2010年伊朗核设施遭受世界上首个专门针对工业控制系统编写的破坏性病毒攻击,这个名为Stuxnet的蠕虫病毒专门针对西门子SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,通过篡改离心机控制指令导致离心机停止运转,严重影响了伊朗铀浓缩进度。由于西门子SCADA系统在中国工业控制领域的广泛应用,Stuxnet蠕虫病毒的出现曾引发国内工业企业的极大恐慌。
一、SCADA系统安全风险分析
SCADA即数据采集与监控系统,被广泛应用于电力、石油、冶金、天然气、铁路、供水、化工等重要行业的工业控制系统中,以实现对底层工业设备的数据采集和运行状态监控,为生产执行与现场控制提供支撑。如今随着两化深入融合以及智能制造战略的持续推进,SCADA这种介于办公网络和工业控制网络之间的系统开始面临日趋严峻的安全挑战,黑客很容易以办公网络或互联网作为入口,利用SCADA系统的安全漏洞对工业控制系统展开攻击,进而造成严重安全事故和不可估量的经济损失。
1、国内某大型风电企业SCADA应用配置失误
通过网络搜索该公司SCACA信息,结果暴露SCADA系统的IP地址,通过点击链接http://61.49.28.237/开启了目录浏览,遍历目录后得到CKFinder,之后通过getshell命令提权控制SCADA主机,通过前端的WEB服务器和数据库服务器作为跳板,通过VPN等方式对后端的中控系统进行操作。
2、某电力系统官网Oracle注入攻击
某黑客通过对某电力系统的官网进行简单的漏洞扫描可以发现该网站存在oracle注入漏洞www.cechina.cn,通过SQL注入操作进入到内网,发现虽然机器放在内网控制工程网版权所有,但是并没有单独配置DMZ区域,而是采用工作组,这样就可以通过权限获取访问到域,当时怀着渗透的心态发现了至少3台SCADA的主机,到了这一步,再对SCADA进行控制对了解工控系统的黑客而言都是不难实现的。
从两个案例可以得过一个初步结论,目前国内企业在进行SCADA系统的部署放慢安全意识还不够强,而且很多的SCADA攻击都可以从web开始,以web为突破口进行内网渗透,最终拿到控制权限。对于攻击者来说,基本上只要确定了目标,由于SCADA系统自身防护能力较差,攻击者是很容易拿到的较高的功能权限。通过这个权限,攻击者很容易关闭重要的工业设施,造成严重的工业安全事故。
对于一些安全级别较高的企业,为了避免出现前面所说的安全风险,在企业内部大多已经实现了办公网络和工业网络的物理隔离。对于这样的企业攻击方式大多是摆渡人攻击,既通过获取企业内容中间人的信任来攻击。大概的流程是:第一步,获取到目标企业的工作流程和相关人员信息。第二步,获取目标工控系统的物理位置与工程师的相关信息,包括但不限于家庭背景、工作背景等信息;第三步,伪造自己身份,比如以谈合作的形式进行交流接触并掌握更多的目标信息;第四,在获取目标信任后骗取其U盘发起摆渡攻击。震网病毒引起的伊朗核工厂离心机停机事件就是典型的通过中间人进行摆渡人攻击。
因此,对于工业控制系统安全CONTROL ENGINEERING China版权所有,亡羊补牢是必须的,但事前的预防则更为重要,企业需要提前做好SCADA系统安全防护。
二、工业控制系统存在的安全隐患
谈了防护脆弱的SCADA系统,接下来就谈一谈工业控制系统本身隐藏的安全隐患。在此之前,我们先了解一下工业控制系统与IT系统在安全架构上有什么不同?
(1)防病毒:IT系统中非常普遍,且易于部署和更新。工控系统中由于都是固化的,部署防病毒软件非常困难。
(2)补丁管理:IT系统中不管是远程还是本地系统都是定期更新。在工控系统中由于都是专用系统,担心影响性能,基本不更新补丁。
(3)技术支持周期:IT系统由于供应商较多控制工程网版权所有,升级方便,技术更新周期都很快,基本在2到3年;工控系统都是专用的供应商,可能就一家或几家,技术更新周期都在10到20年左右。
(4)网络安全测试与审计:IT系统都采用最现代的方法;工控系统很少有安全测试和审计。
(5)事件响应与取证:IT系统易于部署且容易取证;工控系统出现故障除了更新系统很难进行取证。
(6)安全系统开发:IT系统集成在开发过程中;工控系统没有通用的集成开发流程。
也许你会问,为什么工控系统存在这么多风险却没出大量的安全问题?这个问题很好解释。工业控制系统发展这么多年,由于采用的是专业的硬件和协议,而且很少直接与外网或办公网进行连接,懂IT技术又懂工业自动化控制技术的黑客又比较少,虽然工业控制网络的攻击事件时有发生,但却不多。
但随着IT与OT的融合发展,以前封闭式的专用工业网络开始走向开放,在工业控制系统中已经出现了越来越多的标准化硬件和软件,如基于X86架构的商用PC及服务器,应用了多年的现场总线技术正在被工业以太网逐步替代,网络协议由纷繁杂乱的总线协议变为TCP/IP协议。从另外一个方向看,随着ERP、CRM、MES等中上层管理业务系统与下层PLC、DCS等生产控制系统的对接,智能终端和无线技术也在工业控制领域得到了应用。即便企业的物理安全防护做的再好也已经不管用了。
三、从SCADA到ICS,安全风险该如何解决?
随着工业控制系统中软硬件及网络技术向通用化和标准化方向发展,工控系统的安全体系正在被击溃,变得前所未有的脆弱。这种现状也引起了国家部门的担忧和重视。
针对工控系统面临的安全风险,工业和信息化部2011年9月发布《关于加强工业控制系统信息安全管理的通知》,明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。2012年6月28号国务院又发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》。明确要求保障工业控制系统安全,重点对可能危及生命和公共财产安全的工业控制系统加强监管。对关键产品开展安全评测,实行安全风险和漏洞通报制度。
在一系列政策文件的引导下,行业安全厂商也在不断强化自身安全产品对工业控制系统的安全防护能力。近年来,包括匡恩网络、威努特、谷神星、力控华安等国内工控安全厂商都针对工业控制系统面临的安全问题推出了成体系的解决方案,取得了不错的效果。
笔者认为,随着封闭式的工业控制网络开始走向开放,在工业控制系统中已经出现了越来越多的标准化硬件和软件,这是未来工业转型的趋势。SCADA系统作为办公网络和工控网络的纽带,构建完善的SCADA系统安全防护体系将是降低工控系统安全风险的重要一环。对此,我们建议可从以下几个方面入手强化对SCADA系统的安全防护:
1、评估需求,进行SCADA网络的连接。对SCADA网络所剩下的连接进行深入的测试和脆弱性分析,来评估这些路径所处的安全状态。使用这些信息和SCADA和风险管理程序来为SCADA网络的所有链路生成一个强健的保护策略。由于SCADA网络的安全取决于它的最薄弱的连接点,所以在每个进入点使用工业级边界隔离系统、工业级入侵检测系统和一些其它的安全策略十分重要。
2、通过取消或是减少一些没有必要的服务来巩固SCADA网络。建立在商业或是开放源码的基础上的操作系统可以通过很多默认的网络服务遭到攻击。要在最大程度上减少、忽略、取消不用的网络服务或是后台,以减少直接的网络攻击。除非经过风险评估显示,这项服务的好处远远大于其潜在的风险所带来的危害,否则绝对不能允许SCADA网络使用某项服务或是性能。
3、不要依靠专有的协议来保护系统。一些SCADA系统为了支持在现场设备和服务器之间的通讯而使用独立、专有的协议。通常这些SCADA系统的安全性只是基于对这些协议的保密性上。然而不幸的是CONTROL ENGINEERING China版权所有,保密的协议所提供的真正的安全少的可怜。所以不要因为是私有协议,就认为它是安全的。另外,要要求供应商关闭SCADA系统上所有的后门或是供应商接口,并要求他们提供可以得到保护的系统。
4、严格控制作为SCADA网络后门的所有途径。如果SCADA网络上真的存在后门或是供应商连接时,要严格执行验证以保证安全通讯。调制解调器、通讯和维护用的无线及有线的网络是SCADA网络和远程站点的最脆弱部分。
5、执行内部监测审计,外部入侵检测,保证每天24小时监控。为了对网络袭击具有有效的响应,要使用一种监测策略,包括由来自互联网或是外部的资源的恶意行为时,对网络管理员提出警示。检测系统是24小时连续工作的,这项功能可以很容易的被设置。另外,事故响应程序必须要恰当,在攻击发生时可以有效的做出动作。为了执行网络的监控功能,要在所有系统上增强日志功能,并且每天审核日志,即时的监测到可疑行为。
6、进行物理上的安全调查并对连接到SCADA网络上的远程站点进行评估,对他们的安全性作出评价。任何连接到SCADA网络上的部分都是被检查和评估的目标,尤其是无人场站。在每个设备上,都要进行物理上的安全检查。确认并评估所有的信息资源,包括可能被窃听的电话和计算机网络、光缆;可能被利用的无线电和微波线路;可能被访问的计算机终端;无线网络的访问点。消除单纯的点失败。这些点的安全性可以足够阻止未授权访问,不允许只为了方便,在远程或是没有任何保护的站点设置活动访问点。