摘要
随着自来水厂自动化水平的不断提高,数字化、信息化技术的应用,自来水厂控制系统的安全风险问题日益突出。要有效防范风险,首先应分析清楚自来水厂控制系统存在的安全风险。
1 引言
随着自来水厂自动化水平的不断提高,以及数字化、信息化技术的广泛应用,自来水厂控制系统的安全风险问题日益突出。
2 自来水厂控制系统简述
自来水处理厂的自动化生产,主要是指使用工业控制系统检测现场水质状况、控制工艺设备运行(如加药设备、水泵机组、阀门、电气柜等),实现对现场实时数据采集与上传,工艺电控设备的顺序、条件、计时、计数控制、PID调节控制等功能,并按照工艺要求依次完成混凝反应、沉淀处理、过滤处理、滤后消毒、加压供水等环节,最终将纯净卫生的自来水可靠地送入千家万户的过程。
3 自来水厂控制系统网络特点
自来水厂工业控制网络有不同于IT网络的很多特点,这些特点造成工业控制网络安全防护的理念与IT网络防护理念并不相同,具体体现以下几方面。
3.1 网络协议不同
工业控制网络采用工业控制特有的协议,Modbus、DNP3、PROFINET以及多种私有协议,很多工业控制协议设计上并未考虑安全性,协议本身的通信不能有效验证,从而给工业控制网络带来严重威胁。
3.2 设备厂商不同
工业控制网络中多采用Siemens、Emerson、Rockwell Automation、Schneider Electric、GE等国外厂商的设备,这些设备中存在多种高危漏洞或后门,给系统安全带来人为的严重威胁。
3.3 工业病毒传播
工业控制网络中缺少有效的病毒控制手段,一旦某个工业控制设备受到病毒感染,将迅速蔓延到其它控制设备,产生破坏作用或窃取工业数据,从而给工业控制网络安全带来严重威胁。
3.4 无线网络接入
Wi-Fi技术等无线技术的普遍应用,在给工业生产带来便利的同时,也带来了安全威胁,工业控制网络中固有的生产要求使其缺少有效的认证和控制机制,一旦通过无线接入,将使得整个系统暴露在非安全环境之下,给系统的安全性带来重大隐患。
4 自来水厂控制系统面临的安全风险
4.1 系统软件升级困难
工业控制设备厂商会定期发布工业控制软件补丁,用于解决工业控制系统中的问题,但工业控制网络以稳定性为基础,频繁升级补丁软件,给系统的稳定性带来严重威胁,升级失败或出错将造成整个系统的不可用,给工业生产带来巨大的损失。
4.2 网络时延要求高
与传统互联网不同,工业控制系统中,对控制信号的传输时延和传输可靠性要求非常高,数据必须在固定的时间内可靠到达目标系统,数据丢失、延迟、乱序传输等都将给控制系统带来严重的问题。
4.3 病毒控制手段缺乏
工业控制网络中很多控制设备单元都是封闭的系统,无法通过病毒软件进行病毒清理,同时缺少病毒在控制网络中传播的控制手段,一旦感染病毒将传播到整个工业控制网络,将给工业生产带来严重影响。
4.4 工业控制协议多样
工业控制网络中存在多种控制协议,其中有大量的公有协议和私有协议,分布在网络分层模型的多个层级,针对工业控制网络的攻击和病毒,承载在工业控制协议之上,需要采用深度DPI技术对工业控制网络的安全威胁进行识别和有效控制。
4.5 设备的多样性
工业控制网络的设备多种多样,每种设备都具有各自的特点,设备的安全等级参差不齐,给工业控制系统安全防护带来很大困难。
4.6 行业工艺的多样性
每个自来水厂都有多个工艺生产过程,组网连接及工艺设备都有一定的差异,工艺的多样性给工业控制系统安全带来隐患。
5 自来水厂控制系统漏洞分析
5.1 工业控制系统的漏洞
控制网络中在运行的电脑很少或没有机会安装全天候病毒防护或更新版本。另外,控制器的设计都以优化实时的I/O功能为主,而并不提供加强的网络连接安全防护功能。由于PLC等控制系统缺乏安全性设计,所以PLC系统都是非常容易受到攻击的对象,一般的黑客初学者能很容易地获取入侵这些系统的工具。并且当前国家基础实施控制系统基本上被国外厂商垄断,设备都存在漏洞和固件后门。核心技术受制于人,增加了诸多不可控因素。就系统面临的风险可以暂时定位来自网络的风险和来自主机的风险,具体可以从通信协议漏洞、操作系统漏洞、安全策略和管理流程漏洞、防病毒软件漏洞、应用软件漏洞、多个网络接口接入点、疏漏的网络分割设计等方面进行分析。
5.2 通信协议漏洞
两化融合(企业信息网与工业控制网络)和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPC DA、OPC HAD和OPC A&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
本项目中涉及的下位机控制器为SchneiderElectric的PLC,上位机监控软件为Siemens WinCC组态软件,其通讯方式必然采用通用的工业通信协议。传统IT防火墙基于原目的地址加端口的防护策略,不能深度检测建立在应用层上的数据内容,故基于工业通信协议能够进行深度分析控制的工业防火墙的使用势在必行。参考标准:《NIST SP800-82工业控制系统安全指南》表3-12网络通信方面的脆弱性。
5.3 操作系统漏洞
本项目控制系统的工程师站、操作站、HMI都是基于Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁。但存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
5.4 防病毒软件漏洞
为了保证工控应用软件的可用性,通常水处理相关工控系统操作站不允许安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期地经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
5.5 应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如自来水处理厂以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,后果将不堪设想。
5.6 多个网络接口接入点
自来水生产供给行业最大的安全隐患在于自来水的输、配送管网线路铺设范围广,通常采用大量的GPRS无线通讯方式进行管网状况的数据传输,传输的数据不加密,传输的报文容易被截获,从而给非法入侵提供了可乘之机。
其次,自来水厂多采用成套系统,生产设备与控制系统配套使用,严重依赖国外的产品与技术,部分控制系统存在安全漏洞与固有后门。
在多个网络事件中,原因都是源于对多个网络端口进入点疏于防护,包括USB钥匙、维修连接、笔记本电脑、非法连接等。
5.7 网络分割设计的缺失
实际应用中的许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,尤其是基于OPC、ModBus、PROFIBUS等通讯的工业控制网络,从而造成安全故障通过网络迅速蔓延。
6 结语
本文通过对自来水厂控制系统的安全风险分析,自来水厂控制系统存在安全漏洞,面临安全风险,仅依靠防火墙等传统互联网安全设备无法满足工业控制安全防护要求,工业控制安全防护需要针对工业控制系统专有的安全防护解决方案。
作者简介
杨 超(1972-),女,天津人,高级工程师,本科,现就职于中国市政工程华北设计研究总院有限公司,主要从事给水、排水工程自动化系统的设计与研究。
刘 杰(1971-),男,山东莱州人,教授级高工,本科,现任中国市政工程华北设计研究总院有限公司第一设计研究院副总工程师,主要从事电气工程及自动化方面的设计研究工作。
摘自《自动化博览》2018工业控制系统信息安全专刊(第五辑)
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。