《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 原创 | 智能制造背景下化工行业工业控制系统安全分析与探讨

原创 | 智能制造背景下化工行业工业控制系统安全分析与探讨

2018-08-15

  1概述

  众所周知,工业控制系统(Industrial and Control System—ICS或简称工控系统)广泛应用于国家关键生产设施和基础设施,它是系统运行的“中枢”。从工控系统自身来看,随着计算机和网络技术的发展,尤其是信息化与工业化深度融合,在工业4.0、智能制造的背景下,工控系统越来越多地采用通用协议、通用硬件和通用软件,通过互联网等公共网络连接的业务系统也越来越普遍,这使得针对工控系统的攻击行为大幅度增长,也使得工控系统的脆弱性正在逐渐显现,面临的信息安全问题日益突出。

  作为国家重要支柱产业的化工(包括石油、石化、基础化工、煤化工等)行业,由于其行业的高温、高压、易燃、易爆、易腐蚀等特殊性,其工控系统信息安全的重要性更显得尤为突出。

  2化工行业工控系统信息安全面临的形势

  2.1化工行业生产制造模型

  化工行业普遍采用基于ERP、MES和PCS三层架构的管控一体化模型。化工行业智能制造的典型框架如图1所示。

u=1589530653,3479777428&fm=173&app=25&f=JPEG.jpg

  化工生产过程控制大多采用DCS/PLC/SIS/SCADA等系统进行控制,生产上更注重安全和平稳运行,安全、稳定、长周期、满负荷、优质绿色生产是行业追求的目标。除了常规控制外,还通过软仪表、先进控制和优化控制等手段,在保证生产平稳的基础上获取更大的经济效益。

  一般情况下,利用实时数据库通过PCS层的DCS等控制系统采集生产过程的实时数据,作为生产管理或称生产制造执行系统MES的统一数据平台。MES包含生产计划、生产调度、操作管理、质量管理、物料管理、生产统计、设备状态管理、能源管理等功能模块构成。

  经营管理层ERP系统主要对企业的人、财、资产、供销等资源进行有效、协同、合规的管理,并为企业的经营决策提供支撑。

  MES在其中起到了承上启下的作用,上连ERP,下连PCS。MES将ERP下发的生产计划分解成作业计划,通过调度管理下达给PCS层的操作人员,控制系统的结果通过实时数据库的数据采集将生产过程反馈到MES,由MES完成相关的数据分类、加工、处理,实现生产过程的物料、质量、成本、能源等的管理,最后将统计结果返回到ERP系统。

u=324456589,278538097&fm=173&app=25&f=JPEG.jpg

  目前大多应用场合,基本是在边界设置防火墙,即在PCS与MES间设置数据采集工业网关及防火墙,起到一定的边界防护与安全隔离作用。

  2.2化工行业面临的工控系统信息安全形势

  近年来,世界范围内工控系统发生的信息安全事件数量呈几何倍数上升态势,其主要威胁来源于个人黑客、民间组织、国家政府及企业员工误操作等。

  据有关材料报道,卡巴斯基实验室基于OSINT(公开资源情报计划)和公共来源信息(如ICS CERT-美国工控系统网络应急响应小组)研究2015年ICS受威胁状况。调查了170个国家,发现如下主要问题,数据非常触目惊心。

  (1)在互联网上,可扫描发现188,019台工控系统(ICS)设备主机;

  (2)可远程访问的ICS主机中,92%包含漏洞。其中,87%包含中等风险漏洞,7%包含高危漏洞;

  (3)过去五年中,ICS设备中的漏洞数量增长了五倍:从2010年的19个漏洞增长到2015年的189个漏洞。包含漏洞最多的ICS设备为人机界面(HMI)、电子设备和SCADA系统;

  (4)所有能够外部访问的ICS设备中,有91.6%使用了较弱的互联网连接协议,让攻击者有机可乘,能够实施“中间人”攻击。

  另外,OSVDB(开源漏洞数据库)及ICS-Cert的资料表明,各行业工控系统的信息安全事件发生频率统计数据表明化工(石化)行业的事件数是最大的,占比为23%,如图3所示。

u=2707214558,406810663&fm=173&app=25&f=JPEG.jpg

  下列事件是国内化工行业工控系统信息安全的典型案例。

  2011年,大庆石化、齐鲁石化、西南管线广东调控中心及多个场站感染病毒,导致控制器通信中断。

  2015年6月,国内某石化央企发生“内鬼”事件,系统内部技术人员,通过该企业其华东公司SCADA系统开发了一套病毒程序,病毒爆发致使系统瘫痪,无法运行。

  2016年1月29日,中石化洛阳分公司发现工控网络E网内存在蠕虫病毒,导致部分DCS数据采集频繁归零。

  2016年4月13日,国家工信部电子科学技术情报研究所发布第2期工业控制系统信息安全风险提示:工业控制设备默认密码清单被公布,该清单涉及西门子、施耐德电气等国内外48个厂商134个工程设备型号。

  由以上数据可见,化工行业工控系统信息安全形势非常严峻。随着网络技术、无线技术发展,开放标准普及,管理控制一体化理念深入,特别是在“互联网+”、互联互通、“工业4.0”下的化工智能制造的大环境背景下,工控系统接入范围扩展到企业内网,甚至互联网,再到“互联网+”,面临更大的信息安全威胁。

  2.3化工行业工控系统信息安全威胁分析

  我们可以通过以下几个维度分析化工行业工控系统信息安全的威胁。

  (1)PCS层本身,由封闭走向开放所导致

  ·操作站

  信息技术的高速发展使DCS、PLC和SCADA等控制系统在过去几十年的发展中呈现出整体开放的趋势。以DCS为例,过去的DCS厂商基本上是以自主开发为主,提供的系统是封闭的系统。当今的DCS厂商为了追求市场的占有率,更强调开放性与集成性,厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式,几乎清一色采用PC+Windows的技术架构。

  ·先进控制等站点(上位机)

  为了提高生产的稳定性与效益,对于精细化管理的企业大多采用软仪表、先进控制(APC)、在线优化控制等技术手段,而这些技术的安装、调试一般需要较长的时间,在此期间,工控系统经常需要频繁与外界进行数据交换。

  ·控制网络

  过去,通信技术相对落后,控制系统的互连是件非常困难的事情,现在,网络技术开放体现在DCS可以从多个层面与第三方系统互联,同时支持多种网络协议。目前在与企业管理网信息平台互联时,大多采用基于TCP(UDP)/IP协议的以太网通信技术,使用OPC等开放接口标准。

  ·无线通信仪表及无线通信设备

  无线设备地接入,尽管极大地方便了互通互连并提高了投资回报率,但同时也打开了安全隐患之门。

  ·远程维护

  将工控系统建设与实施、维护,分包给第三方,已成为趋势。另外,“云应用”远程诊断技术支持已逐渐成为关键设备管理的重要手段。

  ·部分工控主设备

  部分厂商的工控产品存在后门风险,如2011年发现的施耐德电气PLC存在多种不同权限的后门账号。

  ·工控系统的特殊性

  工控系统具有连续不可间断的高可用性与不可延迟的高实时性要求,使得传统IT的防护方法不适用。开放性为用户带来的好处毋庸置疑,但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。

  (2)MES/ERP层面,从无到有,从小到大产生处于生产管理与经营层MES/ERP系统,其应用场合区域更广,人员更多,网络安全更加复杂。在此,集中关注其对工控系统的安全威胁。

  综上所述,对于一个相对开放的工业控制系统,产生安全漏洞的因素是多方面的,主要的原因有下列几方面。

  (1)操作系统安全漏洞

  作为主流操作系统的Windows,其漏洞大部分危害巨大,恶意代码通过这些漏洞,甚至可以获得操作站的完全控制权。因此,操作系统的补丁修补是个关键问题。

  (2)网络通信协议安全漏洞

  为了追求实用性和时效性,大多工控系统的网络协议P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。特别是化工行业使用频繁的OPC协议,首先它构筑于Windows平台上,Windows与生具有的漏洞与缺陷依然存在的同时,为了实现信息交互的便利性,一般情况下,所有的client端使用相同的用户名与密码读取OPC server端的数据,因此,MES层受到攻击的情况下,如果MES环境设置的不合理,就会导致OPC的参数被修改,威胁到控制系统的安全。同样,MODBUS等协议由于更多地考虑时效性与实用性,在使用过程中,牺牲了很多安全性,成为黑客攻击的主要目标。

  (3)病毒软件及其病毒库升级、更新漏洞

  由于杀毒软件可能查杀ICS的部分软件,且其病毒库需要不定期的升级、更新,因此大多上位机/操作站未安装防病毒软件,势必造成病毒感染的风险。

  (4)安全策略与管理漏洞

  技术与管理特别是人员信息安全意识缺乏是最大的漏洞。如安全策略与管理流程的梳理、移动设备使用管理、访问控制策略部署等。如上位机/操作站用户名、密码管理与控制,上位机/操作站多余端口的管理,外部技术支持与运维的审计与监管等。

  (5)硬件产品漏洞

  工控产品因软、硬件更新、升级限制,漏洞不能得到及时修补。

  (6)应用软件漏洞

  工控系统应用软件产生的漏洞是最直接、最致命的。一方面应用软件形式多样,很难形成统一的防护规范以应对安全问题;另一方面最严重的是,当应用软件面向网络应用时,就必须开放其应用端口。

  2.4化工行业工控系统信息安全防范措施建议

  综上分析,随着两化融合、智能制造的推进,化工工控系统环境趋于更加复杂,联网需求大幅增加,多种互联接入方式并行存在,物理边界模糊,安全风险指数大为增加,业务识别、防范压力则在不断增大。尽管目前一些主流的工控产品供应商采取了一些措施,如Honeywell在其PKS系统的控制器中集成了防火墙、西门子在网络交换机上嵌入了防火墙、ROCKWELL Automation推出了深度数据包检测(DPI)技术,但这些还远远不够。目前由于没有统一的标准,对于企业而言,应在管理与技术上,特别是人员信息安全意识上建立工控系统信息安全的“纵深防御”体系。建议如下文。

  2.4.1 建立企业自己的工控系统信息安全实施操作指南

  根据国家标准与相关规范,针对企业自身结构,制定相关的管理流程与信息安全管理策略,并修订相关的管理制度。指南中应包括的主要要素:工控系统生命周期内的安全问题管理;企业网络结构及其与工控系统的逻辑隔离管理;相关工控设备端口与服务的管理;工控系统权限管理;移动设备(包括U盘)的使用管理;访问策略管理;外部技术支持与运维的审计与跟踪管理等等。重点在网络安全接入控制与资源共享。

  2.4.2 建立工控系统信息安全的评估制度

  利用企业的力量或社会的第三方专业机构,对存量的工控系统,进行定期或不定期的信息安全评估,对新项目在设计端就组织好工控系统信息安全的评估与确认。对存在的风险与隐患,能够得到及时发现与整改,消除隐患与漏洞。

  2.4.3 设置企业信息安全纵深防御体系

  (1)互联网网络出口:安全防护防火墙、行为管理、防病毒、防入侵;

  (2)内网安全(MES/ERP层):企业版的杀毒、EAD终端准入控制系统、DHCP的嗅探功能、广播风暴抑制等;

  (3)工控系统安全(PCS层):采取“边界-区域-终端-综合监控管理”策略。

  边界及现场防护:采用防火墙及网关/网闸以及运维审计和WIFI入侵检测与防护,配置安全隔离防护设备。应该强调,隔离与防护设备应具有动态端口监控与防御的功能。

  区域保护:将该区域设置重点保护区域,防御来自其他区域的威胁。

  终端保护:DCS/PLC/SCADA操作站与上位机配备信息安全管理系统及防病毒软件。

  综合监控管理平台:通过该平台实现动态端口监控、实时报警阻断、白名单规则与漏洞防护策略下发、用户及权限管理、日志管理、变更管理、补丁管理、备份与恢复等功能,如PAS的产品在此方面就非常有其特色。

  3结语

  工控信息安全形势非常严峻,已引起了一定的重视,但从笔者的观察发现,还相差甚远,特别是在危险性及影响性较大的化工行业,尽管功能安全方面做得相对较好(国家有标准及相关的整改时间要求是一方面),但是在信息安全方面最简单的工控系统的用户名与密码管理,形同虚设的情况非常多。因此,理念和意识的问题是关键,由于其复杂性远高于传统IT,工控系统信息安全工作任重而道远。