企业工控系统面临严峻的信息安全形势,全球重大工控系统安全事件频繁发生。国家层面对工控系统信息安全问题的高度重视,以及工控系统存在的重大安全风险,要求企业加强工控系统信息安全防护能力以应对日益严峻的安全风险与挑战。
本文从工控系统安全服务的视角,阐述如何有针对性的解决工控系统信息安全的诸多问题。
工控系统信息安全面临严峻的挑战
近年来,全球针对工控系统的网络攻击事件不断发生,对各个国家的经济运行和企业安全生产造成了巨大的影响。
2010年11月,伊朗核设施遭震网病毒攻击,离心机严重受损,被迫推迟发电;2015年12月,乌克兰电网遭攻击,导致大规模停电,影响140万居民达数小时;同时乌克兰电网被攻击,也是全球首个国家电网遭受网络攻击的安全事件。2017年“永恒之蓝”勒索病毒的爆发波及了100多个国家,影响到电力、能源、交通、智能制造等多个重要行业;2019年3月和6月,海德鲁铝业、ASCO公司相继遭勒索攻击而停产;同年10月,印度核电站遭网络攻击,第二核电机组停止运行。
在国内,多家企业的工业主机遭受勒索病毒攻击,企业不同程度的停工停产,造成了巨大的经济损失和社会影响,涉及汽车生产、智能制造、能源、电力、烟草等行业。
我国高度重视网络安全问题并采取了一系列相应举措。总书记在全国网络安全和信息化工作会议上发表讲话提出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”总书记的讲话与《网络安全法》的发布和实施,将网络安全的重要性提升到国家层面,国家主管部门和行业监管部门都在各自负责的范围内进行严格的监督管理。同时,《网络安全法》、《关基保护条例》、《刑法》等法规,对网络服务提供者和企业负责人提出了更加严格的要求。当关键信息基础设施发生重大网络安全事件时,造成责任事故的,对网络安全服务机构及企业第一责任人依法追究其责任。此外还加强了行政监管层面的网络安全事件处罚力度,使企业负责人更加重视企业的网络安全建设和防护效果,推动了网络安全与工控系统信息安全的发展,减少了网络安全事件的发生。
工控系统的技术与管理安全风险
工控系统信息安全风险通常分为技术部分和管理部分。技术部分主要包括边界防护、监测审计、主机防护,管理部分主要涉及安全管理制度与机制以及安全应急事件的处置能力等方面。
技术部分的风险主要来自三个方面。
在边界防护方面,存在边界防护措施缺失或失效问题。
为有效管控风险,需要做到合理的分区分域,具体体现在生产网内部不同业务系统之间的界限划分以及工控网络同外部之间的有效隔离。多数企业的工控系统信息安全负责人认为,企业的工控系统为独立的生产网络,在没有与互联网连接或者已经使用了防火墙等防护措施时是非常安全的。但是,在实际的企业工控系统中,除了部分简单的生产系统存在物理隔离外,其他复杂的生产系统均与企业的办公网存在着或多或少的业务连接,企业未做到将工控系统的业务进行梳理并独立组网,并且在与办公网进行交互时,未做到出口唯一。在此情况下,即使部署了边界防护设备,也没有起到边界防护应有的效果。同时由于边界防护设备错误的访问控制策略, Any to Any的配置大量存在,使得攻击者很容易以企业办公网为跳板,进入到生产网进行恶意操作。
在监测审计方面,存在缺少监测审计措施和能力不足的风险。
边界防护无法解决网络入侵的所有问题,因此需要增加企业生产网内部的事件监测和行为审计的能力。多数工业企业在生产管内部缺少监测审计的措施,事前无法有效的进行监测预警,事中无法有针对性的对攻击事件进行合理有效的处置,事后无法正确的对攻击行为进行追溯和分析,以至于当企业受到网络攻击时处于非常被动的处境,无法进行及时有效的处理。
在主机防护方面,工业主机存在着缺少安全加固与防护的风险。
工业主机作为生产运行中操作指令的下达者和大脑,扮演着非常重要的角色,也是攻击者入侵的主要目标。一旦被攻击者控制和利用,即可执行影响生产的恶意操作,后果不堪设想。工业主机不同于办公的主机终端,其兼容性和稳定性是安全生产的首要要求,无法进行频繁的重启,打补丁,系统升级等操作,同时工业主机无法使用传统的杀毒软件进行病毒的查杀,会造成将工业软件中的部分文件误删,使得工业软件无法正常运行。此外,工业主机上的外设接口,例如USB接口、光驱等,也是工业主机遭受外部攻击的主要路径。工业主机的兼容性使得工控系统漏洞的安全风险较之普通主机更高,工控系统的漏洞可分为操作系统漏洞、工业软件漏洞和工控设备漏洞等。
在全球发生的网络安全事件中,基本上都是利用各种漏洞进行网络攻击。其中伊朗的震网病毒事件中,就是利用了西门子工业软件漏洞和Windows操作系统漏洞进行破坏。同时目前大多数的工业主机都采用Windows XP及Windows 7以下的操作系统,这些操作系统微软已经不再支持补丁和更新维护,可被利用的漏洞更多,隐藏的风险和安全问题会更加严重。
管理部分的风险主要来自于人和制度的因素。
一方面,由于多数工业企业对工控系统信息安全不够重视,没有专门负责工控系统信息安全的组织机构,缺少相关的管理制度,同时工控系统的信息安全管理人员均为兼职或代管,使得针对工控系统安全的管理职责不细致不明确、不落地,各种防护措施无法有效的落实。
另一方面,工业企业缺乏工控安全应急事件处处理的能力。由于企业缺少工控系统信息安全的相关管理组织和机构,同样缺少了针对工控系统安全事件的应急支撑组织,多数企业只有针对安全生产和特殊事件的应急预案,而缺少针对工控系统信息安全的应急预案,且没有定期进行应急演练,以至于当工控系统遭受外部攻击时,无法及时有效的针对安全事件进行处理,使得安全事件无法得到有效控制,对企业造成较大的经济损失。
工业企业如何应对严峻的安全问题
工业企业如何应对日益严峻的工控系统信息安全风险,这是每个企业必须重视和重点解决的内容。依据工控系统长期运行的特点,工控系统信息安全防护可分为两个时期:工控系统信息安全的基础防护能力建设时期和工控系统信息安全运维时期。而重点在于防护能力的建设时期,在运维时期,则根据防护技术的发展和企业自身防护的情况不断地进行更新和完善。
工控系统基础防护能力建设时期大概持续3-5年时间。在建设阶段,工控系统安全内容主要包括工控系统的安全评估、工控系统的安全建设规划以及大量的安全防护设备的部署,即根据自身工控系统的规模、特性等进行工控系统安全建设,使工控系统具备一定的安全防护能力。在进行工控安全建设时期,通常会依据一些行业标准,比如等保2.0防护要求、工信部《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)等,既提高工控系统的安全防护能力,同时又满足国家层面的合规性要求。
工控系统的安全运维时期是工控系统安全建设的关键阶段,这个阶段的工控安全工作的好坏直接关系到企业工控系统能否保持正常稳定运行,以保证持续的安全生产。这个阶段有一个最大的特点就是持续时间长,从工控系统开始建设直到退役,都伴随着系统的安全运维,时间长达10-20年甚至更长。安全运维阶段的主要目标就是通过安全运行、应急响应、安全评估、重保护网等工作保证工控系统的安全稳定运行,减少因为安全网络事件导致的工控系统停工停产等问题。
针对工控系统的特性,奇安信建议:采用贯穿于工控系统安全建设和安全运维两个时期、同时满足于不同时期要求的六大安全服务,帮助企业提升工控安全防护能力。
工控安全评估与检查服务。
无论是在工控系统安全建设时期,还是在安全运维时期,都需要对工控系统开展安全评估与检查,发现工控系统中存在的安全风险与隐患,并且有针对性地给出解决方案,并进行及时的安全整改。工控安全评估检查与传统的安全评估检查主要区别在于参照的标准不同和安全检查的方法存在差异两方面。传统的IT主要参考等保2.0等相关标准,而工控安全评估的标准更加多样和复杂,除了参照等保2.0通用要求和工控安全扩展要求外,还需要依照工信部《工业控制系统信息安全防护指南》要求,同时还有一些重点行业发布的行业标准,比如国能安全【2015】36号 -电力监控系统安全防护总体方案及其附件,石化行业的相关标准等。在工控系统中,通常采用被动的流量监测,通过深入的数据协议解析方式进行漏洞识别,不会主动的向工控系统发送数据包,不会影响工控系统的正常运行。
工控系统安全体系规划服务。
工控系统的安全能力不但取决于系统防护最薄弱的环节,还取决于各种安全防护措施之间的配合和衔接能力。特别是在APP攻击2.0的时代,如果单单依靠不同安全防护设备堆砌的方式进行工控安全建设,企业工控系统的安全防护能力难以没有得到有效的提升。工业企业应该对工控系统进行体系化的规划,以提升工控系统信息安全防护能力的建设,设立工控系统安全目标方针策略,建立完善的工控系统信息安全保障体系、技术体系、各种安全防护技术手段合理的运用管理体系,通过技术、管理、运行与控制四个体系的深入配合,规范工控网络的安全标准,让企业的工控安全建设有法可依,有章可循。通过控制体系的运行,保障技术体系、管理体系、运行体系按要求顺利开展实施,提升工控系统的整体防护能力。
工控安全攻防演习服务。
攻防演习服务是检验和建立实战能力的有效手段,通过对工控系统实战攻防演习,可以检验企业工控系统的防护能力水平和应急处置能力。不同于安全评估与等保测评等静态的评估,网络攻防演习以实时性、动态性、可视化为特点,能够对漏洞的威胁程度、漏洞在不同的情况下被利用的可能性与难易程度进行综合的检验,并对漏洞可能造成的实际危害进行全面评估。
工控安全的应急服务。
从理论上讲,没有绝对安全的系统,遭受网络攻击之后应急响应的速度和质量是能否损失最小化的关键。因此,工控系统的安全应急是分秒必争,主要有以下方面几个内容:
第一,针对工控企业出现勒索病毒,黑客入侵,APT攻击等工控安全事件,提供24小时的应急处置。
第二,指导企业建立工控系统信息安全应急组织架构,以及适合企业自身特点的应急预案。
第三,为企业提供定期的应急演练服务。
定制化的工控安全检测服务。
根据不同的业务需求,针对工业控制设备,比如PLC、DCS、RTU等控制器,工业控制软件、工业主机等进行深度的漏洞发现和安全检测,发现这些工控系统及相关设备中存在的安全漏洞、后门等安全风险,并对发现的风险进行利用测试,保证工控设备、工业软件等正常的安全上线运行。
工控安全等保咨询服务。
随着等保2.0将工控系统明确纳入保护范围后,工控系统也面临着等级保护建设的问题。等保服务内容主要包含三个方面:首先工控系统的定级备案;第二点是等级测评与等保差距分析服务,依据等保2.0基本要求及扩展要求,对企业工控系统进行预测评,找出与相应等级基本要求的差距,提出有针对性的整改建议,并指导企业根据建议进行整改,以满足等级保护的要求。第三就是等保安全建设。
奇安信拥有完整的工控系统信息安全的产品线,完全能满足企业2-4级的等级保护建设,同时奇安信安全服务团队有很多工控安全技术专家,具有丰富的等级保护咨询服务经验,能帮助企业迅速建立起完全满足等级保护要求的安全体系。
本文基于作者在“虎符论坛”演讲整理
视频链接:https://shs3.b.qianxin.com/qax-cms/2b87e4ab5824e6ace2c9d2c470a3b4ce.mp4
关于作者
冯琨,虎符智库专家、奇安信科技集团安服子公司工控业务部负责人。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。