随着网络和信息技术渗透到各个传统的行业,使得整个传统行业的基础设施就像有了神经系统一样,能够进行远程的智能化控制和操作。传统行业与互联网技术相结合就形成了物联网、工业互联网、信息物理系统、智慧城市等一些新的概念,但是他们的核心还是网络互连。
工业控制系统安全问题紧迫
在网络互连的大背景下,工业控制系统的互连已经成为不可避免的趋势。互连一方面可以提高生产力,提升创新能力,减少工业能源及资源消耗,助力产业模式转型升级,另一方面也会因为互联而诱发一系列网络安全问题,工业控制系统一直面临着来自内部和外部的各种恶意病毒的攻击。目前,工业控制系统遭受的网络攻击已经成为我们所面临的严重的国家安全挑战之一。
工业控制系统设计之初是为了完成各种实时控制功能,并没有考虑到安全防护方面的问题。现在他们都暴露在互联网上,这给他们所控制的比如像关键基础设施,重要系统等都带来了众多的风险和隐患。
工业和信息化部电子科学技术情报研究所从2012年开始,持续跟踪、监测工业控制系统的网络安全风险,也发现了大量的工业控制系统网络安全风险漏洞,并且向主管部门通报了多个地区的多起关键基础设施高危网络安全风险,涉及的行业包括能源、市政供水、供气和供热等。根据我们对整个漏洞的分析可以发现,有87%的漏洞是可以被黑客来远程利用的。从漏洞的类型来看,身份验证的漏洞数量最多,只要具有初步水平的网络攻击者就可以通过互联网来获得访问工业控制系统设备和系统的一些管理员权限,并且这些漏洞的潜在威胁正在不断加大。
近几年,工业控制系统的网络安全事件频发,由于工业控制系统安全涉及国计民生,一旦遭到破坏,危害将十分严重。例如,澳大利亚马卢奇污水处理厂非法入侵事件,造成了100万公升的污水未经处理就直接经引水渠排入了自然水系,造成了严重的环境污染。德国境内的钢铁厂在去年底遭遇一次网络黑客攻击,恶意软件攻击了工厂的钢铁熔炉控制系统,造成了钢铁熔炉控制系统停机24小时,据测算,每一小时造成的损失高达630万美元。震网病毒的攻击致使伊朗布什尔核电站1/5的离心机报废,放射性物质泄露,危害绝不亚于切尔诺贝利核电站的事故,导致了伊朗的战略核计划倒退了两年。中东能源行业遭遇“Flame”病毒攻击,导致大量的敏感信息泄露,为爆发大规模的攻击埋下隐患。
众所周知,当前各国都把网络空间安全作为国家安全的重要组成部分,而网络空间的工业控制系统安全又是重中之重。一方面,在国与国的博弈中,掌握了对方的关键基础设施工业控制系统的基本情况和风险信息,是各国在网络空间谈判的一种重要战略资源。另一方面,全球越来越多的非国家行为体,比如像恐怖势力、极端组织等,正在通过不断发展自身的网络攻击能力来实现其政治目的。随着攻击难度和攻击成本的降低,工业控制系统已经成为当今网络部队、黑客、极端势力等网络精确打击的重要目标,而这些对我们国家的安全已造成了巨大的威胁。
根据研究发现,当前绝大部分的工业控制系统所使用的工业控制协议是没有经过任何的加密、认证等安全机制。大部分暴露在互联网上的工业控制系统是可以被黑客来直接远程读取并修改敏感数据,控制其生产过程的。例如,我们在工作中发现,某县的农村饮用水安全监测平台,尽管在其主界面上有个登录按钮,但是系统并不要求必须通过这个登录按钮来输入用户名和密码,而是直接通过打开菜单的选项选择就可以到达要进入的画面,整个系统的访问控制形同虚设。另外,我们在对通讯报文进行分析时发现,报文整个是以明文的形式在进行传输,从报文中可以直接读取协议的名称,设备的类型,用户名、密码等敏感信息。此外,目前工业控制系统联网中大量存在一种公网映射现象。许多工业控制系统的运营单位认为,将设备接入内网就已经与外网隔离了,就是安全的。然而在他们对路由器设置的时候,又把内网的设备在公网中做了一个映射,直接导致内网设备暴露在互联网上,整个过程如同掩耳盗铃。
工业控制系统在线监测平台建设
面对如此严峻的网络安全形势,以及工业控制系统自身的脆弱性,我们急需了解到底有多少数量的工业控制系统暴露在互联网中,有哪些行业、哪些地区的工业控制系统暴露在互联网中,并且这些暴露在互联网中的工业控制系统风险到底有多大?因此对工业控制系统在线监测能力的建设也就迫在眉睫。
为了解决前面提到的这些问题,许多国家都非常重视工业控制系统在线监测能力。自2008年起,美国国土安全部通过ProjectShine项目,搜索连接在互联网上的工业控制系统设备及关键信息基础设施,截止2012年,已经收集了全球范围内超过220万条数据,并确定其中7200个为美国关键信息基础设施。除了美国,其他一些西方发达国家,如英国等,也都开发了自己的工业控制系统搜索引擎来掌握和监测本国和其他国家的关键基础设施。
2013年初,工业和信息化部电子科学技术情报研究所开始开展重要控制系统在线搜索监测工作,逐步建设了重要控制系统在线监测平台,对连接在互联网上的重要工业控制系统进行安全监测以及预警,现已初步形成了对重要工业控制系统的在线监测能力。在总结我国重要工业控制系统基础情况的基础上,工业和信息化部电子科学技术情报研究所自主研发了重要工业控制系统在线监测预警平台,开发了工业控制系统的在线搜索引擎。平台通过持续扫描互联网,识别出符合工业控制系统网络指纹特征的IP,搜索暴露在互联网上的重要工业控制系统的基本信息。为了将来更好地部署,我们还研发了平台的硬件化产品。
目前在线监测预警平台监测的对象包括:工业控制设备:PLC、DCS、RTU等;系统主机及服务器:工程师站、操作员站、数据库;应用软件:SCADA软件、HMI软件、MES管理系统软件;智能设备:如现在智慧城市中用到的智能仪器仪表设备、嵌入式设备、视频监控设备。还可以监测一些工业网络设备:路由器、工业防火墙、工业网闸等。
经过近3年的工作,监测平台取得了一些阶段性的成果。目前平台已经搜集了十余种主流工控专有协议及工控专用的网络端口;掌握了国内外工业控制系统及设备的基础信息、分布情况和发展趋势;提高了我国重要工业控制系统网络安全风险的“可发现”能力;帮助关键基础设施运营单位提高工业控制系统网络安全防护能力;提供工业控制系统网络安全监测与感知预警的支撑。