随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
工业控制系统安全特点
工业控制系统领域与传统的信息安全领域有很大的不同。工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管理,而且更为关注系统的实时性与业务连续性。也就是说,工业控制系统对系统设备的可用性、实时性、可控性等特性要求很高。
由于工业控制系统设备及通信规约的专有性以及系统的相对封闭性,使得一般的互联网黑客或黑客组织很难获得相应的工业控制系统攻防研究环境以及相关系统资料支持,从而通常黑客的攻防研究工作多集中在互联网或普通IT信息系统上,而很少关注工业控制系统,自然相关的系统及通信规约的安全缺陷或漏洞也很少被发现。
但是随着2010年“震网”及后续一系列工控安全事件的发生,表明出于某些国际组织、国家的政治、经济、军事等原因,工业控制系统已经面临这些组织所发起的新型高级可持续的攻击威胁。
工业控制系统面临的安全问题
目前工业控制系统普遍存在一些严重的安全问题,主要表现为:
严重漏洞难以及时处理,系统安全风险巨大
当前主流的工业控制系统普遍存在安全漏洞,且多为能够造成远程攻击、越权执行的严重威胁类漏洞;而且近两年漏洞的数量呈快速增长的趋势。工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,又造成工业控制系统的补丁管理困难,难以及时处理威胁严重的漏洞。
工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。
缺乏违规操作、越权访问行为审计能力
操作管理人员的技术水平和安全意识差别较大,容易发生越权访问、违规操作,给生产系统埋下极大的安全隐患。实事上,国内ICS相对封闭的环境,也使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。因此,对生产网络的访问行为、特定控制协议内容和数据库数据的真实性、完整性进行监控、管理与审计是非常必要的。
但现实环境中通常缺乏针对ICS的安全日志审计及配置变更管理。这是因为部分ICS系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能所造成的结果。同时目前的安全审计产品因缺乏对工业控制系统通信协议的解析能力而不能直接用于ICS系统中,需要专门的定制。由于工业控制系统通信协议缺乏统一的标准,使得这种定制工作代价巨大且不能通用也是造成ICS中违规操作行为审计缺乏的原因之一。
没有足够的安全政策、管理制度,人员安全意识缺乏
由于工业控制系统不像互联网或与传统企业IT网络那样备受黑客的关注,在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生;工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不足,更不用提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。‘和平日久’造成人员的安全意识淡薄。
而随着ICS系统在国计民生中的重要性日益重要以及IT通用协议和系统在工控系统的逐渐应用,人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。
面对新型的APT攻击,缺乏有效的应对措施
APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的0-day漏洞,强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休的持久性攻击。近年来以震网为代表的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。
但是针对这种APT攻击,现有的安全防护手段均显得有些无力。这也许需要整合各种安全技术,通过形成完善的安全防御体系(防御手段的组织化、体系化)才可能有效,然而工业控制系统对安全关注严重不足的现实,使其在面临APT攻击时将会遭到不可估量的安全损失.
工业控制系统的安全建议
工业控制系统安全的重要性及其普遍安全防护措施不足的现实,使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。因为当面临攻击者的持续关注时,任何疏漏都可能导致灾难。在参考信息安全业内的最佳实践的基础上,结合工业控制系统自身的安全问题,本文提出了一些安全建议,期望能够有效地降低工业控制系统所面临的攻击威胁:
加强对工业控制系统的脆弱性的合作研究,提供针对性地解决方案和安全保护措施:
1、源头控制:运营组织和关键提供商建立工业控制系统开发的全生命周期安全管理。在系统的需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等研发生命周期的典型阶段,融入安全设计、安全编码以及安全测试等相关安全技术,尽可能系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑引入系统缺陷的安全风险
2、分析检测及防护:工业控制系统行业应积极展开与安全研究组织或机构的合作,加强对重要工业控制系统所使用软硬件的静态和动态代码脆弱性分析、系统漏洞分析研究;开发工业控制系统行业专用的漏洞扫描、补丁管理及系统配置核查工具。
3、 漏洞库管理:国家主管机构主导建立权威的ICS专业漏洞库以及完善的漏洞安全补丁发布机制。
尽可能采用安全的通信协议及规范,并提供协议异常性检测能力
1、源头控制:在不影响系统实时性、可用性的前提下,工业控制系统应尽可能采用具有认证、加密、授权机制的安全性较高的通信协议来保证其控制命令和生产数据的安全传输。尤其是无线通信协议要重点考虑其安全性;因为不安全的无线通信协议非常容易遭致远程攻击。
2、 检测防护:基于对ICS通信协议与规约的深度解码分析,通过网络协议异常性特征识别与监测ICS各系统和网络间可能存在的威胁,并提供针对性的防护措施,从而提升企业对于系统运行过程的威胁感知与安全防护能力。
3、 标准制订:国家主管机构应促进工业控制系统行业与安全研究机构、厂商的合作,并主导制订相关的通信协议的安全标准。以提供推荐性行业标准。
建立针对ICS的违规操作、越权访问等行为的有效监管
1、异常行为检测:对ICS系统的各种操作行为进行分析,并基于主体、地点、时间、访问方式,操作,客体的行为描述六元组模型构建系统操作行为或网络运行相关的白环境。基于白环境可以很方便地开发针对ICS异常行为的检测类产品。
2、 安全审计:基于对ICS通信协议与规约的深度解码分析,实现对ICS系统的安全日志记录及审计功能。应考虑对控制过程实现基于网络流量的安全审计,审计过程应力争做到对控制指令的识别和可控,如Modbus、DNP3等经典工控协议的解析能力分析,实现工业控制协议会话的过程记录和审计;并提供安全事件之后的事后追查能力。
建立完善的ICS安全保障体系,加强安全运维与管理
ICS安全保障体系建设。在保证工业控制系统的正常运行的前提下,充分调动技术、管理等安全手段,对帐号与口令安全、恶意代码管理、安全更新(补丁管理)、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。
加强针对ICS的新型攻击技术的防范研究
目前ICS领域影响最大的就是“震网病毒”为代表的高级可持续性威胁(APT)类攻击。这类APT攻击并不是一个独立的、具体的攻击技术,而是一种攻击行为模式的体现。这样的攻击不是能够依靠单一的技术实现防范和检测的,针对性的防护需要多个层面安全防护措施的综合开展:
1、做好ICS系统的基础性安全防护工作。从防范主体的角度来看,应当做到“安全防御无死角”。面对长期的侦测和试探,任何安全短板都可能成为攻击者的快速通道。也许只有做好各方面的防范,通过多种安全产品(机制)协同工作的体系化防御措施才能够抵御APT这些高级的持久性攻击。
2、加强“深入分析”技术的探索。APT攻击并不意味着没有痕迹,只是隐蔽性较强而难以发现。通过收集APT攻击事件相关的技术情报(攻击的特征、原理、危害、样本及分析报告等),并利用多维度的海量数据挖掘和关联分析技术,实现跨时域、跨设备和跨区域的踪迹分析,来大幅增加发现攻击行为的概率。
3、加强国际合作,协同研究与防范。由于APT攻击具有低成本、高破坏和隐蔽性的特点,它对CII或工业控制系统攻击所造成的破坏和社会影响,很有可能不逊于核武器的攻击后果。如果不对其加以限制,只会使破坏程度不断升级。所以,成立国际联合组织、建立国际性的抑制体系可以减少国家间的过激行为,同时也可监控和打击网络犯罪及恐怖主义行为。
结语
上述描述的安全建议从多维度考虑对工业控制系统可能面对的风险进行防护,并尽可能降低相关系统的安全风险级别。但需要意识到由于外部威胁环境和系统技术演变将可能引入新的风险点。
系统、人员、商业目标以及内、外部威胁等安全相关因素的任何一个发生改变时,都应建议企业对当前安全防护体系的正确性和有效性重新进行评估,以确定其能否有效应对新的风险。
因此ICS的安全保障措施也将是一个持续的改善过程,通过这一过程可使工业控制系统获得最大程度的保护。