《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 業(yè)界動(dòng)態(tài) > 工業(yè)控制系統(tǒng)邁向開(kāi)放想好如何進(jìn)行安全防范了嗎

工業(yè)控制系統(tǒng)邁向開(kāi)放想好如何進(jìn)行安全防范了嗎

2020-06-02
來(lái)源:21ic中國(guó)電子網(wǎng)

隨著國(guó)際國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0、中國(guó)制造2025戰(zhàn)略的提出,信息技術(shù)(IT, Information Technology)和操作技術(shù)(OT, OperaTIonal Technology)一體化已成為必然趨勢(shì)。在這種趨勢(shì)下,工業(yè)自動(dòng)化控制系統(tǒng)正逐漸從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開(kāi)放互聯(lián)的系統(tǒng),工業(yè)自動(dòng)化生產(chǎn)開(kāi)始在所有網(wǎng)絡(luò)層次上橫向與垂直集成。

然而隨著工控系統(tǒng)的開(kāi)放性與日俱增,系統(tǒng)安全漏洞和缺陷更容易被病毒所利用,工業(yè)控制系統(tǒng)又涉及電力、水利、冶金、石油化工、核能、交通運(yùn)輸、制藥以及大型制造行業(yè),一旦遭受攻擊會(huì)帶來(lái)巨大的損失。事實(shí)上,對(duì)于電力、水利、能源、制造業(yè)等領(lǐng)域的工業(yè)控制系統(tǒng)的入侵事件,在此之前就已經(jīng)層出不窮。

例如,2008年的波蘭Lodz的城鐵系統(tǒng)被惡意攻擊,導(dǎo)致4節(jié)車(chē)廂脫離正常軌道;2010年,“震網(wǎng)”病毒攻擊伊朗核設(shè)施;2016年,烏克蘭電網(wǎng)遭遇黑客攻擊,造成大范圍停電等等。


5e9858220ccbc-1.png



工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室與360威脅情報(bào)中心制圖

根據(jù)美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)最新統(tǒng)計(jì)報(bào)告,2016年美國(guó)關(guān)鍵基礎(chǔ)設(shè)施存在492個(gè)安全漏洞,相關(guān)漏洞涉及供水、能源和石油行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施。

自2000年1月截止到2017年12月,根據(jù)我國(guó)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)統(tǒng)計(jì),所有的信息安全漏洞總數(shù)為101734個(gè),其中工業(yè)控制系統(tǒng)漏洞總數(shù)為1437個(gè)。2017年CNVD統(tǒng)計(jì)的新增信息安全漏洞4798個(gè),工控系統(tǒng)新增漏洞數(shù)351個(gè),均比去年同期有顯著增長(zhǎng)。

和IT信息系統(tǒng)不一樣,工業(yè)控制系統(tǒng)安全有自身的獨(dú)特性,例如惡意代碼不敢殺、不能殺?;诠た剀浖c殺毒軟件的兼容性,在操作站(HMI)上通常不安裝殺毒軟件,即使是有防病毒產(chǎn)品,其基于病毒庫(kù)查殺的機(jī)制在工控領(lǐng)域使用也有局限性,主要是網(wǎng)絡(luò)的隔離性和保證系統(tǒng)的穩(wěn)定性要求導(dǎo)致病毒庫(kù)對(duì)新病毒的處理總是滯后的,這樣,工控系統(tǒng)每年都會(huì)大規(guī)模地爆發(fā)病毒,特別是新病毒。

除了來(lái)自外部攻擊外,另一方面是來(lái)自工業(yè)系統(tǒng)自身安全建設(shè)的不足。例如很多工控設(shè)備缺乏安全設(shè)計(jì),主要來(lái)自各類(lèi)機(jī)床數(shù)控系統(tǒng)、PLC、運(yùn)動(dòng)控制器等所使用的控制協(xié)議、控制平臺(tái)、控制軟件等方面,其在設(shè)計(jì)之初可能未考慮完整性、身份校驗(yàn)等安全需求,存在輸入驗(yàn)證,許可、授權(quán)與訪問(wèn)控制不嚴(yán)格,不當(dāng)身份驗(yàn)證,配置維護(hù)不足,憑證管理不嚴(yán),加密算法過(guò)時(shí)等安全挑戰(zhàn)。例如:國(guó)產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進(jìn)行裁剪的,所使用的內(nèi)核、文件系統(tǒng)、對(duì)外提供服務(wù)、一旦穩(wěn)定均不再修改,可能持續(xù)使用多年,有的甚至超過(guò)十年,而這些內(nèi)核、文件系統(tǒng)、服務(wù)多年所爆出的漏洞并未得到更新,安全隱患長(zhǎng)期保留。

總結(jié)起來(lái)看,工業(yè)網(wǎng)絡(luò)主要面臨以下安全問(wèn)題:

1.工業(yè)網(wǎng)絡(luò)安全威脅級(jí)別越來(lái)越高,漏洞類(lèi)型多種多樣

通過(guò)2017年ICS-CERT和CNVD安全漏洞平臺(tái)統(tǒng)計(jì)新增漏洞數(shù)據(jù)發(fā)現(xiàn),工業(yè)控制系統(tǒng)信息安全事件大幅提高,高危漏洞比重增多,攻擊破壞力不斷增強(qiáng),對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)存在重大威脅。

2.網(wǎng)絡(luò)結(jié)構(gòu)快速變化,目前工控技術(shù)存在隱患

1) 工業(yè)控制系統(tǒng)規(guī)模急速膨脹,工控系統(tǒng)極少升級(jí),易受病毒攻擊感染;

2) 系統(tǒng)普遍缺乏監(jiān)測(cè)手段,無(wú)法感染未知設(shè)備;在執(zhí)行服務(wù)器操作時(shí),缺乏系統(tǒng)審計(jì);

3) 在執(zhí)行關(guān)鍵操作時(shí),缺乏日志記錄;工控設(shè)備存在諸多漏洞,RTU/PLC安全隱患突出;

4) 在工控系統(tǒng)中,開(kāi)放對(duì)外接口會(huì)帶來(lái)安全隱患;網(wǎng)絡(luò)結(jié)構(gòu)快速變化,原有IP數(shù)據(jù)網(wǎng)信息安全技術(shù)遠(yuǎn)遠(yuǎn)不能滿足工業(yè)控制系統(tǒng)的安全要求。

3.網(wǎng)絡(luò)邊界不夠清晰,局部安全問(wèn)題易擴(kuò)散到整個(gè)系統(tǒng)

在工業(yè)控制系統(tǒng)中,對(duì)網(wǎng)絡(luò)內(nèi)各個(gè)組成部分的安全需求缺乏統(tǒng)一規(guī)劃,沒(méi)有對(duì)核心業(yè)務(wù)系統(tǒng)的訪問(wèn)進(jìn)行很好的控制;各接入系統(tǒng)之間沒(méi)有進(jìn)行明確的訪問(wèn)控制,網(wǎng)絡(luò)之間彼此可以互相訪問(wèn),邊界入手易,系統(tǒng)內(nèi)入手難。

4.工控安全標(biāo)準(zhǔn)有待完善,安全企業(yè)重視不足

毫無(wú)疑問(wèn),工業(yè)控制系統(tǒng)安全是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分。為促進(jìn)工控網(wǎng)絡(luò)安全健康發(fā)展,工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室(由國(guó)家發(fā)展與改革委員會(huì)批準(zhǔn)授牌成立,由360企業(yè)安全集團(tuán)承建的對(duì)外開(kāi)放的工業(yè)控制安全技術(shù)方面的公共研究平臺(tái))提出如下建議:

1.建立網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺動(dòng)態(tài)安全模型

該標(biāo)尺模型共包含五大類(lèi)別,分別為架構(gòu)安全(Architecture)、被動(dòng)防御(Passive Defense)、積極防御(AcTIon Defense)、威脅情報(bào)(Intelligence)和進(jìn)攻反制(Offense)。這五大類(lèi)別之間具有連續(xù)性關(guān)系,并有效展示了防御逐步提升的理念。


5e9858220ccbc-2.png



架構(gòu)安全:在系統(tǒng)規(guī)劃、建立和維護(hù)的過(guò)程中充分考慮安全防護(hù);

被動(dòng)防御:在無(wú)人員介入的情況下,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng),如:工業(yè)安全網(wǎng)關(guān)/防火墻、工業(yè)主機(jī)防護(hù)、工業(yè)審計(jì)等;

積極防御:分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)(經(jīng)驗(yàn))和應(yīng)用知識(shí)(理解)的過(guò)程;

威脅情報(bào):收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息,并將信息生產(chǎn)加工為評(píng)估結(jié)果以填補(bǔ)已知知識(shí)缺口的過(guò)程;

進(jìn)攻反制:在友好網(wǎng)絡(luò)之外對(duì)攻擊者采取的直接行動(dòng)(按照國(guó)內(nèi)網(wǎng)絡(luò)安全法要求,對(duì)于企業(yè)來(lái)說(shuō)主要是通過(guò)法律手段對(duì)攻擊者進(jìn)行反擊)。通過(guò)以上幾個(gè)層面的疊加演進(jìn),最終才能夠?qū)崿F(xiàn)進(jìn)攻反制,維護(hù)工業(yè)互聯(lián)網(wǎng)的整體安全。

2.從安全運(yùn)營(yíng)的角度,建立企業(yè)的工業(yè)安全運(yùn)營(yíng)中心

在IT和OT一體化推進(jìn)發(fā)展中,IT技術(shù)在OT領(lǐng)域大量使用,IT所面對(duì)的風(fēng)險(xiǎn)也跟隨進(jìn)入了OT網(wǎng)絡(luò),因此工業(yè)企業(yè)對(duì)這兩個(gè)應(yīng)用角度都要識(shí)別風(fēng)險(xiǎn)的切入點(diǎn),列舉相關(guān)的風(fēng)險(xiǎn),并且要進(jìn)行一體化的規(guī)劃。

工業(yè)安全運(yùn)營(yíng)中心(IISOC)基于威脅情報(bào)和本地大數(shù)據(jù)技術(shù)對(duì)工控系統(tǒng)通信數(shù)據(jù)和安全日志進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)工控系統(tǒng)異常和針對(duì)工控系統(tǒng)的威脅,通過(guò)可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)展現(xiàn)給用戶,通過(guò)對(duì)告警和響應(yīng)的自動(dòng)化發(fā)布、跟蹤、管理,實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)管理。威脅情報(bào)、威脅檢測(cè)、深度包解析、工業(yè)大數(shù)據(jù)關(guān)聯(lián)分析、可視化展現(xiàn)、閉環(huán)響應(yīng)實(shí)現(xiàn)以工業(yè)安全運(yùn)營(yíng)為中心的一體化防護(hù)體系。安全運(yùn)營(yíng)目的是解決越來(lái)越多的安全產(chǎn)品部署在網(wǎng)絡(luò)中形成的“安全防御孤島”問(wèn)題。

3.組建IT&OT融合的安全管理團(tuán)隊(duì)

組建IT&OT融合的信息安全管理團(tuán)隊(duì),對(duì)整個(gè)工業(yè)控制系統(tǒng)進(jìn)行安全運(yùn)營(yíng)。對(duì)安全管理團(tuán)隊(duì)進(jìn)行必要的指導(dǎo),根據(jù)具體場(chǎng)景建立合適的安全策略管理和響應(yīng)恢復(fù)機(jī)制,及時(shí)應(yīng)對(duì)安全威脅。企業(yè)要想成功部署工業(yè)網(wǎng)絡(luò)安全項(xiàng)目,需重視同時(shí)掌握信息技術(shù)(IT)和操作技術(shù)(OT)的人才,有的放矢。訂購(gòu)安全服務(wù)和威脅情報(bào),定期對(duì)安全管理團(tuán)隊(duì)進(jìn)行培訓(xùn),建立IT、OT的安全統(tǒng)一規(guī)劃,使得安全管理團(tuán)隊(duì)成員盡量利用統(tǒng)一標(biāo)準(zhǔn)進(jìn)行安全事件的處理。

4.在技術(shù)層面提高防護(hù)能力

終端層面:針對(duì)CNC等老舊設(shè)備,部署輕量級(jí)白名單(系統(tǒng)進(jìn)程)的防護(hù)措施;針對(duì)性能好的生產(chǎn)設(shè)備,部署統(tǒng)一的終端殺毒軟件,如360天擎;移動(dòng)介質(zhì),例如U盤(pán),進(jìn)行統(tǒng)一管控(主機(jī)防護(hù))。

網(wǎng)絡(luò)層面:橫向分區(qū)、縱向分層,將辦公網(wǎng)、工控網(wǎng)、生產(chǎn)網(wǎng)有效劃分;網(wǎng)絡(luò)邊界處部署安全網(wǎng)關(guān),最小權(quán)限原則:只開(kāi)放必要端口,進(jìn)行精細(xì)化訪問(wèn)管控。

監(jiān)控層面:摸清資產(chǎn)家底,集中統(tǒng)一管理,并精心維護(hù);部署工業(yè)安全運(yùn)營(yíng)中心,對(duì)公司網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)監(jiān)測(cè)與可視化展現(xiàn)。

可恢復(fù)性(備份層面):針對(duì)CNC等老舊設(shè)備,定期請(qǐng)工控廠商進(jìn)行系統(tǒng)備份;針對(duì)性能好的辦公和生產(chǎn)電腦,定期自行進(jìn)行系統(tǒng)和數(shù)據(jù)備份。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。