工业控制系统面临的十大安全问题
随着德国工业4.0、美国工业互联网、中国制造2025等战略的不断推进下,再加上物联网、云计算、大数据、5G等新一代信息技术的融合发展,工业生产网络逐渐与办公网、互联网以及第三方网络进行互联互通,使得原本封闭可信的工业生产环境被打破,面临了病毒、木马、黑客、敌对势力等威胁。尤其近几年,勒索软件对工业生产企业攻击更加频繁,如2018年台积电Wannacry勒索事件,以及今年5月美国最大成品油管道运营商科洛尼尔公司遭受勒索攻击。而工业控制系统自身又存在一些安全问题,这样使得病毒、木马、黑客、敌对势力等威胁利用这些问题对工业生产环境进行攻击成为了可能。
那么,工业控制系统存在哪些安全问题呢?
1、工业控制系统普遍缺乏安全设计
工业控制系统在设计之处主要考虑系统的实时性、可靠性、稳定性,并没有考虑安全性,牺牲安全性换取实时性。控制设备、编程软件、组态软件以及工业协议等普遍缺乏身份认证、授权、加密等安全基因。
2、工业控制系统存在大量漏洞、后门
根据CNVD统计,2000-2020年收录的工业控制系统漏洞数量分布以及2020年新增漏洞涉及厂商统计图如下:
(数据来源:工业控制系统安全国家地方联合实验室)
(数据来源:工业控制系统安全国家地方联合实验室)
从统计图可以看出,近几年工业控制系统的漏洞呈剧增趋势以及涉及施耐德、西门子、研华等主流工控厂商。
截止到2021年9月6号,工业控制系统漏洞已达到3100个,另外各安全厂商以及黑客等其他机构掌握的漏洞远超过CNVD统计的数量。
另一方面,工业控制设备(DCS、PLC)、工业应用、触摸屏、工业交换机等关键设备主要依靠国外进口,这些设备或多或少被预留了“后门“,关键时刻对生产数据窃取、监听、甚至发起破坏攻击。
3、设备联网混乱、缺乏安全防护
为了生产上的便利,工业生产环境中越来越多的智能传感器、设备、机器、应用系统与网络进行连接,逐渐与办公网、互联网第三方网络进行连接。再加上企业在日常维护过程中,经常把个人笔记本、手机等设备违规接入生产网络,甚至非法外联(手机热点连接互联网),使得网络边界越来越模糊,而又缺少必要的安全防护措施或者安全防护措施难以实施。
4、工业主机“带洞”、“带病”运行成常态
纵观国内外,针对工业控制系统攻击的安全事件来看,工业主机(操作员站、工程师站、OPC接口机、历史服务器等)成为攻击的首要目标,然后把工业主机作为跳板机,再对控制设备、生产设备、工艺等进行攻击。分析其原因主要有2点:一是攻击工业主机技术上比直接攻击控制设备更加容易;二是工业主机的安全问题更多,更容易被利用。
工业主机主要存在的安全问题:
1)工业主机的操作系统版本老旧,大多数是windows XP及以下版本,这些操作系统存在的漏洞多,而且补丁不易更新、不敢更新、不想更新,另一方面微软早已不提供补丁更新技术;
2)安全配置基线无加固,大多数工业企业未对工业主机进行安全加固,普遍存在弱口令、未删除多余过期的账户,默认开启共享桌面、高危端口(如139、445、3389、5900等)以及安装与工作无关的软件,如向日葵、VNC、Teamviever以及即时通工具等;
3)恶意代码防范能力弱,工业主机普遍缺乏对恶意代码的防范,有的企业对工业主机安装了杀毒软件(McAfee、360杀毒),但是这些软件“水土不服”,存在误杀、兼容性以及病毒库不能实时更新等问题;
4)移动存储介质管控,在一些工业生产环境中对移动存储介质处于零管控要求,移动存储介质在生产环境与互联网环境随意使用;虽然有一些企业使用管理办法和物理封堵的方法来对介质进行管控,但还存在管理上漏洞,移动存储介质屡禁不止的现象依然发生,导致一些病毒、木马、蠕虫等恶意代码程序通过移动存储介质进入到工业生产环境中。
5、工业资产不清晰
工业控制系统一般运行10-20年,一条生产线或车间通常由多个设备厂商、集成商负责建设,且基本依靠第三方维护,资产清单(硬件、软件、网络拓扑、配置等)分布于不同的厂商、人员,没有完整的资产清单。在系统进行设备、网络连接、配置发生改变时,往往不进行更新,与现存的台账(竣工移交的资料)往往存在很大的区别,这是目前企业最为“头疼”的病。
6、缺少必要的监测预警手段,可视化、可读性差
在工业控制系统中缺少必要的安全监测预警机制,对整个工业网络运行状态、资产情况、异常行为、威胁入侵以及安全事件无实时监测预警机制。
另一方面,国内安全厂商在安全产品设计时,并没有站在工业用户角度考虑,绝大多数的安全产品(如态势感知)在可视化、可读性方面并没有考虑工业用户的习惯。比如发生安全事件,安全视角往往是按照事件类型、级别、对应IP/MAC、服务器、业务应用等来看问题;而工业用户人员习惯从哪个工厂、哪个车间、哪个生产线、哪个系统、哪台设备、什么故障等这个顺序来看问题,也就是说安全产品并没有和业务相结合,而是孤立的看问题。从而,导致一些安全产品的报警信息,工业用户人员看不懂、不愿看、不想看。
7、工业数据面临被窃取、篡改、丢失等安全风险
在工业生产环境下,存在大量的设备运行数据、工艺配方数据、生产操作数据、生产管理数据以及研发、设计、采购、订单以及客户信息等数据,这些数据存在潜在的挖掘、分析、利用价值。
随着新一代信息技术的融合发展下,这些数据存在跨系统、跨组织、跨地域进行流动,存在被黑客组织、工业间谍、敌对势力进行窃取、篡改的风险。
8、工业企业安全管理制度不完善、管理不到位、责任不清晰
在很多大中型工业企业,IT管理制度以及生产管理规范一般比较到位,但是针对工业控制系统的信息安全管理制度和管理措施不健全,缺乏体系化。缺乏从规划、建设、运行、维护、废除全生命周期的管理制度与办法,无信息安全管理责任人,未设立安全协调小组、未设置安全岗位和专职人员。
此外,还有一些工业企业工业网络的汇聚、核心交换机以及边界防护的网闸或者防火墙设备属于“三不管”地界。一方面这些设备通常由生产部门(或保障部门或仪表科)采购,具有归属权,生产人员对这些设备有绝对的话语权,但是又不具备网络和安全的专业人员。另一方面,这些设备处于生产运行环境中,IT人员天生对生产运行有一定的敬畏心里,往往为了满足工业现场生产的需要,开通全通策略或者不负责运行维护。久而久之,设备的安全配置、账户口令未进行备份记录,形成“三不管”地界。
9、安全运维管理不到位,应急响应不健全
大部分工业企业将工业生产环境下的资产交给设备厂商或系统集成商或第三方服务商运维。针对现场运维方式,多数企业采取粗放式管理,只是作登记、记录以及带领到现场即可,并未对运维人员运维过程进行关注,针对乱插U盘、非法外联、窃取资料等行为并不知晓。针对远程运维方式,多数企业采用向日葵、VNC等远程桌面方式进行运维,无加标锁定策略,针对运维过程中出现的违规操作、误操作以及窃取生产数据等行为无监控、无审计,出现事故后无法定位追踪溯源。
另一方面,在大部分工业企业,IT安全应急响应与工业安全应急响应是“两张皮“,IT的应急响应往往不考虑生产环境下的需求,针对生产环境下发生的网络安全事件无”特效药“;工业生产环境下的安全应急响应往往是针对生产安全事故的处置响应,并未考虑网络安全事件,相关网络安全事件的应急预案以及处置流程缺失。
10、工业控制系统信息安全投入不足,人员意识差
纵观国内安全市场,整个网络安全投入占IT投入不足2%,而工业控制系统信息安全投入又不足IT安全投入的20%,再加上各工业企业在年度预算执行中,工业控制系统信息安全预算又少之又少。所以,从安全投入可以看出,不足量的投入难以保证全量的防护。
另一方面,整个工业生产人员的安全意识淡薄,缺少安全教育、培训。一些管理者、技术主管、一线操作人员认为其工业控制系统与外界未连接,工业生产网络是安全的;还认为生产系统运行这么多年也没有发生过网络安全事件,今后也不可能发生。
但是,今日不同往日,任何阻力都阻挡不了生产力的进步。当下,正发生第四次工业革命,中国正搭乘这一快班车,充分利用新一代信息技术的优势,改变中国制造业大而不强的局面,所以工业生产网络也正面临着新的变革,你的工业生产网络还安全吗?
随着《网络安全法》、《数据安全法》以及《关基信息基础设施安全保护条例》等法律法规的陆续颁布实施,工业控制系统被广泛运用于能源、交通、市政、航天、军工等牵涉国民经济核心地位的主要基础设施,一旦发生安全事件,将给企业、社会、国家都会带来灾难性的影响。因此,一批关键信息基础设施的工业控制系统被提上日程进行整改建设。
那么,针对这些问题,如何解决呢,或解决的思路是什么?
安全解决思路以《网络安全法》、《关基信息基础设施安全保护条例》等法律法规为背景,基于《信息安全技术网络安全等级保护基本要求》以及《工业控制系统信息安全防护指南》为设计标准,通过建设安全技术体系和安全管理体系,构建一个可信、可控、可管的安全动态防御体系。
首先,通过安全评估服务,对工业工业生产环境下的资产(硬件、软件、网络拓扑、配置等)进行识别、梳理,完善企业资产台账;基于资产进行漏洞无损扫描、基线检查以及其他脆弱性识别、梳理、分析;基于资产、网络流量、业务、日志等进行威胁识别、梳理、分析。
其次,基于安全评估结果,从架构优化、安全通信、边界防护、访问控制、安全接入、身份认证、监测审计、工业主机防护、安全运维以及监测预警等方面进行针对性防护,落实安全策略,建立安全技术防御体系。
最后,建立健全科学完备的安全管理体系,从安全策略和制度、管理机构和人员、安全建设与运维等全面建设,形成一级文件的企业方针、目标、策略及管理机构职责,二级文件的各类管理办法和管理制度、三级文件的操作规范、重点安全管理专项措施,四级文件的管理流程、操作流程以及与制度配套的各类管理表单,建立安全管理体系。
同时,以安全运营平台为抓手,建设集工业资产管理、安全感知、风险态势、安全评估、应急处置、应急指挥、通报预警、安全培训等能力为一体的实战化运营体系,落实安全运营,保障工业生产网络安全稳定运行。
