近年来,工业化和信息化的迅速发展www.cechina.cn,传统工业融合了信息技术和通信网络技术,已经在逐步改变世界产业发展格局。据统计,目前世界上已有超过80%的涉及国计民生的关键基础设施需要依靠工业控制系统来实现自动化作业,使用工业控制系统进行自动化生产,极大的提高了工作效率,节省了大量人工劳动力,创造了数倍的生产价值。
然而伴随着技术的发展,其弊端也逐渐显露。近日,安全研究人员发现,被广泛用于能源、制造、商业设施等领域的数款Westermo工业路由器存在着高危漏洞,其旗下的MRD-305-DIN等工业路由器固件中存在编号为CVE-2017-5816的硬编码漏洞,可暴露SSH和HTTPS证书及其相关私钥。此漏洞不仅导致攻击者可进行中间人攻击,解密流量控制工程网版权所有,还可获得提升设备访问权限的管理员证书。此外,这些工业路由器的管理界面中存在几个网页没有使用任何跨站点请求伪造保护,允许攻击者代表身份验证的用户执行各种操作。目前Westermo已针对上述漏洞进行了修补,若是再晚一些发现,将会造成巨大损失。此次事件只是多数工控安全事故中的一例,随着工业自动化产业的发展,工业控制系统信息安全所面临的挑战日趋严峻。
六大典型工控系统安全事件回顾
资料显示,全球工控网络安全安全事件在近几年呈现逐步增长的趋势,仅在2015年被美国ICS-CERT收录的针对工控系统的攻击事件就高达295起。为帮助了解工业控制系统所面临的安全威胁,通过查阅资料,笔者在此总结出几次典型的工控系统安全事件,便于各位参考。
1、澳大利亚污水处理厂中央系统遭遇人为入侵
2000年3月,澳大利亚马卢奇污水处理厂突发故障:中央计算机与个泵站的通信连接丢失,污水泵工作异常,报警信号也没有报警反应。在前后三个多月的时间里,总计约100万公升未经处理的污水直接经雨水渠排入了自然水系,包括当地的公园,河流。此番行为直接导致了当地海洋生物死亡,污水臭气熏天,让当地居民难以忍受,给所在区域带来严重生态灾难。
后经查证,发现事故起因并非设备故障,而是人为造成的。原来此次故障是该厂前工程师VitekBoden因不满工作续约被拒而蓄意报复所为。这位前工程师在其手提电脑上私自安装了可与传动系统进行通信的程序,并通过一个无线发射器控制了150个污水泵站。
此次事件因为后果严重,成为首个引起人们广泛重视的工控系统安全事件,为工控系统的安全防护敲响了警钟。
2、美国Davis-Besse核电站被蠕虫病毒攻击
2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlamme蠕虫病毒攻击,在数小时内网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机无法运作。
原来,一供应商为给服务器提供应用软件,在该核电站网络防火墙后端建立了一个无防护的T1链接,SQLSlamme蠕虫病毒借此链接绕过了防火墙,进入了核电站网络。然后利用SQLServer2000中1434端口的缓冲区溢出漏洞进行攻击控制工程网版权所有,并驻留在系统内存中,不断复制自身,造成网络拥堵,让SQLServer无法正常工作甚至宕机。
Davis-Besse事件的发生让人们认识到,工控系统安全漏洞问题并非全在于技术原因,操作人员安全防范意识薄弱,也是此次事件发生的导火索。
3、臭名昭着的震网病毒Stuxnet
“蠕虫”是一种典型的计算机病毒,它能自我复制,并可通过网络传播。任何一台和染毒计算机联网的个人计算机都会被感染。在2010年6月,震网病毒Stuxnet首次被发现,它是第一个专门定向攻击真实世界基础设施的“蠕虫”病毒。Stuxne利用当时微软尚未发现的几个漏洞,成功偷袭了伊朗Natanz核电站,造成大量离心机损毁。有美国官员称:该病毒只针对伊朗核设施,在设计上它无法进行传播。但是真的是这样吗?
事实证明,震网病毒已在现实世界中已经传播开来。2012年,位于美国加州的Chevron石油公司对外承认,他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此,美国BakerHughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们发布警告,一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
4、微软安全专家发布“Duqu”病毒警告
2011年微软安全专家检测到Stuxnet病毒的一个新型变种:Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。但与Stuxnet不同之处在于,Duqu木马并不是为了破坏工业控制系统,而是为了潜伏于工控系统,收集攻击目标的各种信息,以供未来网络袭击之用。据专家介绍,Duqu木马病毒包含两部分,一部分用于信息侦测,一部分用于信息传送。
2015年6月Duqu2.0爆发,甚至入侵到世界着名网络安全厂商卡巴斯基的内网和伊核谈判地点的会议酒店。其攻击实力不容小觑。
5、USB病毒攻击电厂窃取工控系统数据
2012年,两座美国电厂遭受USB病毒攻击。随后美国工控应急响应中心表示,包含恶意程序的U盘插入系统,导致每个工厂的工控系统被病毒感染,攻击者可以利用这些病毒远程控制系统或窃取数据。
一份报告中提到:“部分第三世界的研究人员使用U盘上传更新程序进行设备软件周期性更新,由于U盘中包含恶意程序,因此工控系统感染上了病毒,导致系统瘫痪并且延迟工厂重启约3周。”
一个工作人员发现自己的USB驱动间歇性出现问题,在向公司IT部门保修后,这个病毒才得以发现。此次事件让人们明白,工控系统不仅联网存在风险,对于外来设备的接入防护检测同样值得警惕。
6、Flame火焰病毒肆虐中东地区
卡巴斯基实验室曾发表声明,Flame火焰病毒最早诞生于2010年,具有超强的数据攫取能力,迄今为止还在不断发展变化中。该病毒结构极其复杂,综合了多种网络攻击和网络间谍特征。一旦感染了系统,该病毒就会实施诸如监听通讯、截取屏幕、记录音频通话、截获键盘输入信息等一系列操作,所有相关数据被攻击者从远程获得。可以说,Flame火焰病毒的威力大大超过了目前所有已知的网络威胁。
据报道,Flame火焰病毒不仅袭击了伊朗的相关设施,还影响了整个中东地区。有消息称该病毒是“以色列计划”中的一部分,是以色列为了破坏伊朗空中防御系统、摧毁其控制中心而实施的高科技网络武器。此外,“以色列计划”还包括打击德黑兰(伊朗首都)所有通讯网络设施,包括电力、雷达、控制中心等。
工控系统安全问题如何面对?
通过几次典型工控安全事件回顾,不难发现其涉及层面相当广泛,从污水处理到核电站、石油勘探,再到军事武器系统。不论是哪一行业,都跟人们的生活密不可分。如今工控系统市场需求与日俱增,已经深入到社会方方面面,以我国为例,人口密度很大www.cechina.cn,一旦再遇上类似污水处理厂或者核电厂系统安全问题,对社会所造成的损失是难以想象的。那么面对危机四伏的工控系统,人们该如何面对呢?
1、提高警惕,增强工控系统安全防范意识
有句老话叫“大水不到先垒坝,疾病没来早预防”,这句话在工控系统安全防范中也同样适用。
直到现在,人们对于工控系统安全问题还没有足够重视。对于部分开发者来说,他们认为攻击者不懂他们的系统开,系统非常安全。实际上,工业环境中已广泛使用商业标准件和IT技术。市面上大部分通讯采用的是以太网和TCP/IP协议,即使是某些采用专门的加密技术的特殊环境,最终都被黑客所破解。
对于管理员而言,有的人会认为有了防火墙或防病毒软件就高枕无忧了。虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件,但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且,防病毒软件本身也存在弱点。在一次安全会议上,研究人员在对当时使用最多的7个防病毒软件进行防病毒能力挑战,有6个在2分钟内便被攻破,可见,防病毒软件也并非万无一失。
对于企业家而言,有人认为平白无故没有人会袭击自己的工厂或工控系统,但是诸多迹象表明,工控系统已经为黑客、不满的员工或犯罪组织等各类攻击者所关注。
2、发展技术,提升工业系统安全保障能力
工业系统安全保障工作将直接影响一个国家工业健康发展的命脉。因此发展技术手段,提升工业系统安全保障能力是工控系统安全技术研究和安全服务的重要条件。就企业层面看,应当提高自身技术实力。不管是预防用的防火墙、防病毒软件设置,还是当风险出现时的病毒处理能力,企业都应加大投入,加强工业信息安全关键核心技术研发和应用。
从国家层面看,重点支持仿真测试、在线监测等技术支撑平台建设CONTROL ENGINEERING China版权所有,不断强化态势感知、风险预警、应急处置、检测评估等技术保障能力。以我国为例,工信部非常重视工业信息安全技术能力建设工作。在去年就认定了3家工业信息安全领域的实验室作为工业和信息化部重点实验室,分别为工业信息安全感知与评估技术实验室、工业互联网安全技术试验与测评实验室以及工业控制系统安全标准与测评实验室,研究领域涵盖了工业信息安全态势感知技术、工业互联网安全技术、工业控制系统安全标准测评等方向,为工业信息安全相关技术研发与测试提供良好的科研环境。
3、政策引导,完善工业信息安全政策体系
作为信息产业发展的领导者,美国很早就十分重视工控系统的安全。2003年就将其视为国家安全优先事项;2008年则将工控安全列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。
近年来,我国在加强工业控制系统信息安全管理上也做了不少努力。工信部出台了一系列政策文件,初步构建了我国工业信息安全政策体系。其中,2011年出台了《关于加强工业控制系统信息安全管理的通知》,该文件作为工业信息安全领域的首部专门政策,提出要建立测评检查和漏洞发布制度,明确了重点领域工业控制系统信息安全管理要求;2016年10月发布了《工业控制系统信息安全防护指南》,从管理、技术两个角度提出了安全软件选择与管理、配置等11项工控安全防护要求,为工控安全防护工作的展开提供了基本方法;2017年6月出台的《工业控制系统信息安全事件应急管理工作指南》,对工控安全风险监测、信息通报、应急处置等工作提出了具体管理要求,明确了责任分工、工作流程和保障措施,为工控安全事件应急管理与处置工作提供了依据与方法。