工控系统网络安全防护研究
作者:乔军容 徐春 吴七凡
文章来源:AI《汽车制造业》
发布时间:2021-10-13
近几年,工业 4.0、智能制造、大数据及万物互联等是大家广泛关注的话题,很多企业利 用工业以太网基础架构实现了整个工厂的“透明化”管理。将生产线设备和企业管理系统连接 在一起时,势必会带来网络安全威胁,如何保证工控网络安全便成了企业在数字化进程中的一 项重要任务。
传统控制系统的安全性主要依赖于其技术的 隐秘性,几乎未采取任何安全措施。工业控制系统 越来越多地采用开放 lnternet 技术实现与企业网的 互联。
大多数工业通信系统是在商用操作系统的基础 上开发协议,其通信应用中存在诸多漏洞。当工业 控制系统与 Internet 公共网络互联时,这些漏洞就 会暴露给潜在的攻击者。据调查,目前国内 99% 的企业工控网系统网络均未部署任何网络安全防护 措施,或仅仅在 OT 与 IT 之间架设了一套防火墙, 对企业来说存在巨大的隐患。
(1)2010 年 12 月 15 日,伊朗核电站遭到“震 网”病毒攻击,侵入了西门子工业控制软件,并 夺取核心生产设备尤其是核电设备的关键控制权, 1/5 的离心机报废。
(2)2016 年 12 月,俄罗斯黑客在乌克兰国 家电网运营商 Ukrenergo 的网络中植入了一种被称 为 Industroyer 或 Crash Override 的恶意软件,破 坏了基辅附近一个传输站的所有断路器,导致乌 克兰首都大停电。
(3)2020 年 3 月福建某汽车公司遭遇勒索病 毒攻击,导致生产停线,并被勒索 40 万。
(4)2020 年 6 月 7 日,本田汽车位于美国、 欧洲及日本分公司的服务器遭勒索软件 Snake 攻 击,导致多家工厂停产。据相关研究表明:①攻击频率在增加;②攻击 复杂度在提高;③攻击者的技术能力在减退。说明 攻击行为高度自动化,并且不需要攻击者具备很强 的技术能力。
(1)内部攻击:对公司不满的员工、病毒软件、 黑客勒索及流氓软件植入等。
(2)外部攻击:黑客利用 Windows 系统和工 控系统的漏洞进行攻击,许多 ICS 系统都有漏洞, 如 Siemens、Rockwell 均存在 ICS 系统漏洞。
通过对 RISI 工业网络安全事件数据库研究分 析发现,攻击行为或攻击来源可能是来自外部的 恶意攻击,也可能是来自于偶发性的人为误操作 等行为。
有人把网络安全事故等同于来自黑客或恐怖分 子的攻击,但是仔细分析 RISI 的数据发现,故意 攻击只占事件总数的 20%,还有 80%属于无意攻 击(如不知情病毒带入等)。绝大多数事件本质上 是偶然的或非故意的,其中 14%是由系统的控制 或操作人员人为错误造成的,38%是由病毒感染 造成的。令许多人感到惊讶的是,几乎一半的非故 意的网络安全事件是由网络内的设备或软硬件故障 引起的。数据分析显示:针对工业网络安全更应该 关注如何提高网络的可用性,以帮助工厂防止那些 由非故意行为造成的系统中断,从而让 ICS 工业控 制系统更加可靠。
ICS 网络安全的威胁是真实存在的,最常见的 攻击方式是利用工控系统的漏洞,PLC、DCS 和 SCADA 等系统及应用软件均被发现存在大量信息 安全漏洞,如西门子、Parallels、研华科技、罗克韦尔、 ABB 及施耐德电气等工控系统厂商产品均被发现 包含各种信息安全漏洞,如图 1 所示。
国内各地区基于 SNMP 协 议的设备暴露情况如图 2 所示, 简单网络管理协议(SNMP)是 TCP / IP 协议簇的一个应用层 协议,工作在 UDP161 端口,用 于监控目标设备的操作系统、硬 件设备、服务应用、软硬件配置、 网络协议状态、设备性能及资源 利用率、设备报错事件和应用程 序状态等软硬件信息。SNMP 协 议是攻击者经常借助的协议,它 的攻击场景有:暴力破解场景攻 击、通过非法手段获取用户权 限,从而执行未经授权的管理操 作、拒绝服务式攻击、反射放大 DOS 攻击和基于 SNMP 的刺探 扫描等。一旦 SNMP 协议在网 络上暴露,就有可能被攻击。
信息技术(IT)通过使用不 同的数字格式来创建、存储和在 不同用户之间来交换数据。例如:网页、邮件、数据库、服务器和 办公网络等。
运维技术(OT)通过监控 物理设备的工作情况来确保整 个工业流程的正常运行,以及 当发生故障时能够快速地恢复 工业流程。
IT 层的关注点在公司层面, 通常是普渡模型的第4和第5层。这些通常是由首席信息官(CIO) 管理的业务信息和交易系统。IT 终端是基于 IP 的台式机、笔记 本电脑、移动设备、数据库、应 用服务器、Web 服务器、供应链、 订单录入和会计交互。
OT 层的关注重点在工厂环 境控制、过程监视和设备上,由 工程和运营管理负责处理,安全 是最优先的,紧跟其后的是工控 环境的可用性。IT 安全则将机密 性列为 IT 企业环境的重中之重。
以太网技术最早起源并应用 于 IT,那为何不将 IT 在网络安 全领域相同的最佳实践部署到 OT 系统中呢?这需要从“CIA” 设计标准包含的三个特性来说 明:Confidentiality(保密性)、 Integrit(完整性)及 Availability (可用性)。
IT: 首先保证隐私性,要保 护数据,如保护服务器和用户的 数据。
OT/ICS: 首先保障安全,要 保护生产流程,如保护人员的安 全、工厂设备的安全以及环境的 安全。
根据上述可知,IT 和 OT 对 于网络安全需求的侧重点和关注 点有根本性不同,因此无法直接 将 IT 网络安全领域的最佳实践 照搬到 OT 系统中。
初级:没有部署任何安全防 护措施,安全性几乎为零。
国内绝大部分企业针对网络 安全方面的投资都是被动式的、 是通过事件驱动的,只有当发生 了网络安全事故造成了损失的情 况下,才会在安全方面进行投资, 否则不会主动投资部署网络安全 策略进行主动性和预防性的防护。
在工业网络安全领域主流的 设计思想是“物理隔离”,但是 在万物互联的背景下,“物理隔 离”的方法显然已不再适用。只 有理解了概念和关系,才能对企 业做出正确的战略规划。
IEC-62443 安全标准的核心 概念是“区域”和“通道”。“区域”指一组承担着相同 安全级别或安全要求的设备(可 以是逻辑也可以是物理设备)组 成一个区域。
(1)对系统内部的数据流量 实施区域划分,根据功能将系统 分隔成多个不同的层级和区域, 其被称为“可信任的界限”。
(2)一个区域有明确定义的 边界,边界用来区别内部和外部 的设备。
(3)每一个区域明确定义边 界范围以及该区域的进口和出口 位置。
(4)针对区域划分、区域策 略、区域内网络设备、安全设备 配置及变更都要求进行文档记录 和文档管理。
(1)针对每个区域中的设备 所使用的网络协议、端口号及服 务等都需要进行文档记录。
将工厂划分成不同的独立功 能区域(在通道上对跨区域的流 量进行严格的限制和检查),并 对网络间的互联、本地网络的接 入及关键资产设备进行网络监 控,并确保安全策略执行。典型 的网络安全架构部署(区域和通 道)如图 3 所示。
在工业 4.0、IIoT 和工业云 的时代,已经不存在所谓物理隔 离的 ICS 网络了,IT 网络和 OT 网络已融会贯通,当前一个普遍 的做法是“边界防护”,即在网 络的边界部署防火墙。“边界防 御”强调“不中毒不被攻击才是 最佳安全解决方案”,通过对外 界程序进入电脑的监控,在病毒 尚未被运行时即可被判定为安全 或不安全,从而最大限度地保障 对本地系统的安全防护。
但“边界防护”也无法防御 来自内部的“攻击”或“人为误 操作”,“边界防护”无法阻止工 程师以物理的方式突破网络上的 “边界”,因为人可以轻易的绕过 边界防火墙走进工厂,并将电脑 接入到工厂内部网络中。
同时发生故障的设备本身也 可以成为一个攻击源,例如工程 师由于误操作将两台非网管交换 机接成了环路而造成了“广播风 暴”从而导致整个网络瘫痪。
仅仅依靠“物理隔离”和“边 界防护”的方式还无法满足 ICS 网络系统对安全的防护需求。
根据区域、通道及深度包检 测(DPI)概念,可以通过在每个 通道都部署支持工业协议 DPI 的防 火墙,并且只允许事先定义过的数 据流通过(即白名单的方式)该通 道的方式来实现深度安全防护。
为 每 个 区 域 部 署 入 侵 防 护 系 统(Intrusion Prevention System,IPS)或入侵检测系 统(Intrusion Detection System, IDS)。当检测或发现到非允许的 数据包时,系统会自动触发报警。
根据实际需求为工厂内的 设备或流量来划分安全区域(图 4 中的黄黑小方框代表每个安全 区域)。在定义完安全区域之后, 在每个通道部署支持工业协议深 度检测(DPI)的防火墙,将一 组 PLC、HMI、工控服务器及操 作站分别定义成相应的安全区 域,那么每个区域之间的路径即 为通道。
工业控制系统网络复杂度在 不断提高,网络安全漏洞事件层 出不穷,IT/OT 的高度融合一体 化进程把网络安全威胁从虚拟世 界带到现实世界,尤其是关键基 础设施,一旦遭受攻击会带来巨 大的损失,工控网络安全行业任 重而道远。
获取更多评论