摘要:工业控制系统信息安全是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化,在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。
关键词:电力监控系统安全防护;新型APT攻击;Stuxnet蠕虫病毒
1.1国内外工业控制发展概况
近年来,美、德等发达国家陆续提出工业4.0、工业互联网等战略,我国提出“互联网+”行动计划,实施“中国制造2025”。在电力行业,随着能源互联网概念的提出,综合运用电子技术、信息技术和智能管理技术,将分布式能量采集、储存装置和各类智能设备节点互联起来,形成能量对等交换与共享网络是未来的趋势。
1.2电力工业控制系统
1.2.1 电力工业控制系统安全
电力工业控制系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络如电力数据采集与监控系统、能量管理系统、变电站自动化系统等。其安全包含功能安全和信息安全:
a.功能安全侧重工控系统及其核心组件功能正常、正确运转,典型故障为系统一个或若干个部件功能失效或者由于外部环境异常,人员错误操作和使用,设计缺陷造成系统结构异常。
b.信息安全关注工控系统的可用性(防止控制系统发生拒绝服务)、完整性(防止对PLC、DCS或SCADA中的可编程指令进行非授权修改,使报警门限改变或破坏设备)和保密性(防止向控制系统的操作员发生虚假信息,使操作员采取错误动作,非授权修改控制系统的软件或配置设置,系统被引入恶意软件(如病毒、蠕虫、特洛伊木马等))不被破坏。
1.2.2 电力工业控制系统与传统信息系统安全防护对比
信息系统安全防护发展起步较早,安全防护技术较全面,技术更新快,而且大部分信息网络都有部署安全防护设备,防病毒软件以及操作系统漏洞补丁更新较快;反观电力工控系统安全防护起步较晚从2010后陆续发生的及其工业控制安全事件才引起整个社会关注,很多安全防护技术理论、设备、政策都还在探索和健全中,基本没有部署防病毒软件和堡垒机审计机和入侵检测机,为了系统的可用性实时监控性很多工业控制网络都是一个网段,而且网络结构和网络行为都极为稳定,一旦固定在很长时间内都不会变动,极易被攻破,工业协议种类较多,而且都是明文协议,没有加密相关考虑。最终要的是电力工业控制系统一旦被网络攻击破坏后对社会造成的影响极大。
1.3电力工业控制安全现状与趋势分析
1.3.1 两起典型电力安全事件
震网病毒事件
最近些年,国内外多家媒体相继报道了 Stuxnet蠕虫对西门子公司的数据采集与监控系统 SIMATIC WinCC进行攻击的事件,称其为 “超级工厂病毒”、 “潘多拉的魔盒”。Stuxnet通过一套完整入侵和传播流,突破工业专用局域网的物理限制;利WinCC系统的2个漏洞,对其展开攻击。它是第一直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到 Stuxnet 蠕虫的攻击。攻击过程如下:伊朗核设施和外网是物理隔离的,是个独立子网。外国势力专门设计制作的U盘,里面有专门攻击西门子控制系统的病毒,并且这个病毒利用了微软多个未公开的漏洞进行伪装,当时的杀毒软件业无法查出。先让工程师电脑经中毒了。当工程师电脑接到单位网络之后,病毒迅速感染了系统其它服务器,于是这种病毒开始潜伏,并开始在在局域网搜索SCADA系统以及底层PLC控制器。找到这些设备之后,病毒开始向离心机发出超速运转指令,同时又控制SCADA系统显示转速一切正常。最后导致离心机超速运转引发核电站停机丢失负荷。
乌克兰电网遭黑客攻击事件
黑客通过欺骗配电公司员工信任、植入木马、后门连接等方式,绕过认证机制,对乌克兰境内三处变电站SCADA发起网络攻击,造成7个110kv和23个35kv变电站发生故障,从而导致伊万诺-弗兰科夫斯克地区发生大面积停电事件,140万人受到影响,整个停电事件持续了6小时之久。攻击过程如下:通过鱼叉式钓邮件或其他手段,首先向“跳板机 ”植入 BlackEnergy ,随后通过BlackEnergy 建立据点 ,以“跳板机 ”作为据点进行横向渗透,之后通过攻陷监控/装置区的关键主机。同时由于 BlackEnergy 已经形成了具备规模的僵尸网络以及定向传播等因素,亦不排除攻击者已经在乌克兰电力系统中完成了前期环境预置和持久化。攻击者在获得了 SCADA系统的控制能力后,通过相关方法下达断电指令导致断电,其后采用覆盖MBR和部分扇区的方式,导致系统重启后不能自举(自举只有两个功能:加电自检和磁盘引导);采用清除系统日志的方式提升事件后续分析难度;采用覆盖文档和其他重要格式文件的方式,导致实质性的数据损失。这一组合拳不仅使系统难以恢复,而且在失去 SCADA的上层故障回馈和显示能力后,工作人员被“致盲”,从而不能有效推动恢复工作。 攻击者一方面在线上对变电站进行攻击的同时,另一方面在线下还对电力客服中心进行电话 DDoS攻击 ,两组“火力”共同配合发起攻击完成破坏电力系统的目的。
1.2.2电力工业控制系统安全存在的问题
随着两化融合的深入进行,现今电力行业的工业控制网络发展速度很快,随着集中监视运行模式的逐步推进,在统一管理集中监控的大趋势下,工业控制系统网络的集成度越来越高,其与其他信息网络的互联程度也随之提高。因此,各系统间的协同作业与信息交互将构建一套完整的业务逻辑,在此过程中,未经隔离的网络与主机、误操作、恶意操作、未授权的接入与操作、未授权程序安装、系统资源滥用与误用、外部接口滥用(USB接口及其他扩展接口)以及新型攻击(APT)将使电力控制系统的完整性、机密性及可用性遭到严重破坏。如果系统不具备主动防护、审计监管、集中展示和分析溯源等措施,不仅针对该类安全事件的定位、分析和追查将会变得非常困难,而且系统将存在大量的安全盲点与灰色地带,且系统的整体风险等级也将持续升高,给各类外部威胁留下大量可乘之机,可能会对电力生产业务造成不良影响,上面两起电力监控系统被攻击事件为电力工业控制系统安全防护敲响了警钟。
目前电力工业控制系统普遍还存在其它一些严重的安全问题,主要表现为:
生产控制系统缺乏自身的安全性设计
电力生产控制系统安全防护滞后于系统的建设速度,缺乏自身的安全性设计,再之相关人员安全意识单薄、相关的管理制度缺失,使得系统更加脆弱性。
网络缺乏有效的访问控制及区域划分
所有自控设备和计量设备均在一个网段、一个广播域中,一旦有网络攻击,容易造成全面瘫痪。一台外来设备具有从任何地方接均可访问全厂生产设备的可能。
严重漏洞难以及时处理,系统安全风险巨大
当前电厂主流的工业控制系统普遍采用进口设备,这些设备多数存在安全漏洞,且多为能够造成远程攻击、越权执行的严重威胁类漏洞,而且近两年漏洞的数量呈快速增长的趋势;另一方面,国外设备还有存在后门的可能性,近两年报出的“棱镜门”事让全世界为之震惊,也给我们敲响了一个警钟。而且工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,又造成工业控制系统的补丁管理困难,难以及时处理威胁严重的漏洞。
工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。
U盘等可移动设备缺乏管控、病毒问题难以处理
由于U盘等可移动存储设备的使用,使得病毒交叉感染;另一方面,由于缺乏有效的病毒防护手段,使得电力监控安全Ⅰ区、Ⅱ区、Ⅲ区的病毒相互扩散,病毒问题难以根除,直接导致相关主机运行缓慢、内存使用率高、卡死、网络堵塞、数据传输中断等故障,严重影响正常生产进行。
缺乏完善的管理制度,人员安全意识缺乏
在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生;工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不足,更不用提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。随着工业网络系统在国计民生中的重要性日益重要以及IT通用协议和系统在工控系统的逐渐应用,人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。
面对新型的APT攻击,缺乏有效的应对措施
APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的0-day漏洞,强调攻击技术的精心组合与攻击者之间的协同,而且是持久性攻击。但是针对这种APT攻击,现有的安全防护手段均显得有些无力。这也许需要整合各种安全技术,通过形成完善的安全防御体系(防御手段的组织化、体系化)才可能有效,然而工业控制系统对安全关注严重不足的现实,使其在面临APT攻击时将会遭到不可估量的安全损失。
2 电力行业工控安全防护总体策略
电力监控系统安全防护十六字方针原则是:安全分区、网络专用、横向隔离、纵向认证。
安全分区:根据电力监控系统业务的重要性及其对电力一次系统的影响程度进行分区,电力监控系统分为生产控制大区和管理信息大区。 生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ),应当避免通过广域网形成不同安全区的纵向交叉连接 。
网络专用:各级电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。该网可采用MPLS-VPN技术或类似技术划分两个相互逻辑隔离的业务子网,即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信,非实时VPN用于非控制区业务系统的远程数据通信。电力调度数据网应当在专用通道上使用独立的网络设备组网,采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。当采用 EPON、GPON 或光以太网络等技术时应使用独立纤芯或波长。
横向隔离:各级运行维护单位的生产控制大区与管理信息大区之间应设置电力专用横向安全隔离装置(或组成隔离阵列)实现物理隔离。生产控制大区和管理信息大区内部的安全区之间应采用防火墙或带有访问控制功能的网络设备实现逻辑隔。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。安全接入区与生产控制大区内其他部分相连时,应采用电力专用横向单向安全隔离装置进行集中互联。
纵向认证:各级运行维护单位在生产控制大区与调度数据网的纵向连接处应部署电力专用纵向加密认证网关或加密认证装置,为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
3电力行业工业控制安全的发展趋势和展望
目前电力工业控制安全已经从单纯依赖隔离(被动防御,通过物理隔离变种,但是现在高端持续性攻击都是针对隔离系统)向纵深防御体系阶段(由传统信息安全厂商提出,该体系主要通过传统信息安全产品的简单堆砌,但是工业控制系统由于本身固有特点导致这些安全产品无法适应工业控制安全如电力工控设备的及时、可用、可靠性)发展,同时不少研究机构和企业已经在进行工业控制系统内部生长的持续性防御体系(根据电力工业控制的特点,通过控制系统硬件创新来实现,保证设备可靠的同时能达到低延时、高可靠、可定制化、持续更新、操作简单化)的研究和试验。未来对工业控制底层智能远动设备、下位机、上位机以及运维人员的安全防护产品和服务创新会越来越多,同时形成横向纵向产品协同外围管理严谨的综合攻防工控体系。
4结论
随着“工业4.0”时代的来临和“两化融合”脚步的加快,工业物联网和工业云越来越清晰可见,同时越来越多网络安全带入了工业控制系统特别是以Havex为代表的新一代APT攻击将工业控制安全防护的对抗带入到了一个新时代。作为工业控制系统中重要一环的电力工业控制系统主站层、厂站层、通道层、终端层各类控制安全风会险越来越大。这也带动了大批的传统信息安全研究机构和企业对工业控制安全的关注和创新,同时政府层面已经率先制定了相关的法律依据和行业技术规定。工控安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程需要工控系统的管理方、运营方、集成商、安全产品提供商、组件提供商的共同参与协同的工作,同时它需要全生命周期安全管理,持续实施和改进。预计在今后的很长一段时间工业控制系统安全的破坏与反破坏这对“冤家”将会带动整个工业控制系统安全防护技术的进步和创新。
参考文献:
[1]维基百科: Stuxnet
[2]绿盟科技:乌克兰电力攻击事件分析及防护方案
[3]天融信阿尔法实验室:BlackEnergy攻击致乌克兰停电事件分析
论文作者:焦一
论文发表刊物:《电力设备》2017年第22期
论文发表时间:2017/12/12
标签:控制系统论文; 电力论文; 系统论文; 工业论文; 工业控制论文; 大区论文; 安全防护论文; 《电力设备》2017年第22期论文;