工业互联网与工控安全
一、工业背景
1、行业特性
传统信息系统旨在利用计算机、互联网技术实现数据处理与信息共享,而工业控制系统旨在利用计算机、互联网、微电子以及电气等技术,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性,它强调的是工业自动化过程及相关设备的智能控制、监测与管理。
2、工业控制设备
传统信息系统是通过互联网协议组成的计算机网络;而工业控制系统是PLC、RTU、DCS、SCADA等工业控制设备及系统组成的多层次网络。
3、工业控制操作系统
传统信息系统通用使用的操作系统,如Windows、UNIX、Linux等,防护功能相对强大;而工业控制系统广泛使用嵌入式操作系统,如VxWorks、uCLinux、WinCE等,并有可能根据需要进行功能裁减或定制。
4、网络协议
传统信息系统主要使用TCP/IP栈(应用层协议HTTP、FTP、SMTP等);而工业控制系统一般直接使用专用的通信协议或规约(OPC、Modbus、DNP3等),或者将其作为TCP/IP的应用层使用。
5、工业实时通信
传统信息系统要求相对较低,信息传输允许延迟,多数系统能容忍短暂的、有计划的系统维护;而工业控制系统要求较高,不能轻易停机和重启恢复。
6、工控安全事件
信息系统中不可预料的中断可能会造成任务损失,但已逐渐有较为成熟的故障响应方案;而工业控制系统中不可预料的中断会造成经济损失或环境灾难,故障的应急响应方案还很不成熟。
7、工控安全维护
信息系统采用通用系统,兼容性较好,软硬件升级较容易,软件系统升级也较为频繁;而工业控制系统使用专有系统,兼容性差,软硬件升级较困难,一般很少进行系统升级。
对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均采用国外产品;在我国的工控系统产品上,国外产品已经占领了大部分市场,如PLC国内产品的市场占有率不到1%,工业中用到的逻辑控制器95%是来自施耐德(法国)、西门子(德国)、发那科(日本)等的国外品牌。
以扬州市为例,自2014年1月起,在全市范围内启动重点行业重要工业控制系统基本情况调查,统计显示,全市24个企业共计1213个重点工业控制系统,主要分属化工、电力行业和城市公用事业服务领域。德国西门子公司生产的可编程控制器(PLC)和我国浙江浙大中控公司生产的分布式控制系统(DCS)在扬州市工业企业应用广泛,其中德国西门子公司生产的可编程控制器占全部调查企业工业控制系统总数的87%,占全部调查企业可编程控制器应用总数的95%以上。
工业控制系统(以下简称工控系统)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,是信息战的重点攻击目标。目前,我国在工业控制系统网络安全技术研究以及产业发展等相关领域处于快速发展阶段,防护能力和应急处置能力相对较低,特别是关键部位工控系统大量使用国外产品,关键系统的安全性受制于人,重要基础设施的工控系统成为外界渗透攻击的目标。
二、工业互联网安全概述
工业互联网是新一代信息技术与制造业深度融合的新兴工业生态与应用模式,通过“人、机、物”的泛在可靠互联,连接生产全要素、全产业链、全价值链,推动制造业生产方式和企业形态变革。
根据工信部等十部门联合印发的《加强工业互联网安全工作指导意见》,从构建工业互联网安全体系上考虑,工业互联网安全应该包括五大重点:设备安全、网络安全、控制安全、平台安全和数据安全。
工业互联网安全为什么重要
工业互联网以平台为依托,连接海量设备和系统,是工业数据采集、工业控制与分析的载体,是连接工业企业、设备供应商、服务商、开发商及上下游协作企业的枢纽,安全防线不容有失。一旦遭受网络攻击,不仅会造成单个企业利益受损,还将延伸至工业全系统、全产业链、全价值链,引发大规模物理设备损坏、生产停滞,影响经济社会的稳定运行;此外,工业生产、设计、工艺、经营管理等敏感信息保护不当将损害企业核心利益、影响行业发展,重要工业数据泄露还将导致国家利益受损。
工业互联网安全实施框架2.0是什么
近两年,我国工业互联网发展已由概念普及与技术验证步入规模化推广阶段,重点行业的应用实践与创新探索持续深化,5G、人工智能等新技术也加速融入并不断拓宽工业互联网的内涵与赋能潜力。随工业互联网的深入发展,产业界急需一套具有实践借鉴意义的方法论,指导其开展工业互联网的技术创新、应用推广与生态建设。为此,工业互联网产业联盟在工业和信息化部的指导下,联合广大成员单位,历经3年时间,在2016年发布的工业互联网体系架构(版本1.0)基础上,研究制定了《工业互联网体系架构(版本2.0)》(以下简称“架构2.0”)。
架构2.0于2019年10月份在联盟内发布后,获得业界广泛采纳和应用,有力推动了工业互联网的产业实践和创新发展。在进一步总结实践经验的基础上,工业互联网产业联盟现正式对外发布架构2.0。
工业互联网安全实施框架2.0是指,工业互联网安全功能在“设备、边缘、企业、产业”的层层递进,包括边缘安全防护系统、企业安全防护系统和企业安全综合管理平台,以及省/行业级安全平台和国家级安全平台。
架构2.0在继承版本1.0核心理念、要素和功能体系的基础上,从业务、功能、实施等三个角度重新定义了工业互联网的参考架构,有以下三个特点:
一是构建了由业务需求到功能定义再到实施架构的层层深入的完整体系
其核心是从工业互联网在促进产业发展中的作用与路径出发,指引企业明确自己的数字化转型商业目标与业务需求,进而确定其工业互联网的核心功能与实施框架。
二是突出数据智能优化闭环的核心驱动作用
进一步明确了工业互联网在实现物理空间与数字空间虚实交互与分析优化中的核心作用,定义了其功能层级与关键要素,以此指导企业在设备、产线、企业、产业等不同层级、不同领域构建精准决策与智能优化能力,推动产业智能化发展;
三是指导行业应用实践与系统建设
在充分考虑企业现有基础与转型需求基础上,结合国内外企业大量已开展实践的相关经验,提出网络、标识、平台和安全的实施部署方式,指导企业开展工业互联网关键系统建设和技术选型。
当前架构2.0在工业互联网应用探索中已开始发挥重要引领作用,为政府、企业、科研机构、投资者等各方提供指引和参考。一方面,一批工业互联网企业已基于架构2.0开展对标,持续完善自身技术、产品和服务能力,构建以工业互联网为核心的业务体系。另一方面,石化、钢铁、船舶等多个行业结合架构2.0,成功推进自身行业应用和系统建设,探索行业特色转型路径,引领行业整体高质量发展。同时,产业创新生态在架构2.0指引下走向壮大,5G、大数据、人工智能、区块链、边缘计算等技术创新活跃,融合型产品和解决方案不断涌现,有力支撑新兴产业与服务体系构建。
下一步,工业互联网产业联盟将继续深化和完善架构2.0内涵,联合重点行业共同开展行业架构设计、应用推广与产业生态培育,探索形成各行业工业互联网发展模式和路径,深入推进我国工业互联网创新发展。此外,联盟还将推动架构2.0与国际主流架构的对接互认,不断扩大国际影响力。
工业互联网安全防护范围是什么
根据工信部发布的《工业互联网安全防护总体要求》,由于防护对象不同,工业互联网可从工业互联网设备、控制系统、网络基础设施、工业互联网应用、工业互联网数据五个层面开展安全防护工作,将各层面的包含对象纳入工业互联网安全防护范围。具体包括:
-
设备安全:指工业现场设备、智能设备、智能装备,以及工业互联网平台中负责数据采集的采集网关等设备的安全。
-
控制安全:指工业互联网业务中各类控制系统的安全。
-
网络安全:指工厂内有线与无线网络的安全,工厂外与用户、协作企业等实现互联的公共网络(包括标识解析系统)安全,以及网络边界的安全。
-
应用安全:指支撑工业互联网业务运行的各类信息系统、工业互联网平台业务及应用程序的安全等。
-
数据安全:指工厂内部重要的生产管理数据、生产操作数据以及工厂外部数据(如用户数据)等各类数据的安全。
首先,工控网络安全是关键基础设施的一部分,而且是关键部分。关键基础设施包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。其中能源、交通、水利等行业都有工业控制系统,随着“互联网+”、“中国制造2025”等国家政策的发布,工业控制系统与传统的IT网络、与互联网的互联互通已经势不可挡,这其中的网络安全问题尤其突出。
工控网络包含多种多样的工艺场景,目前流行的智能制造、智慧工厂、智慧城市、智慧水利、智慧电厂等新型技术都属于工控网络安全范畴。新技术、新网络、新方向都将带动这些行业发展,但这其中的网络、信息、数据的安全就成为了新的研究方向。
其次,工控网络安全触及到生活的每个角落,伴随着物联网的到来,各行各业的数据都将被采集、处理、汇总。一旦发生网络安全事件,将是牵一发而动全身的效果。有过黑客或者渗透经验的人就会知道,暴露出来的网络安全事件都只是冰山一角,当网络安全事件被揭露的时候,伴随着的是内部的数据都已经被偷窥一空了。
最后,工控网络安全是一个多学科,多技术,多领域的交叉门类。本身工控行业的基础专业是自动化专业,自动化专业就是一个多学科的交叉专业,它涉及计算机专业,电气电子专业、仪表专业、通信专业和信息专业等内容。工控网络涉及多个行业,如能源、交通、水利等。多技术包含控制技术、工艺技术、信息技术、网络技术、通信技术、存储技术等等。
法律层面
目前我国已经将关键基础设施的信息网络安全纳入了《中华人民共和国网络安全法》。
其中第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
其中第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
三、工控网络安全概述
“工控”即“工业控制”,工业控制系统(ICS,Industrial Control System)是一类用于工业生产的控制系统的统称,它包含PLC控制系统(PLC,Programmable Logic Controller)、分布式控制系统(DCS,Distributed Control System)、监视控制与数据采集(SCADA,Supervised Control And Data Acquisition)系统等。PLC控制系统是单用PLC互相连接构成的控制系统,PLC与PLC之间采用松散的连接方式,难以做出协调的高精度控制,主要应用于小型生产过程,如灌装流水线、邮件分发流水线等。分布式控制系统(DCS)也被称为集散控制系统,用于大规模的连续过程控制,适用于测控点数多、精度高且反应速度快的工业现场,如发电、炼油厂、污水处理、化工等。数据采集与监视控制系统(SCADA),国内也称之为组态监控软件,主要实现广域环境的生产过程和事物管理,其大部分具体控制工作还需要依赖现场环境的控制设备,主要应用于电力系统、输油管道和轨道交通等。
工业控制系统可简单划分为过程控制网络和现场控制网络两部分。过程控制网络中部署多种关键工业控制组件,通过SCADA服务器(MTU)与远程终端单元(RTU)组成远程传输链路。
过程控制网络向下与现场控制网络相连接。现场总线的控制和采集设备(PLC或RTU)一方面将现场设备状态传送到过程控制网络,另一方面还可以自行处理一些简单的逻辑程序,完成现场控制网络的大部分控制逻辑功能,如控制流量和温度、读取传感器数据等。
过程控制网络向上与企业信息网络相连接。在企业信息网络中,企业资源计划(ERP)服务器和制造执行系统(MES)服务器与工业控制系统紧密相连。
在企业信息网络中,邮件、Web、ERP等业务都需要与互联网相连接,而MES需要与工业控制系统相连接,以获得生产过程的各种数据,并下达生产任务。各种病毒和木马就是利用这个通道进入企业信息系统,进而进入到工业控制系统中,这已经成为工业控制系统的主要安全威胁来源。随着信息技术的快速发展,工业控制系统中的无线连接、移动存储介质(U盘)、远程维护和升级等新兴技术和应用的广泛使用,为工业控制系统引入了更多的安全风险。
工控网络安全是一个多学科、多技术、多领域的交叉内容。当作为初学者想开始学习,逐渐学习及深入学习时,工控网络安全是一个深深的陷阱。里面包含的内容实在是太多了,这里仅仅展示工控网络安全的冰山一角,还希望大家一起学习,一起交流,一起探讨,一起进步。
首先,作为安全从业者必须要掌握的基本技能:编程语言。
建议从汇编、C/C++到Python的学习路线。
其次,要学习《计算机网络原理》,掌握基本的网络通信技术。
自动化方面,要学习《可编程逻辑控制器(PLC)》,掌握基础的自动化设备原理。
最后体系化的学习,是在前三个基础之上,对于工控网络安全的基础内容的学习。推荐的学习路线为-自动化软件-协议解析-固件分析-漏洞挖掘。
自动化软件:自动化软件分为编程软件、组态软件(SCADA软件)、实时数据库等自动化方面的软件。可按照行业、厂家进行分类,深入了解后,在进行跨厂家,跨行业的进行深度学习。
协议解析:协议解析分为基础协议和私有协议两大类。协议又可分为控制协议和通信协议两个层面。通常所要将的协议包含控制内容及通信两部分。协议分析还可以按照链路层协议和应用层协议进行学习。应用层的协议较为通用性强一些。
固件分析:与传统的固件分析较为相似,但工业控制系统广泛使用嵌入式操作系统,所以协议内容更多的倾向嵌入式操作系统的固件进行分析。
漏洞挖掘:最为高阶的学习内容,通过前面学习的基础基本就可进入此阶段了,综合利用上述内容对工业控制系统中的设备,软件,网络等内容进行渗透测试。
