工業控制網路漏洞安全防護措施
阿新 • • 發佈:2019-02-14
隨著工業化與資訊化的融合推進,以及乙太網技術在工業控制系統中的大量應用,病毒和木馬對SCADA系統的攻擊事件頻發,直接影響到公共基礎設施的安全,造成的損失不可估量。因此,目前國內外生產企業都是否重視工業控制系統的安全防護建設。但由於工控網路存在著特殊性,商用的資訊保安技術無法完全適用,解決工業控制系統安全需要有針對性地實施特殊措施。
工業控制網路的安全漏洞
對工控系統而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意程式碼
病毒氾濫也是總所周知的安全隱患。在全球範圍內,每年都會發生數次大規模的病毒爆發,而全球現已發現數萬種病毒,每天還會新生數十餘種。除了傳統意義上的具有自我複製能力、但必須寄生在其它實用程式中的病毒種類外,各種新型的惡意程式碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強的傳播能力和破壞性。如蠕蟲病毒和傳統病毒相比,其最大的不同在於可以進行自我複製,傳統病毒的複製過程需要依賴人工干預,而蠕蟲卻可以自己獨立完成,破壞性和生命力自然強大得多。
2、SCADA系統軟體的漏洞
國家資訊保安漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業控制系統軟體安全漏洞,較2010年大幅增長近10倍,這些漏洞涉及西門子等國內外知名工業控制系統製造商的產品。
3、作業系統安全漏洞
PC與Windows的技術架構現已成為控制系統上位機/操作站的主流,而在控制網路中,操作站是實現與MES通訊的主要網路結點,因此其作業系統的漏洞就成為了整個控制網路資訊保安中的一個短板。
4、網路通訊協議安全漏洞
隨著TCP/IP協議被控制網路普遍採用,網路通訊協議漏洞問題變得越來越突出。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網路,這一網路是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,並未考慮也無法相容解決來自網路中和網際間的大量安全問題。當其推廣到社會的應用環境後,安全問題就發生了。所以說,TCP/IP在先天上就存在著致命的設計性安全漏洞。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程,也給工業控制系統資訊保安帶來了一定威脅。
應該採取的安全防護策略
工業控制系統的安全防護需要考慮每一個細節。從現場I/O裝置、控制器,到操作站的計算機作業系統,工業控制網路中同時存在保障工業系統的工業控制網路和保障生產經營的辦公網路,考慮到不同業務終端的安全性與故障容忍程度的不同,防禦策略和保障措施應該按照等級進行劃分,而實施分層次的縱深防禦架構需要分別採取不同的對應手段,構築從整體到細節的立體防禦體系。
首先,可實施網路物理隔離。
根據公安部制定的《GA370-2001端裝置隔離部件安全技術要求》的定義,物理隔離的含義是:公共網路和專網在網路物理連線上是完全隔離的,且沒有任何公用的儲存資訊。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬碟、軟盤和光碟),計算機資料不能被重用(至少應包括記憶體)。
資訊保安是一個體系防護的概念,網路物理隔離技術不可能解決所有資訊保安問題,但能大大提高網路的安全性和可控性,能徹底消除內部網路遭受外部網路侵入和破壞的可能性,從而大大減少網路中的不安全因素,縮小追蹤網路中非法使用者和黑客的範圍。目前存在的安全問題,對網路隔離技術而言在理論上都不存在,這就是各國政府和軍方都大力推行網路隔離技術的主要原因。
網路隔離技術目前已經發展到了第五代。第一代隔離技術實際上是將網路進行物理上的分開,形成資訊孤島;第二代採用硬體卡隔離技術;第三代採用資料轉發隔離技術;第四代採用的是空氣開關隔離技術;而第五代隔離技術採用了安全通道隔離技術。基於安全通道的最新隔離技術通過專用通訊硬體和專有安全協議等安全機制,來實現內外部網路的隔離和資料交換,不僅解決了以前隔離技術存在的問題,還能有效地把內外部網路隔離開來,而且高效地實現了內外網資料的安全交換,透明支援多種網路應用,成為當前隔離技術的發展方向。
總的來說,網路隔離技術的主要目標是解決工業控制系統中的各種漏洞:作業系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連線漏洞、安全策略漏洞等,網路隔離也是目前唯一能解決上述問題的安全技術。
另外還可以構建網路防火牆。
網路防火牆通過設定不同的安全規則來控制裝置或系統之間的資料流,在實際應用中主要用於分析與網際網路連線的TCP/IP協議簇。防火牆在網路中使用的前提是必須保證網路的連通性,其通過規則設定和協議分析,來限制和過濾那些對管理比較敏感、不安全的資訊,防止未經授權的訪問。由於工業控制與商用網路的差異,常規的網路安全設定規則用在控制網路上就會存在很多問題。只有正確地設計、配置和維護硬體防火牆的規則,才可以保護工業控制網路系統的安全環境。建議設定的特殊規則包括:
1、SCADA和工業協議。MODBUS/TCP、EtherNet/IP和DNP3等在工業控制系統中被大量使用,但是這些協議在設計時沒有安全加密機制,通常也不會要求任何認證便可以在遠端對一個控制裝置執行命令。這些協議應該只被允許在控制網路單向傳輸,不准許在辦公網路穿透到控制網路。能夠完成這一功能的工業防火牆或者安全路由器,通常被部署在具有乙太網介面的I/O裝置和控制器上,從而避免因裝置聯網而造成的病毒攻擊或廣播風暴,還可以避免各子系統間的病毒攻擊和干擾。
2、分散式元件物件模型(DCOM)。在過程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它運用了微軟的遠端過程呼叫服務。該服務有很多的漏洞,很多病毒都會利用這個弱點獲取系統許可權。此外OPC也利用DCOM動態地開啟任意埠,這在防火牆中進行過濾是非常困難的。通用防火牆無法完成對OPC協議的規則限制,如果必須需要該協議,則要求控制網路、網路之間必須物理分開,將控制網路和企業網路橫向隔離。
3、超文字傳輸協議(HTTP)。一般來說,HTTP不應該被允許從企業管理網透過進入控制網路,因為他們會帶來重大安全風險。如果HTTP服務到控制網路是絕對必需的,那麼在防火牆中需要通過HTTP代理配置來阻止所有執行指令碼和Java應用程式,而且特定的裝置使用HTTPS更安全。
4、限制檔案傳輸協議(FTP)。FTP用於在裝置之間傳輸、交換檔案,在SCADA、dcs、plc、RTU等系統中都有應用。FTP協議並沒有任何安全原則,登入密碼不加密,有些FTP為了實現歷史緩衝區而出現溢位的漏洞,所以應配置防火牆規則阻塞其通訊。如果FTP通訊不能被要求禁止,通過FTP輸出資料時,應額外增加多個特徵碼授權認證,並提供加密的通訊隧道。
5、簡單郵件傳輸協議(SMTP)。SMTP在網際網路上是主要的電子郵件傳輸協議。電子郵件經常包含惡意程式碼程式,所以不應允許以任何控制網路裝置接收電子郵件,SMTP郵件應主要用於從控制網路到辦公網路之間輸出傳送報警資訊。
工業控制網路的安全漏洞
對工控系統而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意程式碼
病毒氾濫也是總所周知的安全隱患。在全球範圍內,每年都會發生數次大規模的病毒爆發,而全球現已發現數萬種病毒,每天還會新生數十餘種。除了傳統意義上的具有自我複製能力、但必須寄生在其它實用程式中的病毒種類外,各種新型的惡意程式碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強的傳播能力和破壞性。如蠕蟲病毒和傳統病毒相比,其最大的不同在於可以進行自我複製,傳統病毒的複製過程需要依賴人工干預,而蠕蟲卻可以自己獨立完成,破壞性和生命力自然強大得多。
2、SCADA系統軟體的漏洞
國家資訊保安漏洞共享平臺在2011年收錄了100多個對我國影響廣泛的工業控制系統軟體安全漏洞,較2010年大幅增長近10倍,這些漏洞涉及西門子等國內外知名工業控制系統製造商的產品。
3、作業系統安全漏洞
PC與Windows的技術架構現已成為控制系統上位機/操作站的主流,而在控制網路中,操作站是實現與MES通訊的主要網路結點,因此其作業系統的漏洞就成為了整個控制網路資訊保安中的一個短板。
4、網路通訊協議安全漏洞
隨著TCP/IP協議被控制網路普遍採用,網路通訊協議漏洞問題變得越來越突出。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網路,這一網路是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,並未考慮也無法相容解決來自網路中和網際間的大量安全問題。當其推廣到社會的應用環境後,安全問題就發生了。所以說,TCP/IP在先天上就存在著致命的設計性安全漏洞。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程,也給工業控制系統資訊保安帶來了一定威脅。
應該採取的安全防護策略
工業控制系統的安全防護需要考慮每一個細節。從現場I/O裝置、控制器,到操作站的計算機作業系統,工業控制網路中同時存在保障工業系統的工業控制網路和保障生產經營的辦公網路,考慮到不同業務終端的安全性與故障容忍程度的不同,防禦策略和保障措施應該按照等級進行劃分,而實施分層次的縱深防禦架構需要分別採取不同的對應手段,構築從整體到細節的立體防禦體系。
首先,可實施網路物理隔離。
根據公安部制定的《GA370-2001端裝置隔離部件安全技術要求》的定義,物理隔離的含義是:公共網路和專網在網路物理連線上是完全隔離的,且沒有任何公用的儲存資訊。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬碟、軟盤和光碟),計算機資料不能被重用(至少應包括記憶體)。
資訊保安是一個體系防護的概念,網路物理隔離技術不可能解決所有資訊保安問題,但能大大提高網路的安全性和可控性,能徹底消除內部網路遭受外部網路侵入和破壞的可能性,從而大大減少網路中的不安全因素,縮小追蹤網路中非法使用者和黑客的範圍。目前存在的安全問題,對網路隔離技術而言在理論上都不存在,這就是各國政府和軍方都大力推行網路隔離技術的主要原因。
網路隔離技術目前已經發展到了第五代。第一代隔離技術實際上是將網路進行物理上的分開,形成資訊孤島;第二代採用硬體卡隔離技術;第三代採用資料轉發隔離技術;第四代採用的是空氣開關隔離技術;而第五代隔離技術採用了安全通道隔離技術。基於安全通道的最新隔離技術通過專用通訊硬體和專有安全協議等安全機制,來實現內外部網路的隔離和資料交換,不僅解決了以前隔離技術存在的問題,還能有效地把內外部網路隔離開來,而且高效地實現了內外網資料的安全交換,透明支援多種網路應用,成為當前隔離技術的發展方向。
總的來說,網路隔離技術的主要目標是解決工業控制系統中的各種漏洞:作業系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連線漏洞、安全策略漏洞等,網路隔離也是目前唯一能解決上述問題的安全技術。
另外還可以構建網路防火牆。
網路防火牆通過設定不同的安全規則來控制裝置或系統之間的資料流,在實際應用中主要用於分析與網際網路連線的TCP/IP協議簇。防火牆在網路中使用的前提是必須保證網路的連通性,其通過規則設定和協議分析,來限制和過濾那些對管理比較敏感、不安全的資訊,防止未經授權的訪問。由於工業控制與商用網路的差異,常規的網路安全設定規則用在控制網路上就會存在很多問題。只有正確地設計、配置和維護硬體防火牆的規則,才可以保護工業控制網路系統的安全環境。建議設定的特殊規則包括:
1、SCADA和工業協議。MODBUS/TCP、EtherNet/IP和DNP3等在工業控制系統中被大量使用,但是這些協議在設計時沒有安全加密機制,通常也不會要求任何認證便可以在遠端對一個控制裝置執行命令。這些協議應該只被允許在控制網路單向傳輸,不准許在辦公網路穿透到控制網路。能夠完成這一功能的工業防火牆或者安全路由器,通常被部署在具有乙太網介面的I/O裝置和控制器上,從而避免因裝置聯網而造成的病毒攻擊或廣播風暴,還可以避免各子系統間的病毒攻擊和干擾。
2、分散式元件物件模型(DCOM)。在過程控制中,OLE和ProfiNet(OPC)是使用DCOM的,它運用了微軟的遠端過程呼叫服務。該服務有很多的漏洞,很多病毒都會利用這個弱點獲取系統許可權。此外OPC也利用DCOM動態地開啟任意埠,這在防火牆中進行過濾是非常困難的。通用防火牆無法完成對OPC協議的規則限制,如果必須需要該協議,則要求控制網路、網路之間必須物理分開,將控制網路和企業網路橫向隔離。
3、超文字傳輸協議(HTTP)。一般來說,HTTP不應該被允許從企業管理網透過進入控制網路,因為他們會帶來重大安全風險。如果HTTP服務到控制網路是絕對必需的,那麼在防火牆中需要通過HTTP代理配置來阻止所有執行指令碼和Java應用程式,而且特定的裝置使用HTTPS更安全。
4、限制檔案傳輸協議(FTP)。FTP用於在裝置之間傳輸、交換檔案,在SCADA、dcs、plc、RTU等系統中都有應用。FTP協議並沒有任何安全原則,登入密碼不加密,有些FTP為了實現歷史緩衝區而出現溢位的漏洞,所以應配置防火牆規則阻塞其通訊。如果FTP通訊不能被要求禁止,通過FTP輸出資料時,應額外增加多個特徵碼授權認證,並提供加密的通訊隧道。
5、簡單郵件傳輸協議(SMTP)。SMTP在網際網路上是主要的電子郵件傳輸協議。電子郵件經常包含惡意程式碼程式,所以不應允許以任何控制網路裝置接收電子郵件,SMTP郵件應主要用於從控制網路到辦公網路之間輸出傳送報警資訊。
6、簡單網路管理協議(SNMP)。SNMP是網路管理服務中心,提供管理控制檯與裝置如網路裝置、印表機、PLC之間的監控,並制定管理的會話規則。從運維角度看,SNMP是非常有用的服務,但在安全方面存在很多問題。SNMPV1和SNMPV2C的安全機制比較脆弱,通訊不加密,所有通訊字串和資料都以明文形式傳送。攻擊者一旦捕獲了網路通訊,就可以利用各種嗅探軟體直接獲取通訊字串,即使使用者改變了通訊字串的預設值也無濟於事。SNMPV3解決了上述安全性問題,但卻沒有被廣泛使用。從控制網中使用SNMPV1和V2C的命令都應被禁止,除非它是一個完全獨立的信任管理網路。而即使裝置已經支援SNMPV3,許多廠商使用的還是標準的通訊字串,存在重大安全隱患。因此,雖然SNMPV3比以前的版本提供了更多的安全特性,如果配置不當,其實際效果仍舊有限,這一點也需要引起足夠的重視。
由工控資料窩整理髮布。