淺談工業(yè)控制系統(tǒng)安全態(tài)勢

淺談工業(yè)控制系統(tǒng)信息安全態(tài)勢摘要進入21世紀，人類邁向信息化時代的步伐不斷加快，隨著信息技術(shù)的發(fā)展，信息安全也面臨著嚴峻的現(xiàn)實考驗。近年來，針對工控系統(tǒng)的安全事件不斷攀高。本文介紹了石油工業(yè)控制系統(tǒng)的特點，分析當前安全形勢下工控系統(tǒng)面臨的安全威脅，提出應(yīng)加強措施以應(yīng)對安全威脅。關(guān)鍵詞工業(yè)控制系統(tǒng) 石油工業(yè) SCDAD系統(tǒng)信息安全分析正文隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接。在工業(yè)控制系統(tǒng)愈發(fā)智能的同時，其網(wǎng)絡(luò)也變的更加透明、開放、互聯(lián)，TCP/IP存在威脅同樣出現(xiàn)在工業(yè)網(wǎng)絡(luò)中。病毒、木馬等威脅開始向工業(yè)控制系統(tǒng)擴散，信息安全問題日益突出。進入21世紀，工業(yè)控制系統(tǒng)已經(jīng)深入石油工業(yè)的每個重要部分，智能管控的方向已經(jīng)漸入實際，隨之帶來的安全問題也令石油企業(yè)堪憂，作為石油高校的學(xué)子，我們有必要學(xué)習(xí)并認識工業(yè)控制系統(tǒng)運作中存在的問題。同時，工控系統(tǒng)的健康發(fā)展需要軟硬件的配合，在計算機綜合實驗課程學(xué)習(xí)的基礎(chǔ)上，我們也有一定的能力去解釋相關(guān)問題并找到相應(yīng)的解決辦法。1工業(yè)SCDAD系統(tǒng)與石油行業(yè)應(yīng)用工業(yè)控制系統(tǒng)(IndustrialControlSystems，ICS)，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的對工業(yè)生產(chǎn)過程實現(xiàn)檢測、控制、優(yōu)化、調(diào)度、管理和決策的業(yè)務(wù)流程管控系統(tǒng)，實現(xiàn)增加產(chǎn)量、提高質(zhì)量、降低消耗、確保安全等目的。其包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SupervisoryControlandDataAcquisition，SCADA)，分布式控制系統(tǒng)(DistributedControlSystems，DCS)，以及其他更小的系統(tǒng)控制器，如可編程邏輯控制器(ProgrammableLogicControllers，PLC)。目前工業(yè)控制系統(tǒng)廣泛應(yīng)用于電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。SCADA系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。SCADA系統(tǒng)廣泛應(yīng)用于電力、

石油、智能樓宇等行業(yè)中，對生產(chǎn)、管理的自動化提供現(xiàn)場數(shù)據(jù)以及控制的技術(shù)手段，也是所謂物聯(lián)網(wǎng)的核心所在。現(xiàn)代的SCADA系統(tǒng)主要都是由：以測控技術(shù)提供的現(xiàn)場傳感器，現(xiàn)場采集動作單元，數(shù)據(jù)傳輸通道，以及計算機為中心的主站系統(tǒng)組成的。主機、網(wǎng)緒.厘用、流量審計、行為申說、達維畝計，入偎杞別■.琮白界沖,工業(yè)控叫系統(tǒng)主機、網(wǎng)緒.厘用、流量審計、行為申說、達維畝計，入偎杞別■.琮白界沖,工業(yè)控叫系統(tǒng)安全保障1昔雄人員歸口定義、人曷w核、驗收雙酒要求■工控系統(tǒng)安全使命；1滿足合規(guī)性需求■保障生產(chǎn)安全.工業(yè)控制系統(tǒng)安全保障框架油氣田工業(yè)控制系統(tǒng)在結(jié)構(gòu)上大致可分為總調(diào)指揮中心6乂0、地區(qū)調(diào)度管理中心（DCC）、區(qū)域控制中心（RCC）、中心站監(jiān)控室及部分井/站場監(jiān)控系統(tǒng)等部分。根據(jù)規(guī)劃的功能結(jié)構(gòu)，具體業(yè)務(wù)需求及實現(xiàn)的不同，按四級架構(gòu)進行分層：即應(yīng)用層、調(diào)度層、監(jiān)控層和現(xiàn)場層。而SCADA系統(tǒng)作為油氣田生產(chǎn)信息化建設(shè)的一個重要組成部分，只涉及調(diào)度層、監(jiān)控層和現(xiàn)場層三層，不涉及應(yīng)用層，SCADA系統(tǒng)的數(shù)據(jù)在DCC和非SCADA系統(tǒng)的數(shù)據(jù)匯聚后，統(tǒng)一提供給應(yīng)用層，便開發(fā)各種應(yīng)用。整條體系通過對數(shù)據(jù)采集傳輸、視頻圖像監(jiān)視、數(shù)據(jù)存儲轉(zhuǎn)出、數(shù)據(jù)發(fā)布及網(wǎng)絡(luò)瀏覽、生產(chǎn)調(diào)度及管理等的優(yōu)化完善，實現(xiàn)工藝流程和管理流程進一步優(yōu)化，提升生產(chǎn)效率。油氣田企業(yè)的工業(yè)控制系統(tǒng)一般分三個層級，上級站提供全局范圍內(nèi)各要素的遙測服務(wù)、采油生產(chǎn)分析；中繼站負責(zé)數(shù)據(jù)的采集和指令的下發(fā);底層RTU實現(xiàn)現(xiàn)場數(shù)據(jù)采集和控制過程，并提供應(yīng)急響應(yīng)服務(wù)。實現(xiàn)油井圖像實時采集、油井狀況分析，并可遠程對抽油機進行啟停控制，注水井遠程配注監(jiān)控。一般由井場數(shù)據(jù)采集與控制系統(tǒng)、站點數(shù)據(jù)采集與控制系統(tǒng)、視頻監(jiān)控與闖入報警系統(tǒng)、以太網(wǎng)絡(luò)傳輸系統(tǒng)及控制中心等系統(tǒng)組成。主要對油壓、套壓、產(chǎn)油量、注水量、含水率等生產(chǎn)工藝參數(shù)進行監(jiān)控和采集，并通過生產(chǎn)管理系統(tǒng)采用實時數(shù)據(jù)庫、歷史數(shù)據(jù)庫為分析和管理平臺，實現(xiàn)對監(jiān)控子系統(tǒng)的數(shù)據(jù)采集、存儲、處理、異常分析、遠程管理、異常報警。應(yīng)用層應(yīng)用層油氣田工業(yè)控制系統(tǒng)示意圖2研究背景傳統(tǒng)的工業(yè)控制系統(tǒng)，是孤島式、封閉式的結(jié)構(gòu)，只是在本企業(yè)或者本行業(yè)內(nèi)部建立相對應(yīng)的生產(chǎn)流程。同時，工業(yè)控制系統(tǒng)的要求，第一位是可用性，即生產(chǎn)設(shè)備能夠完成生產(chǎn)所需；第二位是可靠性，就是要連續(xù)不間斷的工作，而不會出現(xiàn)任何問題；第三位才是安全性。但是，隨著信息技術(shù)的不斷發(fā)展，兩網(wǎng)融合的契機，特別是不斷地在工業(yè)控制領(lǐng)域的推廣，原本封閉孤島式的工業(yè)控制系統(tǒng)變成了開放的形式。很多企業(yè)將生產(chǎn)環(huán)境轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)自動化形式，所有的設(shè)備都通過網(wǎng)絡(luò)連接、搭建、管理和控制，很多工業(yè)生產(chǎn)現(xiàn)場都實現(xiàn)了完全的無人化，個別甚至將企業(yè)對外宣傳和內(nèi)部管理的網(wǎng)站同生產(chǎn)網(wǎng)絡(luò)進行了互聯(lián)，其間沒有任何保護設(shè)備和防護措施。只是單純的增加防火墻、網(wǎng)閘便可以有效的保護工業(yè)網(wǎng)絡(luò)安全的想法，是不切實際的。從當前網(wǎng)絡(luò)黑客所掌握的攻擊技術(shù)來看，存有個人惡意企圖的攻擊者可能會利用一些大型SCADA系統(tǒng)的安全漏洞獲取諸如電力、石油、天然氣管道以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被黑客所掌握，進行致癱攻擊，將使這些國家基礎(chǔ)行業(yè)的生產(chǎn)蒙受重大損失。1999年，在內(nèi)部人員的配合下，黑客繞過了俄羅斯最大的一家天然氣公司的網(wǎng)絡(luò)防護系統(tǒng)，侵入該公司控制天然氣輸氣管道的SCADA系統(tǒng)，一度控制了總控制室；2000年，美國一名男童通過網(wǎng)絡(luò)侵入亞利桑納州羅斯福水壩的SCADA系統(tǒng)，并能夠控制水壩閘門提升，該水壩儲水一旦被放出來，足以淹沒下游的菲尼克斯城;2000年，在澳大利亞昆士蘭，一名被解雇的工程師通過無線網(wǎng)絡(luò)侵入水廠控制系統(tǒng)，造成水處理廠發(fā)生46次控制設(shè)備功能異常事件，導(dǎo)致數(shù)百萬公升污水進入地區(qū)供水系統(tǒng)；2003年，震蕩波蠕蟲病毒在全球肆虐期間，美國俄亥俄州核電站企業(yè)網(wǎng)感染蠕蟲并擴散到核電站的運行網(wǎng)，引發(fā)了網(wǎng)絡(luò)堵塞，造成了監(jiān)視核電廠關(guān)鍵安全指示的計算機控制板崩潰，最后導(dǎo)致核電廠處理計算機癱瘓；2010年，“震網(wǎng)”病毒攻擊伊朗核電站，病毒對西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATICWinCC進行攻擊。2000年以后，在全球范圍內(nèi)，工控網(wǎng)絡(luò)安全事件呈爆炸式增長。尤其在中國網(wǎng)絡(luò)遭受黑客攻擊增長15倍以上，其中30%是對國家基礎(chǔ)設(shè)施，涉及天然氣、運輸、制造、醫(yī)藥、核設(shè)施以及汽車等眾多行業(yè)，給國家和企業(yè)造成了大量的損失。通過利用生產(chǎn)網(wǎng)絡(luò)的漏洞，黑客輕而易舉的入侵工控系統(tǒng)，輕而易舉的進行漏洞挖掘和破壞，導(dǎo)致了很多安全事件的發(fā)生，而這些危險的發(fā)生主要由操作系統(tǒng)、應(yīng)用系統(tǒng)、工控設(shè)備、網(wǎng)絡(luò)通信協(xié)議、工業(yè)協(xié)議漏洞和移動介質(zhì)等風(fēng)險源造成。為了保障工業(yè)控制系統(tǒng)的信息安全，2011年9月工業(yè)和信息化部專門發(fā)文《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號），強調(diào)加強工業(yè)信息安全的重要性、緊迫性，并明確了重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求，其中特別提到了與國計民生緊密相關(guān)領(lǐng)域的控制系統(tǒng)，如核設(shè)施、鋼鐵、有色、化工、石油石化、電力等。工業(yè)控制系統(tǒng)的信息安全被提到了一個新的高度，面臨著嚴峻的安全威脅。3安全風(fēng)險分析物理終端安全管理及工業(yè)通訊協(xié)議缺失與傳統(tǒng)的信息系統(tǒng)相比，工業(yè)控制系統(tǒng)安全保護主要集中在于終端生產(chǎn)設(shè)備及其操作過程，作為最終的控制單元，直接控制生產(chǎn)運行，監(jiān)控運行數(shù)據(jù)信息。終端生產(chǎn)設(shè)備，例如PLC（可編程邏輯控制器）、RTU（遠程測控終端）和IED（智能電子設(shè)備）可能存在邏輯炸彈或其他漏洞，部分設(shè)備采用國外的操作系統(tǒng)、控制組件，未實現(xiàn)自主可控，可能有安全漏洞，設(shè)備存在被惡意控制、中斷服務(wù)、數(shù)據(jù)被篡改等風(fēng)險。對控制單元缺乏合適的終端物理安全保護的管理辦法，無有效的邊界完整性檢查，存在未授權(quán)終端非法接入的風(fēng)險。工業(yè)通訊協(xié)議是整個系統(tǒng)安全的重要環(huán)節(jié)，修改工廠的運行過程并不需要破壞組件，只需要構(gòu)造一個滿足工業(yè)協(xié)議的IP數(shù)據(jù)包然后將其發(fā)送給控制器即可。在標準的PLC中，沒有任何安全校驗和認證，它會接收任何滿足IP數(shù)據(jù)包格式的數(shù)據(jù)包并根據(jù)數(shù)據(jù)包中的請求信息來執(zhí)行實際控制過程。多數(shù)工業(yè)協(xié)議僅僅是對串行幀的簡單封裝如Modbus、DNP3協(xié)議，整個過程缺乏加密認證的機制，故很容易被竊取、欺騙和篡改。補丁更新不及時企業(yè)整個SCADA系統(tǒng)數(shù)據(jù)服務(wù)器多數(shù)采用Unix操作系統(tǒng)，工作站均采用Windows操作系統(tǒng)，由于工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)及企業(yè)網(wǎng)絡(luò)的隔離，同時為保證過程控制系統(tǒng)的相對獨立性，以及考慮到系統(tǒng)的穩(wěn)定運行，現(xiàn)場工程師未對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。如Unix操作系統(tǒng)發(fā)布開發(fā)都是以打補?。≒atch）的方式進行，操作系統(tǒng)的程序可以動態(tài)鏈接包括I/O驅(qū)動程序與系統(tǒng)服務(wù)，這些都為不法人員提供了可乘之機。常見的0day漏洞、UPNP服務(wù)漏洞、RDP漏洞等，不法人員輕易通過這些漏洞通過入侵、控制主機，進行破壞和竊取機密信息。由于工業(yè)控制系統(tǒng)對可靠性要求較高，考慮到工控軟件與操作系統(tǒng)補丁的兼容性問題，在更新系統(tǒng)補丁前需要在測試環(huán)境中進行嚴格測試，確認部署到生產(chǎn)環(huán)境中不產(chǎn)生影響后才能進行安裝更新。因此實際使用中，存在時間的滯后，導(dǎo)致各類嚴重等級安全漏洞未及時修補?？梢苿哟鎯橘|(zhì)導(dǎo)致的病毒木馬傳播在日常的資料文件共享中，操作人員大量使用U盤、可移動磁盤等介質(zhì)。由于工控計算機并未全面安裝殺毒軟件，所以可移動存儲介質(zhì)的交叉使用為木馬病毒的傳播提供了可乘之機。在物理隔離的工控環(huán)境中，利用此種“擺渡”方式可將木馬病毒感染至系統(tǒng)內(nèi)部。由此引發(fā)的安全事件時有發(fā)生。無完整的防病毒體系SCADA系統(tǒng)包括SCADA系統(tǒng)監(jiān)控軟件、數(shù)據(jù)服務(wù)器、操作員工作站、工程師工作站、磁盤陣列、授時系統(tǒng)、仿真軟件、OPC軟件、網(wǎng)絡(luò)管理軟件等應(yīng)用系統(tǒng)，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題。并且，從分公司到場站現(xiàn)場都采用NTP授時服務(wù)，本地向遠程NTP服務(wù)器發(fā)送NTP數(shù)據(jù)包，用的不可靠的UDP協(xié)議，一方面會造成信息泄露，另一方面會被不法人員利用NTPReply洪水攻擊，對整個系統(tǒng)或網(wǎng)絡(luò)造成影響。工控軟件在正常運行過程中，可能會調(diào)用底層系統(tǒng)命令，而由于現(xiàn)有的殺毒軟件利用行為監(jiān)測，采用主動識別防御技術(shù)，會對工控軟件的某些操作進行攔截和報警，同時也存在較高的誤殺風(fēng)險。雖然管理員能采用設(shè)置白名單等方式允許工控軟件的正常運行，但鑒于白名單配置前需要對工控軟件的所有可能的行為進行完全測試，故存在較大的工作量。種種原因?qū)е鹿た叵到y(tǒng)中并沒有全面實施安裝防病毒軟件。缺乏有效的數(shù)據(jù)安全通信機制在油氣田的現(xiàn)場，由于作業(yè)區(qū)域廣闊，經(jīng)常通過光傳輸網(wǎng)、DDN、衛(wèi)星、GPRS/CDMA等傳輸手段將數(shù)據(jù)傳到控制中心的路由器，各傳輸信道間的通道切換使用HSRP協(xié)議。一方面CISCOHSRP協(xié)議，不法人員截獲HSRP組的信息，并通過此信息結(jié)合相關(guān)的攻擊手段可以造成SR路由器上的HSRP組頻繁切換，進而給整個網(wǎng)絡(luò)造成中斷甚至癱瘓。另一方面一些不具備光纖通訊條件的場站，通過衛(wèi)星、GPRS/CDMA等無線方式通過PAN虛擬專用網(wǎng)絡(luò)采集數(shù)據(jù)、下發(fā)指令，缺少安全論證手段和加密措施，存在較大的安全風(fēng)險。TCP/IP以太網(wǎng)通訊技術(shù)、智能組件的廣泛使用給數(shù)據(jù)傳輸帶來便捷的同時，也給控制網(wǎng)絡(luò)帶來了傳統(tǒng)的病毒、木馬、入侵等新的問題。工業(yè)自動化單元之間缺乏可靠的安全通信機制，例如基于DCOM編程規(guī)范的OPC接口幾乎不可能使用傳統(tǒng)的IT防火墻來確保其安全性。數(shù)據(jù)加密效果不佳，工業(yè)控制協(xié)議的識別能力不理想，存在重放、監(jiān)聽、偽造攻擊風(fēng)險。4安全應(yīng)對措施嚴格控制系統(tǒng)間的訪問通過部署工控防火墻，嚴格控制訪問，訪問控制應(yīng)細化到端口級。同時，應(yīng)確定的風(fēng)險等級，注重保護存在較高安全風(fēng)險的區(qū)域。對工業(yè)控制系統(tǒng)進行安全配置刪除或禁用不必要的服務(wù)和程序，禁用遠程維護功能。在使用第三方的設(shè)備時，要求設(shè)備或系統(tǒng)提供商對其提供的設(shè)備和軟件啟用安全功能，同時，啟用系統(tǒng)自帶日志功能，審計系統(tǒng)行為。在發(fā)布補丁或新版本時，應(yīng)及時在測試系統(tǒng)中進行全面測試，在確保不影響正常應(yīng)用下安裝更新。部署統(tǒng)一安全監(jiān)測預(yù)警平臺在工業(yè)控制系統(tǒng)環(huán)境中部署統(tǒng)一安全監(jiān)測預(yù)警平臺，為確保監(jiān)測預(yù)警平臺的高可用性和時效性，可利用目前較為成熟的云平臺技術(shù)、虛擬終端管理技術(shù)來進行平臺建設(shè)，為工業(yè)控制系統(tǒng)統(tǒng)一管理提供良好的技術(shù)支撐基礎(chǔ)。同時，在客戶端系統(tǒng)資源優(yōu)化方面，先進的云平臺技術(shù)可將信息終端繁重的功能負載遷移到云端執(zhí)行，為系統(tǒng)的關(guān)鍵應(yīng)用提供寶貴的計算資源，實現(xiàn)工業(yè)系統(tǒng)調(diào)度與計算資源的最大利用。利用監(jiān)測預(yù)警平臺，實時監(jiān)控異常和入侵事件，監(jiān)測工業(yè)控制系統(tǒng)設(shè)備是否正常運行，對連接網(wǎng)絡(luò)的行為進行審計記錄，監(jiān)控和維護工業(yè)控制系統(tǒng)安全。制定針對工業(yè)控制系統(tǒng)安全運維的管理制度縱觀國際工控安全的發(fā)展態(tài)勢，美國是最早開始研究和執(zhí)行工控安全標準的國家，北美電力可靠性公司給予CIP系列標準的要求開展在北美電力開展針對電力企業(yè)安全安全檢查（包含核電）；歐洲已經(jīng)按照WIB標準來檢測工控產(chǎn)品安全，并且以德國為代表的國家，已經(jīng)開始基于ISO27000系列的ISO27009進行工控安全的建設(shè)；日本基于IEC62443要求結(jié)合阿基里斯認證要求，從2013年起規(guī)定所有工控產(chǎn)品必須通過國家標準認證才能在國內(nèi)使用，并且已經(jīng)在一些重點行業(yè)如能源和化工行業(yè)開始了工控安全檢查和建設(shè)；以色列已成立國家級工控產(chǎn)品安全檢測中心，用于工控安全產(chǎn)品入網(wǎng)前的安全檢測。建立完整的工業(yè)控制系統(tǒng)安全運維的方案、策略、計劃等，成立責(zé)任管理部門，對負有責(zé)任的管理者、系統(tǒng)管理員和用戶，明確其角色和職責(zé)，堅持“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，統(tǒng)籌安排、突出重點、明確責(zé)任。伴隨著國家政策的指引（發(fā)改委安全專項支持、工信部互聯(lián)網(wǎng)+時代產(chǎn)業(yè)轉(zhuǎn)型項目的支持）以及行業(yè)內(nèi)對工控安全的行業(yè)引導(dǎo)（如發(fā)改委20