相关背景
伴随着互联网信息技术、工业自动化技术的革命性突破和全球经济一体化的发展,工业互联网应运而生,并迅速成为热门技术,成为国际工业界不断研究和持续探索的热点课题。经过近几年的发展,工业互联网的推广普及为工业经济发展提供了更多的内驱力。为更好地激发工业互联网的技术潜能,引领工业互联网技术实现技术应用开发,国际上2014年成立了工业互联网联盟(IIC),致力于分享综合利用互联网实现机械设备智能化应用的改革创新。我国2016年也成立了工业互联网产业联盟,显示了我国的工业互联网发展的决心和巨大前景。
工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。
其中,网络体系是实现连接全工业系统、全价值链、全产业链的基础,包括网络互连、标识解析、应用支撑三大体系。数据包括“采集交换-集成处理-建模分析-决策与控制”,形成优化闭环,驱动工业智能化。安全是工业/产业互联网各个领域和环境的安全保障,包括设备安全、控制安全、网络安全、应用安全和数据安全等。为加速提升工业互联网的应用质量与效果,为我国的经济结构调整、动能转换贡献力量,全面推进“中国制造2025”和“互联网+”行动计划,有必要围绕国家网络安全法和网络安全等级保护制度加强对中央企业工业互联网信息安全领域解决方案的研究。
中央企业工业互联网安全分析
随着工业互联网的发展和新技术的应用,中央企业的工业网络从生产设备、控制系统、网络架构、业务应用、数据传输等多个层面都发生了巨大的变化。在在新的变化下如何应对安全风险成为了一个至关重要又迫在眉睫的问题。
(一)工业互联网脆弱性分析
操作系统漏洞
PC+Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中,上位机/操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。操作系统漏洞频繁出现,安全事故时有发生。以Windows XP版本为例,就曾被发现了大量漏洞,典型的如输入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ缓冲区溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。这些漏洞大部分危害巨大,恶意代码通过这些漏洞,可以获得Windows XP操作站的完全控制权,甚至为所欲为。
工业控制系统漏洞
由于早期的工业控制系统都是在相对独立的网络环境下运行,在产品设计和网络部署时,只考虑了功能性和稳定性,对安全性考虑不足。随着工业控制系统网络之间互联互通的不断推进,以及工控控制系统和工业设备接入互联网的数量越来越多,通过互联网对工业控制系统实施攻击的可能性越来越高,而每年新发现的SCADA、DCS、PLC漏洞数量也不断增加,这些都为工业互联网带来巨大的安全隐患。
从2011年以后工业控制系统的各种漏洞每年都在高速的增加,这些漏洞将会成为攻击工业控制网络的一种主要途径,通过这些漏洞攻击可以完成获取系统权限、修改工程数据和控制流程、非法关闭现场设备等操作,造成重大的生产事故和经济损失。
工业控制网络漏洞
工业控制网络的设备分布于厂区各处,甚至是野外,由于网络基础设施的局限性,经常需要无线网络、卫星、GPRS/CDMA等通用传输手段来实现与调度中心的连接和数据交换。这些传输手段没有足够的安全保护和加密措施,很容易出现网络窃听、数据劫持、第三人攻击等安全问题,而且攻击者还可以利用不安全传输方式作为攻击工业控制网络的入口,实现对于整个工业控制网络的渗透和控制。
云平台安全问题
在云平台中,作为底层支撑技术的虚拟化技术在带来效率提升和开销降低的同时,也带来了一系列由于物理的共享与逻辑隔离的冲突而导致的数据安全问题。在公有云环境下,不同机构之间物理隔离的网络被由网络虚拟化技术构建的虚拟网络取代。这种网络资源复用模式虽然实现了网络资源的高效利用、网络流量的集中分发,但也带来了诸多安全问题。
(二)工业互联网安全威胁分析
来自外部网络的渗透
工业互联网会有较多的开放服务,攻击者可以通过扫描发现开放服务,并利用开放服务中的漏洞和缺陷登录到网络服务器获取企业关键资料,同进还可以利用办公网络作为跳板,逐步渗透到控制网络中。通过对于办公网络和控制网络一系列的渗透和攻击,最终获取企业重要的生产资料、关键配方,严重的是随意更改控制仪表的开关状态,恶意修改其控制量,造成重大的生产事故。
帐号口令破解
由于企业有对外开放的应用系统(如邮件系统),在登录开放应用系统的时候需要进行身份认证,攻击都通过弱口令扫描、Sniffer密码嗅探、暴力破解、信任人打探套取或社工比较合成口令等手段来获取用户的口令,这样直接获得系统或应用权限。获取了用户权限就可以调取相关资料,恶意更改相关控制设施。
利用移动介质攻击
当带有恶意程序的移动介质连接到工程师站或操作员站时,移动介质病毒会利用移动介质自运行功能,自动启动对控制设备进行恶意攻击或恶意指令下置。一方面造成网络病毒在企业各个网络层面自动传播和感染,靠成业务系统和控制系统性能的下降,从而影响企业监测、统筹、决策能力。另一方面会针对特定控制系统或设备进行恶意更改其实际控制量,造成生成事故。
PLC程序病毒的威胁
通过对工程师站及编程服务器的控制,感染(替换)其相关程序,当PLC程序的下发时,恶意程序一起被下发到PLC控制设备上。恶意程序一方面篡改PLC的实际控制流,另一方面将运算好的虚假数据发给PLC的输出,防止报警。通过这种方式造成现场设备的压力、温度、液位失控,但监测系统不能及时发现,造成重大的安全事故。
利用工业通信协议的缺陷
Modbus、DNP3、OPC等传统工业协议缺乏身份认证、授权以及加密等安全机制,利用中间人攻击捕获和篡改数据,给设备下达恶意指令,影响生产调度,造成生产失控。
利用无线网络入侵
控制网络通过DTU无线设备通过802.11b协议连接到管理区的网络,通过对网络无线信息的收集,侦测WEP安全协议漏洞,破解无线存取设备与客户之间的通讯,分析出接入密码,从而成功接入控制网络,控制现场设备,获取机要信息,更改控制系统及设备的控制状态,造成重大影响。
中央企业工业互联网安全解决方案建议
工业互联网实现了设备、工厂、人、产品的全方位连接,因此工业互联网安全建设必须从综合安全防护体系的视角对其进行统筹规划。从工业互联网的整体架构来看,应该在各个层面实施相应的安全防护措施,并通过入侵检测、边界防护、协议分析、行为分析、安全审计、容灾备份、态势感知等各种安全技术与安全管理相结合的方式实现工业互联网的安全防护,形成对工业互联网安全的“监测、报警、处置、溯源、恢复、检查”工作闭环。
(一)智能工厂工控安全防护建议
中央企业工业互联网架构中位于底层的是生产企业的智能制造工厂,基于现场数据采集的数据通信需求、网络拓扑结构、安全性要求等因素,建议如下:
在过程控制层和现场控制层之间部署工业防火墙,对网络之间的数据访问进行访问控制;
在过程控制层部署安全配置核查系统,对工控设备、安全设备、网络设备的安全配置进行检查;在过程控制层部署日志审计系统,全年采集和分析设备日志;
在现场控制层部署工控网络安全监测与审计系统,全面监测异常操作和违规行为;
在现场控制层部署运维堡垒机、实现设备运维操作的全面审计和行为管控;
在现场控制层操作员站部署终端安全卫士,实现终端安全保护。
(二)工业互联网平台安全防护建议
由于工业互联网云平台使用的是虚拟化技术,导致许多传统的安全防护机制无法直接应用于云计算平台。例如传统防火墙无法对云平台虚拟机间的通信进行访问。为实现工业云平台业务和服务的安全交付,用户访问的安全隔离和控制,对DDoS等恶意攻击、病毒蠕虫、恶意代码和钓鱼网站等安全威胁的防护,建议使用云安全管理平台、旁路安全资源池、安全虚拟机等措施。
安全虚拟机是指宿主机中的安全虚拟机,与VSwitch对接,将宿主机中其他虚拟机的流量形成镜像,并完成流量的初步整形。同时,将流量镜像文件传递至旁路检测资源池。以及云安全管理平台。云安全管理平台的作用是下发流量导流策略到安全虚拟机,完成旁路检测导流,收集安全态势信息(流量、连接数、协议、IP等)。旁路安全资源池即物理或者虚拟化的安全检测或者审计设备,由安全虚拟机将流量导流至资源池内进行检测与审计。
(三)建设工业互联网安全态势感知平台的建议
工业互联网安全态势感知平台用来全面感知工业互联网安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。
工业互联网安全态势感知系统应该具备网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应;能够建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平。实现工业互联网安全“监测、分析、预测、防御”的安全功能。
(四)建设工业互联网安全综合管理平台的建议
工业互联网安全综合管理平台是中央企业用于对信息系统等级保护、网络安全检查、网络与信息安全信息通报,应急管理等进行工作部署、工作过程监控及工作结果统计分析的一套网络安全管理平台,是央企工业互联网安全保护工作的重要管理支撑平台。
安全综合管理平台应该能够实现在满足国家安全监管部门的要求下,实现对工业互联网安全保护工作的部署、执行、反馈的规范化、流程化,以及集中管理和应用工业互联网安全管理工作中的信息与数据。
安全综合管理平台应能够落实中央企业等级保护工作要求,实现企业信息系统的定级、备案、系统整改、等级测评等工作的全过程管理与指导,并实现工业互联网平台与工业控制系统的安全检查与评估,能够帮助企业进行“等保”自评估。平台能够实现央企和国家安全监管部门之间的安全通报下发、接收、上报的全过程管理,同时为企业提供应急演练预案、应急演练记录、应急预案、应急处置等应急工作信息的采集。