冷昊 李炜玥 孙智权 潘科羽 刘烨
(工业和信息化部电子第五研究所 广东省广州市 510370)
随着云计算、大数据、物联网、移动互联等新技术新应用的发展进步,网络安全也迎来了新的机遇和挑战。当今国际形势纷繁复杂,国际地缘政治的纷争不断,各国对于关键基础设施的安全防护愈加重视,工业控制网络作为关键基础设施中能源和制造业的典型,其安全性愈发受到各方的关注,安全形势愈发严峻。
2020年4月24日至4月25日,黑客组织对以色列的关键基础设施发起了攻击,该国的水利行业的工控系统特别是SCADA 系统多次遭受了网络攻击,造成了巨额的经济损失,并严重影响了日常供水;2021年5月7日,黑客攻击了美国最大的成品油管道运营商Colonial Pipeline,迫使其一度关闭整个能源供应网络,这对美国东海岸的能源供应造成了破坏性打击,一度使得美国进入国家紧急状态,迫使供应商支付了近500 万的赎金,本次攻击是美国能源行业有史以来受到的最严重网络袭击;2022年8月20日希腊最大的天然气分销商的工控系统遭受网络攻击,导致多项服务被迫关闭,部分数据遭到泄露,对欧洲越演越烈的能源危机雪上加霜。9月6日,GhostSec 组织控制了以色列国内组织和平台上55 个Berghof 可编程控制器(PLCs)。随着俄罗斯与乌克兰战争的进一步升级,针对对方工业控制系统等关键基础设施的攻击越发频繁,2022年9月22日,俄罗斯对乌克兰展开大面积的网络攻击,多地的电力系统收到破坏,40个变电站停电。美国CISA 发布了三份针对工控系统的公告,涉及ETIC 电信、诺基亚和Delta 工业自动化软件中存在多个漏洞,可能导致开启后门权限、破坏设备,造成巨额经济损失。
从上述事件可以看出,对于工控网络的攻击已经从单打独斗发展为越来越体现国家意志。而最常见的针对工控网络的攻击方式就是利用已知的系统漏洞,工控系统中的典型组件和系统如SCADA(数据采集与监视控制系统)、DCS(分布式控制系统)、PLC(可编程逻辑控制器)等以及相关使用的配套工业软件均被发现过存在信息安全漏洞。全球十大工控设备和系统供应厂商如研华科技、Siemens 西门子、研祥EVOC、凌华、控创、康泰克、B&R 等工控系统厂商产品均被发现包含各种信息安全漏洞[1]。根据CNVD(国家信息安全漏洞共享平台)的数据,2010-2021年工控漏洞走势如图1所示。
从图1 中可以看出,自2010年开始,工控漏洞不断攀升,在2015 开始持续走高,这与2015年开始工控网络快速发展,全球化进程加快,工业互联网开始发展存在一定的相关性。更多的设备和系统暴露于网络上,而其所涉及的利益也导致了各大组织对工控漏洞的持续关注。但也可以看出2021年工控漏洞的数目明显下降,是因为受疫情影响,针对全球大量工厂停工或远程运维,因此攻击产生的漏洞有所下降。
图1:工控漏洞走势图(数据来源CNVD)
然而虽然漏洞数目下降了近2/3,但漏洞的威胁性并未降低,超高危漏洞的数量大幅跃升,据统计,2021年国外四大漏洞平台共收录工控系统超高危漏洞16 个,远超2020年的6 个,且成上升趋势[12]。
总结中国赛宝实验室近五年来对于各个类型的工控系统的风险评估、等保测评、入网安全测评的安全服务,发现对于各行业的工控系统存在的典型问题如下。
1.2.1 电力工控网络
管理形式化:执行力不足:资产管理混乱,台账不清晰不明了,设备密码缺失,设备所属部门不清;电厂人员一般只关注业务系统如何使用,对安全防护不了解不熟知。
安全计算环境自身防护能力不足:存在弱密码、默认密码的现象,口令易猜测易暴破,存在系统被非授权访问的风险;设备老旧,升级困难,部分设备采用Windows CE、Windows 98 等较为老旧的系统,部分系统未开启安全审计,会造成安全问题发生的时候溯源和定位问题的困难。
网络安全防护能力和安全预警能力不足:电厂增配了安全产品,例如堡垒机、日志审计,但仅接入网络,未做配置,实际没有使用生效,未定期对工控系统做漏洞扫描,及时发现并修补漏洞;防火墙、IDS 未及时更新病毒库或特征库。
1.2.2 石化工控网络
控制设备漏洞:大部分石化场景搭建时间较早,使用的PLC 版本老旧,固件版本少有更新。
传输协议落后漏洞:广泛采用OPC Classic 协议,控制设备中的协议也存在大量漏洞。
操作系统漏洞:石化场景管理体系缺少一体化的安全管理策略。
管理操作漏洞:以Windows 操作系统居多,同时很少在工程师站、操作员站等位置部署杀毒软件与补丁系统。
1.2.3 冶金行业工控网络
技术方面:工业生产网络与互联网未有效隔离;主机和Web 应用存在网络安全漏洞;普遍存在默认、简单账号和弱口令;网络健壮性保障能力不足;软件、固件因版本未升级而存在大量安全漏洞;未执行最小安装、最小配置授权原则;网络安全自主防护能力不足[2]。
管理方面:在企业网络安全建设方面,未开展风险评估、渗透测试、安全加固、等级保护测评等常态化的网络安全建设工作;在网络安全意识教育及技能培训方面,覆盖内容不全面、受教人员较少、开展频率较低;在网络安全管理制度体系建设及落实方面,覆盖面及描述粒度有待提升(尤其是系统安全建设及系统运维建设方面)、制度体系推行落实不力、网络安全预算较少;在网络安全管理机构建立及人员配备方面,缺少职责明确的网络安全管理机构及网络安全专员;在系统应急响应措施方面,未制定并实施业务连续性计划、已有的应急预案未涉及工业控制系统、应急演练未有效开展、技术支撑及物资保障有待加强。
1.2.4 高端制造工控网络
数控机床:数控机床使用的软硬件多为老旧系统,并且基本不进行漏洞补丁升级,且存在补丁兼容性问题,信息安全漏洞风险巨大;随着智能制造、工业互联网战略规划的推进落实,数控机床数字化、网络化、智能化特征日益明显,数控机床所处网络环境原有的封闭性被打破,开放式架构提供大量开放接口、被渗透风险提升,信息安全风险陡增[3];对国外依存度高,不可知、不可控,我国数控机床的市场进口设备占比高,且在技术方面占据领先和主导地位,且核心技术不向我国公开,自2013年开始针对航空、航天、兵器、船舶、电子等领域的高档进口数控机床及相关网络系统的安全检查中多次发现国外的工控系统存在设计漏洞,并预置了后门,这蕴含着巨大的安全隐患;数控设备审计功能缺陷,后台数据不掌握在使用者手里,导致了网络安全事件难以追踪溯源,使得数控系统安全问题日益凸显;加工数据详细、丰富、数量多,存在专利信息泄露风险,定位模块无法卸载,GPS 地理位置信息泄露,机床日志审查发送給后台,泄露工件加工信息。
汽车制造:工业网络缺乏对临时接入设备的管控措施,缺乏对临时接入设备进行病毒查杀的有效手段,安全软件选择与管理方面存在缺失;大件厂办公设备、视频监控设备以及工业控制设备均位于同一网段,工业控制设备与其他设备未进行区域划分,PCU 终端存在大量高风险漏洞,存在提权、系统崩溃、感染勒索病毒等风险,配置和补丁管理存在漏洞;工业网络和企业网在车间层面未进行隔离,车间内办公设备与工业生产设备可互访,厂内部部署有无线AP,设备可通过无线接入大件厂网络,无线开启有DHCP,边界安全防护不足;内网缺乏网络安全监测设备,无法发现、报告并处理网络攻击或异常行为,安全监测和监测严重缺失。
1.2.5 装备制造业工控网络
安全软件部署不充分:版本陈旧未更新,部分无正版授权,安全策略未完全开启;网络内大量终端设备所安装的360 杀毒软件均长期未更新;部分PCU 终端未安装杀毒软件。
数据传输未加密、数据测试未脱敏:测试机直接使用生产环境的副本进行测试,生产环境中的数据未进行加密、脱敏等控制保护措施。
员工工控安全意识淡薄:安全管理职责都没有到具体责任人,制度只是一个形式;未对每年员工进行安全培训以提高网络安全意识。
以上问题的存在是由于工控系统本身的特点以及管理不到位共同导致的,而随着新基建、两化融合、制造强国和网络强国策略的不断推进,工业一体化进程的不断推进,融合的不断加深,越来越多的网络安全问题和黑客组织的攻击都聚焦了工控系统。其主要表现在:
两化融合使工控系统面临的网络安全风险:两化融合是指工业化与信息化过程的相互融合,将信息技术应用到工控领域,两化融合的推进使得工控系统与信息网络联系愈加紧密,相较于传统的处于封闭内部网络的工控部署,这在无形中增加扩展了工控网络攻击的范围,降低了攻击者攻击的成本,也增加了工控设备网络攻击的风险[1]。
制造强国和网络强国使工控系统面临的网络安全风险:中国大陆的产业结构不断优化升级,装备制造业得到快速发展。汽车制造、计算机通信和其他电子设备制造产值占比大幅上升。然而随着工业的快速发展以及产业结构的转变,工业网络的安全隐患也越来越多,暴露在网络中的工控设备数量较多,工控系统面临较大安全风险[4]。而网络强国的不断推进,工控协议暴露在网络中不断增多,这使得被攻击的风险陡然扩大,根据“谛听”组织2022年发布的数据,国内工控协议暴露的数量和占比如图2。
图2:国内工控协议的暴露数量
工业互联网的推进增加了新的安全风险:工业互联网打破了原有的相对清晰明确的责任边界,使得网络结构更加复杂,边界更加模糊,威胁也更加的多样化[5]。而工控系统往往涉及国计民生的重要领域,攻击可获得的利益增加了,这促使得一大批的黑客在利益的驱动下集中火力攻击工控系统,这也导致了工业互联网平台安全、数据安全、联网智能设备安全等问题越发突出。
广东省作为改革开放的先行者,制造业一直在全国独占鳌头,而对于数字经济发展也一直处于模范领跑的地位,电子信息制造就业、软件和信息服务业规模、工业营收和工业利润多年位居全国第一,产业数字化、工业数据存储量全国领先水平等几大优势特征。广东在工业互联网+深度布局、统筹规划,相继出台实施了一系列涉及工业信息化产业融合、工控网络与大数据和人工智能产业融合的发展规划。广东更是在《广东省制造业“十四五”规划》中明确指出“到2025年,制造业增加值占GDP 比重保持在30%以上,高技术制造业增加值占规模以上工业增加值的比重达到33%;”[6]。作为全国首个出台的工业互联网地方政策的省份,广东明确了在全国工业互联网实现率先发展、领先发展、争当全国示范的目标。广东省在行动规划和发展纲要中明确提出“到2025年要在全国率先建成具有国际竞争力的工业互联网网络基础设施和产业体系”。如图3所示。
图3:广东省工业互联网投资规模预测
工业互联网对先进制造业的发展和传统产业的升级提供了重要的支持,根据广东省历年发布的国民经济和社会发展统计公报,2022年工业互联网核心产业规模将达到约1100亿元,相关产业总规模将超过4000 亿元,2025年工业互联网核心产业规模将达到1500 亿元,相关产业总规模将超过6000 亿元。
相应的,广东省的工控设备暴露数量一致名列前茅,2019年度甚至超过了台湾、香港,成为暴露工控设备数量最多的省份。虽然经过近几年对工控安全的重视和相关举措的发力,2021年度广东省暴露工控设备数量为全国第六,但作为制造业大省安全形势仍严峻,安全问题仍不容小觑,安全形势研究如履薄冰。如图4 和图5所示。
图4:2019年各省工控设备暴露数量统计图
图5:2022年各省工控设备暴露数量统计图
相较于传统IP 系统,工业控制系统具有如下的特点:实时通信性,即其对于通信的传输的实时性要求较高,部分工控系统全年的业务中断时间累积不能超过8 个小时,部分要求性更高的系统如涉及航空等领域的工业控制系统甚至要求全年不可宕机。这也引发了工控网络相较于传统IP 系统的另一差异,即在安全保护的优先级方面的区别,对于传统的IP 系统而言,安全的三个特性,可用性、完整性、保密性中,其优先级的顺序为保密性>完整性>可用性,但对于工控系统而言,可用性的优先是毋容置疑的,其对于安全特性的排序变成了可用性>完整性>保密性。因此工控网络更注重于功能性的安全[7]。除此之外,因工控系统其产品所使用的通信协议是各厂商自主定义的,所以其通信协议具有多样性,这也导致了系统的异构性。这一特性的存在就决定了对于工控网络下的系统而言,防护技术存在着较大的差异,安全补丁和升级机制存在着明显的差异,这与高可用性要求的叠加也导致了部署后的系统设备的更换困难、难以重启,这对于安全的防护体系的构建无异于难度进一步加大。
以上特性的存在就导致了工控网络在技术和产业方便存在着显著的痛点。首先在技术方面,工控网络开放互联,攻击面大,攻防严重不对称,“易攻难守”;工控大量漏洞、后门,穷尽或彻底查杀软硬件代码威胁不可能;工控网络结构复杂,功能安全与信息安全深度融合下防护更难;工控重大工程大规模动态连续运行约束下,新技术试验验证难。其次在产业方面,工业控制系统80%关键装备和产品被国外垄断,安全威胁巨大;国内研制的工控系统大量使用国外的元器件,自主可控能力弱;工控安全防护产品单一,功能弱,无法应付跨越信息物理空间攻击;工控系统安全测试与实验验证与现实拟合度不高,测试结果不可信。
随着《网络安全法》、《GBT 22239-2019 信息安全技术网络安全等级保护基本要求》、《关键基础设施安全保护条例》、《GB/T 39204-2022 信息安全技术关键信息基础设施安全保护要求》等法律法规的相继发布颁布实施,我国对于关键基础设施的网络安全愈发重视,这在一定程度上促进了行业重视程度的增加[8]。
《网络安全法》第二十一条和第三十一条明确规定了“国家实行网络安全等级保护制度”、“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”[9]。《关键信息基础设施安全保护条例》中明确提出“优先保障能源、电信等关键信息基础设施安全运行”[10]。这些政策法规的落地极大程度的提升了行业的重视程度,其主要体现在极大的促进了严格落实相关政策的要求;相关监管单位加强了日常监管及检查的粒度,业主单位和运营者在增强人员安全意识方面更加下功夫,在实际的系统上线前更加注重入网的安全测评。而政府部门也针对以工控行业为代表的关键基础设施多次举行了护网行动,希望以攻击促进防守,形成良性循环。
而行业的重视程度的增加也使得工控网络和系统的安全性取得了一定的进步,以笔者所参与过的自2017年开始跨越了5年进行的年度等级保护测评和年度安全检查的情况为例,在网络层面,针对传统电力二次系统网络层入侵检测及安全审计等功能薄弱的问题,西部某发电厂近年来对计算机监控系统进行了加固升级,采购了IDS、SAS 等安全设备,增强了网络整体安全防护能力。如图6所示。
某电网近年来针对电力系统网络监测及预警能力薄弱问题,对所管辖的各电厂均安装部署了态势感知设备,网络安全态势及综合预警能力大步提升。如图7所示。
图7:某电网网络拓扑图
而在设备安全方面,工控企业对于主机系统版本进行了迭代升级及加固,结合护网行动对工控系统工程师站及服务器等进行安全升级和加固,Windows 系统升级为2012 以上版本,部分系统直接替换为较为安全的Linux 系统;为遵循国家及行业相关规范要求,同时符合网络安全等级保护相关要求,逐步改造实现国产化替代;针对应用系统开展了安全加固,针对计算机监控系统等应用系统实现部分安全升级和加固,增强密码复杂度要求,配置访问控制及安全审计等功能。
保障工控网络安全,需要业主单位协同安全厂商、测评单位监管机构协同合作,综合协调、分工负责、依法保护[8]。
2.3.1 业主单位
作为网络安全的责任主体,业主单位在其中起到的作用主要体现在安全测评、安全加固、安全建设三个方面:
(1)安全测评:清查系统资产,开展对系统资产的梳理和责任的划分;对单位内的重点系统进行定级备案,三级系统每年开展等保测评,二级系统建议两年开展一次等保测评以确保合规,并年度进行自查。在确保可用性威胁可接受的情况下,对问题项进行安全整改。
(2)安全加固:根据国家政策法规中对于网络安全基本要求建立公司网络安全管理体系,以网络安全等级保护基本要求为基础进行建设,加强安全产品的采购和选型。对入网安全产品做安全性测试;对网络安全建立态势感知,做全面的风险把控
(3)安全建设:提高人员的安全意识培训,增强对政策和内容的宣贯。以攻击促防守建立主动防御体系;加强与监管机构、设备厂商、测评单位、科研机构的技术交流。定期组织开展知识技术培训和应急演练。
2.3.2 安全厂商
作为提供建设支撑的主体,安全厂商在工控网络安全的维护中,针对不同的对象应起到不同的作用:
(1)对于监管部门,应积极参与监管部门定期组织的应急和检查工作;主动上报安全产品监测到的安全预警情态;并积极参与各项标准的建设。
(2)对测评机构则需做到两个同步,即同步对标准指标的解读,同步实践建设经验,并及时通过论坛等方式加强双方技术交流。
(3)对于业主单位则需要对设备入网提供符合国家安全标准的检测报告,提供工控系统合规专用安全加固解决方案;研发适用于工控安全的相关产品落地,对安全测评发现的问题提供整改支持。
2.3.3 测评机构
作为效果评判的主体,提供等级保护、入网安评、风险评估、商用密码评估、关键信息基础设施安全检查评估的测评机构,则需要做到协同、支撑、助力、共享,即协同安全厂商共建整体安全方案;支撑主管部门开展安全检查;助力业主单位进行安全加固整改,建立多方合作共享平台。
2.3.4 监管机构
监管机构在整个协同循环中起到指导监督的作用,其主要的着力点主要为:加大对工控系统安全相关法律法规和政策的宣传,定期开展专项检查,针对龙头企业和各地市重点行业,特别是列入到关保范围内的工控系统开展重点巡查;对一有问题的系统责令整改,并监督其效果。
我国一直在不断积极推动工业信息安全保障能力建设,2017年,国家工业信息安全发展研究中心组建完成,其主要从事工业和信息化领域政策研究及工业信息安全领域的技术研发、监测预警、检查评估等工作,持续加强工业信息安全保障能力。并相继组建了由中国工业技术软件化产业联盟、工业信息安全产业发展联盟、工业互联网产业联盟、工业控制信息安全产业联盟组成的工业安全联盟。
国家多个部委对工控安全工作布局指导。如工信部信软司在工控系统信息安全检查、工控系统信息安全保障、工业互联网安全等方面开展多项工作;工信部科技司在车联网、物联网及人工智能等方面开展了相关的工作;工信部装备司在高档数控机床与基础制造装备、智能网联汽车、智能医疗设备、工业机器人等方面做了大量工作;国家发改委在智能汽车、智能制造网络信息安全等方面开展了相关的工作。
大力发展产品安全机制检测、漏洞挖掘与分析、后门检测、芯片安全检测、关键软硬件自主可控度测评、安全通信协议分析、逆向分析等技术在内的安全检测分析技术、安全配置核查、漏洞扫描、渗透测试、安全风险评估等技术在内的安全风险评估技术、安全监测、态势感知与预警、取证、安全审计等技术为代表的安全持续监督技术。
随着“互联网+”等新兴业态的快速发展,工业互联网、工业大数据、工业云平台安全逐渐成为工业信息安全的重点和核心,工业信息安全从面向企业端的工控安全逐步延伸至工业互联网安全、工业云安全、工业大数据安全等领域。
数据商品化、流动路径复杂、实时性要求高、数据关联性强、异构多态化等特点决定了工业数据将成为重点管理和防御对象。工业系统的内生安全将重新设计和规划;终端状态监测与系统安全态势感知成为安全决策与管理的重要根基。
而相应的工控网络安全防护技术的发展将具备下列特点:
以隔离为手段的安全防护,两化融合初始阶段,隔离是企业用户、供应商应对安全的主要途径。
纵深防御的安全防护体系,信息安全领域自然延伸,自上而下部署纵深防御的产品集合。
内生安全的智能防御体系,符合工控特点的内生安全防护技术,持续监测安全风险,例如,拟态防御技术、基于可信根和可信芯片的科信计算技术。
3.3.1 工业安全检测能力建设
建立多种工业形态仿真运行环境,研究分析检测对象安全需求,开展安全检测能力建设,建设工业设备和网络安全知识库,建立和完善工业设备和网络信息安全检测平台。
3.3.2 工业网络靶场建设
网络靶场是一个训练网络安全人员的网络环境,在这个环境中训练网络战士。其需要建立一个作为大脑的业务运行平台,对关键基础设备和网络真实流量进行仿真,从而对攻防态势监测、统计与分析。
3.3.3 攻击技术研究与工具集研发
关键系统和产品漏洞挖掘技术研究:通过模糊测试、静态分析、逆向工程等手段,挖掘数控机床、无人机、医疗设备、工业机器人等关键系统和产品通信协议、软件、固件等存在的安全漏洞,研究漏洞挖掘的理论和实现方法。
关键系统和产品漏洞攻击利用技术研究 :研究关键系统和产品的漏洞攻击利用技术,包括攻击策略制定、攻击路径选择、漏洞渗透和APT 攻击等。
关键系统和产品安全攻击工具集研发:研发关键系统和产品的安全攻击工具集,建立安全攻击方案库,开展攻防技术演练与方案验证。
3.3.4 信息安全保障体系建设
工业信息安全防护能力建设,建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的多层次安全保障技术体系。
建立工业信息安全防护技术手段,打造工业控制系统安全靶场、工业互联网安全监测预警和防护处置平台、工业互联网恶意代码检测分析平台、工业信息安全核心技术研发平台等[11]。
构建工业信息安全评估认证体系,开展工业设备、网络和平台的安全评估认证工作
3.3.5 新领域中的安全检测评估能力建设
在5G、智能医疗、人工智能、车联网等新兴领域中,数据传感、网络通信、云计算等多种技术融合应用,给信息安全防护带来了前所未有的严峻挑战。针对以上领域建设信息安全检测平台,形成覆盖安全漏洞扫描、渗透测试、恶意代码查验、数据安全检测、网络安全评估、平台安全检测、应用安全检测、密码安全评估的全面安全检测能力。
本文针对工控网络的安全形势进行了分析,对于政策法规和安全测评对工控安全的促进与提升做了陈述,对于当前新形势下我国工控网络安全的发展做出判断与建议。