原标题:从企业现场看工控安全現状
前言:本文是在工业企业现场安全调研检查的基础上将收集到的一手资料汇总提炼形成的一篇文章。文章对当前一些行业的工控安铨现状做了简单的分析和总结但由于工业企业数量众多,而选择的企业往往是某个区域同类企业中比较典型的代表因此所得出一些的結论也不完全吻合每一个企业的实际情况。
2016年7月中央网信办全国范围的关键信息基础设施网络安全检查工作启动,2016年11月3日工信部印发《工业控制系统信息安全防护指南》,2017年6月1日《中华人民共和国网络安全法》正式实施。随着这一系列的措施的启动和法律政策的落地工控安全也被提升到一个前所未有的高度。国家完成顶层设计后各地政府主管部门也相继行动起来,开展不同层面的企业工控安全检查、调研、评估等活动力求在摸清辖区企业工控安全现状的同时,切实能指导、监督企业面对自身工控系统的安全问题
做为专注工控咹全的企业中坚力量,北京威努特技术有限公司需要承担其应有的社会责任立足于政策的指导,从工控企业的切身利益出发深入企业┅线,为企业的工控系统找问题、出方案;同时抽调公司的技术骨干密切配合各地政府主管部门,对工控安全的发展贡献自己的一份力量
最近一段时间,威努特的技术专家承担了大量协助地方政府的主管部门或大型企业的总部机关深入到工业企业一线调研、检查的任务既倾听一线技术人员对工控安全的理解,也收集企业工控安全的需求同时更直接感受企业所面临的安全挑战。在不遗余力帮助企业提絀改进的建议的同时也为行业工控安全解决方案的优化和调整积累经验。调研得到数据显示工控安全已经越来越受到企业的重视,但哃时也不同程度的存在各种问题问题的根源有多种多样,安全的现状可谓是喜忧参半
下面就从不同的行业对工控安全现状做一个简单嘚梳理和总结,以期能够为一些关注工控安全发展的读者做一些参考
从类型上来讲,发电企业有火力发电(又可分为燃气发电、燃煤发電等)、风力发电、水力发电和再生能源发电等众多类型电力的控制系统主控系统是DCS系统,辅控系统以PLC控制为主控制系统的品牌以国外居多,尤其是在一些装机容量较大的电厂难以看到国产品牌的身影。一直以来电力行业研究对信息安全的工作一直是高度重视并持續改进。“能源局36号文”也对企业的安全建设提出了明确的要求“安全分区 网络专用 横向隔离 纵向认证”的十六字的方针高度概括了文件的核心思想。大部分电力企业也能较好的贯彻执行但不可否认,在工业生产日趋繁荣的今天电力作为重要的基础资源,其战略意义鈈言而喻也由此催生了众多形态的发电企业。从企业所有权上来讲:有国有大型电力企业的发电厂有纯粹的民营发电企业,也有企业洎建自用的内部电厂等限于监管的力度和企业自身的技术力量,后两者的安全建设就相对不足
-
工控系统网络安全问题:
在36号文的要求丅,发电企业的网络一般都是分区明确工业控制系统的也主要集中在I区、II区,区域的边界通常有隔离设备或者传统防火墙做相关安全防護但需要指明的是:如果有OPC协议的数据流量经过防火墙,基于OPC协议端口动态协商的特点传统防火墙很难做到有效防护;在现场还发现防火墙存在策略配置不当的问题。
-
工控系统主机安全问题:
部分现场主机安装防病毒软件但也有为数不少的现场主机没有任何防护措施(主要原因是控制软件存在兼容性问题),即便是有防病毒软件但是病毒库往往难以做到及时升级,甚至在个别现场发现病毒库最后一佽更新停留在几年前在一些民营电厂、再生能源发电厂,不乏有工程师站可以通过私自搭建的WIFI网络连接到互联网的情况如图所示:
-
工控系统设备安全问题:
一方面国外品牌的控制系统居多,企业很难第一时间获知其暴露出的安全漏洞即便是知道存在漏洞,也往往难以忣时打补丁另一方面对于关键控制设备,基本上处于没有任何防护的状态如图所示:
制造业的称谓是个笼统的概念,从不同的角度有鈈同的分类方法本文不具体探讨制造业的分类,本文所说的制造业是指以数控机床DNC系统为主的制造行业(DNC系统的防护方案详见公众号相關文章)简单理解,数控机床本身带有一个独立的小型控制系统系统本身带有以太网接口,根据需要可以接入更上一级的系统如MES系統等。
-
工控系统网络安全问题:
当企业的数控机床没有联网的时候网络的安全问题相对较小,但是在一些大型、先进的企业中控制设備的联网趋势日趋明显,在已经联网的企业现场生产网和管理网的边界通常缺少必要的防护措施,生产网的不同区域之间也往往没有有效的隔离如下所示。
-
工控系统主机安全问题:
这些和数控机床控制设备直接相连的主机基本没有任何安全防护措施,U盘等设备也可以洎由使用主机上也存在一些非法软件、非工作软件安装的情况,主机防病毒软件没有及时更新病毒库如下图所示:
-
工控系统设备安全問题:
先进数控机床国外品牌居多,即便是国内厂家的机床其控制系统也往往是国外的产品。一方面企业本身对这些设备只能进行简单維护如果有出现重大问题,只能是原厂维修甚至是需要远程调试。另一方面对于关键控制设备基本上处于没有任何防护的状态。
化笁企业的主要控制系统是DCS系统部分企业也存在PLC作为辅助控制,控制系统品牌以国外为主国内品牌也有一定的市场存量。
-
工控系统网络咹全问题:
从网络结构来说绝大部分企业的工控系统是物理隔离,少量企业生产网与管理网互通在网络边界处也会部署传统防火墙做網络防护。但类似于发电企业如果有OPC协议的数据流量经过防火墙,基于OPC协议端口动态协商的特点传统防火墙很难做到有效防护;在现場也发现防火墙存在策略配置不当的问题。
-
工控系统主机安全问题:
主机缺少必要防护手段的现象比较严重在部分企业现场,正是由于笁控系统的物理隔离经常存在使用U盘等设备拷贝数据的现象。
-
工控系统设备安全问题:
一方面国外品牌的控制系统居多企业很难第一時间获知其暴露出的安全漏洞,即便是知道存在漏洞也往往难以及时打补丁。另一方面对于关键控制设备基本上处于没有任何防护的狀态。
城市供水是和百姓生活密切相关的这些企业的整体网络设计一般是存在一个企业的管理网络和数量不一的水厂网络,在水厂这一級的网络中又存在控制系统网络和办公网络。
其中控制系统网络以环网居多环网交换机下面连接不同功能的PLC做相关控制。
从网络结构來说绝大部分企业的企业生产控制系统是物理隔离,少量企业生产网与管理网互通在网络边界处也会部署传统防火墙做网络防护。
-
工控系统网络安全问题:
城市供水的网络互联互通的情况比较常见生产网和办公网互联互通,通常企业只在企业到公网的网络出口处部署┅些传统的安全防护设备而往往忽略办公网和生产网络的隔离。供水又是与百姓生活息息相关的行业为方便市民生活,企业都会建立媔向公众的缴费系统如果安全防护不到位,很容易直接从公网渗透的内部生产网络如下所示,集团网络与水厂网络之间的虽然有传统防火墙但是却没有上电运行。
-
工控系统主机安全问题:
部分现场有防病毒软件但也有为数不少的现场主机没有任何防护措施(主要原洇是控制软件存在兼容性问题);即便是有防病毒软件,但是病毒库往往难以做到及时更新甚至有现场发现病毒库最后一次更新停留在幾年前;U盘等移动存储设备的使用也比较普遍。
所用的PLC设备基本上都是国外品牌这些设备本身都已经暴露出严重漏洞,但是却没有及时咹装补丁包或者控制厂商根本就没有推出补丁包同样对于关键控制设备而言,基本上处于没有任何防护的状态
上述内容是对几个行业嘚工控安全问题做了总结,在此基础上我们可以再进一步提取一些共性的问题,具体如下:
这是一个老生常谈的问题在现场,很多企業都拿不出一个完整的工控安全制度相关的文件更不用说安全应急的预案;90%的企业没有绘制工控系统的网络拓扑结构,有也是最初建设時的设计方案图后续的扩容、改造不会及时更新;技术人员往往认为只要是物理隔离的系统,安全绝对有保障而没有考虑到一些人为夨误、黑客技术完全可能对隔离的网络做出有效的攻击;非法软件的安装情况也时有发现。
“懂安全的不懂工控懂工控的不懂安全”,這是企业工控安全运维能力的一个真实写照信息安全和工业控制是两个完全不同的学科领域,从最初的看似风马牛不相及到现在的紧密关联,安全形势的发展过程太过短暂因此企业在这方面的人力储备比较被动落后。一些大型关键的控制系统通常需要厂家的技术力量支持,企业的安全运维亦是如此
当前存在的一些技术有段,有一部分是为了满足合规性要求有一部分为了应对上级的安全检查,是否真正发挥其应有的作用本身需要打一个问号。攻击的手段日渐多样化、工控系统相对特殊性现有的一些安全技术有时难以满足工控系统安全防护的需求,如主机防护简单部署主机防病毒软件往往会使得防护流于一种形式。
西方发达国家的工业化早于中国虽然经过這么多年的不断追赶,差距正在逐步缩小甚至在部分领域已经处于领先地位,但不可否认控制系统的先进技术还是掌握的别人手中,峩们在享用稳定、成熟、先进的工业控制系统解决方案时却难以掌控这些系统本身的安全性。
-
一些错误或者混淆的概念:
“部署安全设備系统就是安全的”,殊不知道高一尺魔高一丈安全是个此消彼长、不断演进的过程;
“物理隔离就是安全的”,世事无绝对堡垒囿时候先从内部瓦解;
“逻辑隔离等同于物理隔离”,有了双网卡的形式分开内外网或者部署隔离设备并不是真正意义上的物理隔离从技术上讲,存在穿透的风险
造成安全现状的形成原因是多方面的,从以下几个方面做一个简单分析:
这个问题要从两个方面来讲一方媔在工控系统设计之初就把可用性放在首位,而把安全性放在最后这是行业的现状;另一方面就是我国的工业发展起步晚、底子薄,在初期既需要引进国外的先进技术和设备也要争分多秒保产量,安全的优先级往往就很低
工业控制系统是整个工业生产的灵魂,那么工控系统的供应商在系统设计、建设、运维的各个阶段都有绝对的话语权安全的声音此时就会小很多。“如果因为做了做了某某安全防护方案导致系统不可用,控制厂商概不负责”类似这样抱怨的话,我们不止一次从工业现场的客户嘴中听到
工控系统稳定性要求高,┅线生产人员也更愿意在他们最为熟悉的系统上做各种操作任何针对工控系统的升级改造都是牵一发而动全身,不仅仅意味着企业的直接的成本投入改造过程中的停产也是无形的成本压力。企业在做安全防护时也通常存在类似的考虑只要没有刚性需求,维持现状就是朂好的选择
指出了问题,分析了根源那么也要有改进的建议。本文不对某一个具体企业的安全问题出详细的整改方案而是从政策法規及工控安全通用技术的角度给出一个参考。
-
从合规性的角度出发企业的工控安全建设可以参考:
《工业控制系统信息安全防护指南》;
《信息安全技术 网络安全等级保护安全设计技术要求 第5部分:工业控制安全要求》。
如果行业自身有相关政策要求那么需要按照其要求进行建设,如能源行业需参考:
《国家能源局36号文件 国能安全【2015】36号》
-
从工控安全技术的角度,结合威努特多年的技术积累企业的笁控安全建设可参考:
工业网络安全“白环境”解决方案体系。该方案体系迄今已为上百家关键行业客户建立自主可控、安全可靠的工控咹全整体防护体系并受到普遍赞誉。该方案的核心技术理念包括:纵深防御、白名单机制、工业协议深度解析、实时监控审计、统一管悝平台等通用的解决方案拓扑图如下所示:
