工业控制系统安全已经成为企业信息安全的重要组成部分,特别是工业控制系统联网更成为关注的热点。本文全面分析工业控制系统的安全现状与漏洞,并提出检查方法,对建立工业控制系统信息安全防护体系作了理论与操作性研究。
工业控制系统(ICS)是综合运用信息技术、电子技术、通信技术和计算机技术等,对现场设备进行检测控制,实现工业技术生产过程自动化的应用系统。ICS在冶金、电力、石化、水处理、铁路、食品加工等行业,以及军工的航空、航天、船舶、舰艇、潜艇等领域的自动化生产管理系统中都得到了广泛地应用。
1 工业控制系统安全现状
与传统信息系统安全需求不同,ICS设计需要兼顾应用场景与控制管理等多方面因素,并且优先考虑系统的高可用性和业务连续性。鉴于ICS的特定设计理念,缺乏有效的工业安全防御和数据通信保密措施是很多ICS所面临的共同问题。
传统的ICS多为车间/厂区局域网ICS,系统特点包括专有网络、专有操作系统、无以太网络、没有因特网的链接。从网络安全角度,系统是安全的。
现今的ICS开始与互联网或办公网直接/间接互联,形成从控制网到信息网的大系统ICS,系统特点包括以太网无处不在、无线设备、远程配置和监控、Windows和Linux等流行操作系统。从网络安全角度,系统存在巨大安全隐患,很容易被黑客攻击。
2 工业控制系统安全漏洞及风险分析
随着工业信息化进程的快速推进,物联网技术开始在工控领域广泛应用,实现了系统间的协同和信息分享,极大地提高了企业的综合效益。与此同时,暴露在互联网等公共网络中的工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要行业中,其安全事故造成的社会影响和经济损失会更为严重。
2.1工业控制系统安全漏洞
工业控制系统安全漏洞包括:策略与规则漏洞、平台漏洞、网络漏洞。
2.1.1 策略与规则漏洞
缺乏工业控制系统的安全策略、缺乏工业控制系统的安全培训与意识培养、缺乏工业控制系统设备安全部署的实施方法、缺乏工业控制系统的安全审计、缺乏针对工业控制系统的配置变更管理。
2.1.2 平台漏洞
平台漏洞包括:平台配置漏洞、平台硬件漏洞、平台软件漏洞、恶意软件攻击。
(1)平台配置漏洞
包括关键配置信息未备份、关键信息未加密存储、没有采用口令或口令不满足长度和复杂度要求、口令泄露等。
(2)平台硬件漏洞
包括关键系统缺乏物理防护、未授权的用户能够物理访问设备、对工业控制系统不安全的远程访问。
(3)平台软件漏洞
包括拒绝服务攻击(DOS攻击)、采用不安全的工控协议、采用明文传输、未安装入侵检测系统与防护软件等。
(4)恶意软件攻击
包括未安装防病毒软件等。
2.1.3 网络漏洞
(1)网络配置漏洞
包括有缺陷的网络安全架构、口令在传输过程中未加密、未采取细粒度的访问控制策略、安全设备配置不当。
(2)网络硬件漏洞
包括网络设备的物理防护不充分、未采取有效的措施保护物理端口、关键网络设备未备份。
(3)网络边界漏洞
包括未定义网络安全边界、未部署防火墙或配置不当、未采取信息流向控制措施。
2.2 工业控制系统安全风险分析
电力故障、自然灾害、软硬件故障、黑客攻击、恶意代码都会对ICS系统产生影响。其中,电力故障、自然灾害和软/硬件故障,属于信息安全范畴之外,而非法操作、恶意代码和黑客攻击作为信息安全威胁的主要形式,往往很难被发现或控制,对ICS网络安全运行的威胁和影响也最大。
(1)利用USB协议漏洞在U盘中植入恶意代码
U盘内部结构:U盘由芯片控制器和闪存两部分组成,芯片控制器负责与PC的通讯和识别,闪存用来做数据存储;闪存中有一部分区域用来存放U盘的固件,控制软硬件交互,固件无法通过普通手段进行读取。
USB协议漏洞:USB设备设计标准并不是USB设备具备唯一的物理特性进行身份验证,而是允许一个USB设备具有多个输入输出设备的特征。
这样就可以通过U盘固件逆向重新编程,将U盘进行伪装,伪装成一个USB键盘,并通过虚拟键盘输入集成到U盘固件中的恶意代码而进行攻击。
(2)利用组态软件数据库漏洞进行攻击
ICS系统采用的组态软件,缺乏安全防护措施,往往公开访问其实时数据库的途径,以方便用户进行二次开发,从而可利用此漏洞,远程/本地访问数据库,获取全部数据库变量,选取关键数据进行访问并篡改,从而达到攻击目的。
2.3 工业控制系统信息安全风险总结
病毒:可引起工控设备或网络故障,破坏生产过程数据或影响网络正常服务,如蠕虫病毒等。
缓冲区溢出攻击:利用设计漏洞进行的攻击。
拒绝服务攻击:恶意造成拒绝服务,造成目标系统无法正常工作或瘫痪,或造成网络阻塞。
网络嗅探:可捕获主机所在网络的所有数据包,一旦被恶意利用,获取了目标主机的关键信息则可对目标主机实施进一步攻击。
IP欺骗:可通过技术手段利用TCP/IP协议缺陷,伪装成被信任主机,使用被信任主机的源地址与目标主机进行会话,在目标主机不知的情况下实施欺骗行为。
口令破解:攻击者若通过一定手段取得用户口令,提升权限进入目标系统,对目标主机进行完全控制。
3 工业控制系统安全检查
3.1 检查对象
包括工艺、工程分析、控制系统信息安全后果分析、安全防护能力分析等。
3.2 检测方式
包括访谈、现场测试、离线测试、测试床或另外搭建测试环境测试。
3.3 检测内容
应包括信息流转过程中遇到的一切链路、设备(硬件程序、模块组件)、人员等。
管理检查需要准备的资料:信息安全相关管理制度和安全策略;设备保密管理制度;系统运行管理制度、产品供应商(或者代理商)、系统集成商等提供的资质证明、授权证明、合格证书等。
技术检查需要准备的资料:招标合同技术规格书;详细设备清单;设备配置及使用说明;网络拓扑图;输入输出端口信息;DNC服务器配置及使用说明;设备的连接说明、功能说明、操作手册。
运维检查需要准备的资料:运行维护管理制度、访问控制端口设置情况记录、运行维护报告、应急预案方案、应急演练记录。
3.4 检测重点
重点检查输入输出端口使用、设备安全配置、运维安全措施的落实情况,同时检查资产管理情况,访问控制策略、备份及应急管理等方面。
4 结束语
通过上面的分析与研究,工业控制系统还存在许多的漏洞和安全风险,只有充分认识到这些漏洞,才能利用信息安全手段不断的处置这些漏洞,使风险降到最低。同时我们应该认识到,工业控制系统信息安全技术是一门不断深入发展的技术,随着工业控制系统广泛应用和不断发展,其信息安全必将面临更加严峻的挑战,随之信息安全技术的研究也必将快速推进。
作者:蒲乐 来源:海峡科技与产业 2016年6期