工業(yè)控制網(wǎng)絡(luò)漏洞應(yīng)該如何進(jìn)行防護(hù)?
隨著工業(yè)化與信息化的融合推進(jìn),以及以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中的大量應(yīng)用,病毒和木馬對SCADA系統(tǒng)的攻擊事件頻發(fā),直接影響到公共基礎(chǔ)設(shè)施的安全,造成的損失不可估量。因此,目前國內(nèi)外生產(chǎn)企業(yè)都是否重視工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)。但由于工控網(wǎng)絡(luò)存在著特殊性,商用的信息安全技術(shù)無法完全適用,解決工業(yè)控制系統(tǒng)安全需要有針對性地實(shí)施特殊措施。
工業(yè)控制網(wǎng)絡(luò)的安全漏洞
對工控系統(tǒng)而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意代碼
病毒泛濫也是總所周知的安全隱患。在全球范圍內(nèi),每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā),而全球現(xiàn)已發(fā)現(xiàn)數(shù)萬種病毒,每天還會新生數(shù)十余種。除了傳統(tǒng)意義上的具有自我復(fù)制能力、但必須寄生在其它實(shí)用程序中的病毒種類外,各種新型的惡意代碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強(qiáng)的傳播能力和破壞性。如蠕蟲病毒和傳統(tǒng)病毒相比,其最大的不同在于可以進(jìn)行自我復(fù)制,傳統(tǒng)病毒的復(fù)制過程需要依賴人工干預(yù),而蠕蟲卻可以自己獨(dú)立完成,破壞性和生命力自然強(qiáng)大得多。
2、 SCADA系統(tǒng)軟件的漏洞
國家信息安全漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長近10倍,這些漏洞涉及西門子等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。
3、操作系統(tǒng)安全漏洞
PC與Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機(jī)/操作站的主流,而在控制網(wǎng)絡(luò)中,操作站是實(shí)現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點(diǎn),因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個短板。
4、網(wǎng)絡(luò)通信協(xié)議安全漏洞
隨著TCP/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用,網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。 TCP/IP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò),這一網(wǎng)絡(luò)是互相信任的,因此它原本只考慮互通互聯(lián)和資源共享的問題,并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當(dāng)其推廣到社會的應(yīng)用環(huán)境后,安全問題就發(fā)生了。所以說,TCP/IP在先天上就存在著致命的設(shè)計性安全漏洞。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程,也給工業(yè)控制系統(tǒng)信息安全帶來了一定威脅。
應(yīng)該采取的安全防護(hù)策略
工業(yè)控制系統(tǒng)的安全防護(hù)需要考慮每一個細(xì)節(jié)。從現(xiàn)場I/O設(shè)備、控制器,到操作站的計算機(jī)操作系統(tǒng),工業(yè)控制網(wǎng)絡(luò)中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò),考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同,防御策略和保障措施應(yīng)該按照等級進(jìn)行劃分,而實(shí)施分層次的縱深防御架構(gòu)需要分別采取不同的對應(yīng)手段,構(gòu)筑從整體到細(xì)節(jié)的立體防御體系。
首先,可實(shí)施網(wǎng)絡(luò)物理隔離。
根據(jù)公安部制定的《GA370-2001端設(shè)備隔離部件安全技術(shù)要求》的定義,物理隔離的含義是:公共網(wǎng)絡(luò)和專網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的,且沒有任何公用的存儲信息。物理隔離部件的安全功能應(yīng)保證被隔離的計算機(jī)資源不能被訪問(至少應(yīng)包括硬盤、軟盤和光盤),計算機(jī)數(shù)據(jù)不能被重用(至少應(yīng)包括內(nèi)存)。
信息安全是一個體系防護(hù)的概念,網(wǎng)絡(luò)物理隔離技術(shù)不可能解決所有信息安全問題,但能大大提高網(wǎng)絡(luò)的安全性和可控性,能徹底消除內(nèi)部網(wǎng)絡(luò)遭受外部網(wǎng)絡(luò)侵入和破壞的可能性,從而大大減少網(wǎng)絡(luò)中的不安全因素,縮小追蹤網(wǎng)絡(luò)中非法用戶和黑客的范圍。目前存在的安全問題,對網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在,這就是各國政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。
網(wǎng)絡(luò)隔離技術(shù)目前已經(jīng)發(fā)展到了第五代。第一代隔離技術(shù)實(shí)際上是將網(wǎng)絡(luò)進(jìn)行物理上的分開,形成信息孤島;第二代采用硬件卡隔離技術(shù);第三代采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù);第四代采用的是空氣開關(guān)隔離技術(shù);而第五代隔離技術(shù)采用了安全通道隔離技術(shù)。基于安全通道的最新隔離技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制,來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,不僅解決了以前隔離技術(shù)存在的問題,還能有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來,而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,透明支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
總的來說,網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是解決工業(yè)控制系統(tǒng)中的各種漏洞:操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等,網(wǎng)絡(luò)隔離也是目前唯一能解決上述問題的安全技術(shù)。
另外還可以構(gòu)建網(wǎng)絡(luò)防火墻。
網(wǎng)絡(luò)防火墻通過設(shè)置不同的安全規(guī)則來控制設(shè)備或系統(tǒng)之間的數(shù)據(jù)流,在實(shí)際應(yīng)用中主要用于分析與互聯(lián)網(wǎng)連接的TCP/IP協(xié)議簇。防火墻在網(wǎng)絡(luò)中使用的前提是必須保證網(wǎng)絡(luò)的連通性,其通過規(guī)則設(shè)置和協(xié)議分析,來限制和過濾那些對管理比較敏感、不安全的信息,防止未經(jīng)授權(quán)的訪問。由于工業(yè)控制與商用網(wǎng)絡(luò)的差異,常規(guī)的網(wǎng)絡(luò)安全設(shè)置規(guī)則用在控制網(wǎng)絡(luò)上就會存在很多問題。只有正確地設(shè)計、配置和維護(hù)硬件防火墻的規(guī)則,才可以保護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。建議設(shè)置的特殊規(guī)則包括:
1、SCADA和工業(yè)協(xié)議。MODBUS/ TCP、EtherNet/ IP和DNP3等在工業(yè)控制系統(tǒng)中被大量使用,但是這些協(xié)議在設(shè)計時沒有安全加密機(jī)制,通常也不會要求任何認(rèn)證便可以在遠(yuǎn)程對一個控制裝置執(zhí)行命令。這些協(xié)議應(yīng)該只被允許在控制網(wǎng)絡(luò)單向傳輸,不準(zhǔn)許在辦公網(wǎng)絡(luò)穿透到控制網(wǎng)絡(luò)。能夠完成這一功能的工業(yè)防火墻或者安全路由器,通常被部署在具有以太網(wǎng)接口的I/O設(shè)備和控制器上,從而避免因設(shè)備聯(lián)網(wǎng)而造成的病毒攻擊或廣播風(fēng)暴,還可以避免各子系統(tǒng)間的病毒攻擊和干擾。
2、分布式組件對象模型(DCOM) 。在過程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它運(yùn)用了微軟的遠(yuǎn)程過程調(diào)用服務(wù)。該服務(wù)有很多的漏洞,很多病毒都會利用這個弱點(diǎn)獲取系統(tǒng)權(quán)限。此外OPC也利用DCOM動態(tài)地打開任意端口,這在防火墻中進(jìn)行過濾是非常困難的。通用防火墻無法完成對OPC協(xié)議的規(guī)則限制,如果必須需要該協(xié)議,則要求控制網(wǎng)絡(luò)、網(wǎng)絡(luò)之間必須物理分開,將控制網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)橫向隔離。
3、超文本傳輸協(xié)議(HTTP)。一般來說,HTTP不應(yīng)該被允許從企業(yè)管理網(wǎng)透過進(jìn)入控制網(wǎng)絡(luò),因?yàn)樗麄儠碇卮蟀踩L(fēng)險。如果HTTP服務(wù)到控制網(wǎng)絡(luò)是絕對必需的,那么在防火墻中需要通過HTTP代理配置來阻止所有執(zhí)行腳本和Java應(yīng)用程序,而且特定的設(shè)備使用HTTPS更安全。
4、限制文件傳輸協(xié)議(FTP)。FTP用于在設(shè)備之間傳輸、交換文件,在SCADA 、DCS、PLC、RTU等系統(tǒng)中都有應(yīng)用。FTP協(xié)議并沒有任何安全原則,登入密碼不加密,有些FTP為了實(shí)現(xiàn)歷史緩沖區(qū)而出現(xiàn)溢出的漏洞,所以應(yīng)配置防火墻規(guī)則阻塞其通信。如果FTP通訊不能被要求禁止,通過FTP輸出數(shù)據(jù)時,應(yīng)額外增加多個特征碼授權(quán)認(rèn)證,并提供加密的通信隧道。
5、簡單郵件傳輸協(xié)議(SMTP)。SMTP在互聯(lián)網(wǎng)上是主要的電子郵件傳輸協(xié)議。電子郵件經(jīng)常包含惡意代碼程序,所以不應(yīng)允許以任何控制網(wǎng)絡(luò)設(shè)備接收電子郵件,SMTP郵件應(yīng)主要用于從控制網(wǎng)絡(luò)到辦公網(wǎng)絡(luò)之間輸出發(fā)送報警信息。
6、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)。SNMP是網(wǎng)絡(luò)管理服務(wù)中心,提供管理控制臺與設(shè)備如網(wǎng)絡(luò)設(shè)備、打印機(jī)、PLC之間的監(jiān)控,并制定管理的會話規(guī)則。從運(yùn)維角度看,SNMP是非常有用的服務(wù),但在安全方面存在很多問題。SNMP V1和SNMP V2C的安全機(jī)制比較脆弱,通信不加密,所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信,就可以利用各種嗅探軟件直接獲取通信字符串,即使用戶改變了通信字符串的默認(rèn)值也無濟(jì)于事。SNMP V3解決了上述安全性問題,但卻沒有被廣泛使用。從控制網(wǎng)中使用SNMP V1和V2C的命令都應(yīng)被禁止,除非它是一個完全獨(dú)立的信任管理網(wǎng)絡(luò)。而即使設(shè)備已經(jīng)支持SNMP V3,許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串,存在重大安全隱患。因此,雖然SNMP V3比以前的版本提供了更多的安全特性,如果配置不當(dāng),其實(shí)際效果仍舊有限,這一點(diǎn)也需要引起足夠的重視。
提交
新大陸自動識別精彩亮相2024華南國際工業(yè)博覽會
派拓網(wǎng)絡(luò)被Forrester評為XDR領(lǐng)域領(lǐng)導(dǎo)者
智能工控,存儲強(qiáng)基 | ??低晭砭手黝}演講
展會|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會
中國聯(lián)通首個量子通信產(chǎn)品“量子密信”亮相!