工业控制系统网络安全防护体系建设研究

苏红生,刘燕江,李高桥,李 明

(云南云天化红磷化工有限公司,云南 开远 661699)

0 引言

某公司目前在线运行的有分布式控制系统(distributed control system,DCS)、可编程逻辑控制器(programmable logic controller,PLC)系统及电力监控系统等40余套自动化系统。系统各装置的实时生产数据通过过程控制用对象连接与嵌入(object linking and embedding for process control,OPC)服务器进入制造执行系统(manufacturing execution system,MES)。系统实时数据是公司生产调度的指令依据。工业控制系统(industrial control system,ICS)是DCS、PLC、监控与数据采集(supervisory control and data acquisition,SCADA)系统等多种工业系统的总称[1]。ICS是企业生产的大脑与神经中枢,一旦出现安全问题,必定会给安全生产带来影响。ICS安全主要包括功能安全与信息安全这2个方面[2]。在震网病毒事件发生之前,ICS安全主要是保障生产环节的功能安全,对系统信息安全防护的有效建设没有引起足够的重视。这使得传统信息安全领域中常见的木马、蠕虫以及分布式拒绝服务(distributed denial of service,DDOS)等攻击手段都能对ICS造成极大的破坏。极端情况下的恶意入侵、攻击与破坏使生产过程失序,从而引发生产事故。近年来,越来越多的ICS安全事件让政府、企业认识到其重要性和危害性,ICS安全已提升到国家安全战略层面[3]。在当前复杂的国际形势下,构建安全、自主可控的ICS网络安全防护体系已刻不容缓。本文结合ICS遭遇网络病毒攻击事件,对ICS的特性和面临的网络安全威胁进行了分析,提出了构建多层级、多层次的纵深ICS网络安全防护体系。初步建成的ICS网络安全防护体系加强了公司在安全防范、预警感知、应急响应等方面的能力,有效避免了因ICS网络安全带来的损失,保障了业务的连续性。

1 ICS遭遇网络病毒攻击事件

近年来,全球各类网络安全事件频发。震网病毒、勒索病毒等重大网络安全事件给ICS网络安全敲响了警钟。事实上,ICS已成为网络攻击的重灾区[4]。

1.1 ICS遭遇网络病毒攻击

某年2月17日1∶31,某公司某装置的OPC服务器接入MES的实时数据中断,随后多套装置的数据相继中断。经信息管理员初步判断,原因为信息数采机群或设备故障。信息管理员远程登录系统进行了处理,使得数据恢复。当日4∶36,多套装置OPC服务器接入MES的实时数据又相继中断。信息管理员再次远程登录系统,但远程登录功能已失效。信息管理员赶到数采机房检查时发现多台数采机出现死机、蓝屏、中央处理器资源占用100%等情况。

某公司在线运行的ICS服务器、操作站计算机均采用Windows操作系统。操作系统自带的防火墙不对OPC协议的动态端口开放,是关闭的。DCS管理员检查后发现多套装置OPC服务器原本关闭的防火墙被打开,导致数采机无法获取数据。而防火墙数次关闭后又被打开,最终只能禁用。DCS工程师站、操作员站出现蓝屏、死机,启动不了或重启后短时运行又出现蓝屏、死机等现象。电力监控系统操作站则是弹出自动重启“倒计时1分钟”窗口后陷入重复启动中。通过网络流量监测,信息管理员发现多套ICS的OPC服务器通过445端口向数采机发送异常数据包。经过分析,相关人员认为此次病毒与“永恒之蓝”漏洞攻击现象相似[5]。

1.2 遭遇病毒攻击后采取的措施

信息管理员对数采机群重装升级操作系统、打补丁、升级防毒杀毒软件、关闭445端口。2月19日数采机群处理正常,管理信息网按节点方格逐一进行软件升级及病毒查杀。由于没有ICS安装使用防查杀病毒软件的经验与措施,信息管理员只能使用赛门铁克、卡巴斯基、360安全卫士几款病毒查杀软件对ICS在用计算机进行离线、在线检测与测试,并分别检测出Trojan.gen.2、Trojan Horse、w32.mandaph等病毒。安装或使用上述几款病毒查杀软件后,装有DeltaV、PCS7工业控制软件的计算机出现无法启动、运行速度慢、死机、蓝屏等现象,只能采用网络方格断网、隔离、重装系统进行处理。采用360安全卫士在安装了ABB Freelance工业控制软件的计算机上进行病毒查杀后,相关计算机没有出现上述现象,在线运行测试也没有发现异常。在本次病毒攻击事件中,除A、Q装置在运行的2套JX-300XP控制系统没有发现明显异常外,基本波及了在用的所有ICS,所幸没有造成生产上的直接损失。

2 ICS的特性及安全风险

ICS是现代信息技术和控制技术的融合,属于一类特殊的信息技术系统,有其自身的特性及面临的安全风险。

2.1 ICS的特性

①ICS首先强调可用性,其次才是完整性与机密性。ICS是实时控制系统,对信息的可用性要求很高。ICS的设备,特别是现场级的控制器,大多是嵌入式设备。这些设备由于软件、硬件资源有限,无法支撑复杂的信息安全功能。

②ICS是以生产过程控制为中心的系统,服务于工业生产过程,与物理过程紧密结合成为复杂的信息物理系统(cyber physical systems,CPS)[6]。ICS一旦受到攻击,势必给安全生产带来影响,甚至造成严重的后果。ICS除了接受定期检修,必须长期稳定、连续、可靠地运行,不能接受频繁的升级更新操作。

③ICS广泛采用工业以太网技术,基于互联网协议、传输控制协议、用户数据报协议通信。但其应用层协议是不同的。ICS对报文时延有严格的要求,而对吞吐量、并发连接数及连接速率往往要求不高[7]。

2.2 ICS面临的安全风险

由于ICS要兼顾应用场景与控制管理等,以优先确保系统高可用性和业务连续性为主,致使一些成熟的信息技术系统信息安全产品无法直接应用于工业现场。这使得ICS因缺乏有效的安全防护措施而面临安全风险[8]。某公司各套生产装置的实时数据通过DCS/PLC的OPC服务器汇聚到第一层交换机,由对应各套DCS/PLC的数采机进行数据采集;数采机汇聚到第二层交换机,通过防火墙后由数采发布服务器供管理信息网访问。

本文对照《信息安全技术网络安全等级保护基本要求》[9]等规范,对某公司ICS网络安全进行梳理。梳理结果如下。

①某公司网络分为生产控制网和管理信息网这2个相对独立的区域。不同的ICS相对独立。其管理信息网与生产控制网边界通过2台OPC设备进行数据交换,无法满足网络隔离要求。

②ICS网络边界较为清晰,但生产控制层和现场控制层边界未部署防护设备或安全措施。当某个系统遭受网络攻击时,可能迅速蔓延至其他系统。生产控制网络中均缺乏有效的防入侵措施,在遭受外界病毒、木马等攻击侵扰时不能第一时间发现、记录,并且不能对网络攻击或网络安全事件进行及时预警与处理。

③ICS使用的计算机采用Windows操作系统,均未安装任何主机防护软件。为保证工业控制软件的稳定性和可用性,生产网络中的工作站和服务器均没有部署杀毒软件,存在被恶意代码感染的风险。

④ICS日常运维过程中涉及的移动存储介质的使用,缺乏有效的安全管控措施。工作U盘和私人U盘混用,容易引发病毒从“内部”进入ICS的风险。而外设风险是目前ICS网络中公认普遍存在并具有威胁性的风险。“震网病毒”事件就是依靠U盘将外界网络病毒携带进入ICS网络的典型案例。

⑤“三分技术、七分管理”的网络安全防护体系既包括适宜的技术防护措施,又包括完善的管理体系和制度。此次病毒攻击事件暴露出组织在管理上存在的不足。

3 ICS网络安全防护体系建设

ICS网络整体架构按功能可划分为4层,分别为现场设备控制层、现场控制层、生产控制层和企业管理层。

初步建成的ICS安全防护体系网络拓扑如图1所示。由于暂不涉及现场设备控制层的保护建设,所以图1中未单独标注该层。

3.1 ICS网络安全监测运营平台

运营平台在ICS网络关键节点部署工业安全审计,以采集网络流量与日志信息,并将其转发至全流量日志系统进行分析。分析结果为ICS安全运维管理人员提供安全事件管理和应急处置支持。同时,日志系统将分析结果转发至集团公司工业安全集中监测分析平台,在全局安全态势中呈现,为集团公司侧决策提供支撑。

①全流量日志分析系统。平台部署一套全流量日志分析系统,以采集公司内各装置DCS的OPC服务器节点的网络流量和日志信息。该系统通过大数据分析,输出结果指导ICS安全运行和管理,同时将相关结果转发至集团公司态势感知平台。

②ICS网络流量监测。平台在OPC数采机群汇聚交换机旁路上部署工业安全审计,对网络流量和日志数据进行双重采集和监测。平台基于工业协议深度解析,实时监测ICS网络行为和状态,检测现场网络中的违规操作、入侵行为及流量异常,并根据用户定义的审计策略追踪、溯源ICS网络安全事件。

③主机探针软件。平台在OPC数采机上部署主机数据采集探针软件,采集主机的关键信息,以提交全流量日志系统进行分析和管理。

3.2 安全通信网络

在公司与互连网、集团公司接口处部署防火墙与上网行为管理系统,以深入洞察网络流量中用户、应用和内容,提供有效的应用层一体化安全防护。在企业管理层与生产控制层之间、生产控制层与现场控制层之间部署工业防火墙,通过合适的安全策略实现各ICS的OPC服务器与外部OPC系统的数据安全传输与隔离。

3.3 安全区域边界

生产控制层和企业管理层边界部署工业防火墙,以实现不同生产网络层级间的隔离,重点保护现场控制层以下的关键控制器、主机和设备。工业防火墙具备工业协议深度解析功能,能够对上、下位机之间的数据读写操作进行有效控制,从而保证控制功能安全。

在生产控制层和企业管理层之间的OPC数采机群汇聚交换机旁路上部署工业安全审计系统。通过全流量日志分析系统对来自工业安全审计系统的数据流量进行实时检测分析,从而及时发现地址解析协议、DDOS以及隐藏于流量中的病毒、木马、蠕虫、溢出等攻击并预警。

3.4 安全计算环境

在ICS网络和相关服务器主机上部署工控主机卫士。主机卫士采用应用程序白名单技术,不在白名单列表内的应用程序、工具和进程都不能在主机或终端上运行。经过签名可信任应用程序的正常升级、更新则不受影响。白名单技术可有效抵御零日漏洞和其他有针对性的攻击,可对正在运行的应用程序、工具和进程提供全面可视性。ICS的应用程序相对来说数量少且固定,因此,白名单技术更适合于工业应用。

3.5 安全管理中心

在信息网部署全流量日志分析平台,可以通过工业安全审计设备实时采集工业控制网络中各种不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志、事件、报警等信息,并将数据信息汇集到展示平台,以集中采集、存储、查询和审计处理。同时,本文梳理完善了ICS及网络安全管理组织体系,制定了ICS应急处置预案、U盘等外设使用管理制度。

3.6 网络安全等级保护测评

根据国家网络安全等级保护制度、有关管理规范和技术标准,本文进行了网络安全等级保护测评。经过测评可知,初步建成的ICS网络安全防护体系综合得分为70.5,评级为中,未发现高风险问题。对于测评中暴露出来的问题,将会在下一阶段的建设工作中加以完善。基于ICS的特点,其内网的网络防护既要考虑安全性,又要考虑对系统业务的影响,还要经过严格的长期测试及可行性验证,特别对一些重要的工艺过程更要慎之又慎[10-11]。

4 ICS的选用

ICS网络安全防护技术是有效阻止威胁对ICS可用性造成破坏的技术,但对于具体防护技术的选择要依据企业所选用的ICS特点进行综合考虑。因此,ICS的选用是ICS网络安全防护体系建设中的一个非常重要的环节。

ICS是连接物理世界与互联网世界的桥梁,是工业生产的神经中枢和大脑。随着技术的进步,安全隐患已从软件向硬件发展。在极端情况下,黑客等可通过入侵ICS,控制、破坏重要的生产设施,使生产过程失序或产生事故。DCS、PLC控制系统控制站负责现场部件的控制。控制器是最后的安全防线,应具备以下特点:具有自主知识产权,包括芯片内核、操作系统、通信总线等;采用通信健壮性、协议安全性、自主可控性、代码可靠性等关键技术;通过网络安全测试[12]。

在当前复杂的国际形势及日益严峻的网络安全环境下,人们越来越意识到ICS自主可控的重要性。就DCS而言,现有国产系统与国外主流系统处于同一技术层次,且国产系统更加符合国人的使用习惯与国情,在安全上更有保障。国产系统是一个较佳的选择[13-14 ]。某公司目前有多套DCS、PLC控制系统将要升级换代,并已采用国产DCS替换了多套国外DCS,取得了良好的运用效果[15]。

5 结论

ICS网络安全防护体系的初步建设,为公司信息网络、ICS安全运行提供了基本保障,实现了对病毒、木马等恶意程序的预防。该体系防范内外部攻击、软件后门利用等多种威胁,加强公司在当前愈加恶劣的网络环境下的安全防范和预警感知能力,有效避免因ICS网络安全遭到破坏带来的损失。随着技术的发展、工业化与信息化的深度融合,针对ICS攻击的技术门槛、攻击成本在下降,而攻击所带来的后果与影响却在不断加剧。

ICS网络安全防护体系建设并非是信息安全技术和产品的简单叠加与应用。它涉及安全意识、技术和管理的方方面面,是一项需要长期不断建设和完善的系统工程。