1 数字安全概述
1.1 数字安全现状
随着计算机和网络技术深入而广泛的应用,现代计算机应用系统的功能日渐复杂,正在对社会各行各业产生巨大深远的影响;但同时由于其开放性特点,使得安全问题越来越突出。即使对于相对封闭的电厂控制系统,由于可能存在多种第三方接口,外来未经验证的软件的意外引入,以及操作系统本身存在的某些漏洞等原因,控制系统的安全管理越来越备受关注。除了大家所熟知的病毒、蠕虫和木马外,威胁控制系统安全的还有:
(1)恶意软件,它不同于病毒,可能不会对系统造成破坏性影响,但会侵占系统资源,降低系统的运行稳定性。
(2)未授权的访问或者不适当的安全访问授权机制,导致未验证的第三方软件的引入,产生潜在的安全威胁。
(3)网络的不当拓展,随意接入第三方设备,安全访问策略配置不当,都是系统安全的潜在威胁。
(4)操作系统或者应用软件本身的漏洞,这些漏洞会在使用中逐步被软件设计者发现,然后发布补丁进行软件更新,提升系统安全。
(5)据有关统计,70%的安全威胁来自于外部。由此可见,工控系统的安全环境整治逐步恶化。2014年能源行业受到攻击数占所有行业第一位[1]。
1.2 电厂 DCS数字安全认知误区
虽然电厂DCS是控制发电机组安全、经济运行的中枢神经,但业界对DCS数字安全认知是逐步深入的过程。典型的认知误区如下:
DCS已经屏蔽了所有USB接口,不会感染病毒或攻击;网闸、防火墙布置在DCS和SIS/MIS系统之间,与外界Internet或者办公网络隔离没有感染攻击途径。
殊不知即使硬件隔离、单向通讯等措施都无法保障DCS系统的数字安全,存在潜在风险。单元机组DCS与众多PLC相互通讯,即使PLC主要用于辅助系统,但很多也是实时系统,同属于I区。但DCS与PLC之间没有相关隔离措施,与《电力监控系统安全防护规定》不符。
其次,由于品牌众多,各个PLC厂家在系统架构设计时对数字安全应对措施和能力不同;PLC往往由集成商分别购买硬件、人机接口软件整合而成;计算机操作系统补丁无法及时更新;人机接口众多,导致整个I区安全边界广泛;运行维护人员认知参差不齐、措施千差万别,因此PLC是导致DCS潜在数字危险的最薄弱环节。
而常见的Modbus、OPC、DNP、101、104等通讯协议均为考虑数字安全需求,对于病毒、攻击均为透明,无法阻止病毒扩散。
网闸、防火墙仅在DCS与MIS/SIS间起到了一定的防护作用,但本身也具有一定的局限性。而且对DCS侧已经存在的数字危险如病毒等束手无策。
即使屏蔽所有计算机USB接口,在一定程度上降低数字风险,但数字危险有很多感染途径和层次,包含操作系统、数据、通信、应用、运行、管理等多个层面。
1.3 有重点、分阶段实施
理论上说,业主应该全面考虑整个电厂I区的数字安全,但I区范围较广,且实施数字安全必须要与控制系统原厂商合作,牵扯面较广,因此切实可行、性价比高的方案是先实施电厂中枢神经DCS的数字安全,然后逐步扩展到I区其它子系统。
控制系统数字安全应该从两个方面考虑,一是技术手段,采用有效的、稳定的设备和技术方案来确保系统的运行正常,而另一方面是人的因素,系统安全的实现很大程度上也依赖安全管理制度和人员水平。本文仅从技术角度来说明数字安全。
1.4 国际、国内标准及纵深防御
多家国际组织积极行动,目前已经制订了相关安全标准。其中最有影响力的,就是NERC(北美电力可靠性委员会 North American Electric Reliability Council)创建的CIP(关键基础设施保护 Critical Infrastructure Protection)标准和IEC 62443/ISA 99(工业通讯网络-网络及系统安全)。ABB有多名专家参与起草制定包括这两个标准在内的多个国际标准。
《电力监控系统安全防护规定》自2014年9月1日起施行,确定了“安全分区、网络专用、横向隔离、纵向认证”16字方针。2004年12月20日原国家电力监管委员会发布的《电力二次系统安全防护规定》(国家电力监管委员会令第5号)同时废止。
GB/T30976-2014《工业控制系统信息安全》(2个部分)于2014年12月2日被批准为推荐性国家标准。
这些标准详细描述了工控系统在改善数字安全方面所必需采取的举措,并提出了纵深防御的理念。而Symphony整体解决方案就是参考以上标准,并基于纵深防御理念防护控制系统安全。整套解决方案包括防病毒、白名单、入侵检测、漏洞扫描、灾难备份及恢复、安全事件管理及记录等。
2 Symphony整体解决方案
Symphony整套安全防护方案由一组安全应用程序和服务组成,能够强化和管理Symphony专家控制系统的系统安全,而不会中断实时生产过程。从硬件上看,它包含了一台工作站,作为系统安全管理站,所有的安全功能都运行在此独立的计算机上,同时承担对在同一网络上的其它计算机的部署管理工作。从软件上看,安全应用程序包含了以下功能软件。
2.1 病毒防护
提供了一种非常独特的方法来保护Symphony工作站免于遭受病毒、蠕虫和木马。ABB公司会定期提供经过验证的病毒库,由安全可靠的媒介(比如只读光盘)更新至系统安全管理站后,系统安全管理站会自动将其部署到网络上的所有其它工作站,完成它们的病毒码更新。
(1)确保客户端的安全,有效查杀终端上的各类病毒、蠕虫、恶意程序;
(2)主动的病毒防护,防病毒客户端根据漏洞可以阻挡未知蠕虫病毒;
(3)防病毒系统集成了探测清除模块;
(4)Windows平台微软安全补丁安装状态检测和报警,并且提供详细的报表;
(5)能够自动探测未受防病毒系统保护的计算机;
(6)病毒爆发时的LockDown功能是指当出现中高威胁的病毒爆发时,通过修改防系统安全管理站的一个策略,并分发到客户端后,客户端在实施Lockdown策略时,绝对无法感染病毒、木马和间谍软件;
(7)能够自动探测外来电脑接入内部网络,并向管理员发出报警;
(8)对网络内的应用服务进行全面防护,包括Unix/Linux服务器,从而切断病毒在网络内的寄生和传播;
(9)通过分层的防病毒管理服务器实现分布式自动更新和分层分地域分权管理;
(10)病毒爆发响应机制,通过端口锁定、文件、文件夹锁定和通知功能,使得在病毒爆发阻止和病毒爆发快速响应方面具有完善有效的技术手段,并结合完善的技术服务体系,确保病毒不会大规模爆发。
2.2 入侵检测 IPS/IDS
(1)绝大多数人首先会想到“防火墙”。防火墙得到了广泛的部署,并被作为多层安全体系结构的第一层防护,它主要是作为一个访问控制设备,允许特定协议(例如 HTTP、DNS、SMTP)在一组源地址和目标地址之间传递。作为访问策略增强的一个组成部分,防火墙一般是通过检查数据包来制定流量决策。一般来说,它们并不能检查数据包的全部内容,因此,也无法检测或拦截嵌入到普通流量中的恶意代码。需要注意的是,路由器也是通过数据包过滤来实现防护功能,因此,它提供的也是一种不完善的保护。
(2)虽然说基于防火墙和路由器的数据包过滤是全面数字安全拓扑结构的必要组件,但仅靠它们是远远不够的。
(3)检测异常网络流量。发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全。
(4)深度数据包检测以及无延迟特性,可在攻击到达其目标前抢先将其拦截,可为整个网络环境提供优异的准确性和业务关键性能。
(5)基于完整的攻击分析方法,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务攻击检测技术,除了可以防御已知攻击,还可以防御未知的蠕虫、攻击和后门程序,抵御拒绝服务攻击等。
2.3 白名单
提供了一种非常独特的方法来保护Symphony工作站免于遭受病毒、蠕虫和木马。它采用在每台终端工作站的核心层建立应有程序白名单,简单高效地阻止任何未授权的可执行程序的运行。如果可执行程序不在白名单列表中,它就不能运行。
2.4 漏洞扫描和补丁管理
(1)负责发现操作系统和网络漏洞,提示系统管理人员,经确认后进行补丁软件的分发。
(2)只要能够及时修补网络内部的各个安全漏洞,就能够在面对任何安全威胁的时候从容不迫地解决问题。而传统的安全产品(防病毒、防入侵等),只是去抵御安全威胁,却忽视了资产的重要性和对漏洞的管理。
2.5 灾难备份及恢复
按照纵深防御理念,对系统定期备份,并定期测试备份的质量。Symphony系统有专门的备份工具,必要时异地备份。
2.6 安全事故管理和记录
负责规范所有的事件和日志,它们来自系统内的防火墙、入侵检测软件、恶意软件防护应用、漏洞扫描、网络设备、工作站和活动目录。
3 工程实施
Symphony数字安全整体解决方案的实施,不仅包括以上所述各个组件的部署,还与用户重新审查Symphony系统的安全策略和维护管理措施,主要内容包括:
(1)审查Symphony网络连接情况,确定系统安全的防护边界,提交审计报告;
(2)在DCS操作员站、工程师站、历史站等设备上做必要的设置;
(3)审查Symphony的授权系统,与用户确认这些授权是必要而且合理的;
(4)部署安全中心组件,与用户确认每台操作站需要运行的程序和功能;
(5)完善Symphony备份机制,建立异地备份;
(6)与用户讨论建立系统安全维护制度;
(7)将更新的病毒库,定期以光盘形式给用户发送安全补丁包。
4 结语
工控系统的数字安全是一个不断完善的过程。ABB能够随时根据用户需求对控制系统进行评估,形成一个安全行动计划,来保护用户的数字资产。同时,用户加强安全业务意识,强化安全制度及执行,也是确保数字资产安全的另一重要方面。
作者简介
宋相儒(1978-),男,陕西咸阳人。毕业于华北电力大学热工自动化专业。现为北京ABB贝利工程有限公司业务拓展专员,主要研究方向为电厂热工自动化及仪表。
参考文献:
[1] Year_in_Review_FY2014_Final.pdf[EB/OL]. ICS-CERT.
摘自《工业控制系统信息安全专刊(第二辑)》
