在物联网和工业互联网的趋势下,信息安全所面临的挑战和机遇是什么工业控制系统(IndustrialControlSystems,ICS)通常指由计算机设备和工业生产控制部件组成的系统,主要包括五大部分:数据釆集与监测控制系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。工业控制系统已经广泛应用于工业、能源、交通及市政等领域,是偶国国民经济、现代社会以及国家安全的重要基础设施的核心系统。
在工业互联网、“中国制造2025”、“工业4.0”等政策驱动下,信息技术(IT,InformationTechnology)和操作技术(OT,OperationalTechnology)一体化已成为必然趋势。随着IT/OT一体化的迅速发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷容易被病毒所利用,然而工业控制系统又涉及偶国电力、水利、冶金、石油化工、核能、交通运输、制药以及大型制造行业,一旦遭受攻击会带来巨大的损失。事实上,对于电力、水利、能源、制造业等领域的工业控制系统的入侵事件,在此之前就已经层出不穷。
随着IT/OT一体化的逐步推进,工业控制系统越来越多地与企业网和互联网相连接,形成了一个开放式的网络环境。工控系统网络化发展导致了系统安全风险和入侵威胁不断增加,面临的网络安全问题也更加突出。由于工控网络系统环境的特殊性,传统的IT信息安全技术不能直接应用于工业控制网络的安全防护。然而,工业控制系统又应用于国家的电力、交通、石油、取暖、制药等多种大型制造行业,一旦遭受攻击会带来巨大的损失,因此需要有效的方法确保工控系统的网络安全。
各个工业行业频发的信息安全事故表明,一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标,黑客攻击正在从开放的互联网向封闭的工控网蔓延。特别是在2015年12月发生的针对乌克兰电力部门的网络攻击事件,攻击者通过恶意代码入侵到电力部门的电力监控管理系统,导致7个110KV的变电站和23个35KV的变电站出现故障,80000用户断电。所以在电力、化工、煤炭、交通、冶金等均遭受到了严峻的工业控制网络安全威胁,急需加大在工业控制网络安全方面的投入,防止工业企业受到针对工业控制系统的网络攻击行为。
面对越来越严峻的信息安全形势,偶国高度重视工业控制系统信息安全工作。2016年10月12日,工信部印发《信息化和工业化融合发展规划(2016-2020年)》,明确指出“工业领域信息安全形势日益严峻”,随着两化融合发展进程不断深入,工业信息系统逐步从单机走向互联、从封闭走向开放,为网络安全威胁向其加速渗透提供了条件,工业领域面临的信息安全形势日益紧迫,亟需加速完善工业信息系统安全保障体系。2016年10月17日,工信部颁布《工业控制系统信息安全防护指南》,指出工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作,切实提升工业控制系统信息安全防护水平,保障工业控制系统安全。
工控安全关系着企业生产、国计民生,更关系着整个国家的安全和利益,工控安全问题已上升为国家战略。2017年6月1日起《中华人民共和国网络安全法》正式施行,其中明确提出“关键信息基础设施的运行安全”。安全法中明确了法律责任,第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
由于起步较晚,偶国工业控制系统信息安全保障能力方面存在较大不足。当前偶国工业控制系统核心软硬件设备的自主可控水平严重低下,基本的安全防护严重不足,网络接入控制混乱,外包维护管理缺乏,有很多工控系统需要依赖厂商才能维护,在培训教育和应急响应方面的力度也相当有限。面对复杂的工控安全形势,偶国加强工业控制系统信息安全的保障工作迫在眉捷。
面临的风险
工业控制系统安全是国家关键信息基础设施安全的重要组成部分。在工业互联网、“中国制造2025”、“工业4.0”等趋势驱动下,随着云计算、物联网、大数据技术的成熟,IT/OT一体化已成为必然趋势。
IT/OT一体化在拓展了工业控制系统发展空间的同时,也带来了工业控制系统网络安全问题。近年来,随着安全事件的频繁发生,工业信息安全越来越受到政府、工业用户、科研机构和工控系统厂商的重视。企业为了管理与控制的一体化,实现生产和管理的高效率、高效益,普遍引入生产执行系统MES,实现管理信息网络与控制网络之间的数据交换和工业控制系统和管理信息系统的集成。MES不再是一个独立运行的系统,而要与管理系统甚至互联网互通、互联,从而引入网络攻击风险。
对于传统IT网络安全,保密性优先级最高,其次是完整性、可用性。工业网络则有明显的不同,工业网络更为关注的是系统设备的可用性、实时性,除此特点外,IT系统和OT系统之间仍然存在很多差异性,如表所示。
IT系统和OT系统的差异性见图片
由于IT系统和OT系统之间存在的众多差异,当工业互联网的IT/OT进行融合时会带来很多安全挑战。
1.1首先是来自外部的安全挑战
l暴露在外的攻击面越来越大
IT/OT一体化后端点增加,给工业控制系统(ICS)、数据采集与监视控制系统(SCADA)等工业设施带来了更大的攻击面。与传统IT系统相比较,II/OT一体化的安全问题往往把安全威胁从虚拟世界带到现实世界,可能会对人的生命安全和社会的安全稳定造成重大影响。
l操作系统安全漏洞难以修补
工业控制系统操作站普遍采用PC+Windows的技术架构,任何一个版本的Windows自发布以来都在不停的发布漏洞补丁,为保证过程控制系统的可靠性,现场工程师通常在系统开发后不会对Windows平台打任何补丁,更为重要的是即使打过补丁的操作系统也很少再经过工控系统原厂或自动化集成商商测试,存在可靠性风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
l软件漏洞容易被黑客利用
黑客入侵和工控应用软件的自身漏洞通常发生在远程工控系统的应用上,另外,对于分布式的大型的工控网,人们为了控制监视方便,常常会开放VPNtunnel等方式接入甚至直接开放部分端口,这种情况下也不可避免的给黑客入侵带来了方便之门。
l恶意代码不敢杀、不能杀
基于Windows平台的PC广泛应用,病毒也随之而泛滥。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。
例如蠕虫病毒死灰复燃。与一般的木马病毒不同,这种病毒随着第三方打补丁工具和安全软件的普及,近些年来本已几乎绝迹。但随着永恒之蓝、永恒之石等网军武器的泄露,蠕虫病毒又重新获得了生存空间,死灰复燃。其最为显性的代表就是WannaCry病毒。基于工控软件与杀毒软件的兼容性,在操作站(HMI)上通常不安装杀毒软件,即使是有防病毒产品,其基于病毒库查杀的机制在工控领域使用也有局限性,主要是网络的隔离性和保证系统的稳定性要求导致病毒库对新病毒的处理总是滞后的,这样,工控系统每年都会大规模地爆发病毒,特别是新病毒。在操作站上,即插即用的U盘等存储设备滥用,更给这类病毒带来了泛滥传播的机会。
lDDOS攻击随时可能中断生产
拒绝服务攻击是一种危害极大的安全隐患,它可以人为操纵也可以由病毒自动执行,常见的流量型攻击如PingFlooding、UDPFlooding等,以及常见的连接型攻击如SYNFlooding、ACKFlooding等,通过消耗系统的资源,如网络带宽、连接数、CPU处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范,原因是它的攻击对象非常普遍,从服务器到各种网络设备如路由器、防火墙、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果,轻则控制系统的通信完全中断,重则可导致控制器死机等。目前这种现象已经在多家工控系统中已经出现
网络风暴经常是由于ARP欺骗引起的flood攻击,或者因工控信息网络因环路故障造成的网络风暴,这种攻击往往发生在同一网段的控制区域中,占用大量的带宽资源,工控系统疲于处理各种报文,将系统资源消耗殆尽,使工业系统报文无法正常传输。目前的工业总线设备终端对此类拒绝服务攻击和网络风暴基本没有防范能力,另外,传统的安全技术对这样的攻击也几乎不可避免,缺乏有效的手段来解决,往往造成严重后果。
l高级持续性威胁时刻环伺
高级持续性威胁的特点是:目的性非常强,攻击目标明确,持续时间长,不达目的不罢休,攻击方法经过巧妙地构造,攻击者往往会利用社会工程学的方法或利用技术手段对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特征对行为数据进行简单的模式匹配,只关注单次行为的识别和判断,并没有对长期的攻击行为链进行有效分析。因此对于高级持续性威胁,无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。