5 工控系统的安全措施
5.1 安全需求描述
传统的 IT 是安全是网络安全,而工控系统安全同时包含网络安全与底层物理环境的安全。工控系统直接与生产环境、真实物理世界相连,是传统 IT 嵌入关键基础设施,融合信息、通信、传感和控制形成的 CPS(Cyber-Physical Systems)环境[35-38],一旦遭到破坏,直接对现实的工程环境造成巨大伤害,所造成的损失远远大于传统IT安全事故。工控系统的安全需要解决两类威胁,对于“无意识威胁”,构造防风、防水、防火避雷等物理环境与报警系统,以避免自然灾害;对于仪器老化等自身问题,采用PHM技术,监督预测管理设备的生命状态[39]。对于恶意威胁源则需要用到多种安全技术。
当前最常用的安全技术是入侵检测、漏洞扫描与纵深防御技术。漏洞扫描技术对零日漏洞攻击无能为力;纵深防御防火墙只能防御来自外部的攻击,对跨防火墙的行为无能为力,也不能防御内部的攻击;入侵检测只能单纯的检测异常行为,不能提高工控系统的“恢复能力”[40-45]。
基于现存单一安全技术的不足,提出完善的工控安全防御模型。完善的工控系统安全防御模型应具备四个层次功能:(1)阻挡外部入侵;(2)检测内部异常;(3)快速恢复功能正常、稳定的生产环境;(4)智能化的实现以上三个防御过程。
结合国际行业标准 ANSI/ISA-99、IEC62443,标准NIST SP 800-82 参考文献[46],总结构建如图 4 的 ICS防御体系。下面依据该防御体系,总结国内外各类安全措施的发展状况与实现方法。
5.1.1 安全不可忽略管理因素
(1)企业高管参与安全管理[46-50]企业大多将安全问题交给安全技术专家处理,而忽略自身管理上的漏洞。企业高管拥有高权限,一旦被攻击,造成的损失远大于普通员工。企业高管应当也是安全管理的高管。
(2)实现员工安全培训程序文献[46,51-53]中指出社会工程学攻击、钓鱼攻击,浏览器中的脚本攻击和注入攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息,员工缺乏安全意识是安全的一大漏洞。
(3)建立基于角色的访问控制机制工控系统中的工作人员有高级工程师、工程师、管理人员、现场操作员等,从网络结构考虑,分为企业网络区、控制网络区、外部网络等。不同的分工应当赋予不同的权限,让现场操作员可以访问高级工程师的数据库显然是不合适的。文献[54]提出将严格的基于角色的访问控制机制与网络分区、审计技术、白名单策略结合,可以达到很好的防护效果。
国外政策管理非常完善,上面描述的安全策略都已经实现,且有相应文件公布。国内则处在起步阶段,如管理策略规定《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》尚处于在编阶段。
5.1.2 安全需要知己知彼
(1)知己——安全的前提制
作设备清单,保证任何一件设备都处在安全的状态。理解并且登记在企业网络环境中的工控系统设备及其安全状态,是工控安全管理的基础。工控资产清单包括硬件清单、软件清单、软硬件配置清单、网络拓扑图等。
(2)知彼——主动防御
蜜罐通过提前接触攻击行为可为工控系统添加一道额外的防线。ICS Security WorkSpace发布仿真西门子S7-300PLC与工控系统最常见的Modbus协议运行在公网的情况,记录扫描攻击该系统过程以及相应 IP,用以研究工控系统的防御。文献[1]使用工控蜜罐网络研究工控系统的威胁源与攻击过程。Conpot[55]在 GitHub发布开源工控蜜罐系统Conpot,该系统是工业控制系统服务器端的低交互的蜜罐技术,设计易于布置、修改和扩展,通过提供各种通用的工业控制协议,可以构建需要的系统,能够模拟构建基础设施,以假乱真,使不安好心的人成功发现一个巨大的工控系统。趋势科技在美国一小镇上建立一个模拟各种 ICS/SCADA 的蜜罐设备,并且与互联网连接,蜜罐中包含了ICS/SCADA系统的典型安全漏洞,在18小时后被攻击。文献[56]提出动蜜罐,该蜜罐可以布置在网络系统中的任何位置,将当前网络的状态提供给工控安全管理员。
国内,文献[57]提出采用经典的化工反应模型田纳西-伊斯曼过程,结合著名的蜜罐软件 Honeyd,依托Matlab/Simulink 的强大运算、仿真能力,将田纳西-伊斯曼过程实时仿真的生产数据通过网络通信的方式传送给 Honeyd模拟蜜罐设备,并通过 Python脚本语言调用的方式实现设备的多种行为响应和真实调控生产过程,检出新型过程控制蜜罐系统;文献[58]提出嵌入式蜜罐和嵌入式蜜网的思路,并在嵌入式网络环境下对蜜罐进行部署和测试分析,实验结果证明,嵌入式蜜罐对嵌入式网络安全起到保护作用。
国外将蜜罐技术用于研究工控系统的威胁源、攻击途径以及探索防御手段,技术应用成熟,取得了很多成功;国内应用蜜罐技术与 ICS 安全尚处一个探索的阶段,虽然发表了不少研究论文,但没有可供市场使用的产品出现。
5.1.3 网络分区管理,区域间布置防火墙
在这里输入你的内容,注意不要用退格键把所有文字删除,请保留一个或者用鼠标选取后直接输入,防止格式错乱。
如图 5 参考 NIST SP 800-82、IEC62443 等国际工控领域指导性文献深度防御(Defense-in-Depth)架构,将ICS划分为外部区域集合、控制网络区、企业网络区、远程访问区与生产现场。从分区以及防火墙的设置,总结防火墙的防御功能:保护整个的内部系统免受外部的攻击,隔离企业网络与远程访问区,控制系统网络与其他网络隔离,生产区与控制网络隔离。文献[2]详细介绍了网络分区与应用防火墙保护工控系统的改进过程,第一阶段双宿主机防火墙;第二阶段在企业网络和控制网络之间构建防火墙;第三阶段添加路由的企业与控制网络间的防火墙策略;第四阶段添加非军事区(DMZ)防火墙;最后是深度防御体系的防火墙策略,深度防御体系为效果最好的防火墙布置策略。文献[59]针对网络布局变化引起网络分区与隔离变化提出基于行为感知的动态分区技术;文献[60]提出数据二极管,能够在不同分区之间单向传输数据策略。
针对我国 ICS特殊性,防火墙应为国内自主研发的专用工控防火墙,目前国内较为成熟的有三零卫士“30TrustFWS”,海天炜业“Guard”,力控华康“HC-ISG”以及中科网威。国外,如加拿大多芬诺公司防火墙,美国的ConneXium等虽然比国内的成熟,但是并不建议使用。ICS-CERT[61]建议工控防火墙使用白名单策略,文献[62-63]总结了石化工控中白名单策略,应用白名单列表(application whitelisting),完成 LOGIIC(Linking theOil and Gas Industry toImprove Cybersecurity)过程。
5.1.4 安全的远程访问方法
现代工业控制系统对开放性提出新的需求,需要能够完成远程访问功能。安全的远程访问是工控系统开放的基础,涉及两个方面,其一制定远程移动设备管理策略,文献[51]指出平板电脑、移动数据处理器、智能手机、笔记本等移动设备在工控系统的大量使用给工控安全带来新的挑战。文献[64-66]提出移动设备管理策略应该至少要求远程访问人员不得在公共网络、私人WiFi、其他单位局域网中登录,使用安全的网络登录,例如 VPN 登录,登录需要使用强口令,并且口令、文件应加密传输。
其二要求远程访问过程安全,使用户像在专用网络访问一样,VPN技术无疑可做到。文献[67]详细介绍远程访问实现过程,是美国国土安全部发布的工业控制系统远程访问的指导性文献;文献[68]提出将VPN技术应用于企业之间的远程服务,并详细介绍 VPN 所涉及的相关技术;刘锋光[69]设计实现基于VPN技术的水电站远程监控系统的研究与应用,但是他对安全考虑较少,仅仅是完成了功能;黄昱泽[70]设计一种使用于工业控制网络的网关,该网关放置于工业控制网络中后,无需对工控设备做任何改造或配置,便可完成数据包的转发工作。该网关不依赖任何硬件环境和软件环境,适用于各种SCADA系统,具有较强的适用性,但该设计仍然缺乏安全考虑,仅仅是功能实现。
5.1.5 漏洞管理
威胁源利用漏洞对工控系统展开攻击,如零日漏洞攻击。科学的检测工控系统漏洞,并合理更新补丁是工控防御的重要组成。CNVD、CVE、ICS-CERT、中国国家漏洞率、中国国家信息安全漏洞共享平台等权威机构统计出现在工控系统的漏洞,可作为漏洞扫描的参考。漏洞扫描技术是指利用扫描等手段检测目标主机或网络的安全脆弱性,并发现可利用漏洞的一种安全检测技术也是一种主动防御技术。
目前国内比较成熟的产品有绿盟科技的 ICSScan 以及启明星辰和东方电气联合研发的天镜工控漏洞挖掘系统。国外成熟的工控扫描系统比较多,如 PLCScan、面向硬件的模糊测试模块ICCP、Mu 测试模块等,挪威科技大学终端设备固件分析方法 PLC 方法等。考虑我国工信部 451号通知以及核心设备国产化的战略,不建议使用国外的扫描系统。国内,于长奇[71]提出基于改进模糊器的工控系统漏洞扫描器,在测试阶段成功找出零日漏洞;王欢欢[72]提出一种层次探测的漏洞扫描方法,通过测试西门子工控系统,证明该系统的有效性;沈伟峰[73]提出了一种基于木马体系结构的网络漏洞扫描模型,设计并实现了基于木马体系结的面向攻击的网络漏洞扫描系统。
补丁是用于修复漏洞的,对于传统 IT 中的补丁及时更新,但在工控系统中补丁管理情况复杂,工控系统是实时连续运行的系统,更新补丁需要科学的管理,以减小损失。文献[74]总结了企业内部更新补丁、软件的指导性文章;文献[2,75]强调补丁管理是一个系统的过程,需要设置专门的补丁管理人员,并且有软件清单、硬件清单、网络拓扑结构图,熟悉生产的每一个过程,能够选择最佳补丁更新策略。工信部 451号文件要求密切关注产品漏洞和补丁发布,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证,以免破坏其功能安全性。熊琦等人总结比较现有各种 Fuzzing 测试技术应用于工控网络协议的优缺点,提出工控网络协议的专用Fuzzing 测试工具的设计准则[76]。
5.1.6 异常检测与事件响应计划
异常检查是对防火墙的补充,可检查内部攻击、异常,可检测跨防火墙攻击。异常检查包括入侵检测、病毒查杀、异常代码检测等。冶金自动化研究设计院赵华[77]对ICS信息安全现状和入侵检测系统进行了归纳总结,并对异常检测技术及算法进行了概括介绍,提出一种基于被控对象模型的非参数CUSUM异常检测方法。黄勇[78]对ICS的发展概况和信息安全现状进行了深入分析,着重研究开源异常检测系统 Snort及其规则,总结和设计一套基于“工业现场总线协议——MODBUS 协议”的Snort 规则;针对 ICS 下位机的控制数据、通信协议、高实时性等特点,结合聚类的相关算法,提出一种基于自适应聚类的离群点挖掘算法(Adaptive Clustering-Based Outlier Detection)。
浙江大学罗耀锋[79]分析面向ICS系统的入侵检测的基本问题,设计基于多分类 SVM 的入侵检测方法,其根据ICS过程监控层的网络特性和入侵特点而设计,适用于 ICS过程监控层的入侵检测,设计了基于协议分析和通信模型的入侵检测方法。北京工业大学高春梅[80]提出一种基于ARIMA模型的工业控制网络流量建模方法,用于建立正常的工业网络流量模型。彭勇等人提出将工业控制协议交互模式中提取系统级行为特征来作为 ICS 场景指纹,并将该指纹用于异常检查[81]。文献[82]提出基于 Conpot的远程数据入侵检 测 技 术(Telemetry AnalysisIntrusion Detection Systems),可适用于各类的工控协议。
工控设施受到攻击是不可避免事件,优秀的安全策略其中一个重要指标是能在尽可能短的时间内检测到入侵事件,做出响应动作,使系统回复正常的生产过程。文献[83-85]指出应急响应包括对入侵事件分类,针对不同类型的入侵事件执行不同的响应动作,最后采取恢复系统的动作;文献[86]设计面向网络的故障维修事件响应策略,进一步优化响应时间。
5.1.7 态势感知
态势感知指综合分析ICS安全要素,评估 ICS的安全状况,预测其变化趋势,以可视化的方式展现给用户,并给出相应的应对措施和报表。目前来说国内将态势感知技术用于 ICS 还是比较少,国外提出专门应用于ICS 的态势感知参考架构(SARA)[87],美国信息能源部帮助构建网络入侵自动响应和策略管理系统(CAMPS),实现工业控制系统的实施态势感知(Real-time Situa-tional Awareness)[88]。文献[89]将态势感知技术应用于辅助工控系统管理人员的决策制定与修正工控安全机制,并详细描述其实现过程。
5.1.8 审计技术
防火墙技术只能防御外来入侵,异常检测只能检测内部异常或者跨防火墙的攻击,蜜罐技术主要用于分析研究外部威胁,以上防御技术都不能记录追踪内部人员的“误操作”,以责任到户(Audit and Accountability)。文献[90]设计一工控系统信息安全审计系统,该审计系统主要由数据采集模块、内容检测模块、异常行为判断模块、行为处理模块、审计响应模块等组成。实验结果表明,该系统能够对 ICS进行全方位的安全审计,能够极大程度地提高ICS的安全防护能力。
5.1.9 工控终端与传感器安全
随着两化融合与智能制造的发展,分布式工控系统得到广泛应用,其终端与传感网络需面对大量的安全威胁,文献[91-92]提出将 PKI技术应用分布式工控终端,基于 SSL 协议,完成功课终端设备的安全改造,在工控终端设备内嵌入安全芯片,对工控终端设备的信息验证、加密传输进行了改造。文献[93]设计智能跳棋(Intelligent Checkers)传感器,能够在网络中单向传输数据,实时监控物理过程,在生产过程发生故障时给管理员报警。
5.2 风险评估与风险管理
工控风险指的是威胁源利用工控系统存在的脆弱性给工控资产造成损失,破坏生产的可能性,工控的风险涵括四个要素:资产、脆弱性、威胁,安全措施。资产价值高增大风险,威胁源利用脆弱性是风险增大,安全措施可以减少脆弱性达到规避或降低风险的目的。
风险评估就是量化“可能性”,包括对资产、脆弱性、威胁与安全措施的量化。风险管理即综合考虑风险的四个要素,使这一可能性降低到可接受的阈值。风险量化评估与风险管理是ICS信息安全研究的重要基础。国外起步早,已有经典文献标准,例如NIST SP800-82、IEC62443 等,有大量工控风险评估、管理机构,如 ICSRISK MANAGEMENT、Citicus ICS、ICS Risk Advisors,提出攻击分类法用于工控系统安全评估[94],文献[95]提出分层的风险评估策略;国内起步较晚,发布有《工业控制网络安全风险评估规范》[96]等,国内工控风险评估、管理的企业机构较少。国内文献[6,8]总结了 ICS量化评估方法与风险评估方法,并提出了新的评估手段。
(待续)
(来源:互联网,作者:陶耀东1,2,李宁1,曾广圣1
1.中国科学院大学 沈阳计算技术研究所,沈阳 2.中国科学院 沈阳计算技术研究所有限公司,沈阳)