摘要:大量应用于重点领域的工业控制系统,在数据采集与监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)中,都缺少工业控制系统网络安全仿真验证环境。工业控制系统多为实时在线系统且影响重大,不易进行安全故障分析排查、产品检测和替换、解决方案验证等工作的开展,石化工控系统安全研究与应急演练平台针对缺少工业控制系统安全仿真验证手段、工业控制系统未建立安全防护体系、高端工业控制系统及核心部件主要由外国厂商提供的现状,围绕工业控制系统的信息安全需求,可进一步推动工控网络安全产业发展。
1 引言
随着两化融合发展,工控网络呈现出整体开放趋势,各种威胁不断增加。工控系统网络安全风险所带来的,不再仅仅是信息泄露、系统无法使用等“小”问题,而是会可能对现实世界造成直接的、实质性影响的大问题,工控安全不仅关系到生产安全和经济发展,还影响到社会稳定和国家安定。
2010年“震网”病毒破坏了伊朗核设施,影响巨大,这标志着工控网络攻击从传统“软攻击”升级为直接攻击关键信息基础设施等要害系统的“硬摧毁”,不得不令人深思。
从“震网”病毒到“Havex”病毒,再到勒索病毒,工控系统网络安全事件不断给世人敲响警钟。从总体上看,我国工控系统信息安全防护建设明显滞后于工控系统建设,在防护意识、防护策略、防护机制、法律法规、防护检测等方面都存在不少问题,国内相关研究工作尚在起步阶段。
2 工控系统安全背景
2.1 工控系统网络安全现状
一方面,诸如石化这样的流程工业,生产的强连续性、高安全性、特定的高温高压环境要求控制系统必须保证安全稳定地运行,一旦控制系统设备、网络受到攻击或感染病毒后发生故障,生产将处于失控状态,后果不堪设想。
另一方面,就国内石化领域DCS系统占比而言,霍尼韦尔、西门子、艾默生、GE等国外厂商占据一大半以上份额,而国内厂商浙江中控、和利时等品牌更多地被用在中小型石化系统或辅控系统中。在西方发达国家对国内工业控制核心技术垄断环境下,工控系统面临的安全形势愈发严峻。
从国家层面而言,由于历史原因,我国工业控制系统同样存在着信息安全管理制度不健全,相关标准规范缺失,安全防护能力和应急处置能力弱等问题。这些都对我国工控系统安全造成了严重威胁。
2.2 石化工控系统网络安全面临挑战
石化工控系统网络面临诸多威胁,体现在以下方面:
·行业的特殊性
石化行业是典型的流程工业,对控制系统的信息安全要求相对比较高,需要符合行业属性的技术、管理等体系。
·入侵的多样性
石化工控系统的一大特点是结构固定,有固定的拓扑形式和相对单一的网络动态,但网络组成元素、工控节点众多。因此,工控系统的入侵途径更多,可能来自异构网络、工业以太网、现场总线、无线网、移动介质、维修接入,甚至误操作等。
·后果的严重性
与物理世界的互动性是工控系统与信息系统的区别之一,因此,石化工控系统受到威胁可能直接导致现实社会中的重大灾难和群体性事件。
·管理的复杂性
多数石化工业企业的控制网络中,新旧系统并存,而且旧系统在设计时基本没考虑信息安全的问题;同时多种工控品牌系统并存也给安全管理带来一定挑战。
3 工控系统安全研究与应急演练平台必要性
3.1 平台构建必要性
石油炼化作为国家关键信息基础设施的重要组成部分,行业目前还没有建立完整的预警防护机制,对工控网络安全问题的认知还不够清晰。国内基础工业设施所用的控制系统国产化比率较低,国内企业对国外系统的漏洞及后门认知不清,对这些系统安全性也没有相应的指标来衡量。虽然近年来控制系统国产率逐渐提高,但国内自主的控制系统网络安全性却无法验证,更无法对这些控制系统网络漏洞提供安全建议。
此外,石化工业控制系统为满足连续生产的要求,基本处于实时运转的状态,且控制的生产环境基本为高温、高压的危险环境,故不能针对生产中的工控系统做实时安全研究验证和应急演练。
因此,在构建石化工控系统安全研究与应急演练平台,在平台上开展相关的工控安全研究和应急演练,可填补国内石化对于工业控制系统网络安全研究、服务和应急演练的空白。
3.2 国家政策的支持
在此之前,我国的工业控制系统网络安全相关标准在信息安全标准化技术委员会以及工业过程测量和控制标准化技术委员会的指导下,参考“信息安全技术信息系统安全等级保护基本要求”完成了相关标准编制工作,为国家基础工业控制系统网络安全建设提供了准则。
自2017年6月1日起施行的《网络安全法》用了整整一节来强调重点保障关键信息基础设施的运行安全并界定了关键信息基础设施的范围。
2016年11月工信部下发了《工业控制系统信息安全防护指南》(以下简称《指南》),其中也涉及到对工业系统离线环境和应急演练的要求,在“安全软件选择与管理”的第一条要求:“在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行”。文中的离线环境就是区别于工业运行的实际环境,即本文需要搭建的石化工控系统安全研究与应急演练平台。
“边界安全防护”的第一条要求:“分离工业控制系统的开发、测试和生产环境”。本条目中工业控制系统的开发、测试环境的功能可由本文讨论的平台完成。
“安全监测与应急演练”的第四条要求:“定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订”。可充分在本文论证的平台上开展应急演练和应急响应预案的修订。
除《指南》外,工信部发布的工控系统信息安全三年行动计划提出:到2020年建成“一网一库三平台”。
“一网”是指全国工控安全在线监测网络。
“一库”是指工控安全应急资源库。按照《国家网络安全事件应急预案》总体要求,应急资源库汇聚漏洞、风险、解决方案、预案等信息,实现辅助决策、预案演练等功能。
“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。本文论证的平台以石化生产相关真实工业控制场景为基础,模拟业务流程,还原真实现场,满足培训、测试、验证、试验等多元化需求。
4 平台的功能设计
平台功能的设计,除了结合石油炼化的行业特点外,还需响应国家相关政策的要求。因此,平台建设遵循“体系建设、持续研究、滚动发展”的总体思路。从根本上构建自主可控、高可信度、大规模、开放式的石化工控系统安全研究与应急演练平台。
平台的功能由以下五部分组成:
4.1 安全攻防演练
平台根据石油炼化典型应用场景的工业控制系统,建立石油炼化工业控制系统安全攻防演练系统。可以实现如下特点:
(1)跟踪最新的攻防技术,针对攻防系统寻找可能的网络攻击切入点。
(2)模拟工控网络攻击,深入分析攻击途径、攻击方式以及攻击对系统的影响。
(3)针对攻击制定防护方案,向国家石化企业、厂商提供产品、系统及网络改进建议。
4.2 渗透监控
建立石油炼化工业控制系统网络渗透监控系统,从系统中对渗透攻击的方式进行捕获、监控,加强对攻击手段的研究与防护。
4.3 安全数据中心
建立石油炼化工业控制系统安全数据中心,定期发布最新工业控制系统安全信息,包含:
(1)漏洞库:收集石化行业设备和集成服务提供商的漏洞信息,提供漏洞内容描述、攻击方式、攻击影响、漏洞设备列表、漏洞根源分析、漏洞探测方法、漏洞的保护措施等相关数据。
(2)模型库:建立石化工业控制系统模型库,提供模型描述、设备列表、组网连接方式、网络数据分析等。
(3)大数据分析中心:从厂商、设备类型、行业等多个维度统计风险漏洞信息,统计石化工控系统网络攻击发生的趋势,不同应用场景的攻击手段、地理分布、攻击系统分布等多个维度的数据,进行数据关联分析和挖掘等,为石化行业工控安全态势感知做技术储备。
4.4 威胁复现及行业拓展
针对石油炼化工业控制系统已遭受的攻击,进行完整的复现。
(1)威胁复现:针对目前已经存在的网络攻击行为,在同等网络条件下进行复现。
(2)系统拓展:同一个威胁一般只针对特定的网络、设备及终端,对于该种攻击技术是否会对其他类型的设备和系统造成攻击进行验证,并发出威胁预警。
(3)行业拓展:针对已经存在的威胁,进行行业拓展,预防相同网络威胁蔓延至其它工控行业。
4.5 设备、网络安全评测
对入网的操作系统、终端设备、网络等进行安全评测。
(1)对工控设备进行准入测试,保证进入石化系统网络设备的安全、可靠。
(2)为设备供应商提供安全测评报告。
(3)为行业提供石化工控网络安全咨询、加固建议。
5 平台的系统组成
基于平台功能设计需求,平台由目标业务系统、环境仿真系统、网络测试系统、入侵诱捕系统、模拟攻击系统、保护验证系统以及多媒体展示系统等子系统组成:
5.1 目标业务系统
以石化行业的生产系统为建设依据建设。该目标业务系统是安全研究与演练的目标,系统中的控制器、I/O部件、服务器、工程师站、操作员站等都属于目标业务系统。
可以选石化行业典型的装置以及典型的工控系统配置,如霍尼韦尔PKS系统、浙江中控ECS-700控制系统等,如图1所示。
图1 目标业务系统网络结构图(浙江中控)
5.2 环境仿真系统
环境仿真系统以石化的装置工艺为原型,为隔离的目标业务系统提供仿真环境。环境仿真系统可提高安全研究的可靠性,实现目标业务系统与演示场景的组合。
环境仿真系统可以选取石化行业典型的工艺,如“PX”、“柴油加氢”等,满足如下特点:
(1)仿真演示需要符合石化行业的特点,使用最具代表性的设备模型或虚拟现实技术来展示,如图2所示;
图2 高仿真沙盘搭建的石化环境仿真系统图
(2)需要配合目标业务系统的工作状态展示,如正常工作或受到攻击;
(3)演示效果直观可见,例如通过高仿真模型的声、光、电变化体现攻击效果;
(4)可以实现多次仿真演示,即演示对环境仿真系统不能造成永久破坏。
5.3 网络测试系统
利用专业网络工具设备对目标业务系统进行网络测试/攻击的软硬件设备及相应方法论。如:集成专业的工控知识库,包括工业漏洞库、工控设备库、威胁特征库、工控协议库的网络分析设备等。
5.4 入侵诱捕系统
入侵诱捕系统是一种情报收集系统,该系统利用工控网络蜜罐引诱黑客入侵,然后通过各类数据采集功能获取黑客的入侵方法,通过对各类数据的分析掌握工控系统的最新漏洞、黑客的攻击工具和攻击路径,为开展工控网络安全研究收集大量的数据。入侵诱捕系统包括工控网络蜜罐系统、工控入侵监控系统等。
5.5 模拟攻击系统
用于展示攻击效果的系统,包括目标业务系统中被控制的设备、展现攻击路径的软硬件。模拟攻击系统有两方面的工作,一是对工业控制系统的硬件和上位机软件进行安全威胁分析,利用创新性的科学方法和专业级的威胁分析工具,实现攻击路径分析,网络、设备安全性分析,漏洞库验证等功能,进而找到工控网络中的薄弱环节。二是针对薄弱环节编写攻击脚本,并将脚本植入攻击介质中,如U盘等,如图3所示。
图3 利用U盘进行的模拟攻击示意图
5.6 保护验证系统
用于监测审计/防护针对目标业务系统的网络攻击的软硬件。
该系统可用于各类网络安全防护设备接入并进行防护技术与产品的功能验证。系统所需要的网络安全技术要求对网络攻击能及时发现、报警并拦截,保护(拦截)设备采用串联方式部署,审计(报警)设备采用旁路方式进行部署,兼具黑、白名单规则。
5.7 多媒体展示系统
多媒体展示系统由多媒体电视、大屏、多功能培训工位等组成,该系统覆盖实验室全景,全方位展示平台建设内容,可用于参观、解说、人员培训等,如图4所示。
图4 多媒体展示系统示意图
6 系统应用前景和效益分析
石油炼化作为国家关键信息基础设施的重要环节,其工业控制系统的安全性不言而喻。本次讨论的安全研究与应急演练平台效益主要体现在:
(1)平台可以解决石化工控企业安全研究、演练及针对性防护问题,解决工控企业当下不能或不敢直接在正常运行的工艺装置上进行安全研究与演练的问题。
(2)平台配套的培训及理论研究成果可以提高工控安全行业整体从业人员知识技能,为全国石油炼化行业输送大量的高技能人才。
7 总结
随着网络空间斗争形势的日趋严峻,工业控制系统已成为互联网攻击和网络战的重要目标。我国工业控制系统的发展现状及面临的安全问题,需要建立工业控制系统安全监控预警及应急响应机制;建立工业控制系统漏洞分析机制与风险评估试点;加大工业控制系统的安全管理和风险控制等方法来提升我国工业控制系统整体安全保障水平。
因此,石化工控系统安全研究与应急演练平台的建设不仅可以解决当下不能也不敢直接在正常运行的工艺装置上执行攻防研究和应急演练的问题,同时可以提高从业人员的工控安全知识技能,对优化行业工控网络安全、带动区域经济结构转型具有间接推动作用。
作者简介
姚天祥(1986-),男,江苏扬州人,毕业于浙江理工大学通信工程专业,现就职于杉树岭网络科技有限公司,主要从事工业控制领域网络安全研究、解决方案等相关工作,有大型石化、火电等工控项目的集成设计、实施经验,熟悉PLC、DCS以及SCADA等工控系统。曾参与“工控多系统级联攻防演示平台”,公安部三所工控测评实验环境,以及其他攻防演示平台、网络安全实验室的设计及实施。
本文摘自《自动化博览》2019年2月刊
声明:本文来自控制网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。