隨著網絡和信息技術滲透到各個傳統的行業,使得整個傳統行業的基礎設施就像有了神經系統一樣,能夠進行遠程的智能化控制和操作。傳統行業與互聯網技術相結合就形成了物聯網、工業互聯網、信息物理系統、智慧城市等一些新的概念,但是他們的核心還是網絡互連。
工業控制系統安全問題緊迫
在網絡互連的大背景下,工業控制系統的互連已經成為不可避免的趨勢。互連一方面可以提高生產力,提升創新能力,減少工業能源及資源消耗,助力產業模式轉型升級,另一方面也會因為互聯而誘發一系列網絡安全問題,工業控制系統一直面臨著來自內部和外部的各種惡意病毒的攻擊。目前,工業控制系統遭受的網絡攻擊已經成為我們所面臨的嚴重的國家安全挑戰之一。
工業控制系統設計之初是為了完成各種實時控制功能,并沒有考慮到安全防護方面的問題。現在他們都暴露在互聯網上,這給他們所控制的比如像關鍵基礎設施,重要系統等都帶來了眾多的風險和隱患。
工業和信息化部電子科學技術情報研究所從2012年開始,持續跟蹤、監測工業控制系統的網絡安全風險,也發現了大量的工業控制系統網絡安全風險漏洞,并且向主管部門通報了多個地區的多起關鍵基礎設施高危網絡安全風險,涉及的行業包括能源、市政供水、供氣和供熱等。根據我們對整個漏洞的分析可以發現,有87%的漏洞是可以被黑客來遠程利用的。從漏洞的類型來看,身份驗證的漏洞數量最多,只要具有初步水平的網絡攻擊者就可以通過互聯網來獲得訪問工業控制系統設備和系統的一些管理員權限,并且這些漏洞的潛在威脅正在不斷加大。
近幾年,工業控制系統的網絡安全事件頻發,由于工業控制系統安全涉及國計民生,一旦遭到破壞,危害將十分嚴重。例如,澳大利亞馬盧奇污水處理廠非法入侵事件,造成了100萬公升的污水未經處理就直接經引水渠排入了自然水系,造成了嚴重的環境污染。德國境內的鋼鐵廠在去年底遭遇一次網絡黑客攻擊,惡意軟件攻擊了工廠的鋼鐵熔爐控制系統,造成了鋼鐵熔爐控制系統停機24小時,據測算,每一小時造成的損失高達630萬美元。震網病毒的攻擊致使伊朗布什爾核電站1/5的離心機報廢,放射性物質泄露,危害絕不亞于切爾諾貝利核電站的事故,導致了伊朗的戰略核計劃倒退了兩年。中東能源行業遭遇“Flame”病毒攻擊,導致大量的敏感信息泄露,為爆發大規模的攻擊埋下隱患。
眾所周知,當前各國都把網絡空間安全作為國家安全的重要組成部分,而網絡空間的工業控制系統安全又是重中之重。一方面,在國與國的博弈中,掌握了對方的關鍵基礎設施工業控制系統的基本情況和風險信息,是各國在網絡空間談判的一種重要戰略資源。另一方面,全球越來越多的非國家行為體,比如像恐怖勢力、極端組織等,正在通過不斷發展自身的網絡攻擊能力來實現其政治目的。隨著攻擊難度和攻擊成本的降低,工業控制系統已經成為當今網絡部隊、黑客、極端勢力等網絡精確打擊的重要目標,而這些對我們國家的安全已造成了巨大的威脅。
根據研究發現,當前絕大部分的工業控制系統所使用的工業控制協議是沒有經過任何的加密、認證等安全機制。大部分暴露在互聯網上的工業控制系統是可以被黑客來直接遠程讀取并修改敏感數據,控制其生產過程的。例如,我們在工作中發現,某縣的農村飲用水安全監測平臺,盡管在其主界面上有個登錄按鈕,但是系統并不要求必須通過這個登錄按鈕來輸入用戶名和密碼,而是直接通過打開菜單的選項選擇就可以到達要進入的畫面,整個系統的訪問控制形同虛設。另外,我們在對通訊報文進行分析時發現,報文整個是以明文的形式在進行傳輸,從報文中可以直接讀取協議的名稱,設備的類型,用戶名、密碼等敏感信息。此外,目前工業控制系統聯網中大量存在一種公網映射現象。許多工業控制系統的運營單位認為,將設備接入內網就已經與外網隔離了,就是安全的。然而在他們對路由器設置的時候,又把內網的設備在公網中做了一個映射,直接導致內網設備暴露在互聯網上,整個過程如同掩耳盜鈴。
工業控制系統在線監測平臺建設
面對如此嚴峻的網絡安全形勢,以及工業控制系統自身的脆弱性,我們急需了解到底有多少數量的工業控制系統暴露在互聯網中,有哪些行業、哪些地區的工業控制系統暴露在互聯網中,并且這些暴露在互聯網中的工業控制系統風險到底有多大?因此對工業控制系統在線監測能力的建設也就迫在眉睫。
為了解決前面提到的這些問題,許多國家都非常重視工業控制系統在線監測能力。自2008年起,美國國土安全部通過ProjectShine項目,搜索連接在互聯網上的工業控制系統設備及關鍵信息基礎設施,截止2012年,已經收集了全球范圍內超過220萬條數據,并確定其中7200個為美國關鍵信息基礎設施。除了美國,其他一些西方發達國家,如英國等,也都開發了自己的工業控制系統搜索引擎來掌握和監測本國和其他國家的關鍵基礎設施。
2013年初,工業和信息化部電子科學技術情報研究所開始開展重要控制系統在線搜索監測工作,逐步建設了重要控制系統在線監測平臺,對連接在互聯網上的重要工業控制系統進行安全監測以及預警,現已初步形成了對重要工業控制系統的在線監測能力。在總結我國重要工業控制系統基礎情況的基礎上,工業和信息化部電子科學技術情報研究所自主研發了重要工業控制系統在線監測預警平臺,開發了工業控制系統的在線搜索引擎。平臺通過持續掃描互聯網,識別出符合工業控制系統網絡指紋特征的IP,搜索暴露在互聯網上的重要工業控制系統的基本信息。為了將來更好地部署,我們還研發了平臺的硬件化產品。
目前在線監測預警平臺監測的對象包括:工業控制設備:PLC、DCS、RTU等;系統主機及服務器:工程師站、操作員站、數據庫;應用軟件:SCADA軟件、HMI軟件、MES管理系統軟件;智能設備:如現在智慧城市中用到的智能儀器儀表設備、嵌入式設備、視頻監控設備。還可以監測一些工業網絡設備:路由器、工業防火墻、工業網閘等。
經過近3年的工作,監測平臺取得了一些階段性的成果。目前平臺已經搜集了十余種主流工控專有協議及工控專用的網絡端口;掌握了國內外工業控制系統及設備的基礎信息、分布情況和發展趨勢;提高了我國重要工業控制系統網絡安全風險的“可發現”能力;幫助關鍵基礎設施運營單位提高工業控制系統網絡安全防護能力;提供工業控制系統網絡安全監測與感知預警的支撐。
