【鹏越 工控安全】专题系列(110)——工业控制设备安全测试技术

山东青岛城阳区:紧扣岗位需求开展精准培训
摘要:工业控制设备(ICDs)广泛应用于石油化工、电力水利、轨道交通等国家关键基础设施领域,其正常运行直接关系到工业生产安全、经济安全甚至是国家安全。该文总结了现有工业控制设备普遍存在的共性安全问题,分析了其存在的根源。在此基础上从信息空间和物理空间这2方面分析了网络攻击带来的危害影响,最后总结了工业控制设备安全测试的标准规范、测评认证与面临的问题和挑战。
工业控制系统涉及工业生产的整个自动化控制流程,实现了工业生产过程的检测、控制、优化、调度、管理和决策,是保证工业生产过程安全、稳定、高效运行的核心系统。随着工业自动化的快速发展,工业控制系统已广泛应用于石油化工、电力水利、轨道交通、先进制造等各行业,成为国家关键基础设施的重要组成部分。
现在的工业控制系统呈现出层次化、网络化特点,其核心组件包括网络设备、主机设备和控制设备等。其中,网络设备由工业交换机、路由器等组成,负责将各类组件连接成一个工业控制网络。主机设备通常包括工程师站、操作员站、数据库服务器等,主要位于监控中心,提供远程监控、状态显示、报警处理等功能。控制设备是整个工业控制系统的核心组件,负责工业生产运行的实时本地控制。通常直接与工业物理设备相连,通过传感器获取生产过程中的温度、压力、物位、流量等参数,然后按照预设程序进行处理,最后通过执行器来对物理过程进行干预控制,例如打开/关闭阀门、增加/降低变频器的频率等等。典型控制设备包括离散控制系统(DCS)、可编程控制器(PLC)、紧急停车系统(ESD)、总线控制系统(FCS)、智能电子设备(IED)、远程终端单元(RTU)等。在工业自动化发展的初期,工业控制网络是一个封闭的、专用的网络环境,几乎不受网络攻击威胁,因而用于本地控制的控制设备在开发设计时主要考虑可靠性、实时性等要求,通过故障检测、冗余设计、容错控制等一系列技术来保证设备安全可靠。然而随着工业化和信息化的不断融合,信息技术在工业领域应用越来越普遍,操作系统、数据库、TCP/IP网络都开始应用于工业生产环境。同时随着业务进一步发展,工业网络开始与企业网络甚至是互联网络相连接,这些因素都导致了当前的工业控制网络面临严峻的信息安全威胁。近几年在工业控制系统中发现的漏洞数量明显增多,针对工业生产的网络攻击事件急剧上升。例如,2010年震网病毒(Stuxnet)攻击伊朗核电站,直接篡改了可编程控制器(PLC)的运行逻辑程序,最终导致其控制的离心机设备物理损坏。
因此对工业控制设备(ICDs)进行安全测试和评估至关重要。它有助于尽早发现设备中存在的安全漏洞,并及时加以修补。同时通过安全测试能够进一步促进工业控制设备自身安全功能和安全机制的完善。本文将总结当前工业控制设备普遍存在的共性安全问题,并对这些问题的根源进行分析,探讨在工业生产背景下网络攻击带来的危害影响,阐述工业控制设备在安全评估标准、测评与认证方面的最新进展以及面临的问题与挑战。
1工业控制设备共性安全问题
工业控制设备关系到整个自动化控制的安全。当前这些设备普遍存在以下安全问题:
1)身份认证和安全鉴别能力不够,甚至完全缺失。在生产过程中工业控制系统不断进行着数据采集、传输和处理。如上位机系统从控制设备中获取物理状态信息并显示在监控屏幕上,操作员向控制设备发出指令来调节生产过程,都离不开通信协议。而传统上工业数据传输在封闭、孤立的网络环境中进行,这些协议在设计时很少考虑安全性,从而导致身份认证和安全鉴别能力不够,不能正确识别通信实体。攻击者很容易通过伪装攻击、重放攻击等方式,冒充合法用户对设备进行非授权访问。
2)缺乏数据保密性和完整性保护。通常数据保密性是依靠加密技术来实现的。与IT系统相比,尽管许多控制设备采用了嵌入式操作系统、具备了一定处理能力,但是通常性能较低、存储空间较小,再加上实时性要求高,因此难以实现数据加密功能,这使得攻击者容易截获明文数据。此外,目前大部分工控协议仅依靠简单的校验和机制来判断数据在传输过程中是否发生错误,因此攻击者可对篡改后的数据做同样的校验和。对于这类攻击,现有工控设备难以防范。
3)缺少访问控制能力。许多控制设备不支持细粒度用户权限分配,使滥用权限攻击成为可能。
4)无安全审计功能。安全审计的目的是通过监控并记录网络和系统运行过程,从中发现攻击痕迹并进行取证分析。IT系统通常都具备不同程度的安全审计能力,但控制设备普遍缺少该功能,这为取证分析带来相当大的难度。
5)安全漏洞严重且难以修补。随着近年来对工控安全的重视不断加深,控制设备所暴露出的安全漏洞越来越多。这些漏洞主要存在于嵌入式操作系统、控制软件和工控协议中。据美国工业控制系统应急响应协调小组(ICS-CERT)统计,目前已有数百个工控相关漏洞。
6)易受拒绝服务攻击威胁,对系统实时性有潜在影响。控制设备主要采集生产过程中的状态信息,并对过程进行反馈,需具备较高的实时性能,任何延迟都会对生产带来不利影响。在传统单一封闭的环境中,传输数据量通常很少,因而较低性能的控制设备也能满足实时性要求。但一旦面临大流量的拒绝服务攻击时,这类设备很容易产生较大时延,甚至导致停机。Kube等对大量控制设备进行安全测试后发现大部分设备都难以抵抗这类攻击。
7)普遍存在不必要的端口和服务增加了受攻击面。通过扫描发现许多控制设备存在一些不必要的服务,它们本身并不安全,使控制设备受攻击面增加。

2问题主要根源
产生工控设备安全问题的主要根源有:
1)由于信息安全意识不够导致现有设备普遍缺少安全功能,在面临网络攻击威胁时极为脆弱。在工业自动化领域普遍存在“重功能安全(Safety)轻信息安全(Security)”的现象。其中Safety和Security区别在于:Safety主要考虑由于随机硬件故障所导致的组件或系统失效对健康、安全和环境(HSE)的影响,其主要威胁是随机硬件故障、系统故障等。而Security还面临病毒、黑客等威胁。为更清晰描述这一点,IEC62443将工控信息安全威胁分为4种类型:偶然故障、普通黑客攻击(仅拥有少量资源、一般技巧和简单动机)、有组织攻击(拥有较多资源、针对性的技巧和目的)和网络战攻击(拥有大量资源、针对性技巧和明确的目标)。为了促进工控的功能安全,国际上已制定了一系列标准(包括IEC61508、IEC61511等),并开展了基于完整性等级(SIL)的功能安全认证。与此相比,工控设备的信息安全保护远远滞后,并没有做到与工业自动化发展同步规划、同步建设。
2)工业控制技术的标准化与通用化使得工控漏洞挖掘变得相对容易,这导致工控设备脆弱性逐渐暴露出来。传统工控设备普遍采用专用化设计,其硬件、软件和通信协议均为私有,不为外界所知。
但如今自动化厂商开始开放其专用协议,并发布协议规范以使第三方制造商能够生产兼容配件,同时开始使用标准化的商业产品(如VxWorks、Linux、Web服务包等)来降低成本、提高设备通用性。这些都使得黑客能够轻易获取产品设计细节从而有助于发现设备漏洞。
3)工业控制网与企业网甚至是互联网的连接扩宽了网络攻击渠道,使得工控设备直接暴露在潜在的网络攻击之下。随着生产管理和业务需求的不断发展,许多企业开始将工业控制系统、制造执行系统(MES)、企业资源管理系统(ERP)进行互联,甚至接入到互联网上,从而便于企业决策者、合作伙伴及时获得生产信息。这种互联一方面显著提高了企业生产效率,另一方面也导致攻击者能够通过企业网甚至是互联网直接攻击控制网络和工控设备。例如,ICS-CERT曾发出警告攻击者可能会利用搜索引擎来发现暴露在互联网上的SCADA系统。
4)智能化技术促进了传统工控设备的升级,在提高工业自动化程度的同时也带来了额外风险。传统控制终端(如检测仪表、传感器等)通常被认为是哑终端,几乎不具备计算处理功能,单向传输数据。采用这种方式的终端通常不易受网络攻击威胁。但是现在智能化发展使得智能仪表、智能传感器等越来越多地应用于自动化控制中。这些智能仪表具备了计算、存储、通信等功能,并大量部署在野外,其物理安全难以保证。通过攻击这些智能终端设备,不仅会对设备本身带来破坏,甚至有可能进一步攻击控制中心。近年来发生的智能电表攻击、医疗设备攻击就是明显案例。随着物联网、智能工业、智能交通、智能电网的快速发展,由智能终端带来的风险将不容忽视。
5)工业环境的独特性使得工控设备更新缓慢,难以升级。与IT设备不同的是,工控设备通常应用于工业生产中,运行周期在十几年甚至更长时间。由于系统复杂极其复杂、生产实时要求高、升级存在不确定风险,因此这些设备在整个运行过程中很难进行升级和替换。当面临恶意人为攻击时,这些老旧设备具备更大风险。
3危害影响分析
IEC62443将现代的工业控制网络分为5个层次,从低到高依次为物理过程层、本地控制层、监视控制层、操作管理层和企业系统层,其中工控设备主要处于本地控制层。
本质上可以将工控设备看作是物理空间和信息空间的分界点(如图1所示)。其中,物理过程层处于物理空间,包括各种物理装置和生产过程。监视控制层、操作管理层和企业系统层则处于信息空间,包括工控监控中心(即上位机系统)、制造执行系统(MES)、企业ERP系统等。
从图1中可以看出,工控设备实现了信息空间对物理空间的感知和控制,但也意味着来自信息空间的网络攻击能够通过工控设备作用于物理空间,从而对人员健康、安全和环境(HSE)造成影响。
为连接这2种空间,工控设备常具备2类接口:

一台平板电脑 掌控一个车间

1)与物理空间相连的接口,负责从物理空间中获取信号(如包含温度、压力在内的物理过程状态等),并经过运算处理后向物理空间发送信号,对物理过程进行干预和控制。本文将上述过程简单描述为感知和控制,通常依靠传感器和执行器来完成。
2)与信息空间相连的接口,负责向信息空间发送监测数据,同时接收操作人员的控制指令。本文将上述过程简单描述为监视和遥控(与工控设备的本地控制相区别)。其中信息空间(如上位机系统)通过监视获得测控现场数据,然后通过人机界面(HMI)显示生产运行情况,并存入历史数据库中。同时信息空间可对工控设备进行远程控制、参数设置、下发控制程序等操作。
因此工业控制系统是一种典型的信息物理系统(CPS),而工控设备正是将二者连接在一起的关键点。与此相比,传统IT系统的数据只在信息空间中流动,不会对物理空间产生任何影响。这种差异意味着针对工控设备的网络攻击能够影响到物理空间(如造成环境破坏、人员伤亡等),其危害明显大于传统的网络攻击。
基于上述分析,本文将网络攻击对工控设备的影响分为:1)对所连接信息空间的影响,即网络攻击影响到信息空间如导致操作员站不能从工控设备中获取正确数据等。2)对所连接物理空间的影响,即网络攻击影响到物理空间如更改运行逻辑、执行未授权指令等。显然,由于工控设备直接控制着生产运行,因此第2类影响远大于第1类。基于上述分析,本文进一步将工控设备相关数据流分为以下4种类型:感知流、控制流、监视流和遥控流。
对应的网络攻击也分为4类(图2)
a)针对感知流的攻击(A1)。攻击者通过攻击传感器从而导致工控设备获取的数据不正确,或者通过攻击设备中的输入存储区,直接篡改输入数据信息。这些错误数据一旦被工控设备处理就会产生错误判断,从而执行错误的控制操作,这将对物理空间造成影响。通常情况下,A1攻击不会对信息空间造成影响,但是一旦信息系统运行有状态估计器或故障诊断系统等功能,A1改变了传感器参数,将会对上述功能产生影响。
b)针对监视流的攻击(A2)。攻击者通过截获、篡改监视流数据,或者攻击工控设备导致向监控中心返回错误的监视数据。这种方式可导致监视流数据泄露,从而破坏了保密性。这种错误数据可能会误导操作人员向控制设备发出错误的遥控指令。例如在Stunex事件中,病毒篡改了PLC返回给HMI的数据信息,从而让HMI显示离心机设备仍正常运转,但实际上离心机可能已损坏。

应对突发公共卫生事件 将实施及时预警和信息发布制度

c)针对遥控流的攻击(A3)。攻击者通过截获、篡改、伪造遥控数据,或者利用拒绝服务攻击导致设备无法正常接收遥控数据。典型的遥控数据包括各类控制指令和组态编程指令,如启动/停止设备、设置运行参数等。这类攻击会直接影响到工控设备的正常运行,并进而对物理空间造成破坏。
d)针对控制流的攻击(A4)。攻击者直接操纵执行器,或者通过修改工控设备的输出存储区来实现攻击操作。相比而言,这类攻击较为少见。表1列出了上述4种攻击行为对2类空间的安全危害影响。
4工业控制设备安全测试
传统上工业控制设备的测试评估主要集中在物理安全评估、功能安全评估等方面。物理安全评估主要是对工控设备的电气、机械等物理特性进行测试评估,功能安全评估则从功能设计和管理方面来评估由于功能失效引起的系统风险。为此国际相关组织制订了IEC61010、IEC61508等一系列标准,建立了较完整的测评认证体系,并得到了工控设备厂商、工控系统集成商和行业用户的广泛认可。与之相比,工控设备的信息安全评估尚属起步阶段,无论是测评标准、认证体系,还是用户接受程度都存在较大差距。

4.1相关标准规范
无论是全面性还是成熟度,工控设备的信息安全标准都远远滞后于其功能安全标准,也远远滞后于IT设备安全标准。目前工控信息安全标准规范主要包括ISA99、IEC62443、WIB2.0等,国内尚未发布正式标准。
4.1.1IEC62443
IEC62443主要来源于ISA99,二者本质上是一致的。这实际上是一个标准系列,目前共包括12个子标准,分以下4种类型:1)通用类:包括工控系统安全术语、概念、模型、缩略语等;2)策略与过程类:针对工控系统运维安全;3)系统类:包括工控系统安全技术;4)组件类:包括工控组件的安全开发要求和技术要求,可看作是工控设备安全标准,其中第1部分(即IEC62443-4-1)阐述了工控设备在开发过程中应遵循的安全要求,共分12个阶段,涵盖了安全架构设计、威胁建模、软件详细设计、安全集成测试等内容;第2部分(IEC62443-4-2)则从7个方面对工控设备产品提出要求。目前这些子标准只有少部分已正式发布,,大部分仍处于草案阶段。
4.1.2WIB2.0WIB2.0是由国际仪表用户协会制定的针对工控设备供应商的标准,目前已被IEC62443吸收为子标准(即IEC62443-2-4),尚处于草案阶段。该标准参照能力成熟度模型(CMM),从组织机构、系统能力、测试与交付、维护与支持4个方面对供应商提出要求,以通过成熟过程来保证工控设备安全.
4.2工业控制设备测评与认证测评与认证在信息安全保障中起至关重要的作用。它依据一定准则,对设备进行规范测评,并与相应要求相比较,对达到要求的产品或系统进行国家认可的管理。该工作在IT领域已实施数十年,大量信息安全产品均进行了测评,比较典型的是基于IEC15408的通用准则(CC)测评。相比之下,工控设备的测评认证处于起步阶段,无论是测试方法、测试流程还是认知推广程度都远远不够。目前国际上已开展的测评认证包括EDSA认证、Achilles认证。EDSA(EmbeddedDeviceSecureAssurance)认证属于ISASecure计划的一部分。该计划由国际自动化协会(ISA)制定推广,来促进工业控制设备的安全合规。EDSA认证从3个方面进行评估:通信健壮性测试(CRT)、功能安全评估(FSA)和软件开发安全评估(SDSA)。其中,CRT评估工控设备的通信能力包括能够抵抗的通信流量、通信协议实现上是否存在漏洞等;FSA评估工控设备的安全功能(如访问控制、数据完整性、数据保密性等)是否正确实现;SDSA评估控制软件开发过程是否安全。Achilles认证分2种类型:ACC(AchillesCommunicationsCertification)和APC(AchillesPracticesCertification)。ACC评估工控设备的通信是否安全,采用的技术包括流量测试、协议模糊测试、已知漏洞扫描等;APC评估工控设备供应商是否具备成熟的过程。表2对工控设备测评认证技术进行了对比,可以看出有以下特点:1)以通信健壮性测试为主,评估工控设备的通信能力和通信安全,其中TCP/IP协议是测试重点,较少涉及工控协议。其主要原因在于目前工控协议安全测试才刚开展,技术和方法还未成熟,缺少专用测试工具,而且工控协议数量繁多,不同协议的通信规约截然不同,这都决定了工控协议安全测试不可能一蹴而就。但可以预料,随着技术发展,工控协议安全测试将成为工控设备测试的重要内容。2)工控设备的测评依据出现兼容趋势。最初EDSA和ACC认证是独立开展的,采用各自的通信健壮性测试规范,但现在ACC开始与EDSA保持一致,这对工控设备测评认证有巨大促进作用。3)测试依据和规范还很不成熟,存在不少自定义规范,这充分表明现有工控安全标准研究已经滞后,不能满足测评认证需要。为此国际自动化协会(ISA)将ISA99标准委员会成员纳入到ISASecure计划中,希望通过测评实践来促进标准研究。
4.3问题与挑战综上,工控设备安全测试面临以下问题和挑战:1)工控信息安全意识普及不够,工控设备安全测试接受程度低。无论是工控设备商还是行业用户,工控设备安全测试并没有纳入到生产、销售、采购、运维各环节中。2)标准规范少且不成熟。现有标准规范集中在通用性要求,操作性较差,并且大部分还处在讨论、编制阶段,这为工控设备安全测评带来相当大的困难。3)工控设备安全测试技术和工具有待研究。现有工具主要应用于IT领域而不适用于工控领域。例如,许多测试设备仅支持常规的TCP/IP协议,不支持工控协议。同样,由于硬件平台、编译调试等因素导致了现有漏洞分析工具难以直接使用,这给工控设备漏洞测试带来许多困难,而漏洞测试是评估工控设备安全的重要环节。
5结论
本文对工业控制设备安全测试进行了较为全面的研究,提出了现有工控设备普遍存在的共性安全问题,探讨了问题根源,并对其危害影响进行分析,总结了工控设备安全评估标准与规范、测评与认证等内容,分析了面临的问题与挑战。

2016首席信息官峰会(北京站)五大看点

(来源:互联网,作者:谢丰,彭勇,赵伟,高洋,王得金,韩雪峰)

温馨提醒:
现在关注“鹏越网络空间安全研究院”在对话框输入“工控”、“培训”、“CTF” 、“物联网”等关键字,可以有相关的合辑内容推送,之后我们还会推出更多方便搜索和阅读的服务,敬请期待!
点击下方”阅读原文“获得更多资讯:
该文章作者已设置需关注才可以留言
商业竞争企业之间互相挖角是很常见的,为了防止跳槽到同行业竞争对手的员工带走公司的核心机密,需要加强用户权限管理,只给用户完成其工作所需最少权限。对离职员工,及时停止各系统的访问权限并签订保密协定。
微信扫一扫关注该公众号

我们经常教育员工,密码用于识别我们的身份,保护密码就是保护我们的身份,要将私人帐户的密码与工作用账户的密码设置为不同。否则,一旦私人账号密码被击破,不良的攻击者可能会冒用我们的身份在公司进行破坏,反之亦然。

猜您喜欢

“2017中国可信计算与网络安全等级保护高峰论坛”在京召开
信息安全基础检测
保密知识第一课——准确定密并正确标识国家秘密
郑州楼顶现万平空中花园属违建已被立案查处
SOCIALBOOKMARKINGCANADA BRIDGETEACHING
国家网络安全与信息化的成败