论文部分内容阅读
工业控制系统(简称ICS)是由各种自动化控制组件以及实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
目前ICS广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠ICS来实现自动化作业,ICS安全已是国家安全战略的重要组成部分。
近年来,国内工业企业屡屡发生由于工控安全导致的事故,有的是因为感染电脑病毒,有的是因为TCP/IP协议栈存在明显缺陷,有的是由于操作间员工违规操作带入病毒。比如,2011年某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度的中断。又如,2014年某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件,带入病毒在控制网扩散。还有一个案例是,江苏某地级市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
ICS安全事故频发,引起了相关各方和国家高层的重视。2014年12月,工控系统信息安全国家标准GB/T30976-2014首次发布,基本满足工业控制系统的用户、系统集成商、设备生产商等各方面的使用。国家标准的发布,极大地促进了工控系统信息安全的发展。
我国ICS网络安全发展现状
据工信部电子科学技术情报研究所数据显示,2012年,中国工业控制系统信息安全市场已达到11亿元,未来5年仍将保持年均15%的增长速度。而据工控网的预测,中国工业网络安全市场有望在2015年达到超过20亿元的规模,并以每年超过30%的复合增长率发展。
从行业来看,油气、石化、化工、电力、冶金、烟草为核心应用行业,其他行业规模相对较小。石化行业在工控安全方面走在所有行业的前列。从2009年开始,石化行业开始部署加拿大多芬诺公司的工控防火墙,主要用在OPC防护场景。燕山石化、齐鲁石化及大庆石化等多家国内大型石化企业都有较多部署。电力行业的网络安全主要基于《电力二次系统安全防护规定》、《电力二次系统安全防护评估管理办法》、《电力行业工控信息安全监督管理暂行规定》以及配套文件等电力工控信息安全各项规定和要求,其对于真正意义上的工控安全的项目实施,基本还处于探索阶段。目前实际的动作是在全网排查整改某品牌PLC、工业交换机的信息安全风险,并开展其它工控设备信息安全漏洞的检测排查工作,对发现的安全漏洞进行上报处理。冶金行业目前已开始进行工控安全的实地部署,由于冶金行业大量采用了西门子、罗克韦尔、ABB、TEMIC(东芝三菱)、Yaskawa(日本安川)等国外品牌的PLC,因此冶金行业对于PLC的安全防护非常重视。
工控安全厂商分析
工控安全厂商作为市场中最主要的、最活跃的推动力量,在工控安全市场中扮演着非常重要的角色。其中以有工控背景的信息安全厂商为主,传统的IT类信息安全供应商介入速度加快。
力控华康, 脱胎于力控集团,借助多年积淀的工业领域行业经验,以及工控行业监控软件和工业协议分析处理技术,成功研发出适用于工业控制系统的工业隔离网关pSafetyLink、工业通信网关pFieldComm和工业防火墙HC-ISG等系列产品,受到市场的广泛认可。
海天炜业,即青岛多芬诺,作为从2009年即在中国市场推广工业防火墙的行业先驱,在多年的市场积累中,彻底脱胎换骨,从一家传统的自动化系统维保公司成功转型为一家专业的工控网络安全解决方案提供者;尤其是在2014年4月22日发布的新一代自研“Guard”工业防火墙,受到行业一致好评。
中科网威,作为参与过中国多项网络安全国标编写的厂商,凭借多年对用户需求的潜心研究,推出了拥有软硬件完全自主知识产权自主品牌“ANYSEC”,ANYSEC系列产品包括IPSEC/SSL VPN、流控管理、上网行为管理、中科网警、联动数字平台等多功能的IT安全网关产品,获得广大用户的一致好评。
三零卫士,是中国电子科技集团公司电子第三十研究所下属企业,在2014年成功推出了自研的工控防火墙,同时也推出了自己的“固隔监”整体工控安全防护体系,得到了行业内外的广泛关注。
ICS存在网络安全问题的根源及安全防护
研究发现,我国ICS存在网络安全问题的根源主要是以下几点:
第一,缺乏完整有效的安全策略与管理流程。经研究发现,ICS以可用性为第一位,追求系统的稳定可靠运行是管理人员关注的重点,而把安全性放在次要的地位。这是很多ICS存在的普遍现象。缺乏完整有效的安全策略与管理流程是当前我国ICS的最大难题。很多ICS实施了安全防御措施,但由于管理或操作上的失误,如移动存储介质的使用等,仍然会造成安全事故。
第二,工控平台比较脆弱。目前,多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。而且,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是,工业控制系统的补丁管理效果始终无法令人满意。同时,工业系统补丁动辄半年的补丁发布周期,也让攻击者有较多的时间来利用已存在的漏洞发起攻击。
第三,ICS网络比较脆弱。通过以太网技术的引入让ICS变得智能,也让工业控制网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前ICS网络的脆弱性体现在:边界安全策略缺失、系统安全防制机制缺失、管理制度缺失、网络配置规范缺失、监控与应急响应制度缺失、网络通信保障机制缺失、无线网络接入认证机制缺失、基础设施可用性保障机制缺失等。
为解决网络安全问题,我们建议:
第一,加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对性的解决方案和安全保护措施。
第二,尽可能采用安全的通信协议及规范,并提供协议异常性检测能力。
第三,建立针对ICS的违规操作、越权访问等行为的有效监管。
第四,建立完善的ICS安全保障体系,加强安全运维与管理。
第五,加强针对ICS的新型攻击技术(如APT)的防范研究。
其实,工业安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程。工业安全需要工控系统的管理方、运营方、集成商与组件提供商的共同参与、协同工作。目前,部署纵深防御是工业领域应对安全挑战的现实方法。工业安全同时是一个动态过程,需要在整个工业基础设施生命周期的各个阶段中持续实施,不断改进。
目前ICS广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠ICS来实现自动化作业,ICS安全已是国家安全战略的重要组成部分。
近年来,国内工业企业屡屡发生由于工控安全导致的事故,有的是因为感染电脑病毒,有的是因为TCP/IP协议栈存在明显缺陷,有的是由于操作间员工违规操作带入病毒。比如,2011年某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度的中断。又如,2014年某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件,带入病毒在控制网扩散。还有一个案例是,江苏某地级市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
ICS安全事故频发,引起了相关各方和国家高层的重视。2014年12月,工控系统信息安全国家标准GB/T30976-2014首次发布,基本满足工业控制系统的用户、系统集成商、设备生产商等各方面的使用。国家标准的发布,极大地促进了工控系统信息安全的发展。
我国ICS网络安全发展现状
据工信部电子科学技术情报研究所数据显示,2012年,中国工业控制系统信息安全市场已达到11亿元,未来5年仍将保持年均15%的增长速度。而据工控网的预测,中国工业网络安全市场有望在2015年达到超过20亿元的规模,并以每年超过30%的复合增长率发展。
从行业来看,油气、石化、化工、电力、冶金、烟草为核心应用行业,其他行业规模相对较小。石化行业在工控安全方面走在所有行业的前列。从2009年开始,石化行业开始部署加拿大多芬诺公司的工控防火墙,主要用在OPC防护场景。燕山石化、齐鲁石化及大庆石化等多家国内大型石化企业都有较多部署。电力行业的网络安全主要基于《电力二次系统安全防护规定》、《电力二次系统安全防护评估管理办法》、《电力行业工控信息安全监督管理暂行规定》以及配套文件等电力工控信息安全各项规定和要求,其对于真正意义上的工控安全的项目实施,基本还处于探索阶段。目前实际的动作是在全网排查整改某品牌PLC、工业交换机的信息安全风险,并开展其它工控设备信息安全漏洞的检测排查工作,对发现的安全漏洞进行上报处理。冶金行业目前已开始进行工控安全的实地部署,由于冶金行业大量采用了西门子、罗克韦尔、ABB、TEMIC(东芝三菱)、Yaskawa(日本安川)等国外品牌的PLC,因此冶金行业对于PLC的安全防护非常重视。
工控安全厂商分析
工控安全厂商作为市场中最主要的、最活跃的推动力量,在工控安全市场中扮演着非常重要的角色。其中以有工控背景的信息安全厂商为主,传统的IT类信息安全供应商介入速度加快。
力控华康, 脱胎于力控集团,借助多年积淀的工业领域行业经验,以及工控行业监控软件和工业协议分析处理技术,成功研发出适用于工业控制系统的工业隔离网关pSafetyLink、工业通信网关pFieldComm和工业防火墙HC-ISG等系列产品,受到市场的广泛认可。
海天炜业,即青岛多芬诺,作为从2009年即在中国市场推广工业防火墙的行业先驱,在多年的市场积累中,彻底脱胎换骨,从一家传统的自动化系统维保公司成功转型为一家专业的工控网络安全解决方案提供者;尤其是在2014年4月22日发布的新一代自研“Guard”工业防火墙,受到行业一致好评。
中科网威,作为参与过中国多项网络安全国标编写的厂商,凭借多年对用户需求的潜心研究,推出了拥有软硬件完全自主知识产权自主品牌“ANYSEC”,ANYSEC系列产品包括IPSEC/SSL VPN、流控管理、上网行为管理、中科网警、联动数字平台等多功能的IT安全网关产品,获得广大用户的一致好评。
三零卫士,是中国电子科技集团公司电子第三十研究所下属企业,在2014年成功推出了自研的工控防火墙,同时也推出了自己的“固隔监”整体工控安全防护体系,得到了行业内外的广泛关注。
ICS存在网络安全问题的根源及安全防护
研究发现,我国ICS存在网络安全问题的根源主要是以下几点:
第一,缺乏完整有效的安全策略与管理流程。经研究发现,ICS以可用性为第一位,追求系统的稳定可靠运行是管理人员关注的重点,而把安全性放在次要的地位。这是很多ICS存在的普遍现象。缺乏完整有效的安全策略与管理流程是当前我国ICS的最大难题。很多ICS实施了安全防御措施,但由于管理或操作上的失误,如移动存储介质的使用等,仍然会造成安全事故。
第二,工控平台比较脆弱。目前,多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。而且,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是,工业控制系统的补丁管理效果始终无法令人满意。同时,工业系统补丁动辄半年的补丁发布周期,也让攻击者有较多的时间来利用已存在的漏洞发起攻击。
第三,ICS网络比较脆弱。通过以太网技术的引入让ICS变得智能,也让工业控制网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前ICS网络的脆弱性体现在:边界安全策略缺失、系统安全防制机制缺失、管理制度缺失、网络配置规范缺失、监控与应急响应制度缺失、网络通信保障机制缺失、无线网络接入认证机制缺失、基础设施可用性保障机制缺失等。
为解决网络安全问题,我们建议:
第一,加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对性的解决方案和安全保护措施。
第二,尽可能采用安全的通信协议及规范,并提供协议异常性检测能力。
第三,建立针对ICS的违规操作、越权访问等行为的有效监管。
第四,建立完善的ICS安全保障体系,加强安全运维与管理。
第五,加强针对ICS的新型攻击技术(如APT)的防范研究。
其实,工业安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程。工业安全需要工控系统的管理方、运营方、集成商与组件提供商的共同参与、协同工作。目前,部署纵深防御是工业领域应对安全挑战的现实方法。工业安全同时是一个动态过程,需要在整个工业基础设施生命周期的各个阶段中持续实施,不断改进。