工控系統安全近年來成為頗受關注的領域,工業控制系統關乎著國家重大基礎設施的運行穩定與否,其安全防御自然不可小覷。
工控系統安全與傳統IT系統安全的差異性
工控系統安全與傳統的信息安全不同,它通常更關注物理安全與功能安全;而且系統的安全運行由相關的生產部門負責,其安全防護重點考慮的是系統隔離和人員管理,而很少考慮信息安全以及網絡入侵威脅。在傳統的信息安全領域,通常認為保密性的優先級最高,完整性次之,可用性最低。而在考慮工控系統安全時,則需要首先考慮系統的可用性、其次是完整性,最后才是保密性。
綠盟科技研究院戰略師李鴻培認為:由于工業控制系統作為企業的核心生產運營系統,其工作環境具有嚴格的管理,外人很難進入;同時,系統自身也多與企業的辦公網絡(普通IT)系統之間存在一定的隔離措施,與互聯網也多處于物理隔離的狀態。而且工業控制系統主要由基于嵌入式操作系統(如VxWorks、uCLinux、WinCE等)及專用通信協議或通信規約(如OPC、ModBus、DNP3等)的工業控制設備或系統(PLC、RTU、DCS、SCADA等)組成。
也就是說,工業控制系統的相對封閉性以及其系統設備及通信規約的專有性,使得我們在考慮工業控制系統安全性及應對策略時將與傳統IT信息系統存在較大的差異。李鴻培說道。
而隨著信息化與工業化的深度融合以及潛在網絡戰威脅的影響,工業控制系統也將從傳統的僅關注物理安全、功能安全轉向更為關注信息系統安全。
工控系統面臨的威脅與攻擊方式
那么,當前工控系統都面臨哪些威脅與攻擊呢?近年來,針對工業控制系統的攻擊,不論是規模宏大的網絡戰,還是在一般的網絡犯罪,都可以發現APT攻擊的影子。李鴻培說道。
對此李鴻培進一步解釋道:與針對傳統IT系統的攻擊方式相比,工控系統所面臨的攻擊多是有組織的團隊出于一定的目的(政治、經濟、意識形態等)、采用多種攻擊手法相協同的持久性攻擊;因其背后可能會有利益集團的支持,其攻擊可能會采用基于0-day漏洞的多種新型攻擊手法或攻擊模式,以盡可能規避工控系統的防護機制。
依據我們針對漏洞的趨勢分析,自從2011年‘震網病毒’事件以后,公開漏洞庫中的新增漏洞信息中,高風險漏洞的占比急劇減少,也可能據此推測,被雪藏的新增高風險漏洞極有可能被作為0-day漏洞被用在未來某個APT攻擊工具中。李鴻培說道。
而根據綠盟科技2013年針對典型用戶的調研分析結果,用戶當前最關心的具體安全威脅為業務中斷、違規外聯、違規操作及系統配置的不安全以及惡意代碼(木馬、病毒等)攻擊。對工控系統來說,其業務中斷可能會是因工控系統的功能失效(功能安全、可靠性問題)或是因入侵攻擊或系統違規行為所造成的后果。
可以說,工控安全風險源自漏洞、人員、流程、物理安全缺陷等,但其中最核心的是漏洞、人員;主要表現為針對工控系統/設備漏洞的攻擊行為、內外部人員的惡意/違規操作行為。
工控系統安全的研究和防護現狀
工控系統的安全問題在國內許多信息安全相關的技術大會上作為重要的研討議題頻繁出現,已成為工控系統相關的各行業以及信息安全領域的研究機構、廠商所關注的熱點方向之一。同時,國家在政策訂、技術標準研制、科研基金支持、促進行業內合作等方面也在逐步加大推動的力度。
目前我國工業控制系統相關的安全標準正在制訂過程中,電力、石化、制造、市政等重要行業的用戶,已在國家主管部門的指導下進行安全檢查、整改;強調人員管理和制度流程的規范性、系統網絡的安全性以及系統操作的合規性。
但在這一過程中,仍需要針對工控系統的安全防護產品的支持。李鴻培強調道,這是因為:傳統的信息及網絡安全廠商以往對工控系統的安全關注不夠;同時工控系統廠商則更關注工控系統的功能實現及可用性保障,而沒有考慮來自信息網絡的攻擊威脅。信息安全廠商、工控系統廠商需要從各自擅長的領域著手,研究工控系統及通信協議的脆弱性和所面臨的安全威脅與攻擊手段,探索工控系統的防護措施。
而據李鴻培介紹,當前多數行業工控系統的安全防護能力也嚴重不足:人員安全意識不強,缺乏明確的安全管理制度及人員意識培訓;缺乏系統有效的安全防護體系規劃和安全風險評估機制;缺乏系統操作人員的角色定位、授權流程及操作規程;缺乏相應的操作行為審計機制;缺乏系統數據備份等。隨著兩化融合推進及工控系統的信息化程度的提高,工控系統的安全問題將更為突出。
傳統信息安全廠商面對工控系統安全仍存瓶頸
目前,針對工控系統安全的主要防護方式是采用安全域隔離及縱深防御的體系化安全防護方案,已有相關的廠商推出工控防火墻、安全隔離網關、工控審計系統等產品。
然而,因工控環境與IT系統差異較大,參與工控安全研究、服務或產品開發的人員也需具備工控系統知識、需能夠理解工控系統的業務邏輯,熟悉工控系統與各種工控設備。因此,對于傳統的信息安全廠商而言,面對工控系統的安全防護,也存在一定的瓶頸問題。
工控系統對傳統信息安全廠商來說是一個相對陌生的研究領域,傳統的安全廠商不能簡單的用IT安全解決方案的思路去應對工控安全問題,需要對被保護對象(工控系統)及其所面臨的威脅,有深入的研究和理解。因工控系統的多樣性,僅憑一己之力,難以接觸到工控環境中的各種系統、設備和協議,也難以做好工控安全。李鴻培說道。
同樣,工控系統廠商和用戶也面臨著信息系統攻防能力及經驗不足的問題。所以,作為一個新的、戰略性的安全領域,工業控制系統安全需要國家、行業主管部門、工業控制系統的企業(用戶)、工業控制系統提供商、信息安全提供商等跨領域、跨行業的多方位的合作。