1、北京匡恩网络科技有限责任公司二零一五年变电站综合自动化系统工控网络安全解决方案 变电站综合自动化系统工控网络安全解决方案目 录第一章 工控网络安全概述11.1工控网络安全背景11.2工业控制系统信息安全现状11.3 工业控制系统的安全漏洞21.4 工控网络安全对抗的前沿41.5 小结4第二章 行业现状52.1行业背景52.2国内外工控安全标准和规范52.3 变电站综合自动化系统特征92.4网络现状102.5 威胁分析10第一章 工控网络安全概述1.1工控网络安全背景目前工业控制系统己广泛应用于电力、轨道交通、石油化工、高新电子、航空航天、核工业、医药、食品制造等工业领域,其中超过80%的涉及国
2、计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。从国际情况来看,随着全球经济一体化进程的加速,工业信息化及物联网技术高速发展,以往相对封闭的工业控制系统也逐渐采用通用的通信协议、硬软件系统,部分工业控制系统也能够以某些方式连接到互联网等公共网络,越来越多的工业控制系统暴露于互联网上。由于工业控制系统广泛采用通用软硬件和网络设施,以及与企业管理信息系统的集成,导致工业控制系统越来越开放,并且与企业内网,甚至是与互联网产生了数据交换。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向
3、工业控制系统扩散。根据美国国土安全部的工业控制系统网络应急响应小组(ICS-CERT)的统计,从2012年10月-2013年5月,该组织响应的针对关键基础设施的攻击报告已超过200起,已超过2012年全年,其中能源领域111起,占53%,关键制造业32起,占17%,而2011年10月-2012年9月一年中,该数据为198起,能源82起(41%),关键制造8起(4%),呈明显的上升趋势。1.2工业控制系统信息安全现状我国关系国计民生的重点行业工业控制系统信息安全问题异常突出,具体表现为如下几个方面: 现有系统门户洞开、未建立安全防线传统工业控制系统封闭运行,产品设计安全意识薄弱,基本未考虑安全防
4、护,也没有形成针对工业控制的安全产品和技术。随着工业控制系统越来越多地采用公开协议、接入互联网,通用信息系统安全问题蔓延到工业控制系统,而现有工业控制系统基本处于没有任何信息安全防护措施的局面。 产品和服务主要国外厂商提供,产品普遍存在“带病上岗”现象据工信部相关部门统计:22个行业900套工业控制系统主要由国外厂商提供产品,相关系统运维也由厂商直接接管,存在漏洞的国外工业控制产品大量应用于我国重点领域工业控制系统,在数据采集与监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)中分别占据了55.12%、53.78%及76.79%的份额,在大型可编程控制器(PLC)中则占据
5、了94.34%的份额。 缺少工业控制系统信息安全仿真验证环境工业控制系统多为实时在线系统且影响重大,不易进行安全故障分析排查、产品检测和替换、解决方案验证等工作的开展。1.3 工业控制系统的安全漏洞大多数控制网络中在运行的电脑,很少或没有机会安装全天候病毒防护或更新版本。另外,控制器的设计都以优化实时的I/O功能为主,而并不提供加强的网络连接安全防护功能力。由于PLC等控制系统缺乏安全性设计,所以PLC系统都是非常容易受到攻击的对象,一般的黑客初学者很容易就能获取入侵这些系统的工具。并且当前国家基础实施控制系统基本上被国外厂商垄断,设备都存在漏洞和固件后门。核心技术受制于人,增加了诸多不可控因
6、素。 通信协议漏洞两化融合(企业信息网与工业控制网络)和物联网的发展使得TCP/IP 协议和OPC 协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic 协议(OPC DA, OPC HAD 和OPC A&E) 基于微软的DCOM 协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。 操作系统漏洞目前大多数工业控制系统的工作站、服务器都是Wind
7、ows 平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统运行后不会对Windows 平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。 安全策略和管理流程漏洞追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U 盘等设备的使用和不严格的访问控制策略。 杀毒软件漏洞为了保证工控应用软件的可用性,许多工控系统工作站和服务器通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在
8、于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。 应用软件漏洞由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT 防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如轨道交通、污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。 多个网络端口切入点在多个网络事件中,事由都源于对多个网络端口进入
9、点疏于防护,包括USB钥匙、维修连接、笔记本电脑等。 疏漏的网络分割设计实际应用中的许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,尤其是基于OPC、MODBUS等通讯的工业控制网络,从而造成安全故障通过网络迅速蔓延。1.4 工控网络安全对抗的前沿目前国内工控网络安全市场上参与厂家基本包括:工控系统产品厂家、IT行业的信息安全产品厂家、IT行业的测试检测单位。工业网络安全产品包括:工业网闸、工业网关、工业防火墙产品。但针对目前变电站综合自动化厂家所提供的网络安全保护产品,更多的是基于工业协议、数据流设置白名单实现所谓的网络安全防护,并没有部署真正意义上的安全策略,比如大部分产品缺
10、乏身份认证机制、攻击检测机制、访问机制、漏洞检测机制等。甚至多数工控网络保护产品移植于信息网络安全领域,为IT产品的再包装,功能完全不适用于工控网络。传统的防护手段已经无法防御不断升级的攻击,多数传统信息安全防护手段在工控网络中已经成为“皇帝的新衣”。如今应用于工控领域的主流产品多是国外几年前研制的工控网络防护产品(如多芬诺OPC Enforcer)和手段已经无法有效地防御像Havex这样APT2.0时代的威胁。国内工控网络安全产业在起步阶段,问题是多数厂商还没有追上国外多芬诺的水平。目前的工控网络安全产品落后于工控网络安全对抗的前沿。1.5 小结工控网络安全防护需要覆盖变电站综合自动化系统整
11、个生命周期的解决方案。包括针对工控设备特点的,覆盖主要工控协议和丰富检测方法并支持未知协议的检测工具。具备自动学习、自动适应,自动生成防御策略的工业等级的全网安全监控的保护系统。全面覆盖GE、西门子、施耐德等全球主流厂商设备的安全数据库(包括设备漏洞库、网络模型库、设备风险统计)。同时,必须向基础设施企业提供漏洞挖掘、渗透攻击、安全策略、技术培训的全方位安全服务。第二章 行业现状2.1行业背景电力行业是应用信息技术较早的行业之一,信息技术在电力工业的应用起始于六十年代初。从应用的过程来看可分为三个阶段,第一个阶段在六七十年代,电力工业的信息技术应用从生产过程自动化起步,首先应用在发电厂自动监测
12、/监制以及变电站自动监测/监控方面。第二阶段是八十至九十年代的专项业务应用阶段,即电网调度自动化、电力负荷控制、CAD/CAM等应用开始深入广泛开展,某些应用达到了较高的水平;管理信息系统(MIS)已经开始起步,但应用水平还比较低。第三阶段从二十世纪九十年代开始,即信息技术应用进一步发展到综合应用,由操作层向管理层延伸,实现管理信息化,建立各级企业的管理信息系统;同时其他专项应用系统也进一步发展到更高的水平。到目前为止,电力系统的规划设计、基建、发电、输电、供电等各环节均有信息技术的应用。各级电力企业在发电厂计算机控制、变电站自动化、电网调度自动化、电力负荷管理、管理信息系统、计算机辅助设计、
13、计算机仿真、科研试验等领域有了一定的应用,在发电厂计算机控制、电网调度自动化方面取得了较高的水平。变电站是电力系统发、输、配电工程不可缺少的环节。变电站的安全运行是电力系统安全运行的重要组成部分,如果变电站发生事故会直接影响电网的安全运行,迫使电力系统的运行方式发生变化,严重时会导致供电中断,造成大面积停电。变电运行工作平凡而责任重大,确保变电站设备的安全运行是变电运行工作的重中之重。2.2国内外工控安全标准和规范1990年代以来,各生产厂商为提高各自控制系统的性能以及降低生产成本,开始采用通用IT硬件以及TCP/IP协议。自步入21世纪,有数据显示工控系统网络安全事件开始急剧增加。这引起了一
14、些国家和组织的重视,他们相应出台了一些工控系统网络安全指南和规范。例如,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)在2006年发布了NIST SP800-82工业控制系统安全指南;国际自动化学会(International Society of Automation,ISA)在2009年出台了ANSI/ISA-99.02.01-2009工业自动控制系统安全:构建工业自动控制系统安全方案;国际电工委员会(International Electrotechnical Commission,IEC)发布了IEC
15、62443工业过程测量、控制和自动化网络与系统信息安全;我国于2011年发布关于加强工业控制系统信息安全管理的通知(工信部协2011451号) 和2014年发布了推荐性国家标准GB/T 30976.12-2014工业控制系统信息安全。下面分别就这些规范进行简单介绍。2.2.1 NIST SP800-82工业控制系统安全指南该指南为保障工业控制系统ICS提供指导性建议,包括监控与数据采集系统(SCADA)、分布式控制系统(DCS)和其他完成控制功能的系统。它适用于电力、水利、石化、交通、化工、制药等行业的ICS 系统。该指南主要包括以下内容: 主要ICS系统概述及其典型的系统拓扑; ICS与IT
16、 系统之间的区别; 标识ICS 的典型威胁、漏洞以及安全事件; 如何开发和部署SCADA 系统的安全程序; 如何考虑建设网络体系结构; 如何把SP 800-53 中“联邦信息系统与组织安全控制方法”部分提出的管理、运营和技术方面的控制措施运用在ICS 中。2.2.2 ANSI/ISA-99.02.01-2009工业自动控制系统安全:构建工业自动控制系统安全方案该标准讨论了工控网络安全所必要的因素以及组建这些要素的方法。其主要内容如下: 第一章描述了标准的适用范围; 第二章列出了标准所引用的规范编号; 第三章定义了标准所需的术语缩写的清单; 第四章讨论了构成一个安全的工控系统网络所需要的因素;
17、附录A为建立安全的工控系统网络提供指导; 附件B为工控系统网络建立安全要素提供了一个实例。2.2.3 IEC 62443工业过程测量、控制和自动化网络与系统信息安全该标准规定了工业安全分为三类:功能安全(Functional Satety),物理安全(Physical Satety),信息安全(Security)。标准分为四个部分,主要内容如下: 第一部分描述了信息安全的通用方面,如术语、概念、模型、缩略语、符合性度量; 第二部分主要针对用户的信息安全程序。主要包括整改信息安全系统的管理、人员和程序设计方面,是用户建立其信息安全程序是需要考虑的; 第三部分主要针对系统集成商保护系统所需的技术性
18、信息安全要求。它主要是系统集成商在把系统组装到一起是需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求; 第四部分:主要针对制造商提供的单个部件的技术性信息安全要求。包括系统的硬件、软件和信息部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。2.2.4 GB/T 30976.12-2014工业控制系统信息安全标准分为两个部分,第一部分评估规范和第二部分为验收规范。主要内容如下: 第一部分:规定了标准的适用范围,定义了工控信息安全领域的术语,对安全事故危害等级、风险的可接受程度、评估结果等级进行了详细定义。详细介绍了
19、两种评估的细节和过程,即组织机构管理评估和系统能力评估。定义了工业控制系统生命周期各阶段的风险评估细节。 第二部分:规定了标准的适用范围,定义了工控信息安全领域的术语,验收工作的原则和流程以及需要准备的文档,对系统风险点进行分析以及风险处置方案。还规定了系统能力测试的详细项目,以及评测的细节和所依据的标准。2.2.5 关于加强工业控制系统信息安全管理的通知(工信部协2011451号)通知明确,重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理,落实安全管理要求
20、。 一是加强连接管理,严格管理工业控制系统与公共网络之间连接,严格控制移动设备的交叉使用。 二是加强组网管理,同步规划、同步建设、同步运行安全防护措施,采用虚拟专用网络、冗余备份、数据加密、身份认证等措施,加强关键工业控制系统通信网络的防护。 三是加强配置管理,建立服务器等关键设备安全配置和审计制度,严格账户、口令以及端口和服务的管理。 四是加强设备选择与升级管理,严格设备采购、技术服务的安全管理,严格软件升级、补丁安装管理。 五是加强数据管理,通过采取访问权限控制、数据加密、安全审计、灾难备份等措施加强对地理、矿产、原材料等国家基础数据以及其他重要敏感数据的保护,切实维护个人权益、企业利益和
21、国家信息资源安全。 六是加强应急管理,制定信息安全应急预案,落实应急支撑队伍,视情采取必要的备机备件等容灾备份措施。通知提出,要建立工业控制系统安全测评检查和漏洞发布制度。工业和信息化部要适时对重点领域工业控制系统信息安全进行抽查。同时,要进一步加强工业控制系统信息安全工作的组织领导。加强对工业控制系统信息安全工作的指导和督促检查。加强对重点领域工业控制系统信息安全管理工作的指导监督,结合行业实际制定完善相关规章制度,提出具体要求,并加强督促检查确保落到实处。2.3 变电站综合自动化系统特征1)功能实现综合化变电站综合自动化技术是在微机技术、数据通信技术、自动化技术基础上发展起来。它综合了变电
22、站内除一次设备和交、直流电源以外的全部二次设备,2)系统构成模块化保护、控制、测量装置的数字化(采用微机实现,并具有数字化通信能力)利于把各功能模块通过通信网络连接起来,便于接口功能模块的扩充及信息的共享。另外,模块化的构成,方便变电站实现综合自动化系统模块的组态,以适应工程的集中式、分部分散式和分布式结构集中式组屏等方式。3)结构分布、分层、分散化综合自动化系统是一个分布式系统,其中微机保护、数据采集和控制以及其他智能设备等子系统都是按分布式结构设计的,每个子系统可能有多个CPU分别完成不同的功能,由庞大的CPU群构成了一个完整的、高度协调的有机综合系统。4)操作监视屏幕化变电站实现综合自动
23、化后,不论是有人值班还是无人值班,操作人员不是在变电站内,就是在主控站内,就是在主控站或调度室内,面对彩色屏幕显示器,对变电站的设备和输电线路进行全方位的监视和操作。5)通信局域网络化、光缆化计算机局域网络技术和光纤通信技术在综合自动化系统中得到普遍应用。 6)运行管理智能化智能化不仅表现在常规自动化功能上,还表现在能够在线自诊断,并将诊断结果送往远方主控端7)测量显示数字化采用微机监控系统,常规指针式仪表被CRT显示器代替。人工抄写记录由打印机代替。2.4网络现状本项目变电站综合自动化系统包括两部分:站控层和间隔层,网络结构为开放式分层、分布式结构。站控层为全所设备监视、测量、控制、管理的中
24、心,通过用网络线与间隔层相连,组网方式为以太网网络,采用TCP/IP网络协议。间隔层按照不同的电压等级和电气间隔单元,以相对独立的方式分散在各个配电装置室中,在站控层及网络失效的情况下,间隔层仍能独立完成间隔层的监测和断路器控制功能。计算机监控系统通过远动工作站与各级调度中心通讯。站控层设备包括后台监控主站、打印机及网络设备等。间隔层设备直接采集处理现场的原始数据,通过传送给站级计算机,同时接收站控层发来的控制操作命令,经过有效性判断、闭锁检测、同步检测等,最后对设备进行操作控制。间隔层设备由测控单元、通信单元和微机保护单元等构成。测控、保护各单元相对独立,各装置之间采用以太网或RS485现场
25、总线通讯网络。2.5 威胁分析2.5.1 网络结构的安全风险由于系统基于微机开放式设计,可以和任意第三方智能化设备及上级调度管理网对接,因此,系统与其他系统之间存在大量的接口。但是对于整体的网络,并没有完善的数据隔离的措施,从而导致如果有威胁通过某种方式进入本系统网络之内,将会很快的在整个电力网络内扩散。2.5.2 系统漏洞的安全风险 综合自动化系统终端设备的操作系统漏洞首先,出于使用习惯和应用程序开发的便利性以及程序运行的稳定性和兼容性各方面因素的考虑,综合自动化系统的工作站等人机交互软件通常采用微软的Windows系列的操作系统,为保证控制系统的相对独立性,同时考虑到系统的稳定运行,通常现
26、场工程师在系统软件平台运行后不会对Windows 系统安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。 严重漏洞难以及时处理,系统安全风险巨大当前主流的工业控制系统普遍存在安全漏洞,且多为能够造成远程攻击、越权执行的严重威胁类漏洞,而且近两年漏洞的数量呈快速增长的趋势。工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,又造成工业控制系统的补丁管理困难,难以及时处理威胁严重的漏洞。2.5.3 工控协议的安全风险绝大多数工控协议在设计之初,仅关注于效率以支持经济需求、关注于实时性以支持精确需求、关注于可
27、靠性以支持操作需求,并且通常在专用计算机和私有的操作系统上实现。不幸的是,绝大多数工控协议会为了这些需求而放弃一些并不是绝对必需的特征或功能。更不幸的是,诸如认证、授权和加密等需要附加开销的安全特征和功能也包括在内。再进一步让事情复杂的是,目前很多工控协议已经演化或扩展为在通用计算机和通用操作系统上实现,并运行在以太网(甚至互联网)之上以满足商业发展需要,潜在地将这些有漏洞的协议暴露给攻击者。前面提到的站控层与间隔层之间就是采用的TCP/IP协议。TCP/IP 协议的诞生本身就不是立足于安全,而是主要解决网络间的通信问题,然而随着TCP/IP的发展,很多方面都被一些不法分子所利用,从而体现出T
28、CP/IP中的不少安全问题。TCP/IP协议存在的不足,一类主要是由于主机依赖IP源地址来寻求认证,另一类则是主要利用了网络中的某些控制协议,尤其是路由协议。所以TCP/IP协议自身存在的安全问题不可避免地会影响到运行于其上的应用层工控协议,如中间人攻击。2.5.4 操作管理方面的风险操作管理人员的技术水平和安全意识差别较大,容易发生越权访问、违规操作,给生产系统埋下极大的安全隐患。实事上,国内工控系统相对封闭的环境,也使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。因此,对生产网络的访问行为、特定控制协议内容和数据库数据的真实性、完
29、整性进行监控、管理与审计是非常必要的。 但现实环境中通常缺乏针对工控网络的安全日志审计及配置变更管理。这是因为部分系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能所造成的结果。同时目前的安全审计产品因缺乏对工业控制系统通信协议的解析能力而不能直接用于工控系统中,需要专门的定制。2.5.6 缺乏安全意识的风险由于工业控制系统不像互联网或与传统企业IT网络那样备受黑客的关注,在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生。工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不足,更不用提制订完善的工业控制系统安全政策、管理制度以及
30、对人员的安全意识培养了。“和平日久”造成人员的安全意识淡薄。 而随着工控系统在国计民生中的重要性日益重要以及IT通用协议和系统在工控系统的逐渐应用,人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能是重要岗位人员沦为外部威胁入侵的跳板。2.5.7 面对新型威胁的风险APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的0-day漏洞,强调攻击技术的精心组合与攻击者之间的协同,而且是为不达目的不罢休的持久性攻击。近年来以震网为代表的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。 但是针对这种APT攻击,现有的安全防护手段均显得有些无力。这也许需要整合各种安全技术,通过形成完善的安全防御体系(防御手段的组织化、体系化)才可能有效,然而工业控制系统对安全关注严重不足的现实,使其在面临APT攻击时将会遭到不可估量的安全损失。13