今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著自來水廠自動(dòng)化水平的不斷提高,以及數(shù)字化、信息化技術(shù)的廣泛應(yīng)用,自來水廠控制系統(tǒng)的安全風(fēng)險(xiǎn)問題日益突出。
2 自來水廠控制系統(tǒng)簡(jiǎn)述
自來水處理廠的自動(dòng)化生產(chǎn),主要是指使用工業(yè)控制系統(tǒng)檢測(cè)現(xiàn)場(chǎng)水質(zhì)狀況、控制工藝設(shè)備運(yùn)行(如加藥設(shè)備、水泵機(jī)組、閥門、電氣柜等),實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)采集與上傳,工藝電控設(shè)備的順序、條件、計(jì)時(shí)、計(jì)數(shù)控制、PID調(diào)節(jié)控制等功能,并按照工藝要求依次完成混凝反應(yīng)、沉淀處理、過濾處理、濾后消毒、加壓供水等環(huán)節(jié),最終將純凈衛(wèi)生的自來水可靠地送入千家萬戶的過程。
3 自來水廠控制系統(tǒng)網(wǎng)絡(luò)特點(diǎn)
自來水廠工業(yè)控制網(wǎng)絡(luò)有不同于IT網(wǎng)絡(luò)的很多特點(diǎn),這些特點(diǎn)造成工業(yè)控制網(wǎng)絡(luò)安全防護(hù)的理念與IT網(wǎng)絡(luò)防護(hù)理念并不相同,具體體現(xiàn)以下幾方面。
3.1 網(wǎng)絡(luò)協(xié)議不同
工業(yè)控制網(wǎng)絡(luò)采用工業(yè)控制特有的協(xié)議,Modbus、DNP3、PROFINET以及多種私有協(xié)議,很多工業(yè)控制協(xié)議設(shè)計(jì)上并未考慮安全性,協(xié)議本身的通信不能有效驗(yàn)證,從而給工業(yè)控制網(wǎng)絡(luò)帶來嚴(yán)重威脅。
3.2 設(shè)備廠商不同
工業(yè)控制網(wǎng)絡(luò)中多采用Siemens、Emerson、Rockwell Automation、Schneider Electric、GE等國(guó)外廠商的設(shè)備,這些設(shè)備中存在多種高危漏洞或后門,給系統(tǒng)安全帶來人為的嚴(yán)重威脅。
3.3 工業(yè)病毒傳播
工業(yè)控制網(wǎng)絡(luò)中缺少有效的病毒控制手段,一旦某個(gè)工業(yè)控制設(shè)備受到病毒感染,將迅速蔓延到其它控制設(shè)備,產(chǎn)生破壞作用或竊取工業(yè)數(shù)據(jù),從而給工業(yè)控制網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。
3.4 無線網(wǎng)絡(luò)接入
Wi-Fi技術(shù)等無線技術(shù)的普遍應(yīng)用,在給工業(yè)生產(chǎn)帶來便利的同時(shí),也帶來了安全威脅,工業(yè)控制網(wǎng)絡(luò)中固有的生產(chǎn)要求使其缺少有效的認(rèn)證和控制機(jī)制,一旦通過無線接入,將使得整個(gè)系統(tǒng)暴露在非安全環(huán)境之下,給系統(tǒng)的安全性帶來重大隱患。
4 自來水廠控制系統(tǒng)面臨的安全風(fēng)險(xiǎn)
4.1 系統(tǒng)軟件升級(jí)困難
工業(yè)控制設(shè)備廠商會(huì)定期發(fā)布工業(yè)控制軟件補(bǔ)丁,用于解決工業(yè)控制系統(tǒng)中的問題,但工業(yè)控制網(wǎng)絡(luò)以穩(wěn)定性為基礎(chǔ),頻繁升級(jí)補(bǔ)丁軟件,給系統(tǒng)的穩(wěn)定性帶來嚴(yán)重威脅,升級(jí)失敗或出錯(cuò)將造成整個(gè)系統(tǒng)的不可用,給工業(yè)生產(chǎn)帶來巨大的損失。
4.2 網(wǎng)絡(luò)時(shí)延要求高
與傳統(tǒng)互聯(lián)網(wǎng)不同,工業(yè)控制系統(tǒng)中,對(duì)控制信號(hào)的傳輸時(shí)延和傳輸可靠性要求非常高,數(shù)據(jù)必須在固定的時(shí)間內(nèi)可靠到達(dá)目標(biāo)系統(tǒng),數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來嚴(yán)重的問題。
4.3 病毒控制手段缺乏
工業(yè)控制網(wǎng)絡(luò)中很多控制設(shè)備單元都是封閉的系統(tǒng),無法通過病毒軟件進(jìn)行病毒清理,同時(shí)缺少病毒在控制網(wǎng)絡(luò)中傳播的控制手段,一旦感染病毒將傳播到整個(gè)工業(yè)控制網(wǎng)絡(luò),將給工業(yè)生產(chǎn)帶來嚴(yán)重影響。
4.4 工業(yè)控制協(xié)議多樣
工業(yè)控制網(wǎng)絡(luò)中存在多種控制協(xié)議,其中有大量的公有協(xié)議和私有協(xié)議,分布在網(wǎng)絡(luò)分層模型的多個(gè)層級(jí),針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊和病毒,承載在工業(yè)控制協(xié)議之上,需要采用深度DPI技術(shù)對(duì)工業(yè)控制網(wǎng)絡(luò)的安全威脅進(jìn)行識(shí)別和有效控制。
4.5 設(shè)備的多樣性
工業(yè)控制網(wǎng)絡(luò)的設(shè)備多種多樣,每種設(shè)備都具有各自的特點(diǎn),設(shè)備的安全等級(jí)參差不齊,給工業(yè)控制系統(tǒng)安全防護(hù)帶來很大困難。
4.6 行業(yè)工藝的多樣性
每個(gè)自來水廠都有多個(gè)工藝生產(chǎn)過程,組網(wǎng)連接及工藝設(shè)備都有一定的差異,工藝的多樣性給工業(yè)控制系統(tǒng)安全帶來隱患。
5 自來水廠控制系統(tǒng)漏洞分析
5.1 工業(yè)控制系統(tǒng)的漏洞
控制網(wǎng)絡(luò)中在運(yùn)行的電腦很少或沒有機(jī)會(huì)安裝全天候病毒防護(hù)或更新版本。另外,控制器的設(shè)計(jì)都以優(yōu)化實(shí)時(shí)的I/O功能為主,而并不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能。由于PLC等控制系統(tǒng)缺乏安全性設(shè)計(jì),所以PLC系統(tǒng)都是非常容易受到攻擊的對(duì)象,一般的黑客初學(xué)者能很容易地獲取入侵這些系統(tǒng)的工具。并且當(dāng)前國(guó)家基礎(chǔ)實(shí)施控制系統(tǒng)基本上被國(guó)外廠商壟斷,設(shè)備都存在漏洞和固件后門。核心技術(shù)受制于人,增加了諸多不可控因素。就系統(tǒng)面臨的風(fēng)險(xiǎn)可以暫時(shí)定位來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)和來自主機(jī)的風(fēng)險(xiǎn),具體可以從通信協(xié)議漏洞、操作系統(tǒng)漏洞、安全策略和管理流程漏洞、防病毒軟件漏洞、應(yīng)用軟件漏洞、多個(gè)網(wǎng)絡(luò)接口接入點(diǎn)、疏漏的網(wǎng)絡(luò)分割設(shè)計(jì)等方面進(jìn)行分析。
5.2 通信協(xié)議漏洞
兩化融合(企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò))和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPC Classic協(xié)議(OPC DA、OPC HAD和OPC A&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊,并且OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
本項(xiàng)目中涉及的下位機(jī)控制器為SchneiderElectric的PLC,上位機(jī)監(jiān)控軟件為Siemens WinCC組態(tài)軟件,其通訊方式必然采用通用的工業(yè)通信協(xié)議。傳統(tǒng)IT防火墻基于原目的地址加端口的防護(hù)策略,不能深度檢測(cè)建立在應(yīng)用層上的數(shù)據(jù)內(nèi)容,故基于工業(yè)通信協(xié)議能夠進(jìn)行深度分析控制的工業(yè)防火墻的使用勢(shì)在必行。參考標(biāo)準(zhǔn):《NIST SP800-82工業(yè)控制系統(tǒng)安全指南》表3-12網(wǎng)絡(luò)通信方面的脆弱性。
5.3 操作系統(tǒng)漏洞
本項(xiàng)目控制系統(tǒng)的工程師站、操作站、HMI都是基于Windows平臺(tái)的,為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性,同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行,通常現(xiàn)場(chǎng)工程師在系統(tǒng)開車后不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁。但存在的問題是,不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能,從而埋下安全隱患。
5.4 防病毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性,通常水處理相關(guān)工控系統(tǒng)操作站不允許安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是,其病毒庫需要不定期地經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后,導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
5.5 應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。互聯(lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如自來水處理廠以及其他大型設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,后果將不堪設(shè)想。
5.6 多個(gè)網(wǎng)絡(luò)接口接入點(diǎn)
自來水生產(chǎn)供給行業(yè)最大的安全隱患在于自來水的輸、配送管網(wǎng)線路鋪設(shè)范圍廣,通常采用大量的GPRS無線通訊方式進(jìn)行管網(wǎng)狀況的數(shù)據(jù)傳輸,傳輸?shù)臄?shù)據(jù)不加密,傳輸?shù)膱?bào)文容易被截獲,從而給非法入侵提供了可乘之機(jī)。
其次,自來水廠多采用成套系統(tǒng),生產(chǎn)設(shè)備與控制系統(tǒng)配套使用,嚴(yán)重依賴國(guó)外的產(chǎn)品與技術(shù),部分控制系統(tǒng)存在安全漏洞與固有后門。
在多個(gè)網(wǎng)絡(luò)事件中,原因都是源于對(duì)多個(gè)網(wǎng)絡(luò)端口進(jìn)入點(diǎn)疏于防護(hù),包括USB鑰匙、維修連接、筆記本電腦、非法連接等。
5.7 網(wǎng)絡(luò)分割設(shè)計(jì)的缺失
實(shí)際應(yīng)用中的許多控制網(wǎng)絡(luò)都是“敞開的”,不同的子系統(tǒng)之間都沒有有效的隔離,尤其是基于OPC、ModBus、PROFIBUS等通訊的工業(yè)控制網(wǎng)絡(luò),從而造成安全故障通過網(wǎng)絡(luò)迅速蔓延。
6 結(jié)語
本文通過對(duì)自來水廠控制系統(tǒng)的安全風(fēng)險(xiǎn)分析,自來水廠控制系統(tǒng)存在安全漏洞,面臨安全風(fēng)險(xiǎn),僅依靠防火墻等傳統(tǒng)互聯(lián)網(wǎng)安全設(shè)備無法滿足工業(yè)控制安全防護(hù)要求,工業(yè)控制安全防護(hù)需要針對(duì)工業(yè)控制系統(tǒng)專有的安全防護(hù)解決方案。
參考文獻(xiàn):
[1] 饒志宏, 蘭昆, 浦石. 工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M]. 北京:國(guó)防工業(yè)出版社, 2014, 5.
[2] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016.
作者簡(jiǎn)介
楊 超(1972-),女,天津人,高級(jí)工程師,本科,現(xiàn)就職于中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司,主要從事給水、排水工程自動(dòng)化系統(tǒng)的設(shè)計(jì)與研究。
劉 杰(1971-),男,山東萊州人,教授級(jí)高工,本科,現(xiàn)任中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司第一設(shè)計(jì)研究院副總工程師,主要從事電氣工程及自動(dòng)化方面的設(shè)計(jì)研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)