冯冬芹:再谈工控系统的网络安全
冯冬芹
浙江大学 工业控制系统安全技术国家工程实验室
一、工控系统已成为网络空间安全的重要战场
2010年,伊朗发生了震惊世人的“震网”(Stuxnet)事件,一种叫做的“震网”的计算机病毒攻击了伊朗纳坦兹铀浓缩基地和布什尔核电站使用的西门子PCS7控制系统,破坏了大量铀浓缩离心机和布什尔核电站发电机组,导致伊朗核计划至少被延迟2年。
“震网”(Stuxnet)事件表明,网络空间的安全威胁已从传统的互联网、计算机等虚拟空间迅速延伸扩展至物理世界的工业控制系统。即“计算机病毒”可以在不破坏工控系统本身的情况下,通过操控工业控制系统,引发生产中断、管道泄漏、环境污染、装备损毁,甚至可以引发灾难事故,导致社会动荡,国家安全就会受到极大威胁。工控系统已成为网络空间安全越来越重要的新战场。人们为区别于传统虚拟空间的病毒,把“震网”称为“超级巡航导弹”、“软件原子弹”,等等。
自“震网”事件之后,针对工控系统攻击的这种“软件原子弹”威胁越来越多、离我们也越来越近,甚至原先我们认为物理隔离的工控系统也未能幸免:
(1)如2015年12月,被认为使用专网的乌克兰伊万诺-弗兰科夫斯克地区电力监控系统遭到“BlackEnergy”恶意代码的攻击。乌克兰新闻媒体TSN报道称:“至少有三个电力区域被攻击,导致了数小时的停电事故”;“攻击者入侵了监控管理系统,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。”Kyivoblenergo 电力公司发布公告称:“公司因遭到入侵,导致7 个110KV 的变电站和23 个35KV 的变电站出现故障,导致80000 用户断电。”
(2)2017年6月12日,一款针对电力变电站系统进行恶意攻击的工控网络攻击武器Industroyer被发现对乌克兰电网发起了攻击。与 BlackEnergy不同的是,Industroyer据称没有利用任何漏洞,而是利用电力系统自身的工控协议,直接控制断路器,导致变电站断电。
(3)2017年12月,一种针对施耐德电气公司的Triconex安全仪表系统控制器(SIS,Safety Instrument System)的恶意软件TRITON被发现。TRITON据称能修改安全仪表系统(SIS)的表决机制,从而使安全保护功能失效。
此外,由于工控系统在操作人员的界面软件使用了微软操作系统,因此针对互联网、计算机操作系统攻击的病毒(如勒索病毒WannaCry)对工控系统也多多少少产生了一些影响。
二、我国对工控系统网络安全给予了前所未有的高度重视
自2010年震网事件发生后,我国从中央、各级部门,到各大企业对工业控制系统网络安全给予了前所未有的高度重视:
(1)从国家层面,中央不仅成立了网络安全与信息化委员会,而且先后发布了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23号)》等文件,全国人民代表大会常务委员会也于2016年11月7日批准发布了《网络安全法》,自2017年6月1日起施行,表明包括工控系统网络安全在内的网络空间安全已上升到党和国家、法律的高度;
(2)从国家机关职能上,国家和地方各职能机关、部门都已把工控安全放在十分重要的位置,不仅出台了相应的文件,而且开展了各种形式的工控安全培训、大赛等科普活动以及等级保护测评、安全评估、安全检测、安全检查等实质性工作;
(3)从标准层面,全国信息安全标委会TC260、工业测量与控制标委会TC124、全国电力系统管理及其信息交换标准化技术委员会TC82等都在工控安全领域开展了大量工作,发布了一系列与工控安全相关的国家标准、行业标准。2019年 5月13日, 包括云计算、移动互联、物联网、工业控制以及大数据安全在内的网络安全等级保护2.0标准(以下简称 等保2.0标准) 也在众人期待下正式发布,并将于2019年12月1日开始实施。
(4)从科研组织上,教育部也新设立了网络空间安全一级学科,各大高校也纷纷成立了相关学院和专业。
(5)从产业组织上,国家工业信息安全产业发展联盟,工业控制系统信息安全产业联盟,中国信息安全技术产业联盟、中国工业信息安全联盟等发展也很迅猛。
(6)在具体落实层面,各工业企业,特别是各重点基础设施企业无不纷纷成立了专门的信息安全机构,可见其重视程度。
由此可见,我国已建立起了覆盖从国家层面、法律、职能机构再到科研、标准、产业和企业等所有层面的工控安全体系,足见对工控安全的重视程度。
三、工控系统面临的安全威胁仍很严峻
当前,随着“两化融合”的不断深入,我国电力系统、石油炼化、水利、城市与轨道交通、输油管线、国防装备、以及其他公用工程仍在大量使用的国外控制系统,很难做到与互联网物理隔离;工控系统的维护、维修也仍然由这些工控系统的生产厂商所承担,因此面临的安全形势依然严峻:
(1)来自网络的远程攻击,如通过互联网、企业内部网、无线网,黑客和攻击者就可以远程对工控系统实施攻击;
(2)通过移动介质的带入攻击,如移动硬盘、U盘、光盘、移动终端等;
(3)预埋代码的潜伏式攻击,典型的途径有工程实施时的预埋、通过备品备件的预埋、通过维修维护带入的预埋。
四、工控系统安全的主要威胁是有组织的专业化攻击
从技术上看,工控系统所面临的网络安全威胁来自于两个方面:一个是传统的网络安全威胁,即利用操作系统、应用软件的漏洞发起的攻击威胁。这类威胁主要是针对计算机所使用的计算机操作系统和应用软件(如办公软件、网站软件等)的漏洞,获取计算机操作权限,或窃取隐私或敏感信息。
另一个更重要的安全威胁来源于对工控系统及其所控制的生产装置、生产工艺非常熟悉的有组织的攻击。从公开的资料可以发现,“震网”虽然利用了操作系统的漏洞,但这些漏洞只是被用于“震网”代码的传播,其核心代码却是利用了西门子PCS7控制系统和核设施的特性,而发起恶意操控,同时向操作人员界面软件发送欺骗数据。
由此可见,针对工控系统核心部件攻击的“黑客”除了要具有一般的计算机操作系统和软件知识外,更利用了工控系统本身的软件硬件特性和通信协议、操作指令和基础设施生产装置的弱点,导致一般的互联网安全技术人员难以发现,即具有“高专业性、高隐蔽性、高复杂性、难以被发现、难以被跟踪”(即“三高两难”)特性。
五、工控系统安全保护挑战比一般信息系统大很多
从2010年的“震网”事件至今的近9年多时间里,我国在实施工控系统网络安全各项工作的同时,也遇到了与互联网安全、信息系统安全完全不同的困难和挑战,主要表现为以下几个方面:
(1)对工控安全的理解,更多还停留在互联网安全和协议层面
与互联网系统、信息系统相比,工控系统大多是由传感器、控制装置、执行机构等多环节构成的闭环系统,其监控软件也是供操作员进行工况监视和简单的操作,工控协议用于传输生产过程中的数据。因此,工控系统的网络安全需要从以上所有要素以及生产装置本身进行综合的考虑。
(2)对工控安全恶意代码攻击原理和机制的了解有限
如今,各种公开报道、微博等各种社交媒体文件,以及许多文章、报告对工控安全事件的报道较多、技术性分析较少;对工控安全网络部分威胁的渲染较多,对工控内部的威胁分析较少;对操作系统“漏洞”介绍较多,对工控系统自身软硬件漏洞分析较少;对操作系统、邮件等的漏洞利用介绍较多,对于工控恶意代码“长什么样,什么时候来,什么时候触发,如何触发,什么时候离开”等技术问题,研究较少,导致工控安全工作的开展难以深入。
(3)当前工控安全防护措施和产品的有效性有待检验
当前,无论是针对工控系统的安全等级保护测评、安全评估、安全检测、安全检查,还是各种工控安全产品,虽然形式多样,但其有效性还远未得到用户的认可,尤其是针对工控系统终端设备面临的安全威胁,“对错了症、下错了药”的问题至今还未真正得到解决。
(4)工控安全的标准难以在工控系统终端落地
当前,关于工控安全的标准已有很多,如IEC 62443国际标准(美国国际自动化协会ISA的ISA 99)、美国NIST发布的SP-800.53,以及我国的等保2.0标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等。但在实施过程中,面对运行中的工控系统(尤其是其核心部件的控制器)时,还会遇到“碰不得、摸不得”的尴尬。
(5)工控安全的实施难以得到工控设备生产厂商的配合
工控系统不同于互联网系统、信息系统,不仅要保证生产过程按工艺设计要求运行在预定的工况,同时还要避免安全事故的发生。换言之,工控系统的生产厂商、集成厂商不仅要对生产过程的连续性、可靠性负责,还需要对生产的安全负责。这是传统信息安全厂商和安全产品难以做到的。
六、工控系统安全需要注意避免的几个误区
如上所述,工控系统的网络安全需要围绕控制系统本身与生产装置安全开展,在实践中,要注意避免以下几个误区:
(1)过于强调基于漏洞扫描的安全防护
如前所述,工控系统设计开发工程师关注的是如何使产品更可靠、可用性更高,所开发的控制算法如何使被控对象更稳定、对外界干扰的鲁棒性更高,对网络安全关注较少,因此其软件、硬件都存在着这样或那样的漏洞。
然而,目前市场流通的漏洞扫描产品仅仅能发现引发工控系统溢出、宕机的漏洞,而像“震网”、Industroyer、TRITON那样所能利用的漏洞,通过传统的手段还难以发现。
(2)过于强调补丁升级管理
众所周知,由于工控系统的软件硬件之间的耦合非常紧密,使用了大量非私有的协议、技术和功能模块,一旦没有经过严格测试而给系统打补丁或者版本更新,轻则导致蓝屏、重则导致这些组态监控软件不再可用;而工控系统的重启是一个极其复杂的过程,一旦不慎,极易导致生产中断、或因生产设备工艺不匹配而导致装置损毁。
因此,对于一些重要、尤其是核心基础设施的工控系统,打补丁、软件版本更新必须慎之又慎!
(3)过于依赖工控系统的隔离安全
如前所述,随着“两化融合”的不断推进,生产系统与管理系统的互联已经成为工控系统的基本架构,与外界完全隔离几乎不可能。另外,维护用的移动设备或移动电脑、备品备件,都可能成为代码带入的工具。“震网”据说就是利用U盘带入的。
(4)过于高估工业防火墙等传统防护产品的作用
从目前工控系统的实际来看,工控系统除了它支持的私有协议和公开专用协议之外,其他所有的协议都会被过滤,不会被处理。换言之,工控系统一般都具备了一般防火墙的能力。从这个意义上看,目前市场上所谓的工业防火墙,也仅仅起到应付检查的自我安慰作用。
(5) 过于依赖单向通信隔离装置
如上所述,针对工控系统的攻击途径有多种,有通过网络远程实施的,有通过无线接入的,更有通过移动介质、工程实施与维保预埋、备品备件预埋等途径,单向通信隔离装置也只能起到一部分作用。
七、工业系统的网络安全保护必须覆盖工控系统本身、生产工艺与操作流程等所有方面
从具体实践来讲,对工控系统的网络安全防护和保护需要从以下几个层面综合考虑:
第一层,对工控系统的网络安全防护和保护,需要覆盖工控系统软件、硬件和网络等所有部件。
第二层,对工控系统的网络安全防护和保护,需要结合生产工艺与操作流程而开展。
第三层,针对工控系统的网络安全防护和保护,还必须覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节。
八、结束语
工控系统的网络安全防护和保护是一个极其复杂的系统工程,需要回归控制系统的初心、回归控制系统的本质,从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置等多方面同时着手,才能真正有效的对国家重要基础设施安全进行保护。
来源:杭州网 作者:冯冬芹 编辑:周夏