本期導(dǎo)讀:
伊朗*爾核電站開車之際為何1/5的離心機(jī)報(bào)廢?
烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?
你的工控系統(tǒng)是在“裸奔”嗎?拿什么手段防御入侵?
引言
5月12日,一個(gè)名為WNCRYPT“永恒之藍(lán)”的勒索病毒悄然爆發(fā),并在短短時(shí)間內(nèi)迅速感染了超過150個(gè)國家和地區(qū)的計(jì)算機(jī)系統(tǒng),此次在范圍內(nèi)爆發(fā)的WNCRYPT“永恒之藍(lán)”勒索病毒事件不僅感染了醫(yī)療系統(tǒng)、快遞公司、學(xué)校、銀行、jingcha局等,還感染了很多大型石油石化公司。
隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速,計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)越來越多地應(yīng)用于工業(yè)控制系統(tǒng),為工業(yè)生成帶來極大推動(dòng)的同時(shí),也帶來了工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))安全性的問題。據(jù)機(jī)構(gòu)統(tǒng)計(jì),截至2017年底,發(fā)生了1000余起針對工控系統(tǒng)的攻擊事件。工控系統(tǒng)是現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的核心,包括過程控制、數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)、程序邏輯控制以及其他控制系統(tǒng)等,廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域,是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。而工業(yè)控制系統(tǒng)的安全,更關(guān)系到國家的戰(zhàn)略安全。
如何保證工業(yè)控制系統(tǒng)的安全,已引起國家相關(guān)部門的高度重視,企業(yè)應(yīng)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。
世界兩大工業(yè)控制系統(tǒng)(ICS)事件回顧!
事件一:世界ICS入侵*事件伊朗“震網(wǎng)”病毒事件
2011年2月,伊朗突然宣布暫時(shí)卸載首座核電站——*爾核電站的核燃料,西方國家也悄悄對伊朗核計(jì)劃進(jìn)展預(yù)測進(jìn)行了重大修改。但就在幾個(gè)月前,美國和以色列還在警告,伊朗只需一年就能擁有快速制造hewuqi的能力。為什么會(huì)突然出現(xiàn)如此重大變化?因?yàn)?爾核電站遭到“震網(wǎng)”病毒攻擊,1/5的離心機(jī)報(bào)廢。自2010年8月該核電站啟用后就發(fā)生連串故障,伊朗政府表面聲稱是天熱所致,但真正原因卻是核電站遭病毒攻擊。一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒,侵入了伊朗工廠企業(yè)甚至進(jìn)入西門子為核電站設(shè)計(jì)的工業(yè)控制軟件,并可奪取對一系列核心生產(chǎn)設(shè)備尤其是核電設(shè)備的關(guān)鍵控制權(quán)。
“震網(wǎng)”包含復(fù)雜的惡意代碼,是一種典型的計(jì)算機(jī)病毒,能自我復(fù)制,并將副本通過網(wǎng)絡(luò)傳輸,任何一臺(tái)個(gè)人電腦只要和染毒電腦相連,自動(dòng)傳播給其他與之相連的電腦,Z后造成大量網(wǎng)絡(luò)流量的連鎖效應(yīng),導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。“震網(wǎng)”主要通過U盤和局域網(wǎng)進(jìn)行傳播,是*個(gè)利用Windows“零日漏洞”,專門針對工業(yè)控制系統(tǒng)發(fā)動(dòng)攻擊的惡意軟件,能夠攻擊石油運(yùn)輸管道、發(fā)電廠、大型通信設(shè)施、機(jī)場等多種工業(yè)和民用基礎(chǔ)設(shè)施,被稱為“網(wǎng)絡(luò)daodan”。
“震網(wǎng)”無須通過互聯(lián)網(wǎng)便可傳播,只要目標(biāo)計(jì)算機(jī)使用微軟系統(tǒng),“震網(wǎng)”便會(huì)偽裝RealTek與JMicron兩大公司的數(shù)字簽名,順利繞過安全檢測,自動(dòng)找尋及攻擊工業(yè)控制系統(tǒng)軟件,以控制設(shè)施冷卻系統(tǒng)或渦輪機(jī)運(yùn)作,甚至讓設(shè)備失控自毀,而工作人員卻毫不知情。由此,“震網(wǎng)”成為*個(gè)專門攻擊物理世界基礎(chǔ)設(shè)施的蠕蟲病毒??梢哉f,“震網(wǎng)”也是有史以來Z的蠕蟲病毒,是*超級(jí)網(wǎng)絡(luò)武器
事件二:烏克蘭電網(wǎng)攻擊事件
2015年12月23號(hào)下午3:30,烏克蘭西部伊萬諾-弗蘭科夫斯克地區(qū)的居民們結(jié)束了一天的工作,陸續(xù)走向通往溫暖家中的寒冷街道。而在負(fù)責(zé)當(dāng)?shù)仉娏?yīng)的Prykarpattyaoblenergo控制中心,運(yùn)維人員也即將完成自己的當(dāng)次輪班。但就在這一切順利推進(jìn)的同時(shí),平靜被打破了,一 位當(dāng)值人員在整理桌上文件時(shí),突然發(fā)現(xiàn)自己的計(jì)算機(jī)屏幕上的光標(biāo)開始四處游移。
他看到光標(biāo)指向負(fù)責(zé)當(dāng)?shù)刈冸娬緮嗦菲鞯膶?dǎo)航按鈕,點(diǎn)擊對話框并選擇斷開斷路器——這項(xiàng)操作將使得整座變電站全面下線。接下來,屏幕上出現(xiàn)了確認(rèn)窗口以復(fù)核上述操作,這位運(yùn)維人員目瞪口呆地看著光標(biāo)移動(dòng)到框體之內(nèi)并點(diǎn)擊了確定。這時(shí)他已經(jīng)可以肯定,城外的某處區(qū)域內(nèi)數(shù)以千計(jì)的居民將因此陷入黑暗與寒冷當(dāng)中。
這位運(yùn)維人員立刻抓起鼠標(biāo),試圖奪回對光標(biāo)的控制權(quán)——但他的反應(yīng)似乎還是慢了一點(diǎn)。光標(biāo)隨后朝著另一個(gè)斷路器控制按鈕移動(dòng),而設(shè)備亦突然將他從控制面板中登出。雖然他反復(fù)嘗試重復(fù)登錄,但攻擊者變更了他的密碼內(nèi)容,使其無法順利完成驗(yàn)證。這時(shí)候,他能做的只有無奈地盯著屏幕,眼睜睜地看著設(shè)備中的惡意幽靈斷開一個(gè)又一個(gè)斷路器,Z終導(dǎo)致約30座變電站下線。然而攻擊者并沒有就這樣停下腳步。此次攻擊還影響到另外兩座配電中心,這意味著遭遇下線的變電站數(shù)量幾乎翻了一倍,使得超過23萬名居民陷入無電可用的困境。不僅如此,其亦無法從總計(jì)三座電力供應(yīng)中心的兩座處獲取備用電力,這意味著運(yùn)維人員自身也被停電引發(fā)的黑暗所籠罩。
作為有史以來*得到確認(rèn)的電力設(shè)施攻擊行動(dòng),此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網(wǎng)絡(luò)并發(fā)動(dòng)功能測試攻擊的機(jī)會(huì)主義者;根據(jù)相關(guān)廣泛調(diào)查得出的結(jié)論,這群惡意人士擁有高超的技術(shù)水平及藏身策略。他們已經(jīng)拿出幾個(gè)月時(shí)間對攻擊細(xì)節(jié)進(jìn)行精心策劃,包括首先偵察并研究網(wǎng)絡(luò)條件、獲取運(yùn)維人員登錄憑證,而后發(fā)動(dòng)這次嚴(yán)密編排下的同步攻擊活動(dòng)。
無論如何,此次攻擊成功影響到了烏克蘭的發(fā)電設(shè)施,并給各國的諸多配電中心帶來值得借鑒的重要啟示,無論停電事故的真正意圖是什么,這都是有史以來*次針對電力網(wǎng)絡(luò)開展的攻擊行為。
當(dāng)運(yùn)維人員當(dāng)時(shí)可能根本不知道屏幕上四處亂動(dòng)的光標(biāo)究竟意味著什么,但如今*的運(yùn)維人員都得到了一項(xiàng)明確的警告——目前這種攻擊持續(xù)時(shí)間不長且危害并不嚴(yán)重,但下一次可就不一定了。
你的工控系統(tǒng)不是在“裸奔”,作為儀表人你拿什么阻擋?
什么是工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(ICS)是由各種自動(dòng)化控制組件以及對實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件,共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括SCADA、DCS、PLC、RTU、IED以及接口技術(shù)等。
目前ICS主要面臨以下風(fēng)險(xiǎn)
ICS風(fēng)險(xiǎn)的主要根源
漏洞隱蔽性和嚴(yán)重性;
采用的硬件、軟件和通信協(xié)議。
安全重視不夠、連接無序、數(shù)據(jù)保護(hù)和應(yīng)急管理不足;設(shè)計(jì)上考慮到封閉性、主要以傳統(tǒng)安全為主。
默認(rèn)配置、連接、組網(wǎng)、采購升級(jí)無序;主要基于工業(yè)應(yīng)用的場景和執(zhí)行效率。
工控平臺(tái)的脆弱性
平臺(tái)本身的安全漏洞問題;
殺毒軟件安裝及升級(jí)更新問題;
大量默認(rèn)配置和默認(rèn)口令;
平臺(tái)和通用平臺(tái)漏洞。
工控網(wǎng)絡(luò)的脆弱性
TCP/IP等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng),特別是物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù),使得理論上的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行。傳統(tǒng)的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。
邊界安全策略缺失;
系統(tǒng)安全防御機(jī)制缺失;
管理制度缺失或不完善;
網(wǎng)絡(luò)配置規(guī)范缺失;
監(jiān)控與應(yīng)急響應(yīng)機(jī)制缺失;
網(wǎng)絡(luò)通信(無線接入+撥號(hào)網(wǎng)絡(luò))保障機(jī)制缺失;
基礎(chǔ)設(shè)施可用性保障機(jī)制缺失。
安全管理、標(biāo)準(zhǔn)和人才的脆弱性
缺乏完整有效安全管理、標(biāo)準(zhǔn)和資金投入是當(dāng)前我國工業(yè)控制系統(tǒng)的難題之一。其次,過多的強(qiáng)調(diào)網(wǎng)絡(luò)邊界的防護(hù)、內(nèi)部環(huán)境的封閉,讓內(nèi)部安全管理變得混亂。另外,既了解工控系統(tǒng)原理和業(yè)務(wù)操作又懂信息安全的人才少之又少,為混亂的工控安全管理埋下了伏筆。Z后,內(nèi)網(wǎng)審計(jì)、監(jiān)控、準(zhǔn)入、認(rèn)證、終端管理等缺失也是造成工控系統(tǒng)安全威脅的重要原因。如:使用U盤、光盤導(dǎo)致的病毒傳播、筆記本電腦的隨意接入與撥號(hào)、ICS缺少監(jiān)控和審計(jì)等問題。
工業(yè)控制系統(tǒng)信息安全規(guī)范
2016年12月27日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》
2016年10月17日,工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》
2016年10月13日,《GB/T 33009 工業(yè)自動(dòng)化儀表和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS)》發(fā)布
美國《工業(yè)控制系統(tǒng)安全指南》也對ICS系統(tǒng)安全防護(hù)作出了指導(dǎo)意見。
如何做好工控安全防護(hù)工作
一、安全軟件選擇與管理
(一)在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗(yàn)證測試的防病毒軟件或應(yīng)用程序白名單軟件,只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。
(二)建立防病毒和惡意軟件入侵管理機(jī)制,對工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。
二、配置和補(bǔ)丁管理
(一)做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置,建立工業(yè)控制系統(tǒng)配置清單,定期進(jìn)行配置審計(jì)。
(二)對重大配置變更制定變更計(jì)劃并進(jìn)行影響分析,配置變更實(shí)施前進(jìn)行嚴(yán)格安全測試。
(三)密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布,及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前,需對補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測試驗(yàn)證。
三、 邊界安全防護(hù)
(一)分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。
(二)通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù),禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
(三)通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。
四、物理和環(huán)境安全防護(hù)
(一)對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。
(二)拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用,通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。
五、身份認(rèn)證
(一)在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺(tái)訪問等過程中使用身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪問采用多因素認(rèn)證。
(二)合理分類設(shè)置賬戶權(quán)限,以Z小特權(quán)原則分配賬戶權(quán)限。
(三)強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼,避免使用默認(rèn)口令或弱口令,定期更新口令。
(四)加強(qiáng)對身份認(rèn)證證書信息保護(hù)力度,禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。
六、遠(yuǎn)程訪問安全
(一)原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、net等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。
(二)確需遠(yuǎn)程訪問的,采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固,對訪問時(shí)限進(jìn)行控制,并采用加標(biāo)鎖定策略。
(三)確需遠(yuǎn)程維護(hù)的,采用虛擬網(wǎng)絡(luò)(VPN)等遠(yuǎn)程接入方式進(jìn)行。
(四)保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志,并對操作過程進(jìn)行安全審計(jì)。
七、安全監(jiān)測和應(yīng)急預(yù)案演練
(一)在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備,及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。
(二)在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備,限制違法操作。
(三)制定工控安全事件應(yīng)急響應(yīng)預(yù)案,當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?;蚬收蠒r(shí),應(yīng)立即采取緊急防護(hù)措施,防止事態(tài)擴(kuò)大,并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門,同時(shí)注意保護(hù)現(xiàn)場,以便進(jìn)行調(diào)查取證。
(四)定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練,必要時(shí)對應(yīng)急響應(yīng)預(yù)案進(jìn)行修
訂。
八、資產(chǎn)安全
(一)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單,明確資產(chǎn)責(zé)任人,以及資產(chǎn)使用及處置規(guī)則。
(二)對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。
九、數(shù)據(jù)安全
(一)對靜態(tài)存儲(chǔ)和動(dòng)態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù),根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對數(shù)據(jù)信息進(jìn)行分級(jí)分類管理。
(二)定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。
(三)對測試數(shù)據(jù)進(jìn)行保護(hù)。
十、供應(yīng)鏈管理
(一)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估等服務(wù)商時(shí),優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的企事業(yè)單位,以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。
(二)以保密協(xié)議的方式要求服務(wù)商做好保密工作,防范敏感信息外泄。
十一、落實(shí)責(zé)任
通過建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式,明確工控安全管理責(zé)任人,落實(shí)工控安全責(zé)任制,部署工控安全防護(hù)措施。
結(jié)束語
工控系統(tǒng)安全是關(guān)系國計(jì)民生的重大戰(zhàn)略問題,在當(dāng)前新形勢下,如何對工控系統(tǒng)進(jìn)行防護(hù),防止來自內(nèi)部、外部的安全威脅和惡意攻擊,是信息安全領(lǐng)域面臨的重大挑戰(zhàn),我們儀表人首先要解決好安全認(rèn)識(shí)問題,這一點(diǎn)是工控安全的難點(diǎn)和重點(diǎn)問題,其次在夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)方面,“做好等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作,完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機(jī)制”。
多欽儀表(上海)有限公司專業(yè)提供:生活污水流量計(jì),循環(huán)水流量計(jì),外夾式流量計(jì)
地址:上海市嘉定區(qū)安亭新源路155號(hào) 傳真:86-021-33250306 技術(shù)支持:儀表網(wǎng) 管理登陸 備案號(hào):滬ICP備15003805號(hào)-1 GoogleSitemap
多欽儀表(上海)有限公司 版權(quán)所有 © 2018.