11月12日,待測伊朗彈道導(dǎo)彈收到控制指令后突然爆炸。事故經(jīng)媒體披露,迅速引發(fā)各國政府與安全機(jī)構(gòu)的廣泛關(guān)注,對真兇的質(zhì)疑直指曾攻擊布什爾核電站工業(yè)控制系統(tǒng)的Stuxnet 蠕蟲病毒。截至目前,事故真相與細(xì)節(jié)并未公布,但工業(yè)控制系統(tǒng)長期存在的風(fēng)險(xiǎn)隱患卻已是影響國家關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行重要因素,甚至威脅到國家安全戰(zhàn)略實(shí)施。為此工信部于10 月份發(fā)布文件,要求加強(qiáng)國家主要工業(yè)領(lǐng)域基礎(chǔ)設(shè)施控制系統(tǒng)與SCADA系統(tǒng)的安全保護(hù)工作。
本文將從IT 領(lǐng)域熟悉的信息安全管理體系的基本理論和潛在威脅的角度,借鑒國際上有關(guān)工業(yè)控制系統(tǒng)安全保護(hù)要求及標(biāo)準(zhǔn),分析當(dāng)前我國工業(yè)控制系統(tǒng)存在的風(fēng)險(xiǎn),并提出一套基于ICS 系統(tǒng)的威脅發(fā)現(xiàn)與識(shí)別模型。
一、工業(yè)控制系統(tǒng)介紹
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS),是由各種自動(dòng)化控制組件以及對實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件,共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED),以及確保各組件通信的接口技術(shù)。
目前工業(yè)控制系統(tǒng)廣泛的應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運(yùn)輸、制藥以及大型制造行業(yè),其中超過80%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè),工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。
一次典型的ICS 控制過程通常由控制回路、HMI、遠(yuǎn)程診斷與維護(hù)工具三部分組件共同完成,控制回路用以控制邏輯運(yùn)算,HMI 執(zhí)行信息交互,遠(yuǎn)程診斷與維護(hù)工具確保出現(xiàn)異常的操作時(shí)進(jìn)行診斷和恢復(fù)。
圖1:典型的ICS 操作過程
SCADA(Supervisory Control And Data Acquisition)數(shù)據(jù)采集與監(jiān)控系統(tǒng),是工業(yè)控制系統(tǒng)的重要組件,通過與數(shù)據(jù)傳輸系統(tǒng)和HMI 交互,SCADA 可以對現(xiàn)場的運(yùn)行設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視和控制,以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號(hào)報(bào)警等各項(xiàng)功能。目前,SCADA 廣泛應(yīng)用于水利、電力、石油化工、電氣化、鐵路等分布式工業(yè)控制系統(tǒng)中。
圖2:SCADA 系統(tǒng)總體布局
DCS(Distributed Control Systems)分布式控制系統(tǒng),廣泛應(yīng)用于基于流程控制的行業(yè),例如電力、石化等行業(yè)分布式作業(yè),實(shí)現(xiàn)對各個(gè)子系統(tǒng)運(yùn)行過程的整理管控。
PLC(Programmable Logic Controllers)可編程邏輯控制器,用以實(shí)現(xiàn)工業(yè)設(shè)備的具體操作與工藝控制。通常SCADA 或DCS 系統(tǒng)通過調(diào)用各PLC 組件來為其分布式業(yè)務(wù)提供基本的操作控制,例如汽車制造流水線等。
二、工業(yè)控制系統(tǒng)安全現(xiàn)狀
與傳統(tǒng)的信息系統(tǒng)安全需求不同,ICS 系統(tǒng)設(shè)計(jì)需要兼顧應(yīng)用場景與控制管理等多方面因素,以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計(jì)理念的影響下,缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI(Repository of Security Incidents)統(tǒng)計(jì),截止2011年10 月,全球已發(fā)生200 余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001 年后,通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使得針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長,ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。
圖3:1982-2009 工業(yè)系統(tǒng)攻擊事件
縱觀我國工業(yè)控制系統(tǒng)的整體現(xiàn)狀,西門子、洛克韋爾、IGSS 等國際知名廠商生產(chǎn)的工控設(shè)備占據(jù)主動(dòng)地位,由于缺乏核心知識(shí)產(chǎn)權(quán)和相關(guān)行業(yè)管理實(shí)施標(biāo)準(zhǔn),在愈發(fā)智能開放的ICS 系統(tǒng)架構(gòu)與參差不齊的網(wǎng)絡(luò)運(yùn)維現(xiàn)實(shí)前,存儲(chǔ)于控制系統(tǒng)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)、現(xiàn)場總線以及相關(guān)聯(lián)的ERP、CRM、SCM 系統(tǒng)中的核心數(shù)據(jù)、控制指令、機(jī)密信息隨時(shí)可能被攻擊者竊取或篡改破壞。作為一項(xiàng)復(fù)雜而繁瑣的系統(tǒng)工程,保障工業(yè)系統(tǒng)的信息安全除了需要涉及工業(yè)自動(dòng)化過程中所涉及到的產(chǎn)品、技術(shù)、操作系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等因素,企業(yè)自身的管理水平更直接決定了ICS 系統(tǒng)的整體運(yùn)維效果。遺憾的是當(dāng)前我國網(wǎng)絡(luò)運(yùn)維現(xiàn)實(shí),決定了國內(nèi)ICS 系統(tǒng)的安全運(yùn)維效果并不理想,安全風(fēng)險(xiǎn)存在于管理、配置、架構(gòu)的各個(gè)環(huán)節(jié)。
借鑒IT 安全領(lǐng)域ISO27001 信息安全管理體系和風(fēng)險(xiǎn)控制的成功經(jīng)驗(yàn),綜合工業(yè)控制網(wǎng)絡(luò)特點(diǎn)以及工業(yè)環(huán)境業(yè)務(wù)類型、組織職能、位置、資產(chǎn)、技術(shù)等客觀因素,對工業(yè)控制系統(tǒng)構(gòu)建ICS 信息安全管理體系,是確保工業(yè)控制系統(tǒng)高效穩(wěn)定運(yùn)行的理論依據(jù)。
三、工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析
1、風(fēng)險(xiǎn)分析
工業(yè)控制系統(tǒng)是我國重要基礎(chǔ)設(shè)施自動(dòng)化生產(chǎn)的基礎(chǔ)組件,安全的重要性可見一斑,然而受到核心技術(shù)限制、系統(tǒng)結(jié)構(gòu)復(fù)雜、缺乏安全與管理標(biāo)準(zhǔn)等諸多因素影響,運(yùn)行在ICS系統(tǒng)中的數(shù)據(jù)及操作指令隨時(shí)可能遭受來自敵對勢力、商業(yè)間諜、網(wǎng)絡(luò)犯罪團(tuán)伙的破壞。根據(jù)工信部《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》要求,我國工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞,不僅會(huì)影響產(chǎn)業(yè)經(jīng)濟(jì)的持續(xù)發(fā)展,更會(huì)對國家安全造成巨大的損害。
典型工業(yè)控制系統(tǒng)入侵事件:
·2007年,攻擊者入侵加拿大的一個(gè)水利SCADA 控制系統(tǒng),通過安裝惡意軟件破壞了用于取水調(diào)度的控制計(jì)算機(jī);
·2008年,攻擊者入侵波蘭某城市的地鐵系統(tǒng),通過電視遙控器改變軌道扳道器,導(dǎo)致4 節(jié)車廂脫軌;
·2010年,“網(wǎng)絡(luò)超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統(tǒng),嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營;
·2011年,黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA,使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。
分析可以發(fā)現(xiàn),造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)加劇的主要原因有兩方面:
首先,傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng),它需要采用專用的硬件、軟件和通信協(xié)議,設(shè)計(jì)上以武力安全為主,基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。
其次,互聯(lián)網(wǎng)技術(shù)的出現(xiàn),導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP 技術(shù),工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能,愈加智能的ICS 網(wǎng)絡(luò)中各種應(yīng)用、工控設(shè)備以及辦公用PC 系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?/P>
僅基于工控協(xié)議識(shí)別與控制的安全解決方案在兩方面因素的合力下,已無法滿足新形勢下ICS 網(wǎng)絡(luò)運(yùn)維要求,確保應(yīng)用層安全是當(dāng)前ICS系統(tǒng)穩(wěn)定運(yùn)營的基本前提。利用工控設(shè)備漏洞、TCP/IP 協(xié)議缺陷、工業(yè)應(yīng)用漏洞,攻擊者可以針對性的構(gòu)建更加隱蔽的攻擊通道。以Stuxnet 蠕蟲為例,其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)PC 與控制系統(tǒng)存在的安全漏洞(LIK 文件處理漏洞、打印機(jī)漏洞、RPC 漏洞、WinCC 漏洞、S7 項(xiàng)目文件漏洞以及Autorun.inf 漏洞),為攻擊者入侵提供了七條隱蔽的通道。
圖4:Stuxnet 蠕蟲病毒傳播的七條途徑
2、脆弱性分析
工業(yè)控制系統(tǒng)的安全性和重要性直接影響到國家戰(zhàn)略安全實(shí)施,但為兼顧工業(yè)應(yīng)用的場景和執(zhí)行效率,在追求ICS 系統(tǒng)高可用性和業(yè)務(wù)連續(xù)性的過程中,用戶往往會(huì)被動(dòng)的降低ICS 系統(tǒng)的安全防御需求。識(shí)別ICS 存在的風(fēng)險(xiǎn)與安全隱患,實(shí)施相應(yīng)的安全保障策略是確保ICS 系統(tǒng)穩(wěn)定運(yùn)行的有效手段。
·安全策略與管理流程的脆弱性
追求可用性而犧牲安全,這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程是當(dāng)前我國工業(yè)控制系統(tǒng)的最大難題,很多已經(jīng)實(shí)施了安全防御措施的ICS網(wǎng)絡(luò)仍然會(huì)因?yàn)楣芾砘虿僮魃系氖д`,造成ICS 系統(tǒng)出現(xiàn)潛在的安全短板。例如,工業(yè)控制系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)的使用和不嚴(yán)格的訪問控制策略。
作為信息安全管理的重要組成部分,制定滿足業(yè)務(wù)場景需求的安全策略,并依據(jù)策略制定管理流程,是確保ICS 系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標(biāo)準(zhǔn),目前我國安全策略與管理流程的脆弱性表現(xiàn)為:
·缺乏ICS 的安全策略;
·缺乏ICS 的安全培訓(xùn)與意識(shí)培養(yǎng);
·缺乏安全架構(gòu)與設(shè)計(jì)
·缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程;
·缺乏ICS 安全審計(jì)機(jī)制;
·缺乏針對ICS 的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃;
·缺乏針對ICS 配置變更管理。
※工控平臺(tái)的脆弱性
隨著TCP/IP 等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng),開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開辟出廣闊的想象空間。理論上絕對的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行。
目前,多數(shù)ICS 網(wǎng)絡(luò)僅通過部署防火墻來保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對隔離,各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制,例如基于DCOM 編程規(guī)范的OPC 接口幾乎不可能使用傳統(tǒng)的IT 防火墻來確保其安全性。數(shù)據(jù)加密效果不佳,工業(yè)控制協(xié)議的識(shí)別能力不理想,加之缺乏行業(yè)標(biāo)準(zhǔn)規(guī)范與管理制度,工業(yè)控制系統(tǒng)的安全防御能力十分有限。
旨在保護(hù)電力生產(chǎn)與交通運(yùn)輸控制系統(tǒng)安全的國際標(biāo)準(zhǔn)NERC CIP 明確要求,實(shí)施安全策略確保資產(chǎn)安全是確?刂葡到y(tǒng)穩(wěn)定運(yùn)行的最基本要求。將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過控制區(qū)域間管道中的通信內(nèi)容是目前工業(yè)控制領(lǐng)域普遍被認(rèn)可的安全防御措施。
另一種容易忽略的情況是,由于不同行業(yè)的應(yīng)用場景不同,其對于功能區(qū)域的劃分和安全防御的要求也各不相同,而對于利用針對性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴(yán)重的是工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無法令人滿意,考慮到ICS 補(bǔ)丁升級所存在的運(yùn)行平臺(tái)與軟件版本限制,以及系統(tǒng)可用性與連續(xù)性的硬性要求,ICS 系統(tǒng)管理員絕不會(huì)輕易安裝非ICS 設(shè)備制造商指定的升級補(bǔ)丁。與此同時(shí),工業(yè)系統(tǒng)補(bǔ)丁動(dòng)輒半年的補(bǔ)丁發(fā)布周期,也讓攻擊者有較多的時(shí)間來利用已存在漏洞發(fā)起攻擊。著名的工業(yè)自動(dòng)化與控制設(shè)備提供商西門子就曾因漏洞公布不及時(shí)而飽受質(zhì)疑。
據(jù)金山網(wǎng)絡(luò)企業(yè)安全事業(yè)部統(tǒng)計(jì),2010-2011 年間,已確認(rèn)的針對工業(yè)控制系統(tǒng)攻擊,從攻擊代碼傳播到樣本被檢測確認(rèn),傳統(tǒng)的安全防御機(jī)制通常需要2 個(gè)月左右的時(shí)間,而對于例如Stuxnet 或更隱蔽的Duqu 病毒,其潛伏期更是長達(dá)半年之久。無論是針對工業(yè)系統(tǒng)的攻擊事件,還是更隱蔽且持續(xù)威脅的APT 攻擊行為,基于黑名單或單一特征比對的信息安全解決方案都無法有效防御,更不要說利用0day 漏洞的攻擊行為。而IT 領(lǐng)域廣泛采用的主動(dòng)防御技術(shù),因?yàn)槠浯嬖谳^大的誤殺風(fēng)險(xiǎn),并不適用于工業(yè)控制系統(tǒng)的高性能作業(yè)。目前,唯有基于白名單機(jī)制的安全監(jiān)測技術(shù)是被工業(yè)控制系統(tǒng)用戶普遍任何的解決方案。
※網(wǎng)絡(luò)的脆弱性
通用以太網(wǎng)技術(shù)的引入讓ICS 變得智能,也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián),TCP/IP 存在的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。此外,工業(yè)控制網(wǎng)絡(luò)的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡(luò)內(nèi)部環(huán)境的機(jī)會(huì)。確保工業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)營,必須針對ICS 網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)異常行為的“發(fā)現(xiàn)、檢測、清除、恢復(fù)、審計(jì)”一體化的保障機(jī)制。當(dāng)前ICS 網(wǎng)絡(luò)主要的脆弱性集中體現(xiàn)為:
·邊界安全策略缺失;
·系統(tǒng)安全防御機(jī)制缺失;
·管理制度缺失或不完善;
·網(wǎng)絡(luò)配置規(guī)范缺失;
·監(jiān)控與應(yīng)急響應(yīng)制度缺失;
·網(wǎng)絡(luò)通信保障機(jī)制缺失;
·無線網(wǎng)絡(luò)接入認(rèn)證機(jī)制缺失;
·基礎(chǔ)設(shè)施可用性保障機(jī)制缺失。
3、潛在威脅分析
作為國家關(guān)鍵基礎(chǔ)設(shè)施自動(dòng)化控制的基本組成部分,由于其承載著海量的操作數(shù)據(jù),并可以通過篡改邏輯控制器控制指令而實(shí)現(xiàn)對目標(biāo)控制系統(tǒng)的攻擊,針對工業(yè)控制網(wǎng)絡(luò)的定向攻擊目前正成為敵對勢力和網(wǎng)絡(luò)犯罪集團(tuán)實(shí)施滲透攫取利益的重點(diǎn)對象。稍有不慎就有可能對涉及國計(jì)民生的重要基礎(chǔ)設(shè)施造成損害?蓪(dǎo)致ICS 系統(tǒng)遭受破壞的威脅主要有:
·控制系統(tǒng)發(fā)生拒絕服務(wù);
·向控制系統(tǒng)注入惡意代碼;
·對可編程控制器進(jìn)行非法操作;
·對無線AP 進(jìn)行滲透;
·工業(yè)控制系統(tǒng)存在漏洞;
·錯(cuò)誤的策略配置;
·人員及流程控制策略缺失。
四、工業(yè)控制系統(tǒng)安全管理體系
信息化與工業(yè)化深度融合的今天,無論是關(guān)乎國計(jì)民生的電力、石化、水利、鐵路、民航等基礎(chǔ)保障行業(yè),還是逐漸成規(guī)模的物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新型行業(yè),交互已成ICS 系統(tǒng)的重要特性。互聯(lián)與交互體驗(yàn)提升的同時(shí),威脅也在與日俱增。
目前我國ICS 系統(tǒng)的信息安全管理仍存在諸多問題,例如,大型制造行業(yè)普遍存在因設(shè)備使用時(shí)間較長,安全防護(hù)能力缺失等問題;而在諸如石化電力等重要基礎(chǔ)設(shè)施保障行業(yè),又因?yàn)閼?yīng)用和新技術(shù)的更替,海量的分布式控制組件與業(yè)務(wù)單元都讓電力控制網(wǎng)絡(luò)變得愈發(fā)復(fù)雜,在可用性面前安全防御機(jī)制難免出現(xiàn)疏漏。因此,在參照國際流行標(biāo)準(zhǔn)以及我國工業(yè)控制系統(tǒng)所存在的具體安全風(fēng)險(xiǎn)等因素,一種基于終端可用性和安全性兼顧的控制系統(tǒng)安全解決方案被提出,用以從威脅入侵的根源滿足工業(yè)控制系統(tǒng)的安全需求。
基于終端的工業(yè)系統(tǒng)安全防御體系
工業(yè)網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò),考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同,對其防御的策略和保障措施應(yīng)該按照等級進(jìn)行劃分,實(shí)施分層次的縱深防御體系。
按照業(yè)務(wù)職能和安全需求的不同,工業(yè)網(wǎng)絡(luò)可劃分為以下幾個(gè)區(qū)域:
·滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域;
·滿足在線業(yè)務(wù)需要DMZ 區(qū)域;
·滿足ICS 管理與監(jiān)控需要的管理區(qū)域;
·滿足自動(dòng)化作業(yè)需要的控制區(qū)域。
針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求,實(shí)施工業(yè)控制網(wǎng)絡(luò)安全建設(shè),首先需要針對ICS 網(wǎng)絡(luò)管理的關(guān)鍵區(qū)域?qū)嵤┛煽康倪吔绨踩呗裕瑢?shí)現(xiàn)分層級的縱深安全防御策略,抵御各種已知的攻擊威脅。
圖5:工業(yè)控制系統(tǒng)邊界防御思想
※辦公網(wǎng)絡(luò)終端的安全防御
辦公網(wǎng)絡(luò)相對于工業(yè)控制網(wǎng)絡(luò)是開放,其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性,以及基于終端使用者的角色實(shí)施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實(shí)施進(jìn)一步定向攻擊的橋頭堡,實(shí)施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括:
·病毒、木馬等威脅系統(tǒng)正常運(yùn)行惡意軟件防御能力;
·基于白名單的惡意行為發(fā)現(xiàn)與檢測能力;
·終端應(yīng)用控制與審計(jì)能力;
·基于角色的訪問控制能力;
·系統(tǒng)漏洞的檢測與修復(fù)能力;
·基于系統(tǒng)異常的恢復(fù)能力;
·外設(shè)的管理與控制能力;
·基于終端行為與事件的審計(jì)能力;
·終端安全的應(yīng)急響應(yīng)能力。
※工業(yè)控制網(wǎng)絡(luò)終端的安全防御
工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性,其安全防御的核心是確?刂葡到y(tǒng)與監(jiān)控系統(tǒng)的可用性,以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內(nèi)部自動(dòng)化控制組件間的訪問控制策略。同時(shí)需要確保控制系統(tǒng)在發(fā)生異;虬踩录䲡r(shí),能夠在不影響系統(tǒng)可用性的情況下,幫助管理員快速定位安全故障點(diǎn)。
在確?刂葡到y(tǒng)可用性的前提下,工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個(gè)方面:
·基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力;
·基于白名單策略的控制終端惡意軟件防御能力;
·基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力;
·基于ICS 協(xié)議的內(nèi)容監(jiān)測能力;
·基于控制系統(tǒng)的漏洞及威脅防御能力;
·基于可用性的最小威脅容忍模型建設(shè)能力;
·基于事件與行為的審計(jì)能力;
·基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力;
·終端安全的應(yīng)急響應(yīng)能。
※工業(yè)網(wǎng)絡(luò)終端安全管控平臺(tái)建設(shè)
充分了解控制終端與業(yè)務(wù)終端的安全能力建設(shè)規(guī)范與功能,是構(gòu)建高性能安全事件審計(jì)與管理運(yùn)維平臺(tái)模型的前提,也是實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預(yù)警和安全響應(yīng)的基礎(chǔ)平臺(tái)。安全管控平臺(tái)不僅是實(shí)施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心,基于ICS 安全威脅的知識(shí)庫仿真模塊,更可實(shí)時(shí)對檢測到的異常或未授權(quán)訪問進(jìn)行核查評估,并將風(fēng)險(xiǎn)通過短信、郵件等方式對管理員告警。
為確保安管平臺(tái)的可用性和時(shí)效性,可基于云計(jì)算與虛擬化技術(shù)對管理平臺(tái)進(jìn)行建設(shè),目前較成熟的私有云安全技術(shù)、虛擬終端管理技術(shù)、數(shù)據(jù)災(zāi)備技術(shù),都可為ICS 系統(tǒng)統(tǒng)一管理提供良性的技術(shù)支撐。在客戶端系統(tǒng)資源優(yōu)化方面,先進(jìn)的私有云平臺(tái)可將信息終端繁重的功能負(fù)載遷移到云端執(zhí)行,為系統(tǒng)的關(guān)鍵應(yīng)用提供寶貴的計(jì)算資源,實(shí)現(xiàn)工業(yè)系統(tǒng)調(diào)度與計(jì)算資源的最大利用。
另一方面,工業(yè)系統(tǒng)安全管理體系還應(yīng)該具備應(yīng)用行為分析與學(xué)習(xí)能力,例如對系統(tǒng)性能的異常檢測模型、工業(yè)系統(tǒng)協(xié)議的內(nèi)容識(shí)別模型、OPC 組件的調(diào)用規(guī)則模型、以及外設(shè)和WIFI 的審計(jì)報(bào)警模型等。知識(shí)庫和各種分析模型的建立離不開對用戶工業(yè)控制系統(tǒng)的理解和產(chǎn)業(yè)攻擊事件與趨勢的跟蹤分析研究。
只有將涉及到工業(yè)控制系統(tǒng)各個(gè)環(huán)境的關(guān)鍵運(yùn)維保障風(fēng)險(xiǎn)點(diǎn)和最基本的運(yùn)維需求規(guī)范化、流程化,才能為ICS 系統(tǒng)實(shí)施可行的風(fēng)險(xiǎn)控制基線,實(shí)現(xiàn)以用戶為核心的主動(dòng)威脅防御與運(yùn)維保障體系。
參照NIST 最新發(fā)布的《工業(yè)系統(tǒng)安全指南》有關(guān)ICS 系統(tǒng)縱深防御體系架構(gòu)的建議,通過引入基于私有云技術(shù)的終端安全管理體系,實(shí)現(xiàn)客戶端、服務(wù)端、探針對工業(yè)網(wǎng)絡(luò)中關(guān)鍵信息終端和關(guān)鍵應(yīng)用的實(shí)時(shí)分析與審計(jì)。
圖6:工業(yè)控制系統(tǒng)安全架構(gòu)
一種基于私有云技術(shù)的ICS威脅識(shí)別模型
目前,工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)識(shí)別模型的實(shí)現(xiàn)主要有兩種方式:基于ICS 網(wǎng)絡(luò)的協(xié)議識(shí)別風(fēng)險(xiǎn)模型;基于ICS 系統(tǒng)特征的仿真控制模型。其核心設(shè)計(jì)思想通常是通過識(shí)別ICS 網(wǎng)絡(luò)通用及專屬協(xié)議內(nèi)容,并根據(jù)其中包含的主從關(guān)系、訪問控制、行為特征、傳遞途徑、Exploit方式、命令請求等信息提取非法特征,最后通過加權(quán)的方式判斷威脅是否存在。
圖7:傳統(tǒng)的風(fēng)險(xiǎn)識(shí)別
然而,更具針對性、隱蔽性的APT 攻擊行為的出現(xiàn),傳統(tǒng)ICS 風(fēng)險(xiǎn)識(shí)別模型增加了許多不確定的因素。通過對APT 攻擊事件、工業(yè)控制系統(tǒng)管理需求的分析,我們可以清晰的看到,在確保ICS 可用性的前提下,CS 組件的未公開漏洞,受信的合法控制路徑,OPC的調(diào)度組件,PLC 的過程控制,網(wǎng)絡(luò)架構(gòu)以及管理制度設(shè)計(jì)缺陷都加重了不確定的因素。
因此構(gòu)建滿足工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)識(shí)別模型,除了需要細(xì)化工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)因素,還需要基于工業(yè)控制系統(tǒng)的安全管理域的差異,實(shí)施分等級的基線建設(shè),兼顧終端與鏈路、威脅與異常、安全與可用性等綜合因素的考慮同樣必不可少。
模型建立:
·全網(wǎng)流量收集識(shí)別能力;
·基于白名單的終端應(yīng)用控制能力;
·實(shí)時(shí)ICS 協(xié)議與內(nèi)容識(shí)別能力;
·異常行為的仿真能力;
·動(dòng)態(tài)基線自適應(yīng)能力;
·可視化運(yùn)維能力;
·安全事件跟蹤研究能力。
圖8:基于私有云的工業(yè)系統(tǒng)威脅識(shí)別模型
五、總結(jié)
作為國家的重要基礎(chǔ)設(shè)施,工業(yè)控制系統(tǒng)的的安全性對國家安全、社會(huì)利益具有重要的影響,為此工信部10 月印發(fā)通知,要求各級政府和國有大型企業(yè)切實(shí)加強(qiáng)ICS 系統(tǒng)的信息安全管理。而與此同時(shí),國內(nèi)重要行業(yè)ICS 系統(tǒng)還普遍被《信息安全等級保護(hù)》定為第3或第4 級,工業(yè)信息系統(tǒng)的安全管理體系建設(shè)還需兼顧等級保護(hù)技術(shù)要求。
國際方面,各國網(wǎng)絡(luò)空間戰(zhàn)略的進(jìn)一步發(fā)展,國與國的防御戰(zhàn)略已經(jīng)從現(xiàn)實(shí)延伸到虛擬世界,網(wǎng)絡(luò)空間更是各國未來發(fā)展戰(zhàn)略中得必爭之地。自從網(wǎng)絡(luò)“超級武器”Stuxnet 蠕蟲的出現(xiàn),誰也無法保證本國的關(guān)鍵基礎(chǔ)設(shè)施不會(huì)成為下一個(gè)攻擊目標(biāo)。
因此,傳統(tǒng)的信息安全管理體系需要重新思考工業(yè)安全的重要性和防御策略,針對工業(yè)控制系統(tǒng)終端的特殊性以及IT 信息安全的管理需求,構(gòu)建基于終端的安全管理體系是現(xiàn)階段滿足不同環(huán)境信息安全管理需求的重要手段。
圖9:基于終端的信息安全管理體系
當(dāng)然,無論是國家未來發(fā)展戰(zhàn)略的要求,還是確保國家重要基礎(chǔ)設(shè)施可用性的需要,從管理、流程、架構(gòu)、設(shè)備、技術(shù)等多個(gè)角度,構(gòu)建滿足工業(yè)控制系統(tǒng)安全管理體系,不斷改進(jìn)并完善,是確保新時(shí)期工業(yè)控制系統(tǒng)和國家重要基礎(chǔ)設(shè)施安全的最有效手段。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:ICS工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112153487.html