工業背景
對于我國而言,工業控制系統安全所面臨的重要問題是自主可控的問題,我國在工控領域對國外設備和技術的依賴程度強。據中國產業信息研究網調查統計結果顯示,全國5000多個重要的工業控制系統中,95%以上的工控系統操作系統均采用國外產品;在我國的工控系統產品上,國外產品已經占領了大部分市場,如PLC國內產品的市場占有率不到1%,工業中用到的邏輯控制器95%是來自施耐德(法國)、西門子(德國)、發那科(日本)等的國外品牌。
以揚州市為例,自2014年1月起,在全市范圍內啟動重點行業重要工業控制系統基本情況調查,統計顯示,全市24個企業共計1213個重點工業控制系統,主要分屬化工、電力行業和城市公用事業服務領域。德國西門子公司生產的可編程控制器(PLC)和我國浙江浙大中控公司生產的分布式控制系統(DCS)在揚州市工業企業應用廣泛,其中德國西門子公司生產的可編程控制器占全部調查企業工業控制系統總數的87%,占全部調查企業可編程控制器應用總數的95%以上。
工業控制系統(以下簡稱工控系統)是國家基礎設施的重要組成部分,也是工業基礎設施的核心,被廣泛用于煉油、化工、電力、電網、水廠、交通、水利等領域,其可用性和實時性要求高,系統生命周期長,是信息戰的重點攻擊目標。目前,我國在工業控制系統網絡安全技術研究以及產業發展等相關領域處于快速發展階段,防護能力和應急處置能力相對較低,特別是關鍵部位工控系統大量使用國外產品,關鍵系統的安全性受制于人,重要基礎設施的工控系統成為外界滲透攻擊的目標。
法律層面
目前我國已經將關鍵基礎設施的信息網絡安全納入了《中華人民共和國網絡安全法》。
其中第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
-
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
-
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
-
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
-
(四)采取數據分類、重要數據備份和加密等措施;
-
(五)法律、行政法規規定的其他義務。
其中第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
工控網絡安全特點
首先,工控網絡安全是關鍵基礎設施的一部分,而且是關鍵部分。關鍵基礎設施包含公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域。其中能源、交通、水利等行業都有工業控制系統,隨著“互聯網+”、“中國制造2025”等國家政策的發布,工業控制系統與傳統的IT網絡、與互聯網的互聯互通已經勢不可擋,這其中的網絡安全問題尤其突出。
工控網絡包含多種多樣的工藝場景,目前流行的智能制造、智慧工廠、智慧城市、智慧水利、智慧電廠等新型技術都屬于工控網絡安全范疇。新技術、新網絡、新方向都將帶動這些行業發展,但這其中的網絡、信息、數據的安全就成為了新的研究方向。
其次,工控網絡安全觸及到生活的每個角落,伴隨著物聯網的到來,各行各業的數據都將被采集、處理、匯總。一旦發生網絡安全事件,將是牽一發而動全身的效果。有過黑客或者滲透經驗的人就會知道,暴露出來的網絡安全事件都只是冰山一角,當網絡安全事件被揭露的時候,伴隨著的是內部的數據都已經被偷窺一空了。
最后,工控網絡安全是一個多學科,多技術,多領域的交叉門類。本身工控行業的基礎專業是自動化專業,自動化專業就是一個多學科的交叉專業,它涉及計算機專業,電氣電子專業、儀表專業、通信專業和信息專業等內容。工控網絡涉及多個行業,如能源、交通、水利等。多技術包含控制技術、工藝技術、信息技術、網絡技術、通信技術、存儲技術等等。
工控網絡安全概述
“工控”即“工業控制”,工業控制系統(ICS,Industrial Control System)是一類用于工業生產的控制系統的統稱,它包含PLC控制系統(PLC,Programmable Logic Controller)、分布式控制系統(DCS,Distributed Control System)、監視控制與數據采集(SCADA,Supervised Control And Data Acquisition)系統等。PLC控制系統是單用PLC互相連接構成的控制系統,PLC與PLC之間采用松散的連接方式,難以做出協調的高精度控制,主要應用于小型生產過程,如灌裝流水線、郵件分發流水線等。分布式控制系統(DCS)也被稱為集散控制系統,用于大規模的連續過程控制,適用于測控點數多、精度高且反應速度快的工業現場,如發電、煉油廠、污水處理、化工等。數據采集與監視控制系統(SCADA),國內也稱之為組態監控軟件,主要實現廣域環境的生產過程和事物管理,其大部分具體控制工作還需要依賴現場環境的控制設備,主要應用于電力系統、輸油管道和軌道交通等。
工業控制系統可簡單劃分為過程控制網絡和現場控制網絡兩部分。過程控制網絡中部署多種關鍵工業控制組件,通過SCADA服務器(MTU)與遠程終端單元(RTU)組成遠程傳輸鏈路。
過程控制網絡向下與現場控制網絡相連接。現場總線的控制和采集設備(PLC或RTU)一方面將現場設備狀態傳送到過程控制網絡,另一方面還可以自行處理一些簡單的邏輯程序,完成現場控制網絡的大部分控制邏輯功能,如控制流量和溫度、讀取傳感器數據等。
過程控制網絡向上與企業信息網絡相連接。在企業信息網絡中,企業資源計劃(ERP)服務器和制造執行系統(MES)服務器與工業控制系統緊密相連。
在企業信息網絡中,郵件、Web、ERP等業務都需要與互聯網相連接,而MES需要與工業控制系統相連接,以獲得生產過程的各種數據,并下達生產任務。各種病毒和木馬就是利用這個通道進入企業信息系統,進而進入到工業控制系統中,這已經成為工業控制系統的主要安全威脅來源。隨著信息技術的快速發展,工業控制系統中的無線連接、移動存儲介質(U盤)、遠程維護和升級等新興技術和應用的廣泛使用,為工業控制系統引入了更多的安全風險。
工控網絡安全學習內容
1. 行業特性
傳統信息系統旨在利用計算機、互聯網技術實現數據處理與信息共享,而工業控制系統旨在利用計算機、互聯網、微電子以及電氣等技術,使工廠的生產和制造過程更加自動化、效率化、精確化,并具有可控性及可視性,它強調的是工業自動化過程及相關設備的智能控制、監測與管理。
2. 工業控制設備
傳統信息系統是通過互聯網協議組成的計算機網絡;而工業控制系統是PLC、RTU、DCS、SCADA等工業控制設備及系統組成的多層次網絡。
3. 工業控制操作系統
傳統信息系統通用使用的操作系統,如Windows、UNIX、Linux等,防護功能相對強大;而工業控制系統廣泛使用嵌入式操作系統,如VxWorks、uCLinux、WinCE等,并有可能根據需要進行功能裁減或定制。
4. 網絡協議
傳統信息系統主要使用TCP/IP棧(應用層協議HTTP、FTP、SMTP等);而工業控制系統一般直接使用專用的通信協議或規約(OPC、Modbus、DNP3等),或者將其作為TCP/IP的應用層使用。
5. 工業實時通信
傳統信息系統要求相對較低,信息傳輸允許延遲,多數系統能容忍短暫的、有計劃的系統維護;而工業控制系統要求較高,不能輕易停機和重啟恢復。
6. 工控安全事件
信息系統中不可預料的中斷可能會造成任務損失,但已逐漸有較為成熟的故障響應方案;而工業控制系統中不可預料的中斷會造成經濟損失或環境災難,故障的應急響應方案還很不成熟。
7. 工控安全維護
信息系統采用通用系統,兼容性較好,軟硬件升級較容易,軟件系統升級也較為頻繁;而工業控制系統使用專有系統,兼容性差,軟硬件升級較困難,一般很少進行系統升級。
工控網絡安全學習路線
上面提到的工控網絡安全是一個多學科、多技術、多領域的交叉內容。當作為初學者想開始學習,逐漸學習及深入學習時,工控網絡安全是一個深深的陷阱。里面包含的內容實在是太多了,這里僅僅展示工控網絡安全的冰山一角,還希望大家一起學習,一起交流,一起探討,一起進步。
首先,作為安全從業者必須要掌握的基本技能:編程語言。建議從匯編、C/C++到Python的學習路線。
其次,要學習《計算機網絡原理》,掌握基本的網絡通信技術。
自動化方面,要學習《可編程邏輯控制器(PLC)》,掌握基礎的自動化設備原理。
最后體系化的學習,是在前三個基礎之上,對于工控網絡安全的基礎內容的學習。推薦的學習路線為-自動化軟件-協議解析-固件分析-漏洞挖掘。
-
自動化軟件:自動化軟件分為編程軟件、組態軟件(SCADA軟件)、實時數據庫等自動化方面的軟件。可按照行業、廠家進行分類,深入了解后,在進行跨廠家,跨行業的進行深度學習。
-
協議解析:協議解析分為基礎協議和私有協議兩大類。協議又可分為控制協議和通信協議兩個層面。通常所要將的協議包含控制內容及通信兩部分。協議分析還可以按照鏈路層協議和應用層協議進行學習。應用層的協議較為通用性強一些。
-
固件分析:與傳統的固件分析較為相似,但工業控制系統廣泛使用嵌入式操作系統,所以協議內容更多的傾向嵌入式操作系統的固件進行分析。
-
漏洞挖掘:最為高階的學習內容,通過前面學習的基礎基本就可進入此階段了,綜合利用上述內容對工業控制系統中的設備,軟件,網絡等內容進行滲透測試。
