当前,工业控制系统与物联网、互联网呈现出深度融合的态势,这既大幅提升了工业控制系统的智能化、信息化程度,也引发了一系列新的安全挑战。针对工控系统的各类新型攻击技术和手段层出不穷,对国家安全、经济发展和社会稳定等产生了严重影响,引起了世界各国政府的高度重视。例如,震网病毒、火焰病毒、BlackEnergy等病毒已具有明确靶向攻击特征。在全球信息化背景下,网络空间政治化、军事化、经济化进程明显加快,网络空间已成为国际战略竞争的新制高点、经济发展的新支撑、国家主权的新疆域和军事斗争的新战场。
2003年,Slammer蠕虫感染美国Davis-Besse核电厂的安全监测系统;2010年,震网病毒感染伊朗核设施,伊朗核计划受阻;2012年,火焰病毒入侵中东地区的“网络战武器”;2015年,BlackEnergy恶意代码变种攻击乌克兰电力系统,造成乌克兰大规模停电;2018年4月,CISO交换机远程代码执行漏洞,黑客利用该漏洞对俄罗斯和伊朗的基础设施进行了攻击,全球受影响设备约20万台;2018年8月4日,台积电电脑系统遭到电脑病毒攻击,造成竹科晶圆12厂、中科晶圆15厂、南科晶圆14厂等主要厂区的机台停线。
众多工控安全事件表明,工控系统攻击威胁呈有组织、大规模、高隐蔽、强持续的趋势,具有国家、组织背景的攻击行为不断增加;攻击技术层出不穷,攻击方法花样翻新,国家安全、经济发展、社会稳定面临巨大威胁。
目前,我国工控系统的安全也现状不容乐观,诸多问题依然存在。一是隐患难以根除。我国工业控制系统设备存有漏洞后门的问题严重,硬件漏洞修复成本高、难度大,我国关键基础设施工控系统的安全隐患难以根除。二是安全难以深入。受某些厂家工控系统“一站到底式”控制模式的制约,工控系统的安全检测、监测、控制与防范等难以深入。三是国产化率较低。我国工业控制系统的自主研制与国产化应用起步较晚,自主可控的工控系统高端产品国产化率较低。四是技术体系滞后。工控系统重大共性关键安全技术尚需突破,适应我国工控安全需要的安全标准和技术体系等相对滞后,我国关键基础设施受制于人、技不如人的现状仍未改善。随着我国互联网普及和工业互联网、大数据、数字化工程等新技术、新业务的快速发展与应用,我国在工业控制系统方面面临的安全问题日益复杂。与此同时,敲诈勒索病毒、设备后门漏洞、分布式拒绝服务攻击、网络攻击“武器库”泄露、APT攻击等安全事件层出不穷,使得工业控制系统面临的网络安全威胁与风险不断加大,给网络空间安全造成严重的潜在安全威胁,对我国工控系统安全不断提出新的挑战。
一、工控系统网络安全威胁分析
工控网络安全高危漏洞层出不穷。当前,工控安全漏洞类型呈现出多样化特征,对于业务连续性、实时性要求高的工控系统,无论是利用这些漏洞造成业务中断、获得控制权限还是窃取敏感生产数据,都将对工控系统造成极大的安全威胁。同时,由于工控漏洞的修复进度较为迟缓,全球新增的工控漏洞数量显著高于修复漏洞数量。究其原因,一方面在于供应商漏洞修复工作的优先级别较低,还要受到软件开发迭代周期的限制;另一方面在于工业企业出于维持业务连续性的考虑,及时更新和安装补丁的积极性不高。
工控安全漏洞呈逐年增加态势。根据美国工业控制系统网络紧急响应小组(ICS-CERT)统计报告,2015年漏洞总数为486个,2016年漏洞总数为492个。近年来,所收录的安全漏洞数量也持续走高。2018年1月至2018年5月,根据我国国家信息安全漏洞共享平台(CNVD)统计,信息安全漏洞总数达6730个,工业控制系统漏洞总数为190个,主要分布在能源、制造、商业设施、水务、市政等重点领域,涉及20多个工业相关产品。
暴露在互联网上的工控系统及设备有增无减。工业与IT的高度融合,信息技术(IT)和操作技术(OT)一体化迅速发展,越来越多的工业控制系统采用通用硬件和通用软件,并与企业网中运行的管理信息系统(如MES、ERP)之间实现了互联、互通、互操作,甚至可以通过互联网、移动互联网等直接或间接地访问,这就导致了从研发端、管理端、消费端、生产端等任意一端都有可能实现对工控系统的网络攻击或病毒传播,给工业控制系统(ICS)、数据采集与监视控制系统(SCADA) 等工业设施带来了更大的攻击面。工业控制系统涉及我国电力、水利、冶金、石油化工、核能、交通运输、制药以及大型制造行业,尤其是能源行业,一旦遭受攻击会带来巨大的损失。与传统IT系统相比较,II/OT一体化的安全问题把安全威胁从虚拟世界带到现实世界,可能会对人的生命安全和社会的安全稳定造成重大影响。截至2018年5月,国内范围内,暴露在互联网上的工业控制系统设备数量达97625个,其中能源行业暴露在互联网上的工业控制系统设备数量达19341个。2018年暴露在互联网上的工控资产涉及多家知名厂商的产品和应用。
工控系统网络攻击难度逐渐降低。随着越来越多的工控系统暴露在互联网上,工控系统日益成为“众矢之的”,黑客有目的地探测并锁定攻击目标变得更加容易。加上针对工控系统的漏洞挖掘和发布与日俱增,大量工控系统安全漏洞、攻击方法可以通过互联网等多种公开或半公开渠道扩散,极易被黑客等不法分子获取利用。如今,对工控系统的入侵攻击已不再神秘,进一步加剧了工控系统的安全风险。一方面,大量工控系统软硬件设备漏洞及利用方式可通过公开或半公开的渠道获得;另一方面,诸多黑客大会、开源论坛和白帽社区公开大量工控系统入侵案例细节。例如,2017年举办的亚洲黑帽大会上,研究人员展示了世界上第一款可以在可编程逻辑控制器(PLC)之间进行传播的蠕虫病毒,发布了技术思路和概念验证程序;一些白帽子技术社区上也曾发表相当多SCADA系统风险案例,详细描述了SCADA系统的漏洞细节和利用方式;众多开发者社区发布的工控系统安全事件技术分析报告不断增多,其中许多技术分析报告给出了网络攻击步骤、详细攻击代码甚至攻击工具等详细信息,易被黑客获取、复现以实施网络攻击。
此外,某些网络武器库遭泄露埋下重大工业信息安全隐患。维基解密、影子经纪人等黑客组织公开披露了大批网络攻击工具和安全漏洞,与木马病毒相结合,可被用于入侵感染工控系统,引发高频次、大规模的网络攻击,造成严重后果。例如,震惊全球的WannaCry勒索病毒就利用了黑客组织“影子经纪人”披露的美国国安局的“永恒之蓝”漏洞进行传播,给工控系统造成巨大危害。截至2017年9月8日,维基解密已经泄露23批美国中央情报局(CIA)Vault7文件,这些文件中包含了大量网络攻击工具,可被直接或修改后用来对工控系统发动网络攻击,潜在的安全隐患极大。
工控系统自身安全不足。一是工业设备资产的可视性严重不足。工业设备资产可视性不足严重阻碍了安全策略的实施。要在工业互联网安全的保护中取胜,“知己”是重要前提。许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少也是巨大的安全隐患。二是很多工控设备缺乏安全设计。在各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等方面,在设计之初未考虑完整性、身份校验等安全需求,存在身份鉴别、访问控制不严格、配置维护不足、弱加密算法等安全隐患。三是设备联网机制缺乏安全保障。工业控制系统中的设备与网络相连,工业网络与办公网络连接,企业内部网络又与外面的云平台、第三方等进行网络连接,由此产生了网络数据传输安全、网络传输链路中软硬件设备安全、网络防护边界安全等安全需求。四是生产数据面临丢失、泄露、篡改等安全威胁。智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据,不管是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,都将面临数据丢失、泄露、被篡改等安全威胁。
二、工控系统网络安全防护
由于工控系统具有特殊性,相比传统信息系统具有5个方面的特性需求:一是可靠性需求,工控系统的可靠稳定运行是确保工业生产安全的基础;二是实时性需求,工控系统从过程数据的实时采集、传输到控制指令的下达执行,周期短,实时性要求较高;三是安全性需求,工业控制系统大量采用计算机及通信技术,在保障生产过程安全的同时,还需要能够抵御网络安全威胁;四是分布性需求,工控系统具有实时闭环控制的特性,采集、传输、控制等业务模块采用地理或空间位置上的分散布置方式,生产过程的实时性越高分布性越强;五是系统性需求,工控系统在时间上应具有时变性和连续性,在空间上具有分布参数和分布处理的特性,在技术上涉及技术领域和设备系统较多,在管理上涉及业务部门和层级较多,对系统性要求很高。
因此,实现工控系统的网络安全,应重点进行6个方面的安全防护:一是建立体系、不断发展。要逐步建立工业控制系统网络安全防护体系,主要包括基础设施安全、体系结构安全、系统本体安全、可信安全免疫、安全应急措施、全面安全管理等,形成多维栅格状架构,并随着技术进步而不断动态发展完善。二是分区分级、保护重点。根据工业控制系统的业务特性和业务模块的重要程度,遵循国家网络安全等级保护的要求,准确划分安全等级,合理划分安全区域,重点保护生产控制系统核心业务的安全。三是网络专用、多道防线。工业控制系统应采用专用的局域网络(LAN)和广域网络(WAN),与外部因特网和企业管理信息网络之间进行物理层面的安全隔离,在与本级其他业务系统相连的横向边界,以及上下级工业控制系统相连的纵向边界,应部署高强度的网络安全防护设施,并对数据通信的七层协议采用相应安全措施,形成多道立体安全防线。四是全面融入安全生产。应将安全防护技术融入工业控制系统的采集、传输、控制等各个环节各业务模块,融入工业控制系统的设计研发和运行维护;应将网络安全管理融入企业安全生产管理体系,对全体人员、全部设备、全生命周期进行全方位的安全管理。五是管控风险、保障安全。工业控制系统安全直接影响生产过程安全,关乎国家安全和社会稳定,应全面加强网络安全风险管控,保障工业控制系统安全,确保工业控制系统安全稳定运行。六是坚持“同步规划、同步建设、同步使用”原则。工业控制系统的建设应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
(原载于《保密科学技术》杂志2018年11月刊)