本期導讀:
伊朗*爾核電站開車之際為何1/5的離心機報廢?
烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)為何突然30座變電站下線�����,使得超過23萬名居民陷入無電可用的困境�����?
你的工控系統(tǒng)是在“裸奔”嗎�?拿什么手段防御入侵?
引言
5月12日����,一個名為WNCRYPT“永恒之藍”的勒索病毒悄然爆發(fā),并在短短時間內(nèi)迅速感染了超過150個國家和地區(qū)的計算機系統(tǒng)���,此次在范圍內(nèi)爆發(fā)的WNCRYPT“永恒之藍”勒索病毒事件不僅感染了醫(yī)療系統(tǒng)����、快遞公司、學校���、銀行���、jingcha局等,還感染了很多大型石油石化公司�。
隨著信息化的推動和工業(yè)化進程的加速,計算機和網(wǎng)絡技術(shù)越來越多地應用于工業(yè)控制系統(tǒng)�,為工業(yè)生成帶來極大推動的同時,也帶來了工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))安全性的問題�����。據(jù)機構(gòu)統(tǒng)計�����,截至2017年底�,發(fā)生了1000余起針對工控系統(tǒng)的攻擊事件����。工控系統(tǒng)是現(xiàn)代工業(yè)基礎設施的核心����,包括過程控制�����、數(shù)據(jù)采集系統(tǒng)�����、分布式控制系統(tǒng)�����、程序邏輯控制以及其他控制系統(tǒng)等���,廣泛應用于核設施���、鋼鐵、有色�����、化工、石油石化�、電力、天然氣�、先進制造、水利樞紐�����、環(huán)境保護���、鐵路�、城市軌道交通���、民航���、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域,是國家關(guān)鍵基礎設施的重要組成部分���。而工業(yè)控制系統(tǒng)的安全�,更關(guān)系到國家的戰(zhàn)略安全�����。
如何保證工業(yè)控制系統(tǒng)的安全���,已引起國家相關(guān)部門的高度重視���,企業(yè)應充分認識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實加強工業(yè)控制系統(tǒng)信息安全管理�,以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全�����。
世界兩大工業(yè)控制系統(tǒng)(ICS)事件回顧���!
事件一:世界ICS入侵*事件伊朗“震網(wǎng)”病毒事件
2011年2月����,伊朗突然宣布暫時卸載首座核電站——*爾核電站的核燃料�����,西方國家也悄悄對伊朗核計劃進展預測進行了重大修改���。但就在幾個月前�,美國和以色列還在警告,伊朗只需一年就能擁有快速制造hewuqi的能力���。為什么會突然出現(xiàn)如此重大變化����?因為*爾核電站遭到“震網(wǎng)”病毒攻擊����,1/5的離心機報廢。自2010年8月該核電站啟用后就發(fā)生連串故障�,伊朗政府表面聲稱是天熱所致,但真正原因卻是核電站遭病毒攻擊����。一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒,侵入了伊朗工廠企業(yè)甚至進入西門子為核電站設計的工業(yè)控制軟件�����,并可奪取對一系列核心生產(chǎn)設備尤其是核電設備的關(guān)鍵控制權(quán)����。
“震網(wǎng)”包含復雜的惡意代碼,是一種典型的計算機病毒,能自我復制�����,并將副本通過網(wǎng)絡傳輸�����,任何一臺個人電腦只要和染毒電腦相連����,自動傳播給其他與之相連的電腦�,Z后造成大量網(wǎng)絡流量的連鎖效應,導致整個網(wǎng)絡系統(tǒng)癱瘓���。“震網(wǎng)”主要通過U盤和局域網(wǎng)進行傳播���,是*個利用Windows“零日漏洞”,專門針對工業(yè)控制系統(tǒng)發(fā)動攻擊的惡意軟件���,能夠攻擊石油運輸管道�、發(fā)電廠����、大型通信設施�����、機場等多種工業(yè)和民用基礎設施�,被稱為“網(wǎng)絡daodan”���。
“震網(wǎng)”無須通過互聯(lián)網(wǎng)便可傳播���,只要目標計算機使用微軟系統(tǒng),“震網(wǎng)”便會偽裝RealTek與JMicron兩大公司的數(shù)字簽名�����,順利繞過安全檢測�����,自動找尋及攻擊工業(yè)控制系統(tǒng)軟件�����,以控制設施冷卻系統(tǒng)或渦輪機運作�,甚至讓設備失控自毀���,而工作人員卻毫不知情。由此���,“震網(wǎng)”成為*個專門攻擊物理世界基礎設施的蠕蟲病毒����?����?梢哉f�����,“震網(wǎng)”也是有史以來Z的蠕蟲病毒�,是*超級網(wǎng)絡武器
事件二:烏克蘭電網(wǎng)攻擊事件
2015年12月23號下午3:30����,烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)的居民們結(jié)束了一天的工作,陸續(xù)走向通往溫暖家中的寒冷街道�����。而在負責當?shù)仉娏腜rykarpattyaoblenergo控制中心,運維人員也即將完成自己的當次輪班����。但就在這一切順利推進的同時,平靜被打破了�����,一 位當值人員在整理桌上文件時�����,突然發(fā)現(xiàn)自己的計算機屏幕上的光標開始四處游移�。
他看到光標指向負責當?shù)刈冸娬緮嗦菲鞯膶Ш桨粹o,點擊對話框并選擇斷開斷路器——這項操作將使得整座變電站全面下線�。接下來,屏幕上出現(xiàn)了確認窗口以復核上述操作����,這位運維人員目瞪口呆地看著光標移動到框體之內(nèi)并點擊了確定。這時他已經(jīng)可以肯定�����,城外的某處區(qū)域內(nèi)數(shù)以千計的居民將因此陷入黑暗與寒冷當中����。
這位運維人員立刻抓起鼠標�����,試圖奪回對光標的控制權(quán)——但他的反應似乎還是慢了一點���。光標隨后朝著另一個斷路器控制按鈕移動,而設備亦突然將他從控制面板中登出���。雖然他反復嘗試重復登錄����,但攻擊者變更了他的密碼內(nèi)容����,使其無法順利完成驗證�����。這時候�����,他能做的只有無奈地盯著屏幕,眼睜睜地看著設備中的惡意幽靈斷開一個又一個斷路器����,Z終導致約30座變電站下線。然而攻擊者并沒有就這樣停下腳步����。此次攻擊還影響到另外兩座配電中心,這意味著遭遇下線的變電站數(shù)量幾乎翻了一倍����,使得超過23萬名居民陷入無電可用的困境。不僅如此�����,其亦無法從總計三座電力供應中心的兩座處獲取備用電力�,這意味著運維人員自身也被停電引發(fā)的黑暗所籠罩。
作為有史以來*得到確認的電力設施攻擊行動�,此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網(wǎng)絡并發(fā)動功能測試攻擊的機會主義者;根據(jù)相關(guān)廣泛調(diào)查得出的結(jié)論����,這群惡意人士擁有高超的技術(shù)水平及藏身策略。他們已經(jīng)拿出幾個月時間對攻擊細節(jié)進行精心策劃�,包括首先偵察并研究網(wǎng)絡條件����、獲取運維人員登錄憑證����,而后發(fā)動這次嚴密編排下的同步攻擊活動。
無論如何�,此次攻擊成功影響到了烏克蘭的發(fā)電設施,并給各國的諸多配電中心帶來值得借鑒的重要啟示���,無論停電事故的真正意圖是什么�,這都是有史以來*次針對電力網(wǎng)絡開展的攻擊行為���。
當運維人員當時可能根本不知道屏幕上四處亂動的光標究竟意味著什么����,但如今*的運維人員都得到了一項明確的警告——目前這種攻擊持續(xù)時間不長且危害并不嚴重�����,但下一次可就不一定了�����。
你的工控系統(tǒng)不是在“裸奔”���,作為儀表人你拿什么阻擋����?
什么是工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(ICS)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集�����、監(jiān)測的過程控制組件����,共同構(gòu)成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)����。其核心組件包括SCADA、DCS�、PLC、RTU����、IED以及接口技術(shù)等。
目前ICS主要面臨以下風險
ICS風險的主要根源
工控平臺的脆弱性
平臺本身的安全漏洞問題;
殺毒軟件安裝及升級更新問題;
大量默認配置和默認口令;
平臺和通用平臺漏洞����。
工控網(wǎng)絡的脆弱性
TCP/IP等通用協(xié)議與開發(fā)標準引入工業(yè)控制系統(tǒng)���,特別是物聯(lián)網(wǎng)�����、云計算���、移動互聯(lián)網(wǎng)等新興技術(shù)����,使得理論上的物理隔離網(wǎng)絡正因為需求和業(yè)務模式的改變而不再切實可行���。傳統(tǒng)的威脅同樣會在工業(yè)網(wǎng)絡中重現(xiàn)�����。
安全管理�����、標準和人才的脆弱性
缺乏完整有效安全管理�����、標準和資金投入是當前我國工業(yè)控制系統(tǒng)的難題之一�。其次,過多的強調(diào)網(wǎng)絡邊界的防護���、內(nèi)部環(huán)境的封閉�����,讓內(nèi)部安全管理變得混亂�。另外�,既了解工控系統(tǒng)原理和業(yè)務操作又懂信息安全的人才少之又少,為混亂的工控安全管理埋下了伏筆����。Z后,內(nèi)網(wǎng)審計���、監(jiān)控�、準入����、認證、終端管理等缺失也是造成工控系統(tǒng)安全威脅的重要原因���。如:使用U盤�����、光盤導致的病毒傳播���、筆記本電腦的隨意接入與撥號、ICS缺少監(jiān)控和審計等問題���。
工業(yè)控制系統(tǒng)信息安全規(guī)范
2016年12月27日�,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡空間安全戰(zhàn)略》
2016年10月17日���,工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》
2016年10月13日����,《GB/T 33009 工業(yè)自動化儀表和控制系統(tǒng)網(wǎng)絡安全 集散控制系統(tǒng)(DCS)》發(fā)布
美國《工業(yè)控制系統(tǒng)安全指南》也對ICS系統(tǒng)安全防護作出了指導意見�����。
如何做好工控安全防護工作
一、安全軟件選擇與管理
(一)在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件���,只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行�����。
(二)建立防病毒和惡意軟件入侵管理機制�,對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施����。
二、配置和補丁管理
(一)做好工業(yè)控制網(wǎng)絡�、工業(yè)主機和工業(yè)控制設備的安全配置,建立工業(yè)控制系統(tǒng)配置清單�,定期進行配置審計。
(二)對重大配置變更制定變更計劃并進行影響分析���,配置變更實施前進行嚴格安全測試�����。
(三)密切關(guān)注重大工控安全漏洞及其補丁發(fā)布����,及時采取補丁升級措施。在補丁安裝前���,需對補丁進行嚴格的安全評估和測試驗證���。
三�、 邊界安全防護
(一)分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境�����。
(二)通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護���,禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接����。
(三)通過工業(yè)防火墻�、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護。
四�����、物理和環(huán)境安全防護
(一)對重要工程師站���、數(shù)據(jù)庫���、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制���、視頻監(jiān)控、專人值守等物理安全防護措施�。
(二)拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)�、無線等接口。若確需使用����,通過主機外設安全管理技術(shù)手段實施嚴格訪問控制。
五�、身份認證
(一)在工業(yè)主機登錄、應用服務資源訪問�����、工業(yè)云平臺訪問等過程中使用身份認證管理�����。對于關(guān)鍵設備�����、系統(tǒng)和平臺的訪問采用多因素認證。
(二)合理分類設置賬戶權(quán)限�����,以Z小特權(quán)原則分配賬戶權(quán)限����。
(三)強化工業(yè)控制設備�����、SCADA軟件�、工業(yè)通信設備等的登錄賬戶及密碼,避免使用默認口令或弱口令,定期更新口令���。
(四)加強對身份認證證書信息保護力度�,禁止在不同系統(tǒng)和網(wǎng)絡環(huán)境下共享���。
六����、遠程訪問安全
(一)原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP�����、net等高風險通用網(wǎng)絡服務���。
(二)確需遠程訪問的�,采用數(shù)據(jù)單向訪問控制等策略進行安全加固����,對訪問時限進行控制,并采用加標鎖定策略�����。
(三)確需遠程維護的���,采用虛擬網(wǎng)絡(VPN)等遠程接入方式進行�����。
(四)保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志���,并對操作過程進行安全審計����。
七�����、安全監(jiān)測和應急預案演練
(一)在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備�,及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為���。
(二)在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備����,限制違法操作���。
(三)制定工控安全事件應急響應預案,當遭受安全威脅導致工業(yè)控制系統(tǒng)出現(xiàn)異?���;蚬收蠒r,應立即采取緊急防護措施�����,防止事態(tài)擴大,并逐級報送直至屬地省級工業(yè)和信息化主管部門���,同時注意保護現(xiàn)場����,以便進行調(diào)查取證�。
(四)定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練,必要時對應急響應預案進行修
訂�����。
八����、資產(chǎn)安全
(一)建設工業(yè)控制系統(tǒng)資產(chǎn)清單,明確資產(chǎn)責任人�����,以及資產(chǎn)使用及處置規(guī)則���。
(二)對關(guān)鍵主機設備�、網(wǎng)絡設備、控制組件等進行冗余配置����。
九、數(shù)據(jù)安全
(一)對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護�����,根據(jù)風險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理�。
(二)定期備份關(guān)鍵業(yè)務數(shù)據(jù)。
(三)對測試數(shù)據(jù)進行保護�����。
十����、供應鏈管理
(一)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計����、建設�、運維或評估等服務商時,優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位���,以合同等方式明確服務商應承擔的信息安全責任和義務���。
(二)以保密協(xié)議的方式要求服務商做好保密工作�����,防范敏感信息外泄���。
十一、落實責任
通過建立工控安全管理機制�、成立信息安全協(xié)調(diào)小組等方式,明確工控安全管理責任人����,落實工控安全責任制,部署工控安全防護措施�。
結(jié)束語
工控系統(tǒng)安全是關(guān)系國計民生的重大戰(zhàn)略問題,在當前新形勢下�����,如何對工控系統(tǒng)進行防護����,防止來自內(nèi)部�����、外部的安全威脅和惡意攻擊���,是信息安全領(lǐng)域面臨的重大挑戰(zhàn),我們儀表人首先要解決好安全認識問題���,這一點是工控安全的難點和重點問題�,其次在夯實網(wǎng)絡安全基礎方面�,“做好等級保護、風險評估�、漏洞發(fā)現(xiàn)等基礎性工作,完善網(wǎng)絡安全監(jiān)測預警和網(wǎng)絡安全重大事件應急處置機制”���。
