工业控制系统(ICS)部署图
一前言
研究背景及意义
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术
应用到了工业领域。目 前,工业控制系统已广泛应用于电力、水力、石化、医药、食品制造、交通运输、航空航天 等工业领域,其中,超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动 化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关 系到国家的战略安全。与此同时,由于工业控制系统广泛采用通用软硬件和网络设施
,以及与企业管理信息系 统的集成,导致工业控制系统越来越开放,并且与企业内网,甚至是与互联网产生了数据交 换。也就是说以前工业控制系统在物理环境上的相对封闭性以及工业控制系统软、硬件的专 用性将会被打破,通过互联网或企业内网将有可能获取相关工业控制系统较为详细的信息, 再加上运营工业控制系统的企业安全意识普遍较差,这样就给敌对政府、恐怖组织、商业间 谍、内部不法人员、外部非法入侵者等创造了可乘之机。尤其是 2010 年伊朗布什尔核电站遭 到“震网病毒”(Stuxnet)攻击后,一系列工业控制系统安全事件被陆续曝光,并呈现飞速 增长趋势。在这些安全事件中,攻击者普遍采用被称为高级持续性威胁Stuxnet是一种计算机蠕虫病毒,这种蠕虫病毒可以在连接互联网的电脑中传播扩散,同时感染移动 存储设备,包括U盘、移动硬盘,甚至带有USB装置的手机、相机等。一旦通过存储设备进入内部计算机, 就会在内网中快速传播,直到侵入安装了西门子WinCC/PCS 7 SCADA控制软件的主机,展开破坏性
攻击。赛门铁克公司的研究表明,在感染初期主要受影响的国家主要包括伊朗、印度尼西亚和印度[Symantec]。 赛门铁克安全响应中心高级总监凯文霍声称,多数受感染的系统在伊朗(约60%)[Robert]。它可能是专门针 对伊朗的“高价值基础设施”而设计的,例如布什尔核电厂或纳坦兹的核设施。据ISIS(Institute for Science and International Security)研究所估计,纳坦兹因此而发生故障的离心机可能多达1000台,占总数的 10%。
Stuxnet 利用了四个 Windows 系统未公开的零日漏洞 [Microsoft],并使用两个盗取的数字证书对软件进行 数字签名。部分专家认为,在恶意软件的历史上,研发 Stuxnet 可能是投入规模最大的一次。它的许多功 能都需要完整的项目团队实现,并且要对工业生产过程有深入的了解[Gregg]。赛门铁克估计,Stuxnet 开发 团队至少包括五至三十个人,并且需要 6 个月的准备时间[Halliday]。多家新闻和研究机构认为,它可能是以 色列或美国研制,以遏制伊朗核计划的一次尝试[Beaumont] [Reals]。[BWLZ]
(Advanced Persistent Threat,简称 APT)[BWLZ]的新型攻击手段,攻击者不仅具有明确的攻 击目标,而且在攻击时也多采用有组织的多攻击协同模式。为达成 APT 攻击需要长时间的集 中高端人才和技术,需要具备无孔不入的情报收集能力,往往掌握最新的 0-day 漏洞,拥有 能够规避当时检测工具的传播和控制程序,以及利用所掌握资源快速展开连锁行动的组织力 和行动力[BWLZ]。显然这样的攻击不是能够依靠单一技术实现防范和检测的,需要多层面安 全措施的综合防御。显然,这对安全厂商及相关研究机构的安全服务能力提出了更高的挑战。
工业控制系统安全事件
2009年 2010年 2011年
工业控制系统安全事件
图 1.1 ICS-CERT 统计工业控制系统安全事件
备注:根据 ICS-CERT(US-CERT 下属的专门负责工业控制系统的应急响应小组)的统 计,2011 年度共上报工业控制系统相关 ICS 事件 198 起,较 2009 和 2010 年均有较大上升 (2009 和 2010 年分别为 9 起和 41 起),其安全事件集中于能源、水利、化工、政府机构以 及核设施等领域,其中能源行业的安全事件在三年间共 52 起,占安全事件总数的 21%。*
虽然针对 ICS 的安全事件与互联网上的攻击事件相比,数量少得多,但由于 ICS 对于国 计民生的重要性,每一次事件都会带来巨大的影响和危害。
工业控制系统的重要性、脆弱的安全状况以及日益严重的攻击威胁,已引起了世界各国 的高度重视,并在政策、标准、技术、方案等方面展开了积极应对。
从全球范围来看,信息技术较为发达的美国在工业控制系统安全保障领域走在世界的前 列,美国作为信息化和工业自动化最发达的国家,拥有信息技术和工业自动化技术的主导权 和话语权,在工业控制系统的信息安全管理体制、技术体系、以及相关资金投入上平都居世 界领先水平。美国政府早在 2002 年起重视工业控制系统信息安全问题,十年来在工控安全领 域进行了大量的工作,已经形成了完整的工控系统信息安全管理体制和技术体系[LHC]。
在工业控制系统信息安全研究方面,以石油化工、电力等能源行业为重点;在管理体制、 技术体系和标准法规方面,美国国土安全部、能源部、国家实验室共同推动了美国工业控制 系统信息安全工作的开展。
在工业控制系统管理体制方面,美国主要由国土安全部(DHS)和能源部(DOE)牵头, 分别在工业控制系统信息安全领域制定专门的专项计划,开展工业控制系统信息安全工作。 在美国能源部和国土安全部等部门支持下,爱达荷国家实验室 INL 于 2003 年开始建设,并在 2005 年正式投入运行了关键基础设施测试靶场(CITR),其中就包括了 SCADA/控制系统测 试床和电力网测试床。这为工业控制系统安全保障工作的顺利开展奠定了良好的基础。美国 国土安全部的国家网际安全处(NCSD)制订了控制系统安全计划(CSSP),其目标是消除 所有关键基础设施和重要资源行业领域的工业控制系统安全风险;美国能源部电力调度与能 源可靠性办公室(DOE-OE)制订了国家 SCADA 测试床计划(NSTB),该测试床提供各种 工控系统的真实测试环境,帮助工业界和政府评估工业控制系统的脆弱性和测试工业控制系 统软硬件的安全性[NSTB]。
在工业控制系统技术研究方面,美国建立了依托模拟仿真平台、综合采用现场检查测评 与实验室测评相结合的测评方法。以模拟仿真平台为基础的验证服务和自主可控测评服务已 成为当前工业控制系统信息安全的一种必然趋势。美国国土安全部下属的工业控制系统应急 响应小组(ICS-CERT)同 US-CERT 协作,以工业控制系统安全为关注点,开展相关技术工 作,包括响应和分析控制系统相关事故、执行漏洞和恶意代码分析、为事故响应和取证分析 提供现场支持、以可行动情报形式提供态势感知、协调漏洞、防范措施的可靠披露、通过信 息产品和告警共享和协调漏洞信息和威胁分析。
在在工业控制系统标准法规方面,美国形成了从国家法规标准到行业化标准规范的一整 套标准规范。国家相关法规战略包括国土安全总统令 HSPD-7、《联邦信息安全管理法》 (FISMA)、国家基础设施保护计划(NIPP)等。此外,美国国家标准与技术研究所(NIST) 发布了一系列指南,包括《工业控制系统安全指南》(NIST SP 800-82)[NIST-1]、《联邦信息 系统和组织的安全控制推荐》(NIST SP 800-53)等[NIST-2]。
而我国正处于工业化和信息化深度融合阶段,这就对工业控制系统安全防护策略和技术 提出了更高的要求。但以前国内工业控制系统的安全问题由于种种原因并没有得到高度的重 视,在这种背景下,国内信息安全产业和科研机构的核心工作,以前也主要集中在互联网环 境下的安全问题,对工业控制系统领域的安全同样关注不够。
自从“震网”病毒事件爆发以及美国发布“国家网络空间安全战略”政策之后,工业控 制系统安全才引起国家的高度重视,并把工业控制系统的安全提到了国家安全战略的地步。 工业和信息化部发布了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451 号),强调加强工业信息安全的重要性、紧迫性,并明确了重点领域工业控制系统信息安全 的管理要求[GXB451]。随后,国务院又发布了《关于大力推进信息化发展和切实保障信息安全的 若干意见》(国发〔2012〕23 号),意见要求建立国家信息安全保障体系,提升网络与信息 安全保障水平,确保重点领域信息安全,并且明确提出要“保障工业控制系统安全”。同时, 国家发展和改革委等部门也开始从政策和科研层面上积极部署工业控制系统的安全保障工作, 研究和制定相关规范及要求。在有利政策、用户需求及工业控制系统安全事件的驱动下,国 内安全界对工业控制安全方面的研究工作也已开始展开,并已有部分研究文档问世[BWLZ]、[LHC]、 [XB]、[CJ]、[ZFG]、[HYX] 、[ZS]、[TW]、[ZSP]、[GB26333]。
显然,基于工业控制系统安全的高度战略意义以及国内工业控制界与信息安全界对工业 控制领域安全技术研究不足的现实,及时开展工业控制系统的安全问题分析,并结合公司在 安全攻防及漏洞挖掘方面的技术优势,重点开展工业控制系统的协议安全性分析、相关漏洞 的分析以及攻击场景的分析研究具有重要的现实意义。为公司后面提供具备对工业控制系统 安全防护能力的行业版安全产品与有效的解决方案奠定基础。
研究目标及内容
本报告是一篇关于工业控制系统基本知识及其安全性分析的综述性技术报告。期望报告 的内容可以供工业控制系统的安全管理人员以及相关安全产品的规划及研发人员参考所用。
为方便读者的阅读,下面对报告的内容组织逻辑进行简单介绍。
- 首先,我们对工业控制系统的基本概念和系统体系架构进行了概要介绍,并从多个 角度探讨了工业控制系统与传统 IT 信息系统的差异性。这可以让不熟悉工业控制系 统的读者能够对工业控制系统有一个初步了解,并有助于理解后续章节的内容。(第 二章)
- 其次,我们从安全威胁、安全防护以及安全管理等多个角度讨论工业控制系统所面 临的安全问题及安全威胁,并与传统 IT 信息系统所面临的安全问题与威胁做了较为 详细的差异化对比分析。并重点选择具有较大差异性的工业控制系统专有通信协议 的安全性、专有的安全漏洞情况进行详细地分析研究。所得到的研究成果有助于读 者更深入地了解当前工业控制系统所面临的安全威胁。(第三章)
- 再次,为便于读者对工业控制系统所面临的安全威胁有一个直观的认识;我们还虚 构了两个攻击案例,来描述从不同攻击途径对工业控制系统进行入侵攻击的过程(第 四章)。
- 最后,在上述研究的基础上,对当前工业控制系统所面临的安全威胁及问题进行分 析总结,并提出了针对性的安全建议(第五章)。
二工业控制系统概述
工业控制系统(ICS-Industrial control system)(也称工业自动化与控制系统)是由计算 机设备与工业过程控制部件组成的自动控制系统,工业控制系统被广泛的应用于在电力、水 处理、石油与天然气、楼宇自动化、化工、交通运输、制造业等行业,在震网病毒爆发后, 工业控制系统作为国家关键基础设施(CIP)的重要组成部分逐渐成为了国家空间安全和信息 安全的关注热点。国际自动化协会(ISA)与 IEC/TC65/WG 整合后发布 IEC 62443 《工业过 程测量、控制和自动化 网络与系统信息安全》对工业控制系统给出了定义,即:“工业控制 系统包括了制造和加工厂站和设施、建筑环境控制系统、地理位置上具有分散操作性质的公 共事业设施(如电力、天然气)、石油生产以及管线等进行自动化或远程控制的系统.”
如图 2.1 所示,通常情况下工业控制系统的子系统或功能组件包括但不限于:
- 数据采集与监控系统(SCADA)、分布式过程控制系统(DCS)、可编程逻辑控制 器(PLC)、远程测控单元(RTU)、网络电子传感/监视/控制/诊断系统等
- 相关信息系统,如图形化界面、过程历史库、制造执行系统(MES)以及厂站信息 管理系统
工业控制系统的体系架构
工业控制系统通过工业控制网络结合计算机技术实现了计算机系统向工业自动化控制领 域的延伸;作为一系列组成元素(组件)的总称,工业控制系统这一称呼涵盖了可对工业过 程安全性、可靠性操作产生影响的一系列、硬件和软件。在计算机技术、工业控制与自动化 技术、微电子技术共同的演进和融合的前提下,很多组件如 DCS 和 SCADA、PLC 和 RTU 在功能和使用场景上的界限已经逐渐模糊,为了能够清晰的理解其功能特点和安全属性,将 着重介绍一些相对关键的工业控制组件:
图 2.1 工业控制系统(ICS)部署图
- 控制器:作为直接控制设备、获取设备状况的控制系统,控制器随着嵌入式计算技 术的卓越性能和软逻辑控制器在工业控制领域的成熟应用。典型的控制器如 PLC(可 编程逻辑控制器)、PAC(可编程自动化控制器)以及 RTU(远程控制单元)等, 早期的生产过程自动化领域里,PLC 的应用较为广泛,利用远程 I/O 卡件与控制室 实现通过单根电缆的通讯信息交换。80 年代初期,一些相对生产规模小一些的厂家 利用它们在数据采集转换及通讯方面的优势,以 RTU 等组件结合 PLC 构建了当前 的 SCADA 系统。以当前最为常见的控制器 PLC 和 RTU 为例:
远程终端单元(RTU——Remote Terminal Unit 的缩写),有的行业也称之为 远程测控终端,是 SCADA 系统的基本组成单元,负责对现场信号、工业设备的监 测和控制。和 PLC 相比,RTU 具有通讯距离较长、通讯接口多样、存储容量大、 适应更加恶劣的温湿度环境等特点,通过经济、性能、环境等角度考虑,部分行业 的客户选择利用 RTU 来进行数据采集、处理和传输(网络通信),以智能化变电 站举例,为了实现电网调度自动化的现代化管理,RTU 作为远动终端部署在变电站 侧,负责采集所在变电站电力运行状态的模拟量和状态量,监视并向调度中心传送 这些模拟量和状态量,执行调度中心发往所在变电站的控制和调度命令。由于 RTU 更多吸收了通信技术的发展,其应用更多侧重在广域环境,如石油天然气长输管线 和油气田领域。应该说 PLC 是为了传统工厂基础自动化的发展需求而出设计的, RTU 在分布式和远程能力上对 PLC 进行补充,更适用当前 ICS 系统的特点。
- 组态编程软件:针对 PLC 进行组态编程以实现基本自动化功能的软件,又被称之为 下位机软件(下位机的称呼是相对于上位机提出的,从概念上看,下位机处于被控 制者和被服务者的位置,而上位机和下位机如何通讯,一般取决于下位机,可能采 用 TCP/IP 通讯或者采用更为私有的通讯协议实现。)典型的下位机软件如 SIMATIC Step7,通过特定接口和线缆,如 RS232C 与 PLC 的 MPI 接口相连,可对 PLC 代 码块进行配置/编译,替换软件核心文件即可实现 PLC 感染和隐藏(Rootkit 功能), 从而改变工业生产控制系统的行为,如通过改变某些工艺参数,如混合工艺的原材 料配比,最终改变工艺过程的温度、压力、流量、液位和时间值以及机械过程中马 达的运动速度等。
- 数据采集与监视控制系统(Supervisory Control And Data Acquisition** ,简写为 SCADA),国内也称之为组态监控软件,通过 SCADA 可以实现广域环境的生产过
程和事物管理,其大部分控制工作依赖控制器等现场设备实现(如 PLC/RTU)。因 此,SCADA 也被认为并不是完整的控制系统,而是位于控制设备之上侧重上位功能 的应用软件。通常 SCADA 系统分为两个层面,即客户/服务器体系结构。服务器与 硬件设备通信,进行数据处理何运算。而客户用于人机交互,如用文字、动画显示 现场的状态,并可以对现场的开关、阀门进行操作。而上位机(HMI)与下位机(控 制设备)结合的 SCADA 系统,作为操作员平台和中央监控系统,通过分布式的数 据采集和控制系统,集中了 PLC 在现场测控和 DCS 组网通讯的优势,已经在各个 领域中被广泛应用,如电力调度用于掌握运行状态和故障诊断。 - 人机界面(Human Machine Interface,简称 HMI),SCADA 系统的核心组件,通 过良好的人机界面反映全面的过程信息,从而达到实时的动态数据处理(如图 2.3 所示)。基于嵌入式技术的人机交互设备一般会包括绘图软件,可以让系统维护者 修改系统在 HMI 中的呈现方式,并且通过组态和编程对生产过程与设备调度进行设 计与配置,利用大量的通信接口和开放的程序结构连接到自动化环境,从而实现了 对现场设备的监视与控制。典型的解决方案如西门子的 WinCC(包括 WINCC Flexible),均可实现对 HMI 设备、PLC 等控制器的组态功能。在震网病毒的案例 里,攻击者即通过 WinCCConnect 账户的默认密码连接 Siemens Simatic Wincc, 通过硬编码的 SQL 语句读取数据库数据,一方面查找感染系统的工业控制软件如 Step7、WinCC 的安装状态信息,从而精确定位工业网络目标,避免不必要的主机 感染和暴露;一方面尝试从数据库中读取与工业控制网络设计相关的敏感信息,从 而为后续可能发起的下一波攻击提供信息资源。
图 2.3 SCADA 的人机界面 - 分布式过程控制系统(Distributed Control Systems,简称 DCS):通常被应用于 工业过程控制,如发电、炼油厂、污水处理、化工等,也被称为集散控制系统。DCS 系统通过调用 PLC 为分布式业务提供基本的操作控制(PLC 的功能实际相当于一个 小型的计算机系统,通过配置该 PLC,可以向控制器中写入新的控制逻辑,从而完 成不同的功能,最终实现工业设备的具体操作与工艺控制),适用于测控点数多、 精度高且反应速度快的工业现场;和 SCADA 相比,DCS 和 PLC 通信通常使用更 加高速可靠的局域网技术(工业以太网),而 SCADA 则通常侧重于远程长距离的 监测和控制(如电力调度的远动控制)。目前从发展趋势上来看,SCADA 和 DCS, 以及 PLC/RTU 在功能上进行着不断的相互渗透和整合,同时也分别由于其独特、 不可取代的特性,共同作为工业控制系统在工业企业里同时扮演着不可替代的角色, 如 SCADA 作为调度管理手段侧重于生产管理的上位监控,DCS 实现工业过程的复 杂控制,而 PLC 在工业作业现场环境内实现单机及简单控制。 通过上面对工业控制系统体系架构和核心系统组件的介绍可知,工业控制系统是由工业
控制组件通过通信网络互联的一个分布式控制系统,因此考虑工业控制系统安全时,除了重 视其核心系统组件的安全属性外,也要了解并重视其网络环境的安全相关属性的影响,如网 络开放程度、网络结构、协议安全性等。据此我们对工业控制系统所涉及到的相关网络也作 了初步的调研,当前的工业控制系统在具体部署时通常要涉及如下的几个网络部分(如图 2.1 所示): - 企业资源网络:
主要涉及企业应用,如 ERP、CRM 和 OA 等与企业运营息息相关的系统,根据风 险敏感程度和企业应用场景的不同,工业企业可能存在于外部的互联网通信边界,而一 旦存在互联网通信,通常也具有较完备的典型安全边界防护措施,如防火墙等。一般情 况下,工业控制系统的监控采集数据信息需要被企业内部的系统和人员访问,该访问过 程需要企业资源网作为工业企业信息化应用体系最上层直达工业控制层,甚至现场总线 层,其中由于实时性和协议私有性的局限,可能其访问过程未能实现基本的访问控制。 除了典型的企业应用资源,部分工业企业还存在 MES(制造执行系统,)作为中间层负 责生产制造执行过程的管理,是工业企业的核心系统。 - 过程控制和监控网络(简称为控制网络):
SCADA 服务器、历史数据库、实时数据库以及人机界面等关键工业控制组件主要部 署在控制网络内部,通过 SCADA 服务器(MTU)与远程终端单元(RTU)组成远程传 输链路,现场总线的控制和采集设备(PLC 或者 RTU),依照需求传送设备状态至监控 系统。数据通常具有特定格式,操作员通过人机界面(HMI)了解系统状态,人机界面 (HMI)以图形化显示的方式对实际系统的运行状态进行模拟,操作员通过待控制系统 的示意图决定是否要调整 RTU(或 PLC)的控制。数据通常也会传送到历史数据服务器 (一般是商用关系数据库),供趋势追踪和分析。 - 控制系统网络:
作为自动化系统与现场设别相连的唯一网络,控制系统网络利用总线技术 (如 PROFIBUS 等)将传感器/计数器等设备与 PLC 以及其他控制器相连,PLC 或者 RTU 可 以自行处理一些简单的逻辑程序,不需要主系统的介入即能完成现场的大部分控制功能 和数据采集功能,如控制流量和温度或者读取传感器数据,使得信息处理工作实现了现 场化。控制系统网络由于通常处于作业现场,因此环境复杂,部分控制系统网络采用各 种接入技术作为现有网络的延伸,如无线和微波,这也将引入一定的安全风险。 从厂商解决方案的角度,西门子( Siemens)、通用电气( GE)、施耐德电气
(Schneider-Electric.)均针对各工业领域,如制造业、石油天然气、石化提出了成熟的解决 方案,如西门子 SIMATIC PCS 7/WINCC/STEP 7/S7,通用电气 CIMPLICITY/iFIX/ PACSystems 等,而国内的亚控(Kingview)、三维力控在国内也就占有较高的市场份额。 当前的工业控制系统由于开放性的需要,已经逐渐从专用转向为通用,厂商之间通过 ODBC、 OLE 等标准接口,通过以太网、PROFIBUS 现场总线等开放网络,可以实现管理系统和控制
系统的互连。
参考资料
绿盟 2013年工业控制系统及其安全性研究报
友情链接
GB-T 36630.3-2018 信息安全技术 信息技术产品安全可控评价指标 第3部分:操作系统