今日頭條
官方微信
官方抖音
資訊頻道2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施,震驚全球。這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設(shè)施等核心關(guān)鍵系統(tǒng)的“硬摧毀”階段。應(yīng)對高級持續(xù)性威脅(AdvancedPersistent Threat, APT)攻擊已成為確保國家關(guān)鍵基礎(chǔ)設(shè)施安全、保障國家安全的核心問題。根據(jù)APT攻擊的威脅形式,工業(yè)控制系統(tǒng)面臨的安全問題主要包括以下幾個方面:
(1)控制器和操作站之間無隔離防護(hù)。PLC、RTU等現(xiàn)場設(shè)備非常脆弱,易受攻擊而導(dǎo)致崩潰。
(2)DCS系統(tǒng)和上層數(shù)采網(wǎng)絡(luò)之間無隔離防護(hù)。WINDOWS平臺的控制系統(tǒng)工作站感染病毒和傳播危害極大,目前缺乏用于工業(yè)協(xié)議的防火墻。
(3)APC和其它網(wǎng)絡(luò)無安全防護(hù)。APC經(jīng)常和外界接觸,易受感染。
(4)OPC server無操作權(quán)限記錄。不同的用戶對OPC數(shù)據(jù)項(xiàng)的添加、瀏覽、讀/寫等操作設(shè)定不同的權(quán)限,目前做不到深入檢查。
(5)網(wǎng)絡(luò)事件無法追蹤記錄。對網(wǎng)絡(luò)故障進(jìn)行快速診斷,記錄、存儲、分析為減少事故帶來的損失和加強(qiáng)日后的事件管理帶來很大的方便。
為什么APT攻擊能夠成功威脅到工業(yè)控制系統(tǒng)?
首先,工業(yè)控制系統(tǒng)的安全策略與管理流程不完善。主要表現(xiàn)為:缺乏工業(yè)控制系統(tǒng)的安全培訓(xùn)與意識培養(yǎng)、缺乏安全架構(gòu)與設(shè)計(jì)、缺乏安全審計(jì)、缺乏業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃等安全策略文檔與管理支持。
其次,工業(yè)控制系統(tǒng)的系統(tǒng)平臺存在安全隱患。主要表現(xiàn)為:(1)操作系統(tǒng)存在漏洞;(2)硬件平臺存在隱患;(3)防病毒體系不健全。
最后,工業(yè)控制網(wǎng)絡(luò)存在脆弱性。主要體現(xiàn)在:
(1)網(wǎng)絡(luò)配置的脆弱性表現(xiàn)為有缺陷的網(wǎng)絡(luò)安全架構(gòu)、口令傳輸未加密等;
(2)網(wǎng)絡(luò)硬件的脆弱性表現(xiàn)為未保護(hù)的物理端口、關(guān)鍵網(wǎng)絡(luò)缺乏冗余備份等;
(3)網(wǎng)絡(luò)邊界的脆弱性表現(xiàn)為未定義安全邊界、控制網(wǎng)絡(luò)傳輸而非控制網(wǎng)絡(luò)流量等;
(4) 網(wǎng)絡(luò)通信的脆弱性表現(xiàn)為未標(biāo)志出關(guān)鍵監(jiān)控與控制路徑,通信缺乏完整性檢查等。
根據(jù)上述分析,排除安全策略、防護(hù)缺陷等外在因素,工業(yè)控制系統(tǒng)自身的漏洞是帶來嚴(yán)重安全隱患的根本原因,而工控設(shè)備作為工業(yè)控制系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施,它的漏洞問題不容忽視。
下面,以液位控制系統(tǒng)為例說明工業(yè)病毒如何利用工業(yè)漏洞進(jìn)行攻擊。液位控制系統(tǒng)演示平臺模擬了煉油、化工生產(chǎn)工藝中液體凈化中液位控制過程。此演示平臺針對上位機(jī)軟件的漏洞,模擬“Stuxnet”病毒攻擊的效果,使底層凈化罐設(shè)備液位失控,而上位機(jī)監(jiān)控畫面仍然顯示正常。其中上位機(jī)軟件的漏洞信息如表1所示。
漏洞簡介:KingView中存在基于堆的緩沖區(qū)溢出漏洞,該漏洞源于對用戶提供的輸入未經(jīng)正確驗(yàn)證。攻擊者可利用該漏洞在運(yùn)行應(yīng)用程序的用戶上下文中執(zhí)行任意代碼,攻擊失敗可能導(dǎo)致拒絕服務(wù)。KingView
6.53.2010.18018版本中存在該漏洞,其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長請求執(zhí)行任意代碼。
表1 SCADA系統(tǒng)漏洞信息
當(dāng)系統(tǒng)正常運(yùn)行未受到攻擊時(shí),運(yùn)行狀態(tài)如圖1所示。
圖1 系統(tǒng)正常運(yùn)行的狀態(tài)
當(dāng)上位機(jī)插入帶有病毒的U盤后,上位機(jī)系統(tǒng)感染工業(yè)病毒,液位控制系統(tǒng)無法正常運(yùn)行,病毒感染后的系統(tǒng)運(yùn)行狀態(tài)如圖2所示。
圖2 病毒感染后的系統(tǒng)狀態(tài)
從以上的例子可以得出結(jié)論:由于KingView中存在基于堆的緩沖區(qū)溢出漏洞,病毒利用該漏洞執(zhí)行惡意操作,使得上位機(jī)HMI顯示與實(shí)際不符,即當(dāng)液位控制系統(tǒng)出現(xiàn)液位已經(jīng)超過警戒線時(shí),不能及時(shí)排出罐中液體,并且該漏洞的存在可使中控室中的HMI仍然顯示正常,因此在工作人員無法察覺的情況下,造成一定經(jīng)濟(jì)損失,嚴(yán)重時(shí),可導(dǎo)致重大事故。
如圖3所示,當(dāng)將中科工業(yè)防火墻置于PLC與上位機(jī)HMI之間,并再次插入帶有病毒的U盤時(shí),可以觀察到,上位機(jī)界面顯示正常,并且執(zhí)行系統(tǒng)并未發(fā)生任何故障。
圖3 中科工業(yè)防火墻的防護(hù)效果
中科工業(yè)防火墻SIA-IF1000-02TX基于工業(yè)級設(shè)計(jì),面向工控協(xié)議的應(yīng)用數(shù)據(jù)深度解析與檢測,具有良好的防護(hù)效果。其結(jié)構(gòu)如圖4所示,技術(shù)參數(shù)如表2所示,產(chǎn)品特點(diǎn)如下:
表2 SIA-IF1000-02TX技術(shù)參數(shù)
·基于“區(qū)域”與“管道”的安全防護(hù)模型;
·工業(yè)級設(shè)計(jì)低功耗無風(fēng)扇,工業(yè)級防腐設(shè)計(jì),導(dǎo)軌式安裝;
·面向工控協(xié)議的應(yīng)用數(shù)據(jù)深度防御;
·兼容所有PLC、HMI、RTU等工業(yè)控制設(shè)備;
·基于規(guī)則策略的訪問控制和Syslog的實(shí)時(shí)報(bào)警技術(shù);
·通過管控軟件應(yīng)用安全的通信方式進(jìn)行組態(tài);
·電源采用12VDC電壓冗余供電,提高硬件可靠性;
·多模式運(yùn)行包括直通、管控和自學(xué)習(xí)模式。
圖4 中科工業(yè)防火墻的結(jié)構(gòu)
圖5 天然氣長輸管道 SCADA系統(tǒng)中工業(yè)防火墻的部署
中科工業(yè)防火墻的典型部署結(jié)構(gòu)如圖5所示。中科工業(yè)防火墻分別位于管理層與控制層之間和控制層內(nèi)部,分別用于OPC解析與防護(hù)和Modbus解析與防護(hù)。位于管理層與控制層之間的中科工業(yè)防火墻可以起到分區(qū)隔離,避免病毒擴(kuò)散的目的。位于控制層內(nèi)部的中科工業(yè)防火墻可以起到保護(hù)控制器,阻止對控制器的任何非法訪問及控制的目的。
作者簡介
尚文利(1974-),黑龍江北安人,副研究員,博士,碩士研究生導(dǎo)師,現(xiàn)為中國科學(xué)院沈陽自動化研究所副研究員,主要研究方向?yàn)橛?jì)算智能與機(jī)器學(xué)習(xí)、智能檢測與故障診斷、工業(yè)控制系統(tǒng)信息安全。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號