工控网络安全风险分析与应对策略

2024-06-11胡博元宣中忠张建国

现代工业经济和信息化 2024年2期

白强，胡博元，宣中忠，张建国

（首钢长治钢铁有限公司炼铁厂，山西长治 046000）

0 引言

首钢长治钢铁有限公司（以下简称长钢公司）近期经过工控安全防护能力评估发现，其工控安全措施及防护水平均相对落后，公司的工控安全缺乏有效防护措施。长钢公司对此进行了深入思考，认识到工控安全防护能力的提升对于企业的稳健运营至关重要。因此，公司决定加大投入，全面提升工控网络的安全防护水平。

1 工控网络安全风险分析

传统IT 系统的安全三要素按CIA 原则排序，即机密性最重要，完整性次之，可用性排在最后。工业控制系统ICS 的安全目标应符合AIC 原则，即可用性排在第一位，完整性次之，机密性排在最后。

1.1 工控系统安全方面

工控系统由于受到资源限制以及未能针对互联网进行优化等原因，为了确保实时性和可用性，通常缺乏安全性的设计考虑。这种状况造成了一个结果，那就是无法构建一个能够有效进行技术研究的体系。考虑到上述局限，长钢公司决定引入外部安全咨询团队，以便利用专业知识进行系统安全的全面评估。同时，公司还准备与安全解决方案供应商建立合作，引入先进的安全技术，如入侵检测系统（IDS）和入侵防御系统（IPS），提升防护能力。在策略制定方面，长钢公司计划制定一套针对安全性升级的短期和长期计划，这包括立即采用的紧急修补措施，以及逐步实施的系统升级和改造。安全培训和意识提升也是计划的一部分。针对所有操作员和维护人员的周期性培训课程将被开发和执行，以加强他们对于安全最佳实践的理解和执行。这将涵盖从密码管理到对于可疑电子邮件警觉的各个方面。

1.1.1 工控主机安全问题

长钢公司的工控系统均为windows 系列，由于投入运营时间的不同，版本横跨多个不同时期的Windows 系统，包括XP、Server 2003、Server 2008、Windows 7 和Windows 10。旧版Windows 系统存在的安全漏洞较多。尤其是Windows XP 等老版本系统已经停止补丁更新，存在较多安全漏洞。大部分操作员站、工程师站等上位机等不具备在线打补丁的条件，基层单位出于维持业务连续性的考虑，重要补丁不能及时修补，不进行病毒查杀。因而工控操作系统存在以下问题：

1）工业控制操作系统普遍落后于当前主流，很少或不使用补丁策略。在工控系统中，补丁程序可能会对工控软件产生严重的干扰。一些补丁需要重新启动系统，这可能会干扰生产系统的运行。这就导致一些曾经造成严重破坏的高危漏洞，比如“永恒之蓝”等高危漏洞普遍存在于工控操作系统中。

2）安全防护缺失。由于杀毒软件可能影响工控软件的运行，工控主机很少或不使用防病毒更新策略。此外，病毒库更新需要作业网络访问互联网，因此很少采用。这导致主机系统面临病毒、木马等威胁。

3）账户权限管理混乱，使用弱密码或默认密码的情况较多。

4）缺乏完善信息安全管理规定，移动存储设备无序使用、操作人员违规安装非工作必备软件、误操作、恶意操作等安全威胁。

1.1.2 工控设备安全问题

长钢公司工控系统均采用西门子、施耐德等国外大厂商的设备，以上设备都存在较多漏洞。而一个工业项目投入运行后，一般使用周期在5~10 年，因而硬件更新、升级、换代困难。工控设备存在以下安全问题：

1）控制器处理能力弱。通常来讲，很多工业控制设备的性能一般，处理能力较弱。遭受“拒绝服务”攻击很容易造成系统瘫痪。

2）控制漏洞和后门。由于设计和实现上的不足，绝大部分工业控制设备存在不同程度的漏洞；由于人为的因素，部分设备甚至预留后门。

3）关键控制设备无防护。由于前期规划设计不够全面且重视不足，工业现场普遍缺少对控制设备的安全防护。PLC、DCS 控制器等核心控制设备缺乏安全加固措施，利用设备漏洞进行网络攻击的成功率较高。

4）工业协议设计之初缺乏安全性考虑，明文设计、缺乏认证、很容易被黑客利用进行攻击、破坏。

1.2 工控网络安全方面

长钢公司工业网络结构在设计之初缺少安全考虑，系统内部无法分区域防护，只要入侵某个区域，便可蔓延到整个工控网络。网络安全方面面临的风险如下。

1.2.1 通信协议的脆弱性

多数工业控制协议，是在多年前设计并且都是基于串行连接进行网络访问。然而，随着以太网的普及，通信已逐渐转向基于IP 协议（通常是TCP 协议）的实现方式。遗憾的是，这些工控协议缺乏必要的安全机制，如保密和验证，尤其是在消息完整性验证方面存在明显的技术缺失。此外，这些协议也没有引入不可抵赖性的防重放机制，使得攻击者能够利用这些安全漏洞对工业控制系统展开攻击。因此，随着工业互联网的发展，亟需对这些传统工控协议进行安全增强和升级，以应对日益增长的安全威胁。

1）拒绝服务攻击（Denial of Service，DoS）。拒绝服务攻击通常采取消耗资源的攻击模式，消耗控制网络的处理器资源和带宽资源。常见的拒绝服务攻击有：SYN Flood、smurf 攻击、Ping of Death、Teardrop、Land攻击、UDP Flood、DDos 等。

2）中间人攻击（MITM）。缺乏消息认证机制及不安全的通信通道，使攻击者可以更容易地访问到生产网络，从而能够窃听，并对通信内容进行恶意篡改和伪造。

3）重放攻击：攻击者能够捕获并复制合法的工业消息，然后在上下文中重复发送这些消息到从站设备。这种重放攻击可能导致设备的异常行为，甚至损坏，也可能引发生产过程的混乱或意外关闭，从而对工业控制系统造成严重破坏。

4）欺骗攻击：攻击者还可能利用工控系统的安全漏洞，向控制操作人员发送虚假的欺骗信息。这些欺骗信息可能篡改或伪造现场设备的状态数据，这种攻击方式旨在混淆操作人员的判断，诱使其执行错误的操作，进而对生产过程造成负面影响。

1.2.2 网络边界的脆弱性

1.2.2.1 没有严格界定网络边界范围

长钢公司的工业系统拥有大量用于收集数据和监测运行的传感器网络，导致工业互联网边界接入点多，安全边界难以明晰，增加边界确定和防护难度。如果控制系统网络没有严格界定清晰的网络边界，就不能保证在网络中正确实施必要的信息安全控制措施。将导致对系统的数据的非法访问，以及相关的其他问题。

1.2.2.2 缺乏安全防护，易遭网络攻击

长钢公司缺乏防火墙和防病毒软件的保护，增加了攻击者入侵的机会，可能受到恶意软件和病毒的感染。这些恶意代码可以传播到工控系统中，破坏或监视系统操作，并导致潜在的灾难性后果。

1.2.2.3 网络流量监视和分析不足：

长钢公司的工控网络通常有大量的数据流量，但没有有足够的监视和分析工具来检测异常活动。攻击者可以利用这一点，而工控系统本身存在许多漏洞，而系统之间的相互连接可能会增加安全风险，使攻击者有更多的路径选择。一旦攻击者入侵了一个子系统，他们可以利用这个入口渗透到整个生产网络，造成巨大的损失。

1.3 数据安全方面

1）工业数据由封闭转向开放，数据安全风险加大。传统的工业控制系统往往是封闭的，数据只在内部流通，难以被攻击者窃取或篡改。现在，随着工业互联网的发展，越来越多的设备和系统开始与互联网连接，工业数据变得更加开放，数据安全风险也因此加大。

2）数据流动方向和路径复杂，数据安全防护难度增加。在工业控制系统中，数据的流动方向和路径通常是多样化和复杂的。这使得数据安全防护变得更加困难，攻击者可以利用这些复杂路径来绕过安全措施。

3）数据传输没有加密保护措施，通常以明文的形式传送，这很容易被攻击者拦截、查看、窃取或篡改这些数据。这种情况严重威胁着数据的隐私和完整性，尤其对于包含敏感信息的数据来说，后果可能会非常严重。

1.4 平台安全方面

1）责任主体难以明确。长钢公司工业互联网涉及多个不同的参与主体，包括设备制造商、系统集成商和运营商等。因此，在平台安全方面，确定确切的责任主体变得复杂，这给安全管理和维护带来了巨大挑战。

2）安全威胁复杂多样。工业互联网面临着各种各样的安全威胁，如恶意软件、网络钓鱼、拒绝服务攻击等。这些威胁的类型和数量多种多样，攻击手段也变得越来越复杂，这给公司平台安全带来了巨大挑战。

3）平台缺乏安全框架。长钢公司工业互联网平台的安全框架相对薄弱，缺乏完善的安全机制和措施。这导致平台在应对各种安全威胁时缺乏足够的防护能力。

2 工控信息网络安全防护

2.1 安全软件管理

1）在工业主机上，只允许运行那些经过离线验证和安全评估的防病毒软件或白名单应用程序。这些软件和应用还必须得到工业企业的授权才能运行。离线验证确保软件在与互联网隔离的环境中验证其完整性和安全性。同时，安全评估包括对软件源代码的审查、漏洞研究以及渗透测试等。这种措施确保了只有来自可靠和受信任来源的软件才能在主机上运行。

2）为了工业控制系统和临时接入设备的安全，必须实施防病毒和恶意软件入侵管理机制。这些机制执行病毒查杀等预防措施，确保系统的安全性。