◆王珂
基于等级保护2.0新标准的工业控制系统安全现状分析
◆王珂
(山东维平信息安全测评技术有限公司 山东 250101)
文章简述了工控系统的重要性,以等级保护2.0基本要求为安全基线,结合工控安全调研掌握的安全现状,从安全管理和安全技术两个方面共10个维度描述了工控系统存在的主要安全问题和可能造成的后果。
等级保护2.0;工控安全现状;工控安全风险
网络安全等级保护制度是在以习近平同志为核心的党中央的坚强领导下,我国网络安全工作取得的重大成就,是我国网络安全保障工作的伟大创举[1]。自2019年5月起,等级保护2.0系列标准陆续发布,特别是《基本要求》[2]和《测评要求》[3]的发布,为新时代网络安全等级保护工作的开展指明了道路。
工控系统涉及国家能源、交通、水利、电力、智能制造等诸多行业领域,是我国工业领域生产自动化的重要组成部分。近年来,境外敌对势力和黑客组织为了实现其政治私利,开发了大量针对工控系统的恶意程序,对国家工业制造和经济发展安全造成了巨大威胁。然而受科技实力的限制、工控安全标准缺失、人员安全意识薄弱等诸多因素影响,工控系统正变得越来越脆弱。本文以等级保护2.0新标准为视角,从基本要求的10个维度来分析工控系统可能面临的安全风险。
完善的网络安全管理制度是保障生产安全、生命安全甚至国家安全的基石。在安全调研中发现,很多企业没有制定网络安全工作的总体方针和策略,更没有明确各机构、各部门网络安全工作的总体目标、范围、原则和安全框架,导致网络安全工作没有标准,没有方向。此外,安全管理制度制定的不细致、不全面也是导致网络安全工作无法真正落地的原因。例如:某单位制定了密码管理制度,要求不能使用弱口令且需定期更换,但对密码的长度、复杂度、定期更换时间等没有给出明确要求,导致该项制度失去了可操作性。
针对工控系统,需要由专门的部门或者人员负责建立由安全策略、管理制度、操作规程、记录表单等一系列制度文档构成的全面的网络安全管理制度体系,并针对某些制度执行中所暴露出的合理性和实用性方面的问题,定期组织论证和评审修订。
2014年2月27日,习近平总书记主持召开中央网络安全和信息化领导小组第一次会议,并亲自担任中央网络安全和信息化领导小组组长。这体现了网络安全工作的重要性,也明确了网络安全工作必须是一把手负责制。然而,工控系统的责任单位多为生产部门,但是生产部门重生产、轻安全的思想严重,在网络安全关键岗位上配备的人员数量明显不足,往往是系统管理员、审计管理员、安全管理员等岗位均由一人兼职担任。甚至,直到今日还有很多单位还没有成立指导和管理网络安全工作的委员会或领导小组,没有设立网络安全管理工作的职能部门。
工控系统的专业性、特殊性和重要性决定了我们必须提高安全管理人员的水平。在企业中,安全管理制度执行不到位的情况时有发生,懂生产的人不一定懂安全,懂安全的人又不一定懂工控,这些实际情况给我们的工控系统带来很大的安全风险。
在人员录用时,很多企业没有针对人员的身份、背景、专业资格进行审查,没有对关键岗位人员的专业技术能力进行考核并签署保密协议与岗位责任协议。在工作中,没有面向全员开展网络安全意识教育和岗位技能培训,针对工控系统网络安全运维及管理部门也没有着重提升其专业技术水平。当人员离岗时,很多企业没有及时终止离岗人员的全部权限,收回各种身份证件、钥匙以及机构提供的各种软硬件设备,也没有签署离岗保密承诺书等。
当前,绝大多数的工控系统还没有按照等级保护制度要求,确定等级保护对象,开展等保定级、备案以及测评等工作。有的企业虽然开展了测评工作,但是没有针对测评中发现的问题进行整改,导致测评工作失去了意义。特别是新建工控系统,如果在规划设计阶段没有按照等级保护相应级别的要求选择对应的安全防护措施,那么在后续整改时将会付出巨大的代价。
很多工业企业进行项目外包时,没有与外包公司及控制设备提供商签署保密协议或合同,项目重要建设过程及内容被用于宣传及案例复用,造成企业敏感信息被泄露。在工控设备采购时,企业缺少针对工控产品进行安全检测的途径和手段,无法准确判断系统固件、程序是否存在后门及恶意代码。在网络安全产品、密码产品和服务的采购及使用方面,也没有选择经过国家专业机构或部门检测、认定的产品。
在软件开发方面,很多系统存在开发环境和生产环境没有隔离的问题,交付前也没有委托第三方进行安全检测。在外包开发时,开发单位既没有提供应用系统安全的证明文件,也没有提供应用系统的源代码,从而导致无法进行代码安全审计工作。
安全运维工作是保障工控系统安全平稳运行的关键。但是,很多企业并没有按照安全管理制度的要求,安排专人定期对机房物理环境、设备运行情况、通信线路等进行安全巡检,并形成纸质或者电子记录以备后查。很多单位虽然进行了巡检工作,但巡检内容较少,导致运维工作不够全面、细致。
在应对可能出现的风险和隐患时,还缺少安全事件报告和处置制度。同时,很多企业没有制定完备的网络安全应急预案,或有应急预案但缺乏必要的演练测试环境。在外包运维时,则缺少与外包运维服务商签订的保密协议,或合同中没有明确双方的责任与义务等。在数据安全管理方面,没有定期对各种配置信息、业务信息、系统数据等进行安全备份,导致重要数据在系统故障时损坏或者丢失。
工控系统的机房一般都位于生产车间,物理环境相比传统信息系统机房要差,主要存在以下几个共性问题。首先,工控机房未安装电子门禁也未安排专人值守,无法鉴别、记录进出机房的人员。其次,机房内未部署火灾自动消防系统,无法在火灾发生时自动灭火。再次,部分机房不具备温湿度调节功能,也未安装环境监测系统,无法及时感知机房环境的变化。
在室外,部分RTU(远程终端单元)等现场控制设备存在物理防护不到位的情况。部分设备放置在简易装置中,不具备防火、防雨、防盗和抵御电磁干扰的能力,对控制设备的安全运行带来严重威胁。
随着两化融合的不断推进,工控系统也逐渐朝着规模化、网络化发展,工控网络的数据也需要向企业其他系统进行传递,很多工控设备不但支持工控协议,还支持以太网和基于TCP/IP的通信标准,在方便的同时也为工控系统带来了更大的安全威胁。
(1)从协议上看,工控系统大多使用专用的协议进行数据传输,为了提高数据传输效率,保证网络的高效性,工控协议在设计时一般都忽略了安全性。以Modbus TCP协议为例,协议本身没有认证机制、没有权限区分,数据传输也是明文的,在特定的情形下还存在拒绝服务攻击漏洞。最危险的是,大多数工控协议是为编程控制器设计的,通过修改功能码,可以用来向PLC或RTU发送各种控制指令,也包括恶意代码。
(2)从网络架构上看,原则上工控系统的数据只允许单向传递给企业其他系统,而企业其他系统不能向工控系统传输控制指令或数据。然而实际上很多工控系统与企业其他系统没有划分不同的区域,区域间缺少必要的技术隔离手段,黑客可以从互联网直接入侵到工控网络。在工控系统内部,很多企业没有按照功能和业务的特点划分不同的安全域,安全域间也未采用安全设备或虚拟局域网等技术进行隔离,一旦工控系统的某一点被带入类似“震网( Stuxnet)”病毒一样的恶意代码,将会感染整个工控网络。
(3)从通信传输上看,石油化工、供水、供气等行业领域大量使用SCADA(数据采集与监控)系统进行远程监视控制。这类系统一般分布范围较广,远距离管道运输甚至高达几千公里。这些管道上部署的控制设备、仪器仪表的控制指令和数据就要依托于广域网络进行传输,但实际上通信链路和数据本身都缺少必要的身份认证、访问控制和加密手段,导致非授权用户可以进入工业控制网络,篡改控制指令,窃取通信数据。
安全区域边界在等级保护1.0时代归属于网络安全部分,现在单独成类足以证明边界安全的重要性。在工控系统中,符合要求的安全区域边界不仅要部署齐全的边界安全防护设备,更重要的是结合安全管理制度,配置最优的访问控制策略。
(1)在安全设备选择上,很多企业在工控系统中使用传统信息网络中的安全设备,这是不可行的。以防火墙设备为例:为了提高安全防护能力,传统防火墙在发展过程中增加了很多新的功能,这些新功能的应用必然会影响到防火墙的性能和速度。防火墙的安全性越高,需要对数据包拆包检查的项目就越多,对CPU、内存等资源的消耗就越大,从而导致防火墙整体性能的衰减,这一点与工控系统低延时、高可靠性的要求是相背离的。
工控系统内部承载着大量的工控协议,传统的网络安全设备无法识别这些协议。此外,某些工控协议的端口是随机的,例如:OPC的远程通信依赖DCOM配置,DCOM通信是基于TCP/UDP的,所使用的端口是动态的,传统防火墙无法实现这种状态下的策略配置。
(2)在入侵防范上,很多工控系统没有针对工控协议的入侵检测或入侵防御的能力。按照等保2.0要求,需要在关键网络节点处检测、防止或限制从内部或外部发起的攻击行为。这就要求不但要提防来自外部的攻击,也不能忽视来自内部违反安全策略的操作行为。
(3)在无线通信方面,随着无线通信技术的发展和应用,很多工控系统都采用了无线通信技术,但是无线网络没有建立身份认证机制、通信线路不安全、通信报文没有进行加密处理等问题,都直接影响无线通信网络数据的机密性和完整性。
此外,在日常环境中还存在着大量的无线信号干扰源,例如:2.4GHz为工业、科学和医学ISM开放频段,使用此频段的设备如微波炉、蓝牙、红外传感器甚至荧光灯镇流器等都会产生干扰。而5GHz频段的干扰虽然目前较少,但越来越多的设备开始使用此频段,如雷达、无线传感器、数字卫星等。如何识别、规避这些干扰,也是工控领域无线通信亟待解决的问题。
工控系统内部除了具有工程师站、操作员站、各种服务器等传统设备外,还包含各种工业控制设备和仪器仪表。既部署了各种传统应用系统和数据库,也运行了大量的工控专用组态软件。无论哪个部分,都存在着诸多安全隐患。
(1)在工控设备层面,工控系统使用的各种控制设备和仪器仪表大部分都是西门子、施耐德、罗克韦尔等国外厂商的产品。设备本身的固件、程序是否安全,目前还缺少专业机构安全检测。同时,这些设备并不是按照我国的安全标准开发设计的,很多固件本身就无法实现等级保护中关于身份鉴别、访问控制和安全审计等方面的要求。
近年来,各种工控设备在固件和程序上都爆出了不少的安全漏洞,想要修复这些漏洞就需要向厂家支付高额的升级费用,而自行升级又可能给工控系统带来兼容性、稳定性方面的问题,很多企业为了保证生产,选择了“带病”运行。
(2)在系统和应用层面,很多工程师站、操作员站以及各种服务器还在使用Windows XP、Windows Server 2003等老旧操作系统,这些系统上部署了各种组态软件、数据库等应用系统。为了确保操作系统和应用系统兼容性,一般不会对这些系统进行更新、升级等操作。
在工控系统中,还缺少“白名单”机制的安全防护手段或者主动免疫可信验证机制。目前,很多企业采用传统的杀毒软件进行主机安全防护,这些软件资源占用大,且无法及时更新病毒库,针对组态软件和工控应用还存在误杀、误报的风险。
(3)在接口安全层面,很多控制设备、上位机等都没有关闭或拆除软驱、光驱、USB口、多余网口等物理接口。也没有部署相应的安全产品来实现对这些接口的管控,稍有不慎就会将病毒、木马等恶意代码带入到工控网络中。
等级保护2.0提出了“一个中心,三重防护”的安全规划,一个中心就是安全管理中心。通过安全管理中心我们要实现整个系统的统一管理、统一运维、统一审计等核心功能。但是,目前来看很多工控系统在网络架构和硬件配备上都不能满足安全管理中心的要求。
(1)在网络架构方面,大多数工控系统都没有规划安全管理中心这一特定的区域,没有通过防火墙、交换机等设备建立起一条安全的信息传输路径,从而实现对网络中各种设备和组件的安全管控。
(2)在统一管理方面,大多数工控系统都没有部署综合网管系统,不能实现对物理环境、网络运行情况、设备运行状态的集中监测;没有部署集中安全管控系统,不能实现对服务器、终端等设备的安全策略配置、补丁升级、病毒查杀等安全事项的集中管理。
(3)在统一运维方面,很多企业都没有部署网络安全监测系统,无法实时检测针对工控协议的网络攻击、恶意代码传播、用户的误操作等行为,无法在出现上述情况时进行及时报警;没有部署运维管理系统,不能实现管理员操作权限的分配和身份鉴别,也不能实现对整个运维管理过程中操作过程的记录。
(4)在统一审计方面,很多企业没有部署日志审计系统,认为日志审计仅仅是为了满足《网络安全法》[4]中日志保存不少于6个月的条款要求。其实这样的观点是错误的,安全审计不仅可以帮助我们分析系统中各种设备的运行状况,还可以在违规操作或攻击行为发生后提供有效的事后追溯手段和攻击证据。更重要的是,可以对攻击者起到震慑或警告的作用,同时海量的审计数据还可以为我们提供新型网络攻击行为的安全态势感知。
当前,工业控制系统面临着巨大的安全风险,如何将等级保护2.0的安全理念融入工控系统的建设、整改中去,减少后续安全改造的投入,降低系统运行后的网络安全风险,是我们需要关注的重点。本文以等级保护2.0基本要求和工业控制系统安全扩展要求为基础,结合实际情况从管理和技术两方面共10个维度来分析当前工控系统存在的主要安全问题,对于今后工控系统的规划建设、安全检查、自查自纠等工作都具有现实参考意义。
[1]郭启全. 网络安全等级保护制度中国网络安全保障工作的伟大创举[R].北京:公安部第三研究所、公安部第一研究所,2019.
[2]GB/T 22239-2019 信息安全技术网络安全等级保护基本要求[S].北京:中国标准出版社,2019.
[3]GB/T 28448-2019 信息安全技术网络安全等级保护测评要求[S].北京:中国标准出版社,2019.
[4]全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2016-11-07.