[西门子] 工业控制系统安全入门与实践—从五层架构和安全标准说起

[复制链接]
查看84178 | 回复0 | 2024-12-12 09:18:56 | 显示全部楼层 |阅读模式
前面我们提到了工业控制系统中的安全,也从安全角度分析了Modbus协议和西门子S7Comm协议:

MES、SCADA下的数据采集— 西门子S7comm协议分析

Modbus 的RTU、ASCII、TCP傻傻搞不清楚?这将是你见过的最全面分析

今天我们从整体五层架构的角度来谈谈如何认识工业控制中的安全,不论目前你是从事企业层的ERP, PLM,或者管理层的MES/MOM,又或者是监控层,现场控制层的DCS, SCADA, PLC,安全都伴随着你,如果你还不清楚五层架构,请先移步:

西家软件知多少-盘点有多少你不知道的西门子软件

本次内容主要有:

01 五层架构中的安全

02 工业控制网络VS传统IT网络

03 工业控制系统软硬件及其协议的脆弱性

04 工业控制系统中的安全标准

05 工控系统网络安全特点

06 行业控制架构图与安全问题分享



01 五层架构中的安全

工业控制系统分层模型



该标准参考IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行分类,共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。

企业资源层主要包括ERP,PLM等功能单元,用于为企业决策层员工提供决策运行手段;

生产管理层主要包括MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;

过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;

现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;

现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。

根据工业控制系统的架构模型不同层次的业务应用、实时性要求以及不同层次之间的通信协议不同,需要部署的工控安全产品或解决方案有所差异,尤其是涉及工控协议通信的边界需要部署工控安全产品进行防护,不仅支持对工控协议细粒度的访问控制,同时满足各层次对实时性的要求。



工业控制系统典型分层架构模型

该标准专门标注了随着工业4.0、信息物理系统的发展,上述分层架构已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并,可以根据用户的实际场景进行判断。



    相关内容的映射关系

考虑到工业控制系统构成的复杂性,组网的多样性,以及等级保护对象划分的灵活性,给安全等级保护基本要求的使用带来了选择的需求。该标准给出了各个层次使用本标准相关内容的映射关系,可以在实际应用中参考:





02 工业控制网络VS传统IT网络
工业控制网络与传统IT网络的不同

从大体上看,工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同。

网络边缘不同:工控系统在地域上分布广阔,其边缘部分是智能程度不高的含传感和控制功能的远动装置,而不是IT系统边缘的通用计算机,两者之间在物理安全需求上差异很大。

体系结构不同:工业控制网络的结构纵向高度集成,主站节点和终端节点之间是主从关系。传统IT信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。

传输内容不同:工业控制网络传输的是工业设备的“四遥信息”,即遥测、遥信、遥控、遥调。此外,还可以从性能要求、部件生命周期和可用性要求等多方面,进一步对二者进行对比,详细内容如表1所示。



工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科,同时拥有广泛的研究和应用背景。两化融合后,IT系统的信息安全也被融入了工控系统安全中。不同于传统的生产安全(Safety),工控系统网络安全(Security)是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说,没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏,才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的,但是工业控制网络安全问题与传统IT系统的网络安全问题有着很大的区别。



03 工业控制系统软硬件及其协议的脆弱性
工业控制系统面临的脆弱性示例

1 工业控制系统产品漏洞(可以这样说,几乎100%的工业控制系统都存在漏洞)

工业控制系统产品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难,漏洞不能得到及时修补。

2 Modbus自身协议缺陷

不单是Modbus,像IEC104,PROFINET等主流的工控协议,都存在一些通用问题。为了追求实用性和时效性,牺牲了很多安全性,因此会导致黑客的攻击。

3 OPC协议自身的脆弱性(非OPC UA)

OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制造领域。OPC协议在为大家带来便利的同时,存在着非常大的安全隐患。首先,OPC协议架构基于Windows平台,Windows系统所具有的漏洞和缺陷在OPC部署环境下依然存在。并且,为了实现信息交互的便捷性,所有的Client端使用相同的用户名和密码来读取OPC server所采集的数据。另外,只要Client端连接,所有的数据都会公布出去,极易造成信息的泄露。更有甚者,在某些不太规范的部署环境下,OPC server一方面是为现场所采集的实时数据提供展示,另一方面又为MES层提供数据。相当于MES和现场数据共用一个OPC数据库,MES一旦被攻击,就会导致OPC的某个参数被修改,致使现场操作也会随之变动。



04 工业控制中的安全标准

工控安全参考标准

我们搜集了下文所提到的标准法规和其他部分工控标准
国际标准



国家标准




    《工业控制系统信息安全防护指南》

《工业控制系统信息安全防护指南》是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,为工业企业制定工控安全防护实施方案提供指导方向。该指南的制订,是在国内深化制造业与互联网融合发展的大背景下,国内工业控制系统信息安全问题突出的情况下,国内工控安全多个标准发布,工控安全技术蓬勃发展的环境下,基于管理、深入技术、结合业务,以新高度为工业企业提供全面的工控安全建设指导。



    《工业控制系统信息安全行动计划 (2018-2020年)》

工业控制系统信息安全行动计划的主要目标:到2020年,一是建成工控安全管理工作体系,企业主体责任明确,各级政府部门监督管理职责清楚,工作管理机制基本完善。二是全系统、全行业工控安全意识普遍增强,对工控安全危害认识明显提高,将工控安全作为生产安全的重要组成部分。三是态势感知、安全防护、应急处置能力显著提升,全面加强技术支撑体系建设,建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台)。四是促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3-5个国家新型工业化产业化产业示范基地(工业信息安全)。



    《信息安全技术工业控制系统安全控制应用指南》(GB/T 32919-2016)

该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理。适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定基础。



    《信息安全技术 网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》

也就是等保2.0了,将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管,将互联网企业纳入等级保护管理,并在《网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》中针对工控安全进行详细描述,并专门对工控分层模型等内容进行了描述。



    GB/T 26333-2010《工业控制网络安全风险评估规范》

作为我国工控安全第一个国家标准,解决了我国工控安全标准空白的问题,实现了工控安全标准零的突破。此标准2011年发布实施,从发布时间上可以看出,我国关注工控安全的前辈们的高瞻远瞩。但是此标准并未推行起来,成为了事实上可有可无的标准,成为了工控安全标准界的先烈。究其原因,还是此标准无核心内容(核心内容都是直接引用其它标准),标准过于简单,可操作性低,导致此标准落地困难。建议相关单位对此标准进行修订。



    GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》

作为我国工控安全第一个有内容的国家标准,解决了我国工控安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信息安全等级由系统能力等级和管理等级二维确定。

此评估标准实施过程中,还没有一套有效的方法论来指导用户单位确定自己需要的信息安全等级,或者政府未有一套信息安全等级评定的依据。目前阶段只能根据用户单位自己的自发需求来确定信息安全等级,然后根据用户单位确认的等级开展评估活动。

GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》

此标准解决了我国工业控制系统信息安全验收上的空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段就考虑验收标准和费用的问题。
行业标准

电力行业

在工控安全领用,电力行业2005年颁布的电监会5号令《电力二次系统安全防护规定》,“安全分区、网络专用、横向隔离、纵向认证”十六字深入人心。其次是石化、核电及烟草行业也有相应标准。



    《电力监控系统安全防护规定》(中华人民共和国国家发展和改革委员会令第14号)

《电力监控系统安全防护规定》是为了加强电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行而制定的法规,经国家发展和改革委员会主任办公会审议通过,2014年8月1日中华人民共和国国家发展和改革委员会令第14号公布,自2014年9月1日起施行。



    《电力监控系统安全防护总体方案》(国能安全【2015】36号)

《电力监控系统安全防护总体方案》(国能安全【2015】36号)作为行业最新的电力系统安全规范文件,以“安全分区、网络专用、横向隔离、纵向认证”为原则,提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案,综合采用防火墙、入侵检测、主机加固、病毒防护、日志审计、统一管理等多种手段,为二次系统的安全稳定运行提供可靠环境。



    《电力行业信息系统安全等级保护基本要求》电监信息[2012]62号

2012年,电力行业按照国家信息安全等级保护相关标准和管理规范,结合自身行业现状和特点,制定了本行业的等保标准——《电力行业信息系统安全等级保护基本要求》,指导行业信息安全等级保护工作。



    国家电网信息安全检测依据的其他标准(国家电网2017年发布)



石化行业



    GB/T 50609-2010 《石油化工工厂信息系统设计规范》

此设计规范中要求网络之间需要采用安全隔离,2010年颁布的行业标准,算比较早重视工控信息安全的行业。

核电行业



    GB/T 13284.1-2008 《核电厂安全系统 第1部分 设计准则》

    GB/T 13629-2008 《核电厂安全系统中数字计算机的适用准则》

《设计准则》提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的那些系统。《适用准则》主要针对核电厂安全系统中数字计算机适用性制定的准则。

烟草行业



    YC/T 494-2014 《烟草工业企业生产网与管理网网络互联安全规范》

此标准主要规范烟草工业企业生产网与管理网之间的联网安全问题。



    《烟草行业工业控制系统网络安全基线技术规范》






05 工控系统网络安全特点

(1)工业控制系统固有漏洞

各大厂商工控产品都或多或少存在着漏洞,工业领域存在着软、硬件的更新、升级、换代困难等问题。

工业控制系统协议在设计之初就缺乏安全性考虑,存在明文设计、缺乏认证、功能码滥用等安全威胁。

缺乏完善信息安全管理规定,存在U盘管理、误操作、恶意操作等安全威胁。

(2)工业控制系统建设周期长

一般一个大型工业项目建设周期长达5-10年,一套工业系统建设调试到稳定需要的周期很长,无法频繁升级。

(3)各种其他原因

两化融合使得工控系统而临着更多传统IT网络的威胁。







06 行业控制架构图与安全问题分享

石化行业

(1)操作站、工程师站、服务器采用通用Windows系统,基本不更新补丁。

(2)DCS在与操作站、工程师站系统通信时,基本不使用身份认证、规则检查、加密传输、完整性检查等信息安全措施。

(3)生产执行层的MES服务器和监督控制层的OPC服务器之间缺少对OPC端口的动态识别,OPC服务器可以允许任何OPC客户端连接获取任何数据。

(4)工程师站权限非常大,有些是通用的工程师站,只要接入生产网络,就可以对控制系统进行运维。

(5)多余的网络端口未封闭,工控网络互连时缺乏安全边界控制。

(6)外部运维操作无审计监管措施。



石化行业的工控系统结构图

6.2 先进制造业

(1)某些工控系统的默认口令问题,如SUNRISE,CUSTOMER,EVENING。

(2)通过操作站感染病毒。

(3)串口网口转换,定制协议过于简单,缺乏校验,串口传输环境的风险,业务指令异常无法发现。

(4)数据传输,NC代码等文件传输存在安全隐患。

(5)DNC服务器等与办公网放在一起,都是Windows系统安装的传统数据库,大量使用FTP等进行数据交互,操作有被渗透的可能。

(6)第三方运维人员在运维设备时缺乏审计记录,存在数据泄密或病毒侵入的威胁。



先进制造工控系统结构图

6.3 电力行业

6.3.1 电网安全建设现状

(1)当前正探索智能变电站的信息安全防护。

(2)建立可信计算密码平台,更新调度数字证书、纵向加密认证、横向隔离装置、防火墙、入侵检测系统,搭建安全仿真平台。

(3)智能变电站技术、分布式能源智能大电网,不仅有监视,还有控制。用电信息在互联网上传输,需要加密;用户的智能电器暴露在电力系统中,可能受到攻击。

(4)安全区II的电厂和省调之间采用IEC104规约,框架确定,但是存在协议格式在实际应用中出现混乱的问题。

6.3.2 发电(水电或者火电)面临的风险

(1)所有发电控制系统连接在一区,无任何安全防护措施。

(2)随着发电全厂一体化建设的推进,因联通导致的风险越来越大。

(3)操作站采用通用操作系统,未安装补丁,会感染病毒。

(4)OPC问题一样突出。

(5)远程运维问题依然存在,安全运维审计装置缺失。

上述内容是对几个行业的工控安全问题做了总结,在此基础上,我们可以再进一步提取一些共性的问题,具体如下:

(1)未进行安全域划分,安全边界模糊。大多数行业的工控系统各子系统之间没有隔离防护,未根据区域重要性和业务需求对工控网络进行安全区域划分,系统边界不清晰,边界访问控制策略缺失,重要网段和其他网段之间缺少有效的隔离手段,一旦出现网络安全事件,安全威胁无法控制在特定区域内。

(2)操作系统存在漏洞,主机安全防护不足。工程师站和操作员站一般是基于Windows平台,包括NT4.0、2000、XP、Win7、Server2003等,考虑到杀毒软件和系统补丁可能对控制系统的稳定运行造成影响,即便安装杀毒软件也存在病毒库过期等问题,因此通常不安装或运行杀毒软件,系统补丁在特殊情况下才进行更新或升级。同时,移动存储介质和软件运行权限管理缺失,控制系统极易感染病毒。

(3)通信协议的安全性考虑不足,容易被攻击者利用。专用的工控通信协议或规约在设计之初一般只考虑通信的实时性和可用性,很少或根本没有考虑安全性问题,例如缺乏强度足够的认证、加密或授权措施等,特别是工控系统中的无线通信协议,更容易受到中间人的窃听和欺骗性攻击。为保证数据传输的实时性,Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控协议多采用明文传输,易于被劫持和修改。

(4)安全策略和管理制度不完善,人员安全意识不足。目前大多数行业尚未形成完整合理的信息安全保障制度和流程,对工控系统规划、设计、建设、运维、评估等阶段的信息安全需求考虑不充分,配套的事件处理流程、人员责任体制、供应链管理机制有所欠缺。同时,缺乏工控安全宣传和培训,对人员安全意识的培养不够重视,工控系统经常会接入各种终端设备,感染病毒、木马等的风险极大,给系统安全可靠运行埋下隐患。

6.4 工业控制系统信息安全风险途径

通过以上分析,会发现像先进制造、发电、石油石化等行业,信息安全风险基本上是通过几个典型的端口进入工控系统。

(1)“两网连接”带来的风险。生产网与办公网相连,虽然控制系统是一个个单独的系统,但是要建立全厂一体化控制,主控制系统和辅助控制系统全部连接到一个网络中,由于网络互连带来的风险非常显著。

(2)通过操作站带来的风险。如安装软件、U盘的使用,人为的某些误操作,都是通过操作站和工程师站端口进来的。如工程师站经常会被值班人员随意操作,出现参数被误修的情况。

(3)现场与远程运维带来的风险。

(4)工业无线带来的风险。这种风险在轨道交通行业中非常明显

参考资料

https://www.kiwisec.com/news/detail/5c1c603bdb30c341099f28ab.html

https://www.venustech.com.cn/article/new_type/52.html

https://www.secrss.com/articles/3526

http://www.winicssec.com/Wap/Index/show/catid/57/id/456.html

《工业控制网络安全技术与实践》姚羽,祝烈煌,武传坤 著 机械工业出版社

工控系统信息安全-自动化博览2016/5

刘德莉. 构建工业信息安全屏障 助力航天企业快速发展[N]. 中国航天报,2019-02-28(003).

来源:安全客

链接: https://www.anquanke.com/post/id/178265




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册哦

x
您需要登录后才可以回帖 登录 | 注册哦

本版积分规则