工业控制系统

截至 2017 年，工控控制网络的安全防护主要以边界防护为主。早期的工控网络系统安全技术多基于已有的 IT防火墙产品实现基础的访问控制；同时常用的还有网闸，用来实现生产控制系统与信息系统之间的隔离。工控防火墙和工业网闸是在上述基础上针对工业环境进行的技术演进。传统防火墙以黑名单配置为主，容易因为黑名单拦截造成工业系统操作中断；而工控防火墙则主要采用白名单机制，通过对已知设备和已知协议的检查过滤，来防范非法操作和数据进入现场控制网络。工业网闸则是在 IT 网闸的基础上加强了现场测点单向传输的特性，使得在一定设置下网闸能够完全阻断数据写入，保护现场设备。
电力工控系统(电力监控系统)同一生产环境中的不同区域之间采用单项隔离装置来实现不同区域之间的隔离，在于其他生产环境之间联系的数据通道上仍然是采用了传统的 IT 防火墙进行隔离，通过策略限制 IP 通信和限制传输传输端口，同时依赖于数据通道的加密措施和相关前置机本身具有的数据处理和查询机制的安全保障来提升系统的安全性。石油和石化领域中部分生产企业已经使用了工控防火墙做生产系统与信息系统之间的隔离，部分企业采用了工业防火墙做同一生产区域的不同安全区域之间的安全隔离；部分钢铁和关键制造业中也采用了工控防火墙做相关区域的隔离，但是还没有形成一定的规模效应。
单纯的边界安全防护技术已经不能够解决工业控制系统所面临的安全问题，相关的防护技术已经向纵深防护的方向发展，从工业控制系统的安全生命周期的角度来考虑工业控制系统的安全。从漏洞的挖掘→漏洞检测→工控审计→工业蜜罐(蜜罐场)→未知威胁检测→态势感知综合预警的方向发展，以及综合应用相关技术来提升工业控制系统所面临的安全威胁。
木链总体服务框架

针对不同深度的客户需求，木链科技提供的工控安全服务主要分为安全咨询、风险评估、攻防演练、安全规划、审计监测、隔离防护、持续运维七大板块，其中安全咨询、风险评估、攻防演练、安全规划偏重于系统研究和评估，审计监测、隔离防护和持续运维则偏重于项目实施运维。
工控安全解决思路（以火电系统为例）
从电力行业对工控安全需求看，电力企业主要是以合规性建设为主，在 2004 年原电监会 5号令颁布开始，大部分的电厂控制系统安全建设已经按照 5号令的要求进行了整改，形成“安全分区、网络专用、横向隔离、纵向加密”的防护体系。从整体电力行业工控系统防护情况看，电网整体的防护水平要优于发电侧，而且从发电企业情况看，发电企业相对比较分散，造成在发电控制系统安全建设水平方面存在较大差异性。
火电控制系统的逻辑架构

发电控制系统从业务功能范围来说，主要分为主控系统、辅控系统和网控系统。主控系统完成对锅炉、汽机的控制，辅控系统主要完成化水处理、除尘、输煤的处理。主控系统主要采用 DCS，辅控系统主要采用 PLC 进行控制，网控系统主要负责电厂电气运行情况的监控，通过远动装置接受电网的指令，通过 AGC 和 AVC 下发到发电机，来实现功率增减和励磁的调整，同时为升压站的运行提供控制。
从逻辑上来说，系统中主要承载几种类型的信息：控制信息(操作员站下达要求智能设备执行相关动作的指令)，数据信息(遥测、遥信)，配置信息(获取相关 I/O 卡件状态的信息)，组态信息(系统中相关业务逻辑变更的信息)。主控主要通过 DPU 完成对相关被控设备的控制，辅控主要通过与 PLC 的通信实现整个控制流程的过程，如上图 4 所示。

网控系统(NCS)主要实现对升压站的监控和实现与 DCS 采集信息的传输(主要实现 AGC 和 AVC)。网控系统主要分为站控层、间隔层和过程层。
主要控制系统之间的逻辑关系
DCS 和辅控系统之间可以通过网络或者硬接线连接，辅控向主控提供相关数参数。NCS 与主控之间实现双向通信，NCS 可以通过主控的 AGV 和 AVC 来控制发电机组的出力。NCS 向 DCS 提供相关的数据，DCS 向 NCS 提供相关的数据。相关控制系统的数据通过 OPC，通过隔离装置摆渡到镜像服务器，SIS 系统通过读取镜像服务器信息来进行相关生产流程优化处理和生产系统的环境的运行情况展示。
发电控制系统面临的安全威胁工业控制协议漏洞易被用
与通用 IT 信息系统安全需求不同，工业控制系统设计需要兼顾应用场景与控制管理等多方面因素，从而优先保证系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的工业安全防御和数据通信保密措施是很多工业系统所面临的通病。专用工控协议在设计时通常只考虑通信的实时性、可用性，对安全性的考虑普遍欠缺，缺少足够强度的认证、加密、授权等等。
缺乏有效的安全策略部署
工业控制系统与信息系统之间缺乏有效的隔离措施。即使采用了隔离装置等隔离措施，也存在安全策略设置不当的问题，造成信息系统的威胁可以轻易进入到工控系统中。同时在边界处缺乏有效的威胁检测手段，外部的威胁也容易进入到系统中。现有的安全设备缺乏相关的工控识别能力，对于工控报文缺乏有效的解析，在部署的环境中极容易因为误报引起生产系统的生产中断。
严重漏洞的处理滞后
当前主流的工业控制系统普遍存在安全漏洞，且多为能够造成远程攻击、越权执行的严重威胁类漏洞；而且近年漏洞的数量呈快速增长的趋势。工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题，又造成工业控制系统的补丁管理困难，难以及时处理威胁严重的漏洞。
内部权限管理欠佳
操作管理人员的技术水平和安全意识差别较大，容易发生越权访问、违规操作，给生产系统埋下安全隐患。工业控制系统相对封闭的环境，也使得来自系统内部人员在应用系统层面的误操作、违规操作或故意破坏成为工业控制系统所面临的主要安全风险。因此，对生产网络的访问行为、特定控制协议内容和数据库数据的真实性、完整性进行监控、管理与审计是非常必要的。但电厂现实环境中缺乏针对工业控制系统的安全日志审计及配置变更管理。这是因为部分工业控制系统可能不具备审计功能或者虽有日志审计功能，但系统的性能要求决定了它不能开启审计功能所造成的。
移动介质缺乏管控
工业生产环境中存在备份导出生产数据的需求，移动介质是一种比较好的满足生产环境数据备份的介质。但是在介质的使用在管理方面普遍存在安全隐患，文件拷贝的介质无法做到专盘专用，可采取的安全措施只限于使用杀毒软件对全盘进行扫描。而杀毒软件是针对已知病毒的查杀，并且主要针对传统的信息系统，而对于未知病毒的检测和工控特定病毒的检测基本上无能为力。从过去的安全事件看，移动介质是一个传播恶意代码到工控环境的重要手段。
无法应对新型 APT 攻击
APT(高级可持续性威胁)的攻击目标更为明确，攻击时会利用最新的 0-day 漏洞，会与业务的过程进行高度贴合，攻击过程强调技术的精心组合与攻击者之间的协同。一旦进入到目标系统后，为了达到有效的攻击，会持续寻找攻击的宿主目标，而且攻击过程缓慢，对潜在系统的影响具有渐进、持续、不易被发现的特性。
现有的工控防护技术手段很难有效地发现 APT 攻击。在工业现场普遍缺乏防护手段和现有工业控制系统安全防护产品不够成熟的情况下，需要把业务的运行过程与相应的防护手段结合起来，运用综合的防护手段(包含技术、管理和人员)，降低由于 APT 攻击给工业控制系统带来的安全隐患。
规章制度和安全意识缺乏
电厂针对生产业务制定了相应的管理制度、管理流程，但未制订完善的工业控制系统安全政策、管理制度和操作规程，未形成全面的信息安全管理制度体系，由此给工业控制系统信息
安全管理工作带来极大的隐患。
安全防护的原则
在方案构建时，充分参考遵循发改委 14 号令和能源局 36 号文的要求，以安全审计作为主要的安全防护方向，以管理制度和明确人员职能为主的安全管理方向，考虑符合电厂工业控制系统生命周期的安全防护要求。逐步完善发电厂的工控安全防护措施，逐步实现安全技术能力、安全管理能力的同步提升。
安全防护的思路合规性设
依据发改委 14 号令和能源局 36 号文要求，建议从物理安全、网络安全、主机安全、应用和数据安全等维度进行电厂的安全防护。物理安全策略的目的是电力监控系统等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击 ; 验证用户的身份和使用权限、防止用户越权操作 ; 确保电力监控系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入电力监控系统相关区域和各种偷窃、破坏活动的发生。网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。电力监控系统的网络安全主要是指网络信息信息的完整性、保密性和可用性。主机安全其核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是保证主机在数据存储和处理的保密性、完整性，可用性，它包括硬件、固件、系统软件的自身安全，以及一系列附加的安全技术和安全管理措施，从而建立一个完整的电力监控系统主机安全保护环境。电力监控系统主机包括各种服务器、操作员站等各种以计算机为主体的设备。应用安全，顾名思义就是保障应用程序使用过程和结果的安全，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃隐患，通过其他安全工具或策略来消除。数据安全，包括数据自身安全、数据防护安全、数据处理安全和数据存储安全等方面。
安全能力加强

主机层安全

该层的安全问题来自网络运行的操作系统：UNIX 系列、Linux 系列、Windows 系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。
主要检查内容包括：
操作系统(包括 Windows、Linux、UX、Solaris 等) 的系统补丁、漏洞、病毒等各类异常缺陷；
空/弱口令系统帐户检测，例如:身份认证:通过 telnet 进行口令猜测；
访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名 FTP 登录，
ftp 服务器存在匿名可写目录；
系统漏洞：System V 系统 Login 远程缓冲区溢出漏洞，Microsoft Windows Locator 服务远程缓冲区溢出漏洞；
安全配置问题：部分 SMB 用户存在薄弱口令，试图使用 rsh 登录进入远程系统；
专用设备的安全隐患：如 PLC 采用 VXWORDS 系统，存在远程调用 WDB 漏洞。
网络层安全
该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。主要检查内容包括：
版本漏洞，包括但不限于设备操作系统存在的漏洞，涉及设备包括实验室所有在线网络设备及安全设备，并实施加固；
开放服务，包括但不限于路由器开放的 Web 管理界面、其他管理方式等，并实施加固；
空弱口令，例如空/弱 telnet 口令、snmp 口令等，并实施加固；
网络资源的访问控制：检测到无线访问点；
路由器：Web 配置接口安全认证可被绕过，交换机/路由器缺省口令漏洞，网络设备没有设置口令。
应用层安全
该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、 Web 服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。主要检查内容包括：
应用程序(包括但不限于数据库 Oracle、DB2、MS SQL，Web 服务，如 Apache、WebSphere、 Tomcat、IIS 等，其他 SSH、FTP 等)缺失补丁或版本漏洞检测; 组态软件存在安全漏洞。空弱口令应用帐户检测；
数据库软件：Oracle tnslsnr 没有设置口令，Microsoft SQL Server 2000 Resolution 服务多个安全漏洞；
Web 服务器：Apache Mod_SSL/Apache-SSL 远程缓冲区溢出漏洞，Microsoft IIS 5.0 .printer ISAPI 远程缓冲区溢出，Sun ONE/iPlanet Web 服务程序分块编码传输漏洞；防火墙及应用网管系统：Axent Raptor 防火墙拒绝服务漏洞；其它网络服务系统：Wingate POP3 USER 命令远程溢出漏洞，Linux 系统 LPRng 远程格式化串漏洞。
异常行为检测
发电企业工业控制统是一个通过以太网或者总线形式连接的小型的局域网，网络相对来说较为封闭，厂站端与调度主站之间通信、DCS 不同 DPU 信息之间多采用专用的通信协议，但是，上位机软件与 DCS 通信多采用通用的 OPC 或者 MODBUS 进行通信，为了确保上位机与下位机的 DPU 之间通信的可靠性，在系统校验存在异常时或者网络问题导致的通信不畅时，多采用多次重传的机制，另一方面相关上位机与 DPU 之间通信之间交互存在潜在的未声明的通信端口。而对于工业环境中的网络设备一般不会基于业务的通信过程的安全性来考虑网络的有效隔离，整个控制网络处于一个大的冲突域，在极端的通信环境中，有可能引起整个网络的广播风暴，引起网络通信阻塞，最终使得 DPU 之间通信无法进行有效的通信，导致发电机组的故障，影响电网的稳定。最近几年发生的发电侧的安全事件中已经出现了网络广播风暴所导致的通信终端异常，最终引起发电机组故障，影响到区域性电网的运行。对于主控系统内流量的监测、辅控系统内流量的监测、主控系统与辅控系统之间流量的监测和现场总线的流量进行监控，形成通信过程中的流量基线，对于流量过载情况及时进行预警。同时，可以对于系统内出现的非正常通信规约的流量进行有效的监控预警，避免由于上位机意外开启端口的通信行为，对网络流量带宽的消耗。另一方面，也可以通过网络异常流量的感知发现其中存在潜在的恶意行为提供分析参考依据。
基于行为的安全管控
工控系统中各个组件之间的通信要按照相关的操作规程要求来建立相关通信的通道，并且不同组件之间的通信行为和操作行为相对固定，如一个继电保护的开分闸操作只能在相关的操作规程要求下执行相应的动作，并且相应的动作可执行范围是规程要求的范围。如果在规程要求的范围之外操作，如执行定值修改的动作，如修改 PMU 的定值，完全可能引起电网中继电保护的连续跳闸甚至于引起越级跳闸的情况出现，甚至于引起电网的震荡。与规程结合的操作度量和构建一套基于行为的基线模型，在出现与规程操作不一致的操作时，系统应该可以对相关的高危操作进行告警，同时管控中心下发相关的管控指令到行为管控执行装置来阻断相关的高危操作，避免由于恶意操作所带来的生产安全事故。

了解更多干货文章，可以关注小程序八斗问答

猜你喜欢