据权威工业安全事件信息库RISI统计,截止到2011年10月,全球已发生200余起针对工业控制系统的攻击事件。特别是伊朗核电站的震网病毒事件,给全球工业界控制系统的信息安全问题敲响了警钟。工控系统信息安全的需求变得更加迫切。
第89期【智造+V课堂】分享嘉宾:北京信息科技大学计算机学院副教授,工信部培训中心高级讲师焦健,作为工业控制系统安全资深专家,本次V课堂焦教授从工业控制系统安全基础概念和工业控制系统安全事件两个方面深度解读了工业控制系统安全。
一、分享嘉宾
北京信息科技大学计算机学院副教授 焦健
重磅Title
- 北京信息科技大学计算机学院副教授;
- 工信部培训中心高级讲师;
- 中国计算机学会、中国自动化学会会员;
- 交通科学研究院测评中心专家;
- 华电卓越特聘专家,赛虎网安特约讲师。
领域成就
- 主要从事网络空间安全科研和教,在SCI、EI和重要会议发表论文20余篇,拥有3项国家发明专利。
二、演讲主题
《工业控制系统安全分享》
三、演讲大纲
- 工业控制系统安全基础概念
- 工业控制系统安全事件分享
四、原文实录
原文实录context:
今天我们讲课的主要内容包括四个部分:
第一,我们对工业信息控制系统进行一个简短的介绍。第二,我们把工业控制系统与信息系统做一个对比。第三,我们通过列举近些年来的一些工控安全事件,对工业控制系统的安全做一个简短的分析。第四,我们把工控安全和传统信息安全做一个对比。
我们知道当今世界很多部门跟工业领域有着非常紧密的联系,比如像我们这张图里面看到的,化工、国防,还有我们的一些能源、交通等等领域,他跟我们的国计民生、跟我们的日常生活可以说息息相关的。
我们知道在我们当今的这些基础设施,这些工业领域里面,很多领域他们之间是相互依赖的。我们现在看一下这是一张关于工业领域的图 ,里面有我们基础设施之间的关系,可以看到现在很多基础设施,像通讯、交通,还有城市的应急、系统、电力,它们彼此之间非常强的一个依赖关系。如果其中某一个单元出现了问题,很可能将会对整个社会造成一个巨大的影响。
这是2003年美国大停电引发的一个影响的这样解释图,示意图。在当时的话,整个北美地区大概有5000多万人受到了影响,而且这个事情也直接导致了当时一系列安全事情的发生,也促使了后来美国的NERC CIP这样一个法规的诞生。
智能电网这一页。在座的学员里面可能有电力行业的,智能电脑是我们目前国家投巨资比较关注的,也是比较重点建设的一个领域。现在的这种发电、输电、配电,它基本上都向这种高度的智能化、自动化去运行。但是这些自动化、智能化的系统在脱离了传统的人为控制,而转入计算机进行控制的时候,很可能会由于自动化本身的一些问题,或者说由于信息化自身的一些问题,带来一些不必要的困难或者一些缺陷 。
这是关于一张流程制造和离散制造的一张图,在这张图里面看到我们平常所看到的一些商品,包括汽车,我们的这样一个食品,各种各样的用品,它都是通过各种原材料,使用一定的配方,经过加工才制造成功。现在西方它的工业最大的一个特点就是标准化,它可以按照统一的标准,按照它预先的这样一个设计,把同样的材料加工出成同样的商品,这种产品的加工制造,无疑是我们人类社会一个非常大的推动。
任何的这种产品的生产、加工、制造都是有一个过程,有的过程是连续的,比方说我们的炼油,从石油的开采、提炼、加工。有的过程是批储量、批处理的。比方说我们的制药,还有一些是我们这种水处理混合的这样一个过程,但不管是什么样的一个过程,这个生产过程对于今天人看来都比较复杂。我们的很多日常用品,比如说电脑、书籍、铅笔这些,我们都是通过这种离散系统生产的。
你们看到这是一个我们在生产线上,进行汽车加工制造的这样一个产品铺,所有的一切都说明一个问题,就是我们现代化的生产其实都是一个标准为基础,而且以流水化作业为核心的这样一个加工流程。这种自动化生产的出现,从一开始就决定了我们今天计算机技术通信技术在其中将产生一个非常重要的影响,这也就是我们今天要给大家讲的,工业控制安全它的一个核心内容就是信息化。
我们简单对工业控制做一个概述。工业控制系统是对工业过程生产中的信息安全和考核运行的相关人员、软件、硬件的集合。工业控制系统简称“ICS”,它有很多个分支,比如说DCS,PCS等等,今天我们只讲一个比较狭义工业控制系统。通过它我们来对整个工业系统,做一个相对比较完整的或者说做一个相对比较全面的认识。
这是关于一张工业控制系统发展的历程图,从上个世纪五十年代,日本日立公司提出的这样一个Scalar系统,到六七十年代美国人提出的PLC,目前我们仍然在广泛的使用。一直到九十年代,SCS这种现场组建的介入,都极大地推动了我们整个工业控制系统的发展,而且这些系统直到今天仍然在发挥着非常大的作用,这也是我们工业系统的一个特点。也就是说它随着新系统的诞生,不断地有一些新的标准,新的设施加入进来,它跟以前传统的系统一起,为我们工业系统产生深远的影响。
现在我们介绍完工业控制系统之后,我们把工业控制系统和信息系统做一个简单的对比。我们看一下工业控制信息和信息系统的对比有什么差异。信息系统也就是我们所说的IT系统,工业系统的ICS系统,它其实两者之间有着紧密的联系,它都用到了现代的计算技术和通信技术,但是我们今天只说说它们的差异性,这为我们后面讲安全会做一个基本的铺垫。
首先我们看IT系统来讲的话,从性能上来说,它跟ICS有着明显的不同。那么IT系统我们知道,它本身有着实时性的特点,我们一般用IT系统的话,大家用手机上网、用笔记本去跟朋友聊天,你们对时间并没有太严格的要求。而ICS我们工业系统都是实时性,也就说它对时间的要求是非常高的,这个大家可以想象到的,晚一毫秒,可能我们的这个系统,我们的机床,我们这样一个加工产品它就会产生一些不可预知的错误。
因此,在时间性上来讲的话,IT系统要比ICS的系统宽容性要多很多。而在可控性方面,我们的IT系统是可以进行重启,可以进行灵活的安全适用的,但是ICS不行。我们的ICS系统,一般的工业流程里面是不能轻易重启系统的,而且它对系统有着比较高的可靠性要求。任何中断都要提前设置计划,性能和可行性这样一个要求,就决定了我们的系统在风险管理方面,IT系统、ICS是不一样的。
IT系统方面一般强调数据的保密性和完整性,比如说通常我们所说的信息安全,它实质上是对数据有着保密和完整性的要求,但是ICS系统来讲的话,它没有这样一个要求,也就是它并不太关心。待会儿我们会讲到,ICS它是更多把人的安全保护放在第一位,然后把设备、过程控制的保护放在其次,至于数据安全和保密性并不是它的关注重点。还有我们的IT系统,一般来说在于我们只作为一个重要的资产进行使用的,而ICS它是更多作为一个生产设备来进行使用的。
因此我们的IT系统它在部署完之后,往往需要有大量的资金投入对它的运维、对它的访问进行后期的管理。而ICS在这方面相对来讲,它并没有太多后续的跟进,这种差异也就决定了当前工业控制领域的安全,是相比于IT系统来讲,它有着更突出的特点。换句话说ICS系统的安全,相比于IT系统来说,它还有更多的要做的事情。
最后一点,就是我们的IT系统它的这种通讯标准,它的这样一个管理方式和ICS系统存在着不同的差异。比方说我们的通讯,IT通讯,IT系统,一般我们现在都有无线的这种以wifi以及我们的这种百兆、千兆的以太网协议。上层的话,我们现在普遍采用的是TCP/IP的这种通讯协议。但是ICS作为工业控制领域来说,它有很多种自己重要的协议,它的网络也非常的复杂,可以说没有一个比较通用的标准。而这些系统来讲,它的设备、硬件、软件以及后期的管理,都是往往依靠于一些专有的供应商,所以这就决定着ICS系统从种类上,管理上要比IT系统复杂的得多。
我们说完了工业控制系统和信息系统这样一个对比,我们来讲一讲工业控制安全。我相信有爱看新闻的同学应该知道这张照片,这是2008年当时伊朗的总统内贾德,在他的伊朗核反应队控制室里面,观看它的SCADA系统这样一个场景。这张照片被当时的一些记者拍了下来,他们后来发现照片上红点所示的这两个位置,是当时表示离心机控制这样一个屏幕。
通过这个屏幕人们发现这两个离心机已经被隔离了,也就说这两个离心机出现了故障,这个事情发生在2008年。但是到了2010年的时候,伊朗政府突然宣布关停了这样一个核反应堆,而且从这一年开始,伊朗政府核计划发生了一个非常大的变化,也就是说他在美国和欧洲一些国家的压力下,开始放弃它的核能计划。当时外界对它的转变猜测是非常多的,很多人不知道伊朗政府为什么这么做。
一直到了2012年,这个时候有媒体报出了一个非常震惊的消息,其实是在2008年的时候,伊朗的核反应队的系统,就已经遭到了入侵。在2010年的时候,他的数千台离心机,也就是我们刚才看到的这个红点所说的离心机,突然高速运转,大量的离心机由于高速运转,导致整个设备报废。由于数量众多,而且离心机伊朗本国政府又不能够快速补充,所以伊朗的核计划客观上被暂停了,造成这个离心机高速运转导致最后系统报废效果的“罪魁祸首”,就是我们下面要讲到的震网病毒。
我们看一下这个所谓的“震网病毒”。震网病毒它是我们工业控制安全的一个标准性的事件,因为在此之前还没有关于这方面的一种攻击工业领域的这样一些恶意代码病毒的出现。你知道它的工作机理是什么呢?它是利用一些技术管理的漏洞,由专门的一些人员,通过U盘,通过它的、移动存储设备,把病毒代码拷贝到伊朗核电站控制电脑中,然后在控制电脑中通过长期潜伏,在一定条件下被激活,最后利用核设施的一些安全漏洞,攻击离心机产生相关的效果。
震网病毒是利用的window操作系统上的一些漏洞,这些漏洞最早是在我们西门子的一些工业控制设备上才出现的。,我们看一看第17页的幻灯片。这种病毒首先通过U盘插入到ICS这样一个管理层计算机上,当然这些管理层计算机,并没有跟直接的工控设备进行连接。但是U盘之间,由于我们习惯性的插拔文件的拷贝,它可以传递到控制系统中去。在我们常用的西门子这种控制系统软件,wincc有一个漏洞,恰恰可以由病毒进行利用。
这个病毒就通过这个漏洞,成功地植入到了wincc控制系统软件中,然后借助该软件它会直接向西门子控制器PLC,注入恶意的控制程序,这个恶意程序就是用来进行对离心机远程控制。在成功注入这个程序之后的话,我们看红线所示,PLC像离心机发送了这样一个控制指令,让其超速运行,而同时他向控制室发现了一个“欺骗性”的正常手续,这样一来离心机在高速运转下,导致离心机设备报废,而控制室因为看到是一个正常的数据,他没有及时采用其他的措施,去阻止这种事情的发生,导致伊朗的这种核设施无形中受到一个“毁灭性”打击。
关于震网病毒的来历,其实到目前为止也没有彻底搞清楚,大家应该心里多多少少对它的主人有一些自己的推测。德国的一位恶意代码专家曾经在分析完这个病毒,说了这么一句话,他说:世界上能造出这个病毒的国家或组织不多。我们应该是庆幸目前还只有这样少数的国家和组织,能够造出这种恶意代码,如果它像原子弹一样,能够被很多国家去仿制的话,那么很可能将是我们人类的一个“灾难”。
这是近年来针对工业控制领域这种安全的一些恶意代码的这样一个演变的推进图,从最早的这样震网,修改了西门子的控制系统,通过PLC发送加速指令,导致核设施遭到毁灭性破坏。到后面这种Duqu,专门用来进行工业控制信息系统的收集,这个也是非常厉害的。因为我们知道现在很多时候,我们的工业控制系统,大量的信息数据是跟我们国计民生有关的,我只要知道你的工业设施的一些生产数据,我就大概能推算出你的国家很多一些基本的数据。比如说你的战略石油储备,一些基础设施核心数据内容,是可以通过这个来知道的。
近年来,火焰Flame这个病毒,它能够对我们工业设施里面的一些网络数据,甚至于语音通讯进行接听,然后对它进行处理。我们看这些恶意代码的出现已经从最早的破坏,变换成我们对工业中一些核心数据、核心信息些获取,可见工业控制领域的安全,它已经在近些年演变中产生了一些新的变化。这里我就要提到了所谓的APT攻击。APT攻击,是我们近些年安全里面说到的攻击,大家可以翻到20页。
它英文单词Advanced Persistent Threat,是指高级持续性的威胁。它可以对我们的这种公共设施,对我们这样一些基础设施网络,进行长时间的这种攻击,这种攻击方式已经跟我们通常意义上所说的传统的(网络病毒)已经不一样了。
这是我们APT近些年来从最早的1.0,也就是我们所说的震网病毒,到我们今天说的2.0火焰病毒,它这样一个发展趋势。我们看在这个趋势里面,这些恶意代码,这些攻击方式,它的手段更加紧密。通过不同的方式,它可以向更多领域范围进行攻击。比方说2013年美国国防航空领域,包括我们能源领域也开始受到它的这样一些威胁。
由于这些攻击具有极大的利益驱动,导致很容易被恐怖分子,被一些民间组织获取,它具有着更加快速的传播途径。针对我们工控网络的这种核心功能,应该说具有很强的针对性,有的很多恶意代码是完全针对我们这样一个工业系统来设计的,因此它的危害性应该说更大。
这是这些年来的一些工控安全领域的例子,当然这都是国外的。2011年美国的公共设施遭到入侵,包括2011年日本新干线发生这样一个故障。可能大家印象最深的还是去年,发生在乌克兰这样一个大规模停电事件,我相信在座的学员们应该都听过说,乌克兰某城市在一夜之间突然停电,导致几十万的居民家庭断电。
这些频繁发生的事件,首先在安全上来讲,已经证明工业控制领域的安全形势非常严峻的。不断频发这样一个安全事件,也在向人们证明,我们今后可能将面临越来越多的工控安全,与传统的这些信息事件相比,工控安全可能将面临更加严重的挑战,因为我们前面说了工业控制它的系统和传统的信息系统,有着很大的区别,这也就决定了我们很可能面临的这种工业控制安全的问题,要区别于所谓的传统信息安全问题。
我们国家近些年来也注意到这一点,2011年、2012年的时候工业和信息化部门,专门对工业控制安全信息系统化行小范围的通知。2012年我们国家也发布了关于大力推进信息化发展的这样一个安全若干意见,包括去年2016年的时候,国家已经推出了关于工业化系统的保护措施,以及相关的配套意见。特别是我们今年的6月1日网络空间安全法上推出之后,为我们工业信息安全,它的发展可以说做了一个铺垫。
现在各部委都在制定有关于工业信息安全的这些一些领域的标准,和一些管理办法,应该说整个国家已经注意到这一点。我们通过一些实例,对工业控制安全有一个初步感性的认识,接下来我们拿传统的信息安全做一个对比,我们来了解一下工业控制安全,跟信息安全相比到底有哪些不同,哪些相同。
首先我们要承认一点,工业信息安全和工业传统信息安全,两者之间还是有一定联系,因为毕竟这些设备,这些设施,它都是建立在我们以计算机和现代通讯为基础的技术上。我们可以把PPT翻到第31页,也就是我们这样一个工业控制系统安全,和传统IT感觉这样一个对比。我们看传统的IT安全,在座的同学们可能都多多少少接触过这种IT安全,其实这些传统安全,我们比较注意三个方面的内容:
第一,保密性。比如说注意信息的保密,我们通常用到 一些通讯加密、数字证书是保密性的内容。
第二,完整性。我们在很多时候是对数据有个完整性的要求。
第三,可用性。这个是要关注信息系统,是不是能够为我们提供正常的服务。这三个标准,这三个性质,是由高到低,保密、完整、可用,有先后顺序。
这张图里面我们看到工业控制系统安全和传统的IT安全相比,它的保密、完整、可用,顺序是不一样的,它把可用性放在了最前面。我们再看这张图,我们所说的这种可用性,在工业信息系统里面指的什么呢?指的是系统它能够在正常情况下,生产的能力。也就是说这个时候对于工业控制领域来讲,安全人员更关心的是会不会由于系统的停机,误操作,为我的整个生产带来一个巨大经济损失,甚至是对我们的生产人员和环境造成巨大的破坏,这一点是工业控制安全里面最关心的。而信息安全虽然也关心它的可用性是放在后面的,信息系统我们平时用到的一些服务器,这样一些个人电脑,它的安全问题主要停留在数据层面。
而对于我们工业控制领域来讲的话,它的安全更多是提留在应用层面。举一个比较恰当的例子,我们的电脑大家不用担心,它什么时候会爆炸,不用担心这个电脑会对我们人造成什么伤害,对不对?但是我们的能源,我们的交通,我们的这样一些工业基础设施,它能不能正常运行?会不会出现意外的安全事故,这些它的可用,它对环境,对人员产生的一个危害,恰恰是我们生产者和我们这些接触的人最关心的,这就是工业控制系统它把它的可用性放在第一位。
而相比这些来讲的话,种数据的机密性倒并不是非常的重要,但注意我这里说的不是非常重要,为什么呢?因为工业数据往往都是原始格式,需要特殊的标准,特殊的一些协议,对它进行才能获取价值,因为我们前面给大家说过了,它没有统一标准。各个厂商,各个设备的制造商,他提供的数据格式,提供的标准是不一样,所以这个时候的是一种机密性,往往是依赖于它的一些特殊的协议,依赖于它的一些应用背景。因此,工业信息数据安全,它跟IT信息数据相比是不一样的。当然不是说它不重要,是说它是有一个前提条件的。
这里面是关于工业控制系统和传统IT系统,比较详细的一个数据,这里面还特别提到了实时性。控制系统,我们前面讲过了,跟信息系统相比,它的实时性要求比较高。一般来讲的话,很多控制系统它的响应时间都在1毫秒以内,而是我们的这种现代的通讯信息系统、现在的信息系统,即使说我们的商务系统,一般一秒或者几秒之内这样一个延时,都可以接受的。比如说,我们今天给大家通过这个微信来讲,晚上几秒中大家是没有任何意见的。但是对于一个控制系统来讲,几个毫秒都可能会造成一个非常大的影响,因此在工业控制系统里面,它对于这种可用、机密,还有实时性的要求,完全不同于传统的IT安全。
ICS和IT的集成,近年来我们已经出现了一些关于这种“两化融合”,“两化”这样管理的一些势头,IT和ICS应该说这些年是在做一些集成的。事实上,ICS系统本身就是依赖着IT系统的,可以说IT系统很多网络安全漏洞,只要移植到ICS上来讲,那么ICS具有同样的漏洞问题。这就是说,在IT系统看来它的一些安全问题,是可以被ICS所继承的,这是第一个层面。
第二个层面,ICS本身我们说有自己的多样性,就导致了其采用独特的创新的这样一些IT系统,它是有自己设计的标准,设计的概念,因此我们在运行过程中,需要对它的这些系统进行一些特殊的这样一个安全的防护。
我相信我们很多人都有印象,在大约是10年以前,当时我们有一个所谓的“三网融合”,那个时候国家想把我们的计算机网、通讯网和有线电视网做一个融合,轰轰烈烈嚷了很长一阵子。而事实上,计算机互联网和传统通讯网,在很早以前就已经开始进行融合了。我们今天这样一些正常的电信通讯,它的骨干网都在跑计算机的IP协议,这是一个非常典型的例子。这两个网,其实你不用国家去推,它就已经开始融合了。
有线电视的话,由于这个它并没有跟我们日常生活有着非常紧密的联系,大家现在已经离不开手机了,但是可以不用天天看电视,所以有线电视这个网融合起来就严重滞后了。可是我们反过来想了一想。我们的这种网络融合会给我们这样一些系统带来一些新的问题,在很多年以前我们刚开始用手机的时候,大家可能不用担心我们的手机上会有什么病毒,也不会担心我们手机会有什么一些危险的应用,那个时候手机是用来打电话的。
可是现在随着这种3D、4D技术的飞速发展,我们的手机已经从功能型转变成了所谓的智能手机。计算机技术已经开始渗透到手机的这种移动通讯领域,这样一来的话,以前在计算机领域里面临的那些病毒,面临的这样一些恶意代码,面临的各种各样的一些通讯上的安全问题,都被移植到了我们今天的移动领域,我们的电信领域,这就是一个典型融合带来的问题。
首先IT架构漏洞融合带来问题。我们以前大家用手机的时候,那个时候手机没有什么复杂的功能,像我们最早,像诺基亚一些手机的话,那个时候可能就是一个普通的这样一个接打电话,发短信这样一个手机,现在我们用苹果、用安卓,很多垃圾软件就进来了。同样,在工业控制领域里面,如果你采用IT系统、IT体系框架的话,他们就意味着会把IT框架的一些问题带进来,这是第一。
第二,允许非控制系统人员访问重要的生产系统,信息的巨大风险。一旦允许非控制人员,就是非这种本领域的人员进入到这个系统中,你的领域就可能面临着一些威胁。这种工业控制领域,它以前是跟外界完全隔离的,我们知道现在有一个词叫“智能制造”,德国人叫“工业4.0”,我们中国叫“中国制造2025”。它这种制造的理念是什么呢?它制造理念就是,我们能不能够在网上,通过这种正常的一些互联网的交互操作,远程的去控制机器设备,让它制造出我们想要的产品,这个是它一个非常好的项目。但是很少有人想过,你的这样一个设备,或者说你这样一个生产场景,会允许非控制系统的人员,原来并不是董这种机床、设备、生产线操作的这样一些人员,介入到你的生产系统中来,它会为你的生产带来一个巨大的影响。
第三,IT团队还是ICS团队负责。ICS、IT本身是两个不同的团队,我们上学的时候大家都知道,IT属于计算机通信领域的,ICS更多属于自动化机械。本身就是两个不同的,或者多个不同的学科,他们两个之间的团队谁来负责这个事情,是一起还是各自为战,都是我们需要去考虑的。而且在管理层面上来讲的话,我们更多的是要考虑同时访问IT和ICS网络用户,如何对它们进行管理,这都是需要我们对这种融合后的网络,进行一个比较完善的控制系统的建设。
我们看ICS和IT在通讯上举个例子,在我们传统的应用利于里面,我们的IT通讯它是有着一个广泛的这样一些传统应用的,这是多用户频发,不可预测,它有着不规律的这样一个通讯流量。而在ICS领域,我们的网络设备部件一般都是处于静态状态,它需要不断的工作,但是这种网络通讯往往是有可重复,可预测的,而且它的这个运行状态也是很少被修改的。因此,ICS和IT在通讯上,我们仅以一个通讯为例,就是非常本质的这样一个差别。这些差别的话,都需要我们在建设这些安全设施的时候,对它进行一个详细的考虑。
图示是以主机应用来表示我们的这个描述工业控制安全的。在IT领域里面,我们的主机是非常应用广泛,我们的电脑可以干很多事情,但是在ICS上应用是非常有限的,我们IT领域里面,网络的复杂性,可以让我们的主机安装大量的应用,而ICS在我们工业控制领域里面,往往是在某一个特定的服务计价区去完成某些特定的工作任务,这是两者之间的一个不同。
这就是互联网一个访问,我们前面说过,我们刚才举了一个“工业4.0”、“中国制造2025”这样一个例子。在这个例子里面的话,我们说我们是希望互联网,直接进入到生产系统中来的,而事实上我们的互联网我们看,平时我们互联网是要跟大量的服务产生关系,它跟我们的平时日常生活有着非常密切的联系。而相比之下,我们的ICS它更多是专注于某些特殊的应用领域,它跟互联网的连接是有限度的,我们在更多的时候,是通过一些设备的直连,来对这种工业控制信息进行访问、进行管理。这样一来我们就决定了互联网访问在IT里面和ICS里面。
这是一个攻击实力的布局,一个示例图。我们这个39页往下连续放映,来说一个比较经典的,比较常用的这种攻击方式。比方在39页里面,这是一个我们经常用到的工业控制里面的一个图,在上头是我们通常所说的管理层网络。,可以通过远程的这样一些的客户端,越过防火墙,对公司的这样一些管理网络,或者他的办公网络进行攻击。
该图示可能表示公司用户可能使用了某个恶意的网址,打开了某个恶意的信息,他们会通过一些电子邮件或者一些可疑的网页,这可能属于信息安全里面社会工程学的问题,去下载了一些恶意代码,而这个代码恰恰会导致公司的某些主机,被人植入它的一些恶意程序。攻击者就可以对你的这样一些主机形成远程的控制,这是我们说的第一个阶段,注意这个时候,我们是对公司正常的办公网络进行了一个攻击,并且获得它远程的控制权。
我们到了它的下一页,这个时候,攻击者可以通过这个被远程控制的主机,也就是我们看到这样红色箭头指向的一个主机,对企业的这样一个控制系统,它的公共信息进行进一步的渗透,就是我们看到的蓝色线表示的这个范围。在里面的话,我们已经从一个企业网进入到了内网,它的内部的控制系统去,这个时候我们可以通过对防火墙策略的利用和修改,渗透到我们看到的蓝色线所表示的这台主机。
我们看到过攻击步骤三,也就是我们的44页上面。这时候我们已经非常成功的通过这个右下脚这台防火墙,它的修改配置进入到了这样一个内部的一台控制主机上去,这台控制主机它是直接可以对我们一个设备进行攻击的,这就已经进入到我们工业控制领域的上位机。
我们在这里的话看到在攻击步骤示例三里面,我们有一个TCP的连接,从1926-168.-10.21,1024-10.32,这是一个跨网络的连接,表示我们这个时候已经控制到了这样一个上位机。在这个时候进入到上位机之后,我们就可以进行它的下一步攻击了,这是我们看到的攻击步骤三。,在我们的第46页里面,我们可以通过这些上位机,向PLC,向它的RTU终端设备进行指定的一些内容发送。因为这个时候,我们看到这些系统都已经处于同一个网络内部,所以我们可以非常方便的发送指令,去控制这些设备。
我们对这个攻击实例的话,做了一个系统中的小结。首先我们看到在最早办公网络里面,由于没有及时的打补丁,修改操作系统中的这样一些漏洞,或者是由于我们外部防火墙的这样一些配置策略的问题,导致我们遭到了外部网络攻击。这个时候,一些恶意代码,就进入到了我们内部的办公网络,这是它的第一步。
紧接着的话,由于内部工业控制系统,它的防火墙,它的上位机以及相关服务器没有关于安全代码的审查,或者说缺少这种入侵检测系统的防范,导致我们的上位系统,或者说工控主机被植入恶意程序。对于我们来讲的话,从我们的办公网络,到我们的这样一个工业系统的一个管理控制网络,一直到我们最后的上位机,我们整个服务和网络缺少一个分级,或者缺少一个有效的这样一个分层的控制。这种架构,目前我们还是采用传统的这种安全控制策略,对这种工业网络进行管理策略,很容易导致这些恶意代码的植入,对这些工业设备生产和破坏。
我们工业领域来讲,对于安全人员来讲,对于运营商来讲,我们有这么几点建议:
首先,我们要对我们的信息进行一个完整的风险评估。对它的风险,对它存在的问题,制定一个安全的策略和流程,这也是一般来讲,一个正常的信息化系统应该必须具备的。
其次,我们还要对我们安全内部人员,对它的管理人员进行安全的培训,我们安全领域工作很多事物都是由于人员的操作和大意引起的,所以培训是非常重要的。
接下来我们要对控制系统,对他的网络进行分段管理,这一点沿用了我们传统的信息网络信息这样一个分段管理,也就是我们传统IT系统网络,也是对进行分段分层保护的。在工业信息系统里,工业化系统里面同样存在这样的问题。
第四,我们要采用一些先进的工业控制防火墙,或者这样一些云检测系统,来对工业控制系统进行有关的防护,对它的访问,对它的这样一些正常通讯流程进行监控。同时,我们还要加强这样一些系统的部件,以及系统的运营维护,也就说我们对于工业系统所在的一些环境,应用软件、操作系统,以及硬件设施的这样一些安全问题,进行一些及时的排查。就像我们刚才的第一个例子,最早的工业控制安全,就是利用了西门子一个控制软件的漏洞导致的。所以对于这些控制系统的软件,还有一个硬件上的一些安全漏洞,固件的安全问题,一直是我们需要重点去关注的内容,也是我们需要在安全领域里面,投入精力去进行排查的。
对于产品的这种设备提供商来讲,因为工业领域来讲,长期以来并没有安全这样一个认识,所以可能对于各个供应商来讲,他们对于安全设备没有太多的这样一些意识去做。因此,对于这种公共安全商来说,如果你想让你的设备,想你的PLC,想让你的RTU,想让你的上位机能够更好的,更稳定的去服务,你必须要关注以下几点。
这是最后一张图片,首先你要评估现有的安全产品,针对目前已知的安全漏洞做专门的检测,我们后面会讲到,我们的安全漏洞其实有安全库可以查的,跟传统的信息安全领域一样,我们的工业控制领域有非常完善的安全漏洞库,去做专门的检测。同时,你还要作为一个公共产品的开发商,你要结合开发商的SDL,对安全产品进行相关的管理。
我们今天我们的信息领域里面,信息安全领域里面,传统的IT系统有着非常完善的这样一个产品开发周期,以及安全的这样一个监控,有着非常强大的这样一个自测和公测的手段,来对我们的系统进行维护。同样,公共产品也应该具有相关的机制。公共产品在安全方面也要建立一个第三方认证的保障。我们今天很多IT系统,它有第三方认证的,通过对它的信息安全认证、准入,能够保障我们一定程度上免受这些安全的威胁。这一点,对公共产品的供应商来讲,也是有要求的,大家以后应该提高在这方面的意识。
最后一点,就是说对公开的这种漏洞的一个及时响应,事实上在传统的IT领域来讲,安全漏洞一直是我们安全核心威胁是针对漏洞产生的。今天有很多人在网上,在我们的互联网上系统上对漏洞进行挖掘,也可以通过各种方式,通过一些漏洞数据库,看找到或发现一些漏洞,这个时候对于我们大部分的管理人员来讲,你要建立一个及时的响应的机制,一旦有新的漏洞出现,一旦你的系统中存在着这样一些漏洞,我们就要对它做好相关的补丁,相关的防护。
事实上,我们今天统一数字表明,针对安全领域这样一个攻击,90%以上的漏洞,是公开的领域发布之后被人使用的,这个数字可能还要高,因此对于我们真正的管理员来讲,我们更多是要做好漏洞这样一些防护。
