摘要: 工業(yè)控制系統(tǒng)安全不是“老系統(tǒng)碰上新問(wèn)題”�,而是傳統(tǒng)信息安全問(wèn)題在工業(yè)控制領(lǐng)域的延伸。
關(guān)鍵字: 控制系統(tǒng)�����,工業(yè)控制�����,安全防護(hù)
工業(yè)控制系統(tǒng)安全不是“老系統(tǒng)碰上新問(wèn)題”�����,而是傳統(tǒng)信息安全問(wèn)題在工業(yè)控制領(lǐng)域的延伸����。
當(dāng)前信息技術(shù)已廣泛應(yīng)用于石油�、化工���、電力等眾多領(lǐng)域��,為傳統(tǒng)工業(yè)控制系統(tǒng)優(yōu)化升級(jí)提供了重要的支撐�����,同時(shí)也帶來(lái)了網(wǎng)絡(luò)環(huán)境下的信息安全問(wèn)題��,蠕蟲(chóng)�、木馬��、黑客攻擊等網(wǎng)絡(luò)威脅對(duì)工業(yè)控制系統(tǒng)的沖擊呈現(xiàn)出愈演愈烈的發(fā)展態(tài)勢(shì)��。比如2010年10月發(fā)生在伊朗核電站的"震網(wǎng)"(Stuxnet)病毒��,為工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘?��,F(xiàn)在,國(guó)內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程���。
近年來(lái)���,隨著經(jīng)濟(jì)全球化的深入推進(jìn)���,國(guó)際競(jìng)爭(zhēng)越來(lái)越激烈,工業(yè)控制系統(tǒng)作為能源��、制造�����、軍工等國(guó)家命脈行業(yè)的重要基礎(chǔ)設(shè)施����,在信息攻防戰(zhàn)的陰影下面臨著安全風(fēng)險(xiǎn)持續(xù)攀升的運(yùn)行環(huán)境。據(jù)統(tǒng)計(jì)�����,過(guò)去一年���,國(guó)家信息安全漏洞共享平臺(tái)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞���,較2010年大幅增長(zhǎng)近10倍。安全漏洞的涌現(xiàn),無(wú)疑為工業(yè)控制系統(tǒng)增加了風(fēng)險(xiǎn)���,進(jìn)而影響正常的生產(chǎn)秩序����,甚至?xí)<叭藛T健康和公共財(cái)產(chǎn)安全��。
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中��,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出�����。例如��,OPCClassic協(xié)議(OPCDA����,OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的���,極易受到攻擊�����,并且OPC通訊采用不固定的端口號(hào)��,導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT防火墻來(lái)確保其安全性����。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來(lái)了極大的挑戰(zhàn)�。
提到工控安全問(wèn)題,很多人可能會(huì)簡(jiǎn)單地理解為直接用于控制的實(shí)時(shí)操作系統(tǒng)設(shè)備的安全��。然而����,從整個(gè)架構(gòu)上看,工業(yè)控制系統(tǒng)是由服務(wù)器��、終端�、前端的實(shí)時(shí)操作系統(tǒng)等共同構(gòu)成的網(wǎng)絡(luò)體系,同樣涉及物理層��、網(wǎng)絡(luò)層�����、主機(jī)層��、應(yīng)用層等傳統(tǒng)信息安全問(wèn)題。在整個(gè)工業(yè)控制系統(tǒng)中��,大多數(shù)工控軟件都是運(yùn)行在通用操作系統(tǒng)上�,例如操作員站一般都是采用Linux或Windows平臺(tái),由于考慮到系統(tǒng)運(yùn)行的穩(wěn)定性���,一般系統(tǒng)運(yùn)行后不會(huì)對(duì)Linux或Windows平臺(tái)打補(bǔ)丁;另外����,大多工業(yè)控制網(wǎng)絡(luò)都屬于專用內(nèi)部網(wǎng)絡(luò)�,不與互聯(lián)網(wǎng)相連,即使安裝反病毒軟件�����,也不能及時(shí)地更新病毒數(shù)據(jù)庫(kù)����,并且殺毒軟件對(duì)未知病毒和惡意代碼也無(wú)能為力。操作系統(tǒng)漏洞無(wú)法避免���,加之傳統(tǒng)防御技術(shù)和方式的滯后性��,給病毒��、惡意代碼的傳染與擴(kuò)散留下了空間����。以2010年震驚全球工業(yè)界的“震網(wǎng)”為例����,該病毒利用Windows操作系統(tǒng)的漏洞侵入系統(tǒng),之后加載攻擊模塊�,查找Windows平臺(tái)上運(yùn)行的工業(yè)控制系統(tǒng),進(jìn)而對(duì)系統(tǒng)發(fā)動(dòng)直接的攻擊行為�����。
據(jù)了解����,在2010年爆發(fā)的“震網(wǎng)”事件中,病毒導(dǎo)致部分用于鈾濃縮的離心機(jī)無(wú)法運(yùn)行���,直擊伊朗核工業(yè)�����。由此可見(jiàn)���,針對(duì)工業(yè)控制系統(tǒng)的攻擊行為���,已經(jīng)對(duì)國(guó)家經(jīng)濟(jì)和社會(huì)發(fā)展產(chǎn)生深遠(yuǎn)的影響。事實(shí)上����,不僅僅是“震網(wǎng)(Stuxnet)”病毒,近年來(lái)相繼涌現(xiàn)出的著名惡意軟件如“毒區(qū)(Duqu)”���、“火焰(Flame)”等等���,也將攻擊重心向石油、電力等國(guó)家命脈行業(yè)領(lǐng)域傾斜�,工業(yè)控制系統(tǒng)面臨的安全形勢(shì)越來(lái)越嚴(yán)峻。為了提升工業(yè)控制系統(tǒng)安全水平�����,國(guó)際相關(guān)機(jī)構(gòu)制定了《工業(yè)過(guò)程測(cè)量�����、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》(IEC62443)系列標(biāo)準(zhǔn)�,為系統(tǒng)集成商�、產(chǎn)品提供商等開(kāi)展安全性評(píng)估工作提供指導(dǎo)�����。其中����,在信息安全方面�����,IEC62443指出���,“基于計(jì)算機(jī)系統(tǒng)的能力���,能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問(wèn)系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止��?���!?/P>
業(yè)內(nèi)人士指出,在工業(yè)控制網(wǎng)絡(luò)體系中�,作為主機(jī)的服務(wù)器是非常關(guān)鍵的設(shè)備���,服務(wù)器上運(yùn)行的操作系統(tǒng)平臺(tái)承載著核心業(yè)務(wù)系統(tǒng),對(duì)前端實(shí)時(shí)操作系統(tǒng)正常運(yùn)行具有重要影響�,在工控安全的整個(gè)架構(gòu)里面,服務(wù)器操作系統(tǒng)平臺(tái)的安全是不可或缺的一部分��。
