工控系统信息安全检查技术探索
1工控系统信息安全检查的背景
随着世界工业生产水平的飞速发展,我国也成为世界第一制造大国。为保障国家工业的持续发展,德国在2013年提出“工业4.0”,美国也相应的提出“工业互联网”的概念,我国则提出了“中国制造2025”保证工业上的竞争力。不管是工业4.0还是中国制造2025,其本质都是工业化和信息化的深度融合,使工业达到自动化,数据包括工业数据通过高度的信息化发展,能够在生产环境和管理环境中自由畅通。可以按需生产产品却不用改变生产线的设备,管理层也可以得到相应数据,对生产的情况和发展做到胸有成竹。但便利的同时新的问题也随之而来,就是安全性很难在原有基础上得到保障,变成了一把双刃剑。此外原本就有一些人对工控安全觊觎,以期得到利益的人有了可乘之机。基于此,我国政府也一直在关注着工控系统信息安全,亲任网络安全和信息化领导小组组长,并做过多次重要指示。
2工控系统信息安全的威胁来源
安全问题一直是工业企业重视的方面,包括防火防盗生产安全,但随着信息技术的发展,工控系统信息安全也是企业面临的一个问题。威胁主要来源于是以下几个方面:(1)来自国家层面的威胁。当今世界虽然和平与发展是主流,但暗流涌动之下,信息打击是国家之间取得战争胜利的一个手段。以最为出名的伊朗核试验震网案例来讲,从技术手段到攻击方式都不是几个黑客组织所能完成的体量,多个0day漏洞,对工控设备的深层了解,显然是部级别才能达到的水平。(2)来自黑客利益组织的威胁。黑客组织发展到一定阶段也会发生以谋求经济利益为目的的入侵。如2017年5月份爆发的永恒之蓝病毒(WannaCry),结果就是以勒索获得金钱上的利益。其中受到感染的也包括了工业主机这样的工控设备,给企业自身的生产带来困难,给企业的经济带来损失。所以带有这种目的的黑客组织也不容忽视,企业自身必须做好防护,做好工业互联网的安全工作。(3)来自技术爱好者的威胁。有些信息技术的爱好者,对于技术很有追求,但对于攻破工控系统的防御并没有意识到带来的危害性。有时可能还是无心之错,但危害却不比知道的小。可能个人攻击到某个网站的后台,某个SCADA系统的控制界面,造成企业无法正常生产,一样会被追究责任。但作为企业应该尽量避免这样的事件发生。(4)来自本身企业员工的威胁。企业的员工可能会对企业给予的待遇或者薪金不够认可,也可能在企业中没有归属感,那么一旦他利用信息后门的漏洞,可能会威胁企业要求得到经济上的利益。而如果怀有此意向的员工恰好是企业中有关工业互联网或者生产线上的操作员站的员工,那么就有可能产生不好的后果,造成企业生产上的损失。
3工控系统信息安全检查的方式和技术
工业现场与一般的环境有所不同,行业众多,情况复杂,设备种类繁多,因此对于工控系统安全检查的方法就需要根据实际情况来做具体的安排。
3.1工控系统信息安全检查的依据
检查的依据是《中国人民共和国网络安全法》、《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》,以防护指南为主体,从十一个方面,三十个小项来对工业企业检查。
3.2从物理空间划分
(1)被检查企业需要提供一个办公场所。可以是企业的会议室等,能够容纳检查人员和企业配合人员。(2)现场设备的生产线或加工车间。(3)中控室或者调度中心。这部分是检查的重点,数据服务器以及DCS、SCADA系统的信息安全防护从这里检查。(4)机房和车间办公室。网络设备和大多数服务器都在这里,对网络信息的配置和防范都可以在这里体现,另外如果有MES系统也应该放置在这里。
3.3从时间流程划分
(1)首次会议。作为和企业对接的正式会议,向企业宣贯工控安全检查的意义和方式,同时听取企业信息和工控安全的介绍情况。(2)正式的检查工作。需要企业人员的配合,到车间等进行实地的检查。(3)末次会议。对检查的情况与企业进行沟通和梳理,并给出整改的初步方案。
3.4具体的检查方法和方式
根据指南和评估工作管理办法,结合工业控制现场的特点,工控信息安全检查工作可分为两大类:1)访谈查阅类;2)核查检测类。检查的方式有四种:1)人员访谈2)文档查阅3)人工核查4)工具检测。从现场检查的结构可以分为:现场设备层,如工业现场的PLC、DCS、DTU、RTU等;过程监控层,如工业主机,数据服务器;企业管理层,如MES、ERP、MIS等。而在这些层次之间的就是联接他们的通讯设备,如现场总线profibus-DP、Modbus和网络交换机、路由这类的网络设备。检查人员可以分为两组,一组在企业提供的会议室里查阅文档和访谈,内容都是涉及防护指南里覆盖的十一个方面。通过这些手段和企业人员交流,以便达到从文件性质上了解工控安全防护的程度。另一组则是现场检查,发现具体的问题和核实文档记录的真实性。现场检查可以分为工业主机检查、网络设备检查、网络防护设备检查、服务器检查、数据安全和物理环境检查、网络边界检查等。以工业主机检查为例,为了不给企业生产带来损失,使用的都是操作系统自带的命令行命令检查。此外还可以使用经过认证的资产发现设备或者漏洞扫描设备,但在生产过程中不建议使用工具这种手段。
4工控系统信息安全检查技术的展望
虽然检查技术已经比较成熟,并且也开展了三年多的时间,但有些地方仍有改进的地方。比如在对PLC等现场设备层的检查技术仍很薄弱,怎么能够深入到串行总线和设备固件中找到漏洞并加固是工控系统信息安全检查的发展方向之一。
参考文献:
[1]工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知.
[2]工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知.
作者:穆伟然 单位:黑龙江省电子技术研究所
