“美国提供供水、供电等重要社会基础设施服务企业,其控制系统发生异常并被实施破坏的网络攻击危险性越来越高”,2013年5月9日,美国华盛顿邮报报道了美国国土安全部在5月7日发出的这一警告。据称,美国政府高官对国外敌对势力最近几个月控制水、电、化工厂的计算机系统进行了调查,对破坏性的网络攻击极为担忧。而且,破坏的目的不仅仅局限于窃取生产制造的知识产权,还扩展到使生产控制过程发生异常等破坏性行为。
1 工业控制系统的具体攻击案例
其实,自从进入21世纪之后,就已经出现了很多相关事例。比如,澳大利亚下水道监控系统和美国核电站监控系统曾被第三方经由无线网络系统侵入,波兰地铁信号系统被入侵(见表1)。近年来,这样的攻击案例正在迅速增加。
表1 针对重要基础设施的网络攻击事件 .
据称,2009年以来美国国土安全部应对的攻击事例超过50万起。其中,2012年针对政府机构及重要基础设施的攻击多达19万起,比2011年增加了70%多。
1.1 伊朗核设施遭受破坏性攻击
对控制系统进行网络攻击的最著名案例是,2010年9月伊朗纳坦兹的铀燃料浓缩施设被称为“Stuxnet”的超级工厂病毒进行了网络攻击(见图1)。
据专家分析,该攻击中,Stuxnet利用了Windows操作系统的零日漏洞,干扰控制浓缩铀的远心分离机的运行速度以及状态,妨碍铀浓缩过程。
针对Stuxnet,西门子第一时间做出应急响应,包括分析病毒样本、收集客户信息、发布病毒分析报告以及解决措施。由于Stuxnet利用了Windows操作系统的零日漏洞,因此对所有工业控制系统都具有侵略性,目前主流的反病毒软件均可检测Stuxnet,因此需要对系统所有设备进行病毒扫描,包括嵌入式网络设备、工业PC、服务器以及虚拟机等;安装Windows系统漏洞补丁1和西门子SIMATIC安全更新补丁2。
图1 Stuxnet入侵控制系统
美国Symantec公司认为,由于局域网和工厂内的控制系统是独立的,所以该病毒应该是以U盘为介质来传播的,并推测是由5~10人团队用半年时间开发了Stuxnet病毒。
1.2 沙特生产制造型工厂也被破坏者盯上
2012年8月,沙特阿拉伯国营石油公司Aramco受到了网络攻击。据纽约时报报道,攻击者的目标为制油/制气工程,通过使工程中止,让石油/天然气的生产发生异常。
这个攻击中使用了“Shamoon”计算机病毒,所幸没有造成生产异常,但是却影响了该公司3万多台计算机,Aramco公司为此中断了一周内部网络访问。
日本控制系统安全专家村上正志称,“全球范围内存在许多利用网络攻击的犯罪组织”。他们为了实现企业恐吓、操纵股价等目的,从事有针对性的对控制系统的网络攻击,而且这种行为将会越来越多。他进一步指出,“许多网站出售网络攻击工具,无需高级技术就能进行攻击的时代已经到来了”。这些组织或网站的存在,意味着工厂等控制系统受到攻击将极为现实。
就像恐怖袭击的攻击那样,目的在于使社会混乱。对基础设施的网络攻击今后将不断出现,而对于从事普通生产工业产品的企业的控制系统来说,也并非事不关己。
1.3 某日本企业每5分钟受到一次攻击
在日本,对制造业的网络攻击案例也在增多。据称,某个日本企业每5分钟就遭受一次网络攻击,而且,攻击来源都不相同。为此,制造新产品或者产品重新组装的时候,需要输入必要的生产信息、生产配方等工作网络,一定要从控制系统中剥离。为此,在生产现场需要用手工来输入那些信息。这样虽然有可能增加工人的工作量,提升制造成本,但是从安全角度来看,似乎没有更好的办法。
所以,网络攻击对于工厂等运行着控制系统的企业来说,已经不再是事不关己了。不仅仅要防范网络攻击,还要将视野扩大到计算机病毒造成的破坏,其影响也在大幅扩大。
日本许多工厂都发生过因设备故障而临时停产的案例,是软件故障还是设置错误?还是计算机病毒造成的?由于那些企业当时没弄清楚,最初都当作设备故障采取临时停产措施,但通过分析发现其中大部分是计算机病毒造成的。这种案例并非刚刚出现,多年前就开始持续了。可以说,如今控制系统的安全对策已经成为了紧迫课题。
2 美国日本积极采取应对措施
2.1 美国已开始重点推进相关对策
美国已领先10年采取相关对策。美国很早就认识到在网络领域采取安全对策的必要性。在推进智能电表之前,就已在电力、通信、金融等重要基础设施领域采取措施强化信息安全。
2002年11月,吸取“9·11”恐怖袭击的教训,美国将此前分散在各个部门的与保护重要基础设施相关的全部职责整合到了国土安全部。2003年12月,根据关于国土安全的第7号总统令,建立了由国土安全部统一指定重要基础设施和需保护的资源、排定优先顺序等活动的体制,网络安全对策排在较优先的位置(见表2)。
表2 美国重要基础设施网络安全对策年表
2.2 日本开展以基础设施为攻击目标的模拟培训
2013年5月28日,日本在宫城县多贺城市建设了所谓“正义黑客”的培养场所,用以维护工场、发电站等控制系统安全。这一场所的建设者为技术研究机构—— 日本控制系统安全中心(CSSC)的东北多贺城总部。
该组织以日本经济产业省下属的产业技术综合研究所为核心,由包括日立、东芝在内的18个团体共同发起。该场所楼层面积为1 600 m2,约投入20亿日元(约1.3亿人民币),具备7种类型的控制装置和系统。此外,还计划在未来研究中每年投入5亿日元(约0.3亿人民币)。场所内配置了火力发电站、化工厂、汽车制造等工厂基础设施中使用的工业机器人、楼宇空调和照明系统,并单独开设的“红队房间”,供技术人员模拟进行网络攻击,让设备错误操作或者中止。 攻击软件采用了美国国防部使用的网络攻防演习系统核心装置,能够模拟世界级的攻防,可进行300多种各类攻击的实战演练。通过大屏幕,能够逐一观看攻防演练的状态。
东北多贺城总部负责人高桥信称,目前,日本大多数化工厂、发电厂等基础设施尚无法识别网络攻击带来的破坏。但是,对工厂等控制系统的网络攻击,不会只在欧美、中东等地区发生,必定会衍生到日本。所以,日本要“开发可抵御网络攻击的技术,创造可信赖的防御与认证机制”。这个场所是日本首个网络攻击的模拟攻防场所,技术人员可以通过体验网络攻击,了解系统的弱点,以便应用到防御工作之中。
3 易受攻击的重要原因是硬件、操作系统的通用化
以往的控制系统往往采用专用硬件和操作系统,而近年来,工业控制系统采用通用的CPU主板和操作系统的情形不断增多。这是控制系统现在更易受到攻击的重要原因。
2000年初的时候,控制系统还没有连接外部网络,几乎没有出现病毒入侵的案例。但此后不久,“U盘普遍流行,控制系统维护时,纷纷用U盘替换程序或数据”,再加上“部分控制系统开始连接进外部网络”,所以大大提升了病毒感染的危险性。
实际上,日本经济产业省在2008年曾经开展过一项调查,结果显示,以机床、半导体制造设备、各种工业机械等制造设备为对象的控制系统中,将近70%带有USB接口,超过60%带有网卡,80%的操作系统为Windows,只有不到20%采用了UNIX系统。
同时,美国国土安全部所属的The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)称,2012年1年间发现约7 200个可通过互联网访问的控制系统的人机接口(HMI)。
4 应对措施及建议
4.1 安装防范软件和入侵监测系统
企业该如何强化控制系统的安全性呢?McAfee网络战略顾问佐佐木弘志提出如下三项对策:
第一,白名单式安全防范软件。预先登记系统所使用的程序清单,只有清单中注册的程序,才许可其运行。与一般定义文件中记录恶意程序清单的安全防范软件(黑名单安全防范软件)不同,定义文件无需时刻保持更新,无须不断地扫描恶意程序,从而不会对硬件运行速度造成较高负荷。安全防范软件可以安装到管理PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,集散控制系统)等控制器的计算机控制终端中来使用。
第二,采用类似入侵监测系统(Intrusion Detection System,IDS)的网络监视系统。这里的监视对象是PLC、DCS等控制系统控制器与管理计算机之间的网络,以及控制器与现场控制设备间的网络。IDS监视非法访问这些网络的数据包。
第三,采用状况识别(可视化)系统。不断采集控制系统的日志、事件等信息,仅此而已不会起到任何作用。实际上,对此进行分析,如果不“可视化”还不会被引起重视。系统信息和事件管理系统(System Information and Event Management,SIEM)可以起到这个作用,它可以浏览控制系统整体状况。该系统通过对收集的日志或者事件等信息进行相关分析,能够早期察觉网络攻击的征兆,采取对策。但是,SIEM系统一般不支持PLC、DCS与现场控制设备之间使用的通信协议,因此无法收集PLC、DCS所管理的温度或者压力等数据的日志。所以,最好是采用与控制系统日志收集系统并用的方式。通过将控制系统的日志导入到SIEM系统,就能够实现控制信息系统与控制系统双方的状况可视化。
4.2 由中介机构开展企业控制设备安全性检测服务
上述措施大多是针对“入口”的,控制系统和工业网络自身的改革也很必要。
长期而言,还是需要将控制设备、工业网络提升到更高安全级别,按照地域来合理制定控制系统安全级别策略等。对于提供控制设备、工业网络的供应商来说,也应考虑如何提供更安全的服务。以西门子为例,其安全工控系统即融入了对工业自动化控制系统各层面信息安全需求的考虑,包括看站工业安全风险评估,建设全面的信息安全管理;实现安全域的划分与隔离,网络接口遵从清晰的安全规范;部署集成安全措施保护基于PC的控制系统;保护ICS控制级,防御全攻击;实现对ICS通信的可感知与可控制等内容,从而形成了涵盖物理环境安全、安全策略与流程、划分安全单元与DMZ、部署防火墙与VPN、进行系统加固、管理用户账号、部署补丁管理、检测与防御恶意软件等八部分内容的工业信息安全防护。
在强化控制设备安全性这一点上,我们可以借鉴2013年5月28日创建的CSSC日本东北多贺城总部的做法,组建中介服务机构,提供检测企业控制设备安全性的检证服务。针对企业带来的检测对象设备,由掌握攻击技能的人员,以一定步骤开展模拟攻击,检查是否存在安全漏洞。
4.3 完善工业控制系统信息安全认证体系
ISA安全兼容协会(ISA Security Compliance Institute)成立于2007年,致力于为工业自动化控制系统的网络安全提供保障。它所提供的认证和规范,均由工厂、行业协会、用户、学术界、政府和监管机构合作共同审核。
据称,CSSC将从2013年开始开展ISA安全兼容协会的嵌入式设备安全保障认证(Embedded Device Security Assurance,EDSA)这项工作得到了日本经济产业省的扶持。CSCC还计划,2014年三四月开始开展控制设备的自主安全认证—— CSSC认证。此外,CSSC与ISA安全兼容协会签署了备忘录,CSSC认证将与国际认证实现相互认证,日本企业在国内就可获得控制设备的与安全相关的国际认证。
安全认证体系建设是信息安全保障的基础性工作,但在认证制度的设计和标准规范的研究与设计方面,还需要大量的经验和积累。初期,我国可以与国际认证机构合作,开展联合认证服务,但要逐步建立自己的安全认证机制。这不仅是与国际通行做法接轨,也有利于信息安全领域的国际交流与合作,在切实提高我国信息安全水平的同时,帮助和促进工业企业提升信息安全技术水平,引导产业健康发展。
(转载)
