首位,忽略了控制系统本身的安全性,系统中没有有效的安全防护策略。网络架构“无纵深”、系统应用“无防护”和运行状态“无监测”的“三无”情况普遍存在于各种工控系统中。从系统的底层架构、交互逻辑到控制器的固件程序、使用的通信协议以及人机交互界面等都存在各种漏洞或缺陷,使得系统无法应对网络中的安全风险。而且因为兼容性等原因工控系统中的防护软件基本处于失效状态,使系统极易感染网络病毒、木马等,也很容易成为攻击目标。
5 安全防护解决措施
工控网络安全防护的核心应该是建立以安全管控为中心,辅以适合工控网络特性的安全技术,进行有目的、有针对性的防御。石化行业在我国经济建设中占据重要地位,其发展受到诸多关注,这一行业的高危性使得解决其生产过程中出现的安全问题成为当务之急。
将我国工控系统的网络安全防护能力与传统基于TCP/IP协议的网络系统进行对比,前者的安全性明显偏低,并长期以来关注也较少。随着“两化融合”的大力推进,以大数据、物联网、云计算、5G为代表的信息技术越来越多的应用到工控系统中,在为工业生产带来极大推动作用的同时,也给工控系统带来了新的安全问题。针对企业的业务需求和工控系统的特点,需要工控厂商发挥引领作用,工控企业要明确安全需求,共同着手建立健壮性的机制,让工控系统具备由内而外、与生俱来的安全防护能力。
5.1 运用工业防火墙和智能保护设备
加快工业防火墙和智能保护设备在工控网络中的运用,让它们逐渐成为工控网络边界防护和终端防护的常规手段。工业防火墙最突出的一点是内置工业通讯协议的过滤模块,支持对各种工业协议的解析及过滤,实现对控制指令识别、操作地址和参数的提取等,弥补普通防火墙不支持工业协议过滤的不足。智能保护设备是部署在各个终端节点上的网络保护设备,防御来自外部、内部其他区域及终端的威胁。在企业管理层、MES层、过程监控管理层之间分别部署工业防火墙和智能保护设备,可以有效地保障系统的安全性和可靠性。
5.2 终端设备防护
终端设备是指工控系统中使用的计算机,包括工程师站、操作站和服务器等,也称为工控主机。这些终端设备直接连接到控制器,因而对其进行安全防护十分关键。以防止病毒、木马通过终端设备侵入系统为主要目的,采取的主要措施有:减少不必要的功能和应用,操作系统和应用软件都遵循系统最小化原则;应用基于“白名单”和“黑名单”相结合的防护技术,在系统稳定运行后通过规则匹配、深度学习等方法自主建立合法的“白名单”,在没有特征库的情况下也能发现病毒和网络攻击等异常情况;对端口的使用进行限制,使用USB端口管控工具控制外部移动存储设备的准入,并对所有接入的移动存储设备进行审计。
5.3 网络完整性系统
网络完整性系统用于预防、检测和补救工控网络所面临的威胁。它可以识别系统中的漏洞和风险、管理不同厂商的控制系统、对工控系统进行全面健康分析和事件响应、通过备份关键控制系统数据来快速恢复系统,并支持安全事件审计。是在工控网络上部署主动的、智能的入侵防护系统,以旁路方式接入,通过数据流镜像,主动采集工控系统的网络数据进行分析,实时查找网络的异常情况和攻击线索,监测网络的通信状况,及时发现网络攻击和病毒的异常传播,拦截所有可疑的数据包,终止入侵,保护系统不受攻击。
5.4 落实管理制度
再好的技术没用配套的制度,也不能保障其正常的运转。落实有效的工控系统网络安全管理制度是实现安全防护的关键。得益于《网络安全法》、《等保2.0》等相关法规的实施,从法律层面上明确了网络安全的职责,也为相关制度的落实提供了有力支撑。要体现出相应组织机构的职能,制订安全方针,落实安全职责,负责工控网络的安全防护工作。按照国家法规和有关规定对工控系统实行全生命周期管理,持续开展工控系统网络安全风险评估,落实系统安全整改、系统安全升级等技术方案,采取切实可行的综合防控措施,确保工控系统的安全稳定运行。同时,不断总结有效防护经验,全面培训相关技术人员,制订应急预案并进行演练,不断提升安全防护水平。
6 结语
在今天信息化与工业化深度融合的环境下,工控网络安全已经成为当前工控网络安全领域的焦点。结合自身工作经验和现状提出几点建议:要结合信息技术和工控系统各自特点,加快安全标准和规范的制定;构建工控系统专有漏洞库,对漏洞进行分级管理;相关的管理制度和防护措施要服务于工控系统网络安全的全生命周期;加强员工网络安全意识和防护水平培训;对工控网络安全中出现的问题要通过技术手段和管理制度多管齐下,切实保障系统的安全运行和生产安全;加大工控网络安全人才的培养。
[1]伍锦荣.工控系统网络安全现状及解决方案[J].石油化工自动化,2017(4):4-5.
[2]工控系统行业漏洞平台[DB/OL].http://ivd.winicssec.com.2018.
[3]国家信息安全漏洞共享平台[DB/OL].http://www.cnvd.org.cn.2018.
[4]中国报告网[DB/OL].http://www.chinabaogao.com.2018.