摘要: 工业控制系统由一系列自动化控制组件以及实时数据采集、监测的过程控制组件共同构成,在电力设施、水力油气、交通运输等重要行业和领域有着广泛的应用,主要利用信息化手段,实现物理过程的监测和控制。 早期的工控系统和企业管理系统是封闭、隔离的,随着时代发展,为了实时数据...
工业控制系统由一系列自动化控制组件以及实时数据采集、监测的过程控制组件共同构成,在电力设施、水力油气、交通运输等重要行业和领域有着广泛的应用,主要利用信息化手段,实现物理过程的监测和控制。
早期的工控系统和企业管理系统是封闭、隔离的,随着时代发展,为了实时数据采集与生产控制,需要将工控系统和企业管理系统直接通信交互。
电力、石化、交通、市政及关键基础行业对信息网络的依赖越来越强,相关行业的工业控制系统间也日益通过信息网络来实现信息互联互通及远程控制。因此工控系统将不能仅关注系统功能安全问题,更要注意防范来自网络空间的安全问题。
《2016工业控制系统漏洞趋势报告》显示,工业控制系统漏洞正在增多,在2014到2015年之间存在着49%高速增长。如何把控工控安全、提升防护能力已成为业界关注的焦点,业内分析,工控安全将成为政策部署的重点之一。
一、2016年主要工业控制系统(ICS)安全事件
Operation GHOUL(食尸鬼)行动
2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。
BLACKENERGY(黑暗力量)攻击导致的断电事故
2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。
伊朗黑客攻击美国大坝事件
2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。
二、工控安全面临的根源问题
工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,智能楼宇系统、自来水厂控制系统、核电站管理系统,每一个工控系统都影响着人们的生产生活,网络安全已不仅存在于电脑中,对生活同样有重要影响。
目前来说,工控安全问题的最大根源在于信息安全从来不是工控系统的设计目标。从产品设计上看,大量工控设备都缺少安全机制,包括最基本的安全功能,如身份鉴别、访问控制、通信保护、安全审计等。
工控网络面临着数据层的安全挑战。数据层安全挑战,是指工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储,还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据库丢失、泄露、篡改等安全威胁。
从管理角度看,工控系统存在职责不清晰、安全意识薄弱、“重safety轻security”的问题,工控信息安全长期处于“三不管”地带,所有设备在上线前未经安全测评,上线后也很少进行安全评估。这些原因最终造成了当前工控系统恶意代码无防护,网络连接无隔离、系统漏洞难修补、网络状况无监测、远程通信无保护的状况。
在人员管理方面,随着工业与IT的融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。
三、IT系统安全技术在工控领域的挑战
长期以来,在我国信息安全不是工控系统的首要设计目标,以“保密性-完整性-可用性”为设计要求的信息安全解决方案和标准很难满足工控行业对信息安全的需求,因此存在着适用程度低等问题。
工控系统与IT系统差别很大。工控系统强调实时性、可靠性,有些系统甚至要求毫秒级,系统不会轻易重启,且更新很慢。工控系统安全首先强调可用性,其次是完整性,最后是保密性。IT系统则更强调保密性、完整性,最后才是可用性。这两种安全目标的反差直接使得现有信息安全技术在工控领域面临很大的挑战。
比如漏洞扫描、渗透测试、补丁更新、主机监控等技术都由于可能会影响工控系统可用性而不被行业用户所接受。再加上工控网络大量采用私有通信协议,而且设备本身的处理能力低、对实时要求高,这些导致了防护隔离、入侵检测、通信加密、网络监控等传统信息安全技术都需要改变。
四、工控数据库安全解决方向
随着工业化和信息化的深度融合,信息安全将成为工控网络安全的重要问题,而工控数据库安全防护与边界防护需同时进行。工控数据库安全防护,应从管理和技术两方面进行:
管理上,理顺“工控信息安全到底归谁管”的问题,也就是明确工控信息安全组织机构。在具体措施上可借鉴已有成熟的信息安全管理标准规范,并与现行的生产安全管理制度进行对照,查漏补缺,确保管理制度具备可行性。此外,还需加强人员的安全意识培训,覆盖信息安全领域和自动控制领域。
从技术上,进行革新以适应工控特点。对数据库进行安全监测,避免出现“谁进入数据库不知道、进行了什么操作不知道、获取了什么数据不知道”一问三不知的状况。通过对工控数据库进行监控,一方面及时发现数据库中出现的异常状况,并及时响应做出处理;另一方面,旁路部署工控数据库审计系统,避免对系统可用性造成不良影响。
在工业交换机部署昂楷工控数据库安全审计系统,对所有的数据操作行为进行监管,建立一个完整、可靠、高效的数据安全体系。
可实现以下功能:
支持多种数据库的审计
支持多种实时数据库(IP21、PI、Industrial SQL Server、iHistorian等)的审计及传统数据库(Oracle、MS-SQL 、DB2、MYSQL等)的审计:
源头事件回溯追踪
支持对工控系统异常的操作记录进行回溯,根据时间、IP地址、端口等条件组合关联查询,为工控系统的安全事故调查提供详实的依据。
API接口
可以与工控行业其它平台、系统对接,进行数据交互,满足客户各种需要。
独特报表功能
合规性报表:工控数据库审计根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。
策略定制化报表:根据审计人员关心的主要问题,定制符合需求的策略规则输出报告,使审计人员能够迅速得到自己需要的审计信息。
实时网络监测,保障正常生产
对网络数据、事件进行实时监测、实时警告,帮助用户实时掌握工业控制网络运行状况。
旁路部署,高可靠性
产品采用旁路部署的方式,不连接客户数据库,不改变客户原有网络架构,产品设备故障不影响客户的网络,实现真正的零交互。
工控协议指令级检测与审计
可对工控实时数据库协议(如:PROFINET,POWERLINK,EtherCAT,SERCOSIII,CANBUS,MODBUS,profibus等)做指令级审计,为解决工控数据的安全问题提供了技术基础保障。