信息时代的工业网络安全

作者:李熹博士 文章来源:库柏电气(上海)有限公司 发布时间:2010-12-01

随着工业系统信息量的不断提高,工业网络与过去相比也更加开放,这给工业网络带来了网络威胁问题。全世界相关领域科学家对工业网络安全进行了大量研究,并取得了一些令人瞩目的成果,值得欣慰的是,这些成果已经转化成实际产品投入到生产平台中去。

日前,伊朗境内的诸多工业企业遭遇了一种极为特殊的电脑病毒袭击,知情人士称,这种代号为“震网”(Stuxnet)的“电脑蠕虫”侵入了工厂企业的控制系统,并有可能取得对一系列核心生产设备,尤其是发电企业的关键控制权。广受西方关注的布舍尔核电站也是“震网”蠕虫的重点“关照对象”,一时间,工业网络安全问题占据了电视、报纸、网站等各大媒体的主要位置,大有“谈网色变”的趋势。

工业网络现状

今天,当我们提起工业网络,相信所有人都不会陌生。近年来,我们能够深深的体会到,流程工业的革新与发展方向已经从早期单一的“自动化”转变为当前的“分布化”、“智能化”和“实时信息化”,单纯的“自动化”已经不能够满足人们对整个生产平台的控制需求,现在的现场工程师期望的已经不再是从一台一台的现场仪表的指针上读取数据,而是绝大多数时间在中控室的显示器前,鸟瞰所有的仪表。从50%比例仪表挂在网络上的生产平台,到现在这一比例需提高到90%;从仅仅只是对数据的监测,到现在还必须加入控制;从只需要模拟量或数值的I/O点,到现在期望得到仪表的健康状态信息……现在的工业与流程自动化对数据传输的要求远远高于过去。

在持续强劲的工业网络需求下,包括工业以太网技术、现场总线技术在内的全球的工业网络技术在近些年取得了飞速发展,而这其中尤以工业以太网技术为最。由于工业以太网具有较高的数据传输速率,能提供足够的带宽;另外以太网系统通信协议的易集成性与开放性,再加上巨大的市场让各大制造商投入了大量研发费用,工业以太网技术传输实时性、安全性与可靠性不断提升。因此我们现在已经看到,越来越多的厂家将以太网接口直接设计在终端现场仪表、PLC、控制器上,而采用包括RS-232、RS-485在内的一些传统工业通信方式逐渐减少,这个趋势还将在未来很长的时间内持续下去。

工业网络威胁

正像一个硬币的两面,伴随着工业以太网络的普及,工业系统中的信息量不断提高,工业网络与过去相比也更加开放,但开放性的提高也给工业网络带来了网络威胁问题。

提到网络威胁,所有人都不会陌生,无论是个人笔记本电脑,办公室的企业计算机,还是车间中控室的中控服务器,生产平台的操作站与人机界面,都无一例外地会采用各种各样的防止网络威胁的手段来进行保护,大家非常熟悉的“操作系统补丁”、“网络防火墙”、“杀毒软件”等都属于这个范畴。但是,当我们将目光投向工业网络中的网络威胁,可能更多的是“没有听说”、“没有注意”或者“知其然不知其所以然”了。

网络威胁通过各种形式和手段威胁着这个全新的领域,其杀伤力与破坏性丝毫不因工业网络的特殊性而有所收敛。由于人们脑海里存在着以下一些概念,如“工业网络比较特殊”、“没有任何两个生产平台是一样的,所以工业网络也都是唯一的”、“工业通信采用的都是自己的协议,很难受到攻击”、“我们已经采取了足够的措施,甚至安装了硬件防火墙”,而这些潜意识反而会导致工程师放松警惕。下面,本文例举了一些工业网络攻击的典型手段和相关机理。

修改系统时钟

修改系统时钟是部分病毒发作的前序流程,由于系统时钟被修改,很多软件的使用期限落在了被修改后的系统时钟之外,这个时候,这些软件往往面临着失效的风险。对于商用电脑系统,可能带来的危害可能仅仅停留在数据层面,而对于工业网络而言,可能就会面临更为严重的威胁,因为整个生产线的流程顺序有可能被全部打乱。

删除系统数据

对于信息化程度越来越高的流程工业,从生产控制程序到历史检修数据,从流量计的自检报告到工程师的监控记录,无一不是采用数字化的记录方式,因而工业网络系统中存储着大量的各类数据,具有删除系统数据的病毒或木马也是对工业网络危害极大的一类威胁,一旦工业系统中感染这类病毒,后果将非常严重。

占用控制器CPU进程

与我们经常遇见的DoS(Denial of Service)攻击类似,占用控制器CPU进程的攻击同样能够对工业网络中的控制器进行攻击,而且攻击的原理几乎也一模一样,都是通过向目标主机发送大量的请求,使目标主机忙于处理这些信息,资源被大量消耗,从而不能处理正常事物。随着网络攻击手段的不断提高,DoS攻击也在不断“改进”和“升级”,例如DDoS Distributed Denial of service (分布式拒绝服务攻击),最后实施攻击的若干攻击器本身就是受害者,若在防火墙中对这些攻击器地址进行IP包过滤,则事实上造成了新的DoS攻击。

工业网络带宽攻击

由于“中控、集显”是信息化的重要特征之一,因此工业网络中的主控机房往往连接着来自各个节点的各种数据,而错综复杂的网络对带宽的要求也随之提高,这个时候,如果网络受到攻击,带宽受到影响,整个生产平台的所有通信都会受到影响甚至是中断。另外,工业网络实时性的提高让更大比例的现场设备运行参数来自现场网络,与此同时,网络上设备的增加也为工业网络带宽攻击带来了隐患。一旦工业网络中出现网络风暴,一个数据帧或包被传输到本地网段上的每个节点就是广播,由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,最终也很可能导致网络性能下降,甚至网络瘫痪。

《Control》杂志2009年的统计表明,全球500强企业中,每年因为网络安全造成的异常事件总数达6000起以上。工业网络造成的安全事故在中国也并非没有发生过,电力、石油、管道均发生过由于工业网络故障引起的异常、停车甚至事故,只是因为某些原因,这些事件没有被报道和宣传。

工业网络威胁的特点

工业网络与商业及企业网络相比有诸多区别,比如商用网络强调最大限度的吞吐量,而工业网络强调通信的实时性;商用网络强调数据的保密性,工业网络更强调数据的完整性;商用网络的监测与管理能够通过附加指令来实现,工业网络的管理则尽量不能附加指令以避免控制器答复指令的资源开销增加,因此,工业网络的防护必须考虑其自身的特点,例如基于OPC协议的防护。

作为一种通用的解决方案,基于微软COM/DCOM技术的OPC协议目前已被广泛的应用,使用它能够实现不同制造商的控制系统或数据库等进行数据互连,并且还能提供统一的界面控制功能。但基于DCOM的OPC接口技术是在网络安全问题还没有大面积爆发,网络安全概念还没被广泛理解之前进行设计的,因此在设计上,OPC也就没有进行充分的考虑。OPC协议中,在OPC Client与OPC Server建立互联时,端口号是随机的,因此传统的网络基于端口的防护策略对采用OPC协议的网络安全性提高无能为力,所以,对于这类工业协议网络的防护我们必须采用新的手段来进行应对。

威胁的来源

当然,现在几乎所有的工业网络从设计初期都考量过网络安全性,例如当系统构架需要跨越现场网络层与企业网络层时,硬件防火墙成为必不可少的标配;当面对更大规模集团的信息化需求,企业网络层需要接入Internet时,很多系统都会再次安装硬件防火墙。另外,在选择工业网络相应设备时,也有越来越多的工程师开始注重这些设备的安全特性,比如选择的交换机要求带有带宽管理功能和 MAC地址绑定功能等。但是,也正是因为这一系列已经采取的措施,让很多工程师走入了一个误区,认为这些手段已经能够足以抵挡网络威胁对工业平台的侵袭,整个工业网络可以高枕无忧地进行安全生产了。

就像文章开头提到的伊朗的工业网络病毒事件,按照通常的判断标准,伊朗的这些生产平台的网络防护手段已经足够有力,但残酷的事实提醒着我们,即使是这样,甚至将现场网络与外部网络彻底断开都依然不能将工业网络的安全威胁完全化解。

图1标示出了目前最常见的工业网络构架,现场控制层与企业层之间已经配置了硬件防火墙,同时,从企业网络层向Internet连接时也配置了硬件防火墙,但是网络威胁依然能够通过其他途径进入控制网并造成安全事故。图中红色数字举出了几个典型的攻击与威胁渠道。

1.在系统硬件构架搭建安装完毕后,系统的软件安装工作及设备配置组态工作开始进行,这个时候,产品厂家工程师、系统集成商工程师、项目承包商工程师常会携带笔记本到现场并直接与控制层网络相连接,一旦这些电脑上带有病毒或蠕虫,在不知不觉中整个控制层网络都会感染。

2.生产过程中,无论是生产流程还是设备管理都会产生很多日志文件,而对这些日志文件的查看和分析并不是由现场仪表工程师来完成,会拷贝到安装有专门的分析软件的计算机上由专门的工程师来查看分析。

这些日志文件一般都不大,很多只有KB单位,因此要求每次的日志文件拷贝都采用刻录光盘的形式来进行并不现实,也不方便。而这个时候,U盘往往成为了最为便捷的方式。而这也是隐患的重要来源,越来越多的病毒或蠕虫都采用了U盘作为传播途径,并且传播方式越来越隐蔽。

不夸张的说,全世界U盘病有很成千上万种,但他们几乎都是通过Autorun.inf来进入,并能通过产生AutoRun.inf进行传播。在这个过程中,病毒首先向U盘写入病毒程序,然后更改autorun.inf文件。

autorun.inf文件记录用户选择何种程序来打开U盘,如果autorun.inf文件指向了病毒程序,那么操作系统就会运行这个程序,引发病毒。一般这类病毒还会检测插入的U盘,并对其实行上述操作,导致另外一个U盘也携带上新的病毒。

当然,有些工程师会提出,既然网口和U口都有这么多隐患,那么能否完全将生产平台中的这两个接口全部封掉。且不论这个方法是否有效,单看这种思路本身,与工业自动化与信息化的发展潮流就是相悖的,离开了这两个重要接口,生产平台将成为名副其实的信息孤岛,因此这种曾被提出的思路很快就被业内否定。

3.对于很多系统而言,在现场无法解决问题的时候,通过网络进行远程支持往往成为了一条高效快速的手段,而在这个过程中,一旦远程操作的机器本身是病毒携带者,那么在它进行远程操作时,这些病毒经常会伪装成正常是数据交换顺顺利利地通过各道关卡进行控制层网络。

4.工厂网络中,除现场控制器和服务器外,还有很多其他相关机器需要进行数据交换,而这些机器本身的物理位置并不在控制网络中,因此对应的管理员在日常操作中警惕性并不高。这个时候如果密码设置得过于简单或者为担心忘记密码,干脆就采用设备出厂的默认密码。一旦黑客有机会访问到这些计算机,通过极度智能化的密码猜测工具能够很轻松地破解密码,这个时候,黑客也就轻易的绕过了防火墙而直达控制层。

5.与控制层相连的其他计算机,虽然机器上并没有什么重要资料,同时生产过程也不需要这台计算机的直接参与,但是这台计算机依然有可能成为整个控制网络崩溃的罪魁祸首。例如,这台计算机感染了Funlove、震荡波、RPC等病毒,这些病毒最大的特点就是疯狂的损耗网络带宽,引起网络堵塞。虽然控制器自身没有被病毒感染,生产流程程序也没有被修改,但是由于整个控制层网络已经被病毒完全占满,正常通信已经无法进行。这个时候,轻则发生中控室读不到现场信号,系统黑屏;重则控制器的CPU资源全部被处理异常通信包的进程耗尽,最终宕机。

以上例举的几项只是网络威胁绕过现有防护手段进入控制层的一部分途径,除此之外,比如防火墙配置不完善、网络架构不规范等,都同样是工业网络的安全隐患。所以,我们可以看到,要想解决工业网络安全问题,仅仅靠防火墙或者物理上将企业网与控制网进行隔离是不足够的。

工业网络安全防护

针对前面提到的问题及现有手段的局限性,全世界相关领域科学家进行了大量的研究,值得欣慰的是,这些工作取得了令人瞩目的成果,并且这些成果已经转化成实际产品投入到生产平台之中。

美国Cooper集团MTL品牌与加拿大Byres强强联合,MTL作为全球流程工业安全领域的领袖厂商研发并生产TOFINO的硬件,Byres作为全球工业网络安全的领袖公司研发并制造相应软件,双方合作研发的TOFINO 9211-ET产品,即是全球第一款直接针对工业网络控制层的网络防护装置。9211-ET强调深层防护,将网络防护直接作用于处于控制层的控制器上,能够有效抵挡以上文中提到的这些网络威胁及攻击。

如图2所示,每一台9211-ET均与处于控制层网络的控制器紧密相连,任何数据到达控制器之前必须先通过9211-ET的过滤与筛选,只有确保数据足够安全,9211-ET才会允许并链接通信。为避免9211-ET自身受到网络攻击,最大限度增强其对控制器的保护能力,9211-ET在设计时采用了具有核心专利的无IP技术,因此,即使网络中不幸感染病毒或木马,这些病毒或木马也会因找不到攻击目标而“无的放矢”。

9211-ET在设计过程中,充分考虑到仪表工程师的网络知识的局限性,因此在9211-ET操作过程中仅需点击鼠标即可完成所有配置。同时,MTL与Byres的研究经验表明,网络威胁升级与更新的步伐从来就没有停止过,为保证9211-ET始终能够应付各种可能新出现的网络威胁, 9211-ET采用了硬件设备与防护软件模块相结合的设计思路,针对不同的生产平台,不同的安全应用需求,以及工业网络中不断出现的新威胁,MTL与Byres不断推出新的防护软件模块,保证9211-ET能够抵挡住各种新的威胁形式,因此避免了重复投资,保护了用户利益。

由于很多流程工业的现场环境都比较复杂,MTL凭借在全球安全领域的丰富经验,使得TOFINO 9211-ET具有Class I Div 2 and Zone 2 ,II 3 G Ex nA nC IIC T4的安全等级,能够安装于环境要求更加苛刻的工业场合。

到目前为止,MTL的TOFINO 9211-ET已经广泛在全球各大重要生产平台,尤其是石油、管道及电力平台,与此同时,包括YOKOGAWA、Invensys、Honeywell在内的全球各大系统厂商也都已经全方位验证过TOFINO的可靠性,并将TOFINO作为许多重大项目的标配设备推荐给用户使用。

结语

就在这篇文章即将结束的时候,《Control》杂志网站刚刚报道了基于VXWORKS系统的新病毒的发现,另外专门针对Modubus TCP协议病毒也能轻易地在Google上找到,越来越复杂的网络环境让我们在不断提高工业平台信息化水平的同时也不得不提高警惕。对工业网络采用更进一步的深层防护已经不是锦上添花,在工业网络威胁手段和破坏力不断升级的同时,如何调整防护手段,升级防护装置,有效防患于未然,避免伊朗电站事件类似的工业网络安全事故在我国发生,仍然任重而道远。
 

0
-1
收藏
/
正在提交,请稍候…