前言:本站為你精心整理了化工流程行業(yè)工業(yè)控制網(wǎng)絡(luò)安全探討范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:目前我國很多企業(yè)的工業(yè)控制網(wǎng)絡(luò)缺乏或根本不具備安全防護能力,極易受到來自于外界的入侵,且工業(yè)系統(tǒng)的安全事件所造成的損失和影響一般都相對較大,現(xiàn)階段針對工業(yè)控制網(wǎng)絡(luò)的攻擊越來越多,工業(yè)網(wǎng)絡(luò)安全問題令人擔(dān)憂。本文在防護技術(shù)和防護管理方面對工業(yè)網(wǎng)絡(luò)安全進行了探討,以求引起行業(yè)人士對工業(yè)網(wǎng)絡(luò)安全問題的關(guān)注。
關(guān)鍵詞:工業(yè)網(wǎng)絡(luò);安全防護
隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展以及國家“工業(yè)4.0”“兩化融合”戰(zhàn)略的推進,智能化工廠建設(shè)已成為企業(yè)節(jié)本降耗、提質(zhì)增效的必由之路,對于工業(yè)控制系統(tǒng)而言,它必將成為智能化工廠整體設(shè)計架構(gòu)中的重要組成部分。生產(chǎn)控制信息將貫穿于企業(yè)生產(chǎn)經(jīng)營管理全過程,工業(yè)控制系統(tǒng)相對獨立的運行環(huán)境正在被打破,工業(yè)控制系統(tǒng)面臨著來自外部越來越多的安全威脅。尤其是化工流程行業(yè)高溫高壓、易燃易爆的特點,一旦工業(yè)控制系統(tǒng)出現(xiàn)問題,后果將極其嚴重。
一、行業(yè)現(xiàn)狀分析
目前化工流程行業(yè)普遍運用數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)控制生產(chǎn)設(shè)備的運行。長期以來工業(yè)控制系統(tǒng)始終把穩(wěn)定性、延時性、可操作性等作為重要的性能指標(biāo),很多企業(yè)對于工業(yè)網(wǎng)絡(luò)安全沒有足夠的重視,管理制度不健全,技術(shù)防護措施不到位,有的企業(yè)甚至基本上沒有任何防護措施,由于擔(dān)心對操作系統(tǒng)的影響,不敢輕易對系統(tǒng)實施升級和漏洞補丁的操作。為了實現(xiàn)管控一體化,很多企業(yè)將工業(yè)控制網(wǎng)與企業(yè)管理網(wǎng)絡(luò)甚至是與互聯(lián)網(wǎng)進行了連接,且采取的防護措施也很簡單,通常只是用一臺上位機將工業(yè)控制網(wǎng)和管理網(wǎng)連接到一起,這種安全防護措施極易被攻破,在高度信息化的同時也減弱了工業(yè)控制系統(tǒng)的安全性,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)蔓延,工業(yè)網(wǎng)絡(luò)病毒、工控設(shè)備高危漏洞、外委設(shè)備后門、無線技術(shù)應(yīng)用的風(fēng)險等諸多因素對工業(yè)控制系統(tǒng)的安全造成了極大的威脅,工業(yè)控制系統(tǒng)安全問題日益突出。
二、安全防護技術(shù)探討
1.工業(yè)控制系統(tǒng)病毒種類和傳播途徑分析。
工業(yè)控制系統(tǒng)受到攻擊一般都是先感染病毒,系統(tǒng)被感染后會出現(xiàn)兩種情況,一是系統(tǒng)運行效率下降,常出現(xiàn)運行速度慢和死機現(xiàn)象;二是系統(tǒng)被黑客利用病毒所控制,對系統(tǒng)進行操作。近年來出現(xiàn)的震網(wǎng)病毒、Duqu病毒、Flame病毒和Havex病毒都是針對工業(yè)控制系統(tǒng)的病毒,這些病毒的傳播途徑一般是通過互聯(lián)網(wǎng)散布,通過互聯(lián)網(wǎng)感染企業(yè)管理網(wǎng)絡(luò)計算機或移動存儲設(shè)備,通過管理網(wǎng)絡(luò)和移動存儲設(shè)備感染工業(yè)控制網(wǎng)絡(luò)。目前很多化工企業(yè)用于生產(chǎn)控制的是DCS系統(tǒng),針對這些DCS產(chǎn)品實施攻擊是很容易做到的,因為這些DCS產(chǎn)品的協(xié)議參數(shù)、標(biāo)準(zhǔn)規(guī)范、接口參數(shù)等信息對于攻擊者來說是很容易得到的,制作出有針對性的攻擊程序技術(shù)難度也不大,攻擊的關(guān)鍵就是如何使這些程序侵入到工業(yè)控制系統(tǒng)之中,這既是攻擊者想方設(shè)法所要做的事情,也是防御者的工作重心。以震網(wǎng)病毒為例進行分析,震網(wǎng)病毒是一種基于WINDOWS操作系統(tǒng)平臺的專門針對工業(yè)控制系統(tǒng)的蠕蟲病毒,它具有傳播能力強、能自我復(fù)制、隱身性好等特點,還具有多種掃描和滲透機制,該病毒可以根據(jù)環(huán)境不同做出相應(yīng)的反應(yīng)。震網(wǎng)病毒的攻擊手段常常以黑客技術(shù)發(fā)動首次攻擊,入侵到工業(yè)控制系統(tǒng)后進行蔓延、復(fù)制,滲透到更深層次的控制單元中,從而達到控制系統(tǒng)的目的。
2.工控安全防護理念的演變。
(1)強調(diào)網(wǎng)絡(luò)隔離,一般是采用網(wǎng)關(guān)、網(wǎng)閘、單向隔離設(shè)備等硬件隔離技術(shù),這些防護手段屬于被動防護,起到抵御和阻擋威脅侵入的作用。但被動的防御是脆弱的,現(xiàn)代高端持續(xù)性攻擊都是有針對性的應(yīng)對這些隔離技術(shù),只要是有物理連接,那攻破這些隔離設(shè)施只是技術(shù)上的問題。
(2)傳統(tǒng)信息安全廠商提出了縱深防御體系的理念,其性質(zhì)也是屬于隔離的范疇,只不過是對傳統(tǒng)隔離技術(shù)的一種演變,基本上是諸如防火墻、動態(tài)入侵檢測(IPS)等一些信息安全設(shè)備的一種簡單的堆砌,不能完全適應(yīng)工業(yè)控制網(wǎng)絡(luò)安全的特點。
(3)以工業(yè)控制系統(tǒng)生產(chǎn)廠家為代表的,基于產(chǎn)品端的持續(xù)性防御體系,其理念是基于工控產(chǎn)品硬件創(chuàng)新以提高其安全性,這種理念適應(yīng)工業(yè)控制系統(tǒng)高可靠、低延時、可定制以及簡單化的實施和操作等特點,這就需要制造廠家與客戶之間需建立一種長期的合作關(guān)系,費用相對也較高。
(4)以攻為守的防護策略,通過注重攻擊技術(shù)的研究以提高攻擊技術(shù),從而帶動防御技術(shù)的提高,以此為基礎(chǔ)衍生出多種檢測技術(shù)和風(fēng)險評估方法,運用這些技術(shù)和方法建立諸如離線威脅管理平臺、威脅評估系統(tǒng)等工具挖掘系統(tǒng)漏洞,尋找安全滲透攻擊,發(fā)現(xiàn)隱患及時報警或消除,這些技術(shù)和手段屬于主動防御。
3.攻擊技術(shù)分析。
(1)網(wǎng)絡(luò)掃描技術(shù)分析。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議對延時性很敏感,實施硬掃描通過占用資源對延時造成影響,就很有可能致使整個網(wǎng)絡(luò)癱瘓。單單是進行簡單的網(wǎng)絡(luò)掃描操作,就可以達到中斷系統(tǒng)服務(wù)的目的,在網(wǎng)絡(luò)掃描過程中,如果發(fā)現(xiàn)防火墻、網(wǎng)關(guān)之類的網(wǎng)絡(luò)保護設(shè)備,憑借基本的黑客技術(shù),通過實施DOS攻擊就可以達到目的。如果不希望系統(tǒng)崩潰,只是通過掃描獲取相關(guān)設(shè)備信息,那就可以采取軟掃描的方法進行目標(biāo)系統(tǒng)定位,之后再根據(jù)系統(tǒng)的網(wǎng)絡(luò)協(xié)議的特性進行后續(xù)掃描。通過掃描可以識別出關(guān)鍵設(shè)施保護設(shè)備及其屬性,可以得到設(shè)備的各類同步信息,還可以發(fā)現(xiàn)DNP3的從屬地址和相應(yīng)的邏輯關(guān)系。
(2)賬戶破解技術(shù)。
目前大部分工控系統(tǒng)都是基于WIN-DOWS操作系統(tǒng)的,因此一些通用的專門破解WINDOWS賬戶的軟件工具和方法同時也可以應(yīng)用到破解工業(yè)控制系統(tǒng)上來。OPC是以O(shè)LE和COM機制作為應(yīng)用程序的通訊標(biāo)準(zhǔn),DCS系統(tǒng)可以通過OPC與外界建立聯(lián)系,賬戶破解后通過主機認證就可以全面控制OPC環(huán)境,對DCS系統(tǒng)實施雙向的數(shù)據(jù)通訊。若無法獲得底層協(xié)議認證,也可以通過枚舉方法破解系統(tǒng)人機界面用戶信息,進入人機界面就可以直接控制管理進程,竊取各類信息。以上兩種技術(shù)只是眾多攻擊技術(shù)的代表,攻擊技術(shù)種類繁多,且還有多種復(fù)雜的變換,但最終目的就是要入侵到系統(tǒng)中來,所以防御和捕獲技術(shù)的研發(fā)是關(guān)鍵,兩者應(yīng)結(jié)合運用才能保證系統(tǒng)安全。目前各類防御系統(tǒng)較多,但捕獲技術(shù)應(yīng)用較少,在入侵來源識別、I/O接口監(jiān)控、動態(tài)檢測分析和系統(tǒng)運行檢測等方面開展工控系統(tǒng)保護工作效果將更加明顯。
三、安全防護管理探討
技術(shù)是手段,管理是保障,建立完善的工業(yè)控制網(wǎng)絡(luò)安全管理體系對于安全防護更為重要,管理體系架構(gòu)應(yīng)包含以下六部分:
1.建立完善的組織機構(gòu)。
企業(yè)要結(jié)合本單位實際,制定網(wǎng)絡(luò)安全工作的總體方針和策略,明確本單位網(wǎng)絡(luò)安全工作的總體目標(biāo)、范圍、原則和安全框架。應(yīng)有專門的部門具體承擔(dān)網(wǎng)絡(luò)安全管理工作,組織制定和落實網(wǎng)絡(luò)安全管理制度,實施網(wǎng)絡(luò)安全技術(shù)防護措施,開展網(wǎng)絡(luò)安全宣傳教育培訓(xùn),執(zhí)行網(wǎng)絡(luò)安全監(jiān)督檢查等。
2.加強人員管理。
建立相關(guān)崗位人員上崗管理規(guī)定,進行相關(guān)教育和培訓(xùn)、考核,與關(guān)鍵崗位的計算機使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議,明確網(wǎng)絡(luò)安全與保密要求和責(zé)任。建立相關(guān)崗位人員離崗管理規(guī)定,人員離崗時應(yīng)終止其系統(tǒng)訪問權(quán)限,收回各種軟硬件設(shè)備及身份證件、門禁卡、UKey等,并簽署安全保密承諾書。建立外來人員管理制度,外來人員訪問機房等重要區(qū)域,應(yīng)履行審批手續(xù)。
3.重視存儲介質(zhì)管理。
建立存儲介質(zhì)安全管理制度,對移動存儲介質(zhì)進行集中統(tǒng)一管理,記錄介質(zhì)領(lǐng)用、交回、維修、報廢、銷毀等情況。嚴格限制USB接口的使用,嚴格存儲陣列、磁帶庫等大容量存儲介質(zhì)的管理,采取技術(shù)措施防范外聯(lián)風(fēng)險,確保存儲數(shù)據(jù)安全。嚴格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計算機。
4.規(guī)范網(wǎng)絡(luò)管理和運維工作。
建立網(wǎng)絡(luò)安全管理和日常運行維護管理制度,制定運維操作規(guī)程,規(guī)范日常運維操作記錄。建立安全風(fēng)險控制流程,采取書面審批、訪問控制、在線監(jiān)測、日志審計等安全防護措施進行安全風(fēng)險控制。日常維護要建立巡檢表,對網(wǎng)絡(luò)監(jiān)控日志和設(shè)備日志進行管理,定期審計分析,發(fā)現(xiàn)安全風(fēng)險或問題,及時進行處理。嚴格口令管理,及時更改產(chǎn)品安裝時的預(yù)設(shè)口令,杜絕弱口令、空口令。建立涉密計算機管理制度,對涉密計算機進行重點監(jiān)控,嚴禁涉密計算機接入互聯(lián)網(wǎng)。
5.嚴格外包服務(wù)機構(gòu)的管理。
建立網(wǎng)絡(luò)技術(shù)外包服務(wù)安全管理制度,與其簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議,明確網(wǎng)絡(luò)安全與保密責(zé)任,要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包,不得泄露、擴散、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息,不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn),不得以服務(wù)為由強制要求委托方購買、使用指定產(chǎn)品。在網(wǎng)絡(luò)技術(shù)現(xiàn)場服務(wù)過程中應(yīng)安排專人陪同,并對服務(wù)過程詳細記錄.
作者:宋鋼 劉海波 單位:滄州大化集團有限責(zé)任公司 河北工程技術(shù)高等專科學(xué)校