工業控制系統面臨的十大安全問題
隨著德國工業4.0、美國工業互聯網、中國制造2025等戰略的不斷推進下,再加上物聯網、云計算、大數據、5G等新一代信息技術的融合發展,工業生產網絡逐漸與辦公網、互聯網以及第三方網絡進行互聯互通,使得原本封閉可信的工業生產環境被打破,面臨了病毒、木馬、黑客、敵對勢力等威脅。尤其近幾年,勒索軟件對工業生產企業攻擊更加頻繁,如2018年臺積電Wannacry勒索事件,以及今年5月美國最大成品油管道運營商科洛尼爾公司遭受勒索攻擊。而工業控制系統自身又存在一些安全問題,這樣使得病毒、木馬、黑客、敵對勢力等威脅利用這些問題對工業生產環境進行攻擊成為了可能。
那么,工業控制系統存在哪些安全問題呢?
1、工業控制系統普遍缺乏安全設計
工業控制系統在設計之處主要考慮系統的實時性、可靠性、穩定性,并沒有考慮安全性,犧牲安全性換取實時性。控制設備、編程軟件、組態軟件以及工業協議等普遍缺乏身份認證、授權、加密等安全基因。
2、工業控制系統存在大量漏洞、后門
根據CNVD統計,2000-2020年收錄的工業控制系統漏洞數量分布以及2020年新增漏洞涉及廠商統計圖如下:
(數據來源:工業控制系統安全國家地方聯合實驗室)
(數據來源:工業控制系統安全國家地方聯合實驗室)
從統計圖可以看出,近幾年工業控制系統的漏洞呈劇增趨勢以及涉及施耐德、西門子、研華等主流工控廠商。
截止到2021年9月6號,工業控制系統漏洞已達到3100個,另外各安全廠商以及黑客等其他機構掌握的漏洞遠超過CNVD統計的數量。
另一方面,工業控制設備(DCS、PLC)、工業應用、觸摸屏、工業交換機等關鍵設備主要依靠國外進口,這些設備或多或少被預留了“后門“,關鍵時刻對生產數據竊取、監聽、甚至發起破壞攻擊。
3、設備聯網混亂、缺乏安全防護
為了生產上的便利,工業生產環境中越來越多的智能傳感器、設備、機器、應用系統與網絡進行連接,逐漸與辦公網、互聯網第三方網絡進行連接。再加上企業在日常維護過程中,經常把個人筆記本、手機等設備違規接入生產網絡,甚至非法外聯(手機熱點連接互聯網),使得網絡邊界越來越模糊,而又缺少必要的安全防護措施或者安全防護措施難以實施。
4、工業主機“帶洞”、“帶病”運行成常態
縱觀國內外,針對工業控制系統攻擊的安全事件來看,工業主機(操作員站、工程師站、OPC接口機、歷史服務器等)成為攻擊的首要目標,然后把工業主機作為跳板機,再對控制設備、生產設備、工藝等進行攻擊。分析其原因主要有2點:一是攻擊工業主機技術上比直接攻擊控制設備更加容易;二是工業主機的安全問題更多,更容易被利用。
工業主機主要存在的安全問題:
1)工業主機的操作系統版本老舊,大多數是windows XP及以下版本,這些操作系統存在的漏洞多,而且補丁不易更新、不敢更新、不想更新,另一方面微軟早已不提供補丁更新技術;
2)安全配置基線無加固,大多數工業企業未對工業主機進行安全加固,普遍存在弱口令、未刪除多余過期的賬戶,默認開啟共享桌面、高危端口(如139、445、3389、5900等)以及安裝與工作無關的軟件,如向日葵、VNC、Teamviever以及即時通工具等;
3)惡意代碼防范能力弱,工業主機普遍缺乏對惡意代碼的防范,有的企業對工業主機安裝了殺毒軟件(McAfee、360殺毒),但是這些軟件“水土不服”,存在誤殺、兼容性以及病毒庫不能實時更新等問題;
4)移動存儲介質管控,在一些工業生產環境中對移動存儲介質處于零管控要求,移動存儲介質在生產環境與互聯網環境隨意使用;雖然有一些企業使用管理辦法和物理封堵的方法來對介質進行管控,但還存在管理上漏洞,移動存儲介質屢禁不止的現象依然發生,導致一些病毒、木馬、蠕蟲等惡意代碼程序通過移動存儲介質進入到工業生產環境中。
5、工業資產不清晰
工業控制系統一般運行10-20年,一條生產線或車間通常由多個設備廠商、集成商負責建設,且基本依靠第三方維護,資產清單(硬件、軟件、網絡拓撲、配置等)分布于不同的廠商、人員,沒有完整的資產清單。在系統進行設備、網絡連接、配置發生改變時,往往不進行更新,與現存的臺賬(竣工移交的資料)往往存在很大的區別,這是目前企業最為“頭疼”的病。
6、缺少必要的監測預警手段,可視化、可讀性差
在工業控制系統中缺少必要的安全監測預警機制,對整個工業網絡運行狀態、資產情況、異常行為、威脅入侵以及安全事件無實時監測預警機制。
另一方面,國內安全廠商在安全產品設計時,并沒有站在工業用戶角度考慮,絕大多數的安全產品(如態勢感知)在可視化、可讀性方面并沒有考慮工業用戶的習慣。比如發生安全事件,安全視角往往是按照事件類型、級別、對應IP/MAC、服務器、業務應用等來看問題;而工業用戶人員習慣從哪個工廠、哪個車間、哪個生產線、哪個系統、哪臺設備、什么故障等這個順序來看問題,也就是說安全產品并沒有和業務相結合,而是孤立的看問題。從而,導致一些安全產品的報警信息,工業用戶人員看不懂、不愿看、不想看。
7、工業數據面臨被竊取、篡改、丟失等安全風險
在工業生產環境下,存在大量的設備運行數據、工藝配方數據、生產操作數據、生產管理數據以及研發、設計、采購、訂單以及客戶信息等數據,這些數據存在潛在的挖掘、分析、利用價值。
隨著新一代信息技術的融合發展下,這些數據存在跨系統、跨組織、跨地域進行流動,存在被黑客組織、工業間諜、敵對勢力進行竊取、篡改的風險。
8、工業企業安全管理制度不完善、管理不到位、責任不清晰
在很多大中型工業企業,IT管理制度以及生產管理規范一般比較到位,但是針對工業控制系統的信息安全管理制度和管理措施不健全,缺乏體系化。缺乏從規劃、建設、運行、維護、廢除全生命周期的管理制度與辦法,無信息安全管理責任人,未設立安全協調小組、未設置安全崗位和專職人員。
此外,還有一些工業企業工業網絡的匯聚、核心交換機以及邊界防護的網閘或者防火墻設備屬于“三不管”地界。一方面這些設備通常由生產部門(或保障部門或儀表科)采購,具有歸屬權,生產人員對這些設備有絕對的話語權,但是又不具備網絡和安全的專業人員。另一方面,這些設備處于生產運行環境中,IT人員天生對生產運行有一定的敬畏心里,往往為了滿足工業現場生產的需要,開通全通策略或者不負責運行維護。久而久之,設備的安全配置、賬戶口令未進行備份記錄,形成“三不管”地界。
9、安全運維管理不到位,應急響應不健全
大部分工業企業將工業生產環境下的資產交給設備廠商或系統集成商或第三方服務商運維。針對現場運維方式,多數企業采取粗放式管理,只是作登記、記錄以及帶領到現場即可,并未對運維人員運維過程進行關注,針對亂插U盤、非法外聯、竊取資料等行為并不知曉。針對遠程運維方式,多數企業采用向日葵、VNC等遠程桌面方式進行運維,無加標鎖定策略,針對運維過程中出現的違規操作、誤操作以及竊取生產數據等行為無監控、無審計,出現事故后無法定位追蹤溯源。
另一方面,在大部分工業企業,IT安全應急響應與工業安全應急響應是“兩張皮“,IT的應急響應往往不考慮生產環境下的需求,針對生產環境下發生的網絡安全事件無”特效藥“;工業生產環境下的安全應急響應往往是針對生產安全事故的處置響應,并未考慮網絡安全事件,相關網絡安全事件的應急預案以及處置流程缺失。
10、工業控制系統信息安全投入不足,人員意識差
縱觀國內安全市場,整個網絡安全投入占IT投入不足2%,而工業控制系統信息安全投入又不足IT安全投入的20%,再加上各工業企業在年度預算執行中,工業控制系統信息安全預算又少之又少。所以,從安全投入可以看出,不足量的投入難以保證全量的防護。
另一方面,整個工業生產人員的安全意識淡薄,缺少安全教育、培訓。一些管理者、技術主管、一線操作人員認為其工業控制系統與外界未連接,工業生產網絡是安全的;還認為生產系統運行這么多年也沒有發生過網絡安全事件,今后也不可能發生。
但是,今日不同往日,任何阻力都阻擋不了生產力的進步。當下,正發生第四次工業革命,中國正搭乘這一快班車,充分利用新一代信息技術的優勢,改變中國制造業大而不強的局面,所以工業生產網絡也正面臨著新的變革,你的工業生產網絡還安全嗎?
隨著《網絡安全法》、《數據安全法》以及《關基信息基礎設施安全保護條例》等法律法規的陸續頒布實施,工業控制系統被廣泛運用于能源、交通、市政、航天、軍工等牽涉國民經濟核心地位的主要基礎設施,一旦發生安全事件,將給企業、社會、國家都會帶來災難性的影響。因此,一批關鍵信息基礎設施的工業控制系統被提上日程進行整改建設。
那么,針對這些問題,如何解決呢,或解決的思路是什么?
安全解決思路以《網絡安全法》、《關基信息基礎設施安全保護條例》等法律法規為背景,基于《信息安全技術網絡安全等級保護基本要求》以及《工業控制系統信息安全防護指南》為設計標準,通過建設安全技術體系和安全管理體系,構建一個可信、可控、可管的安全動態防御體系。
首先,通過安全評估服務,對工業工業生產環境下的資產(硬件、軟件、網絡拓撲、配置等)進行識別、梳理,完善企業資產臺賬;基于資產進行漏洞無損掃描、基線檢查以及其他脆弱性識別、梳理、分析;基于資產、網絡流量、業務、日志等進行威脅識別、梳理、分析。
其次,基于安全評估結果,從架構優化、安全通信、邊界防護、訪問控制、安全接入、身份認證、監測審計、工業主機防護、安全運維以及監測預警等方面進行針對性防護,落實安全策略,建立安全技術防御體系。
最后,建立健全科學完備的安全管理體系,從安全策略和制度、管理機構和人員、安全建設與運維等全面建設,形成一級文件的企業方針、目標、策略及管理機構職責,二級文件的各類管理辦法和管理制度、三級文件的操作規范、重點安全管理專項措施,四級文件的管理流程、操作流程以及與制度配套的各類管理表單,建立安全管理體系。
同時,以安全運營平臺為抓手,建設集工業資產管理、安全感知、風險態勢、安全評估、應急處置、應急指揮、通報預警、安全培訓等能力為一體的實戰化運營體系,落實安全運營,保障工業生產網絡安全穩定運行。
