01 工控系统信息安全现状以及对轨交安全的影响
02 工业以太网信息安全威胁的主要原因
从业者一般认为工业控制网络通信协议相对私有,与更广范围的网络存在隔离的特性,加上设备自身的优势,使得他们对于工业网络的安全性很有信心。但在如今不断变化、更广互联的网络世界中,许多工业运营商甚至都没有意识到他们的系统已经被暴露在互联网上,必须要进行一些特别的安全漏洞处理。在近期的一则 道中反映,美国国土安全部顾问InfraCritical仅仅通过监控引擎就发现了50万个暴露在网络中的SCADA设备,其中7200个设备控制着关键的基础设施,比如说水利、能源以及其它领域的设备。因此,安全研究人员描述工业控制系统的状态“很安全”,就听起来很可笑了。
现有的工业自动化网络中漏洞存在主要体现在以下三方面:
(1)工业基础协议Modbus TCP/IP 协议数据包存在安全隐患
Modbus TCP/IP 协议被广泛应用于工业通信中,但由于缺乏内置的安全处置,使得协议应用时相对脆弱。具体地说,即使当传送一个检测过源IP地址的TCP/IP的数据包时,看起来似乎是合法的,但由于它可能包涵有恶意的Modbus TCP 通信数据包,让整个通信过程存在疑虑。假设让系统对Modbus的源设备ID、功能码或者命令类型进行检测时,这种恶意的数据包将无处遁形。同时由于工业设备几乎没有应用层的安全防护方式,因此这样的关键任务应用的安全保护将落地在网络安全设备,如硬件防火墙等,而传统防火墙的解决方案中很少有扫描Modbus TCP等工业协议的机制。
(2)自动化控制中对时序的要求很严格,存在传输延迟的安全隐患
SCADA和自动化控制对受控对象的直接操作是具有高度时效性的,比如说变电站运作对时间非常敏感,触发电路开关的延迟可以导致功率波动甚至停电。操作的高时效性要求工业网络不能存在重大的延迟问题。然而,恶意攻击者使用一个常见请求程序去攻击一个网络,即便防火墙可以阻止一个未经授权的请求,也会造成网络延迟。同时防火墙在处理数据时也存在能力不足、带宽不够的情况,同样也会在关键时刻导致网络的延迟,无法满足实时性传输要求。
另外,随着需求的不断增长,工业网络将集成更多的系统,如视频、语音和数据网络等;网络设备需要更大的带宽和吞吐量来支持更高级的应用程序,并不影响网络安全,也不会造成其它工业操作的延迟。
(3)严苛的现场环境促使网络设备被动适应,存在适应性安全隐患
轨交现场机电机械和工业控制设备都部署在较为严苛的环境中。采用传统的IT网络安全设备很难在这些严苛的环境中稳定运行并保障工业网络及系统的信息安全。这些严苛的环境条件包括如极端的温度、EMC、EMI等,对传统IT网络安全设备造成的损坏也许比黑客刻意程序工具的攻击更加严重。因此,确保工业网络免受黑客的攻击,保障信息安全,首要任务是确保这些设备能够在这些严苛工业环境下持续、稳定地运行。
消除以上漏洞的思路,第一步是确认漏洞、关闭漏洞;第二步至关重要,必须将安全漏洞完全处理掉。
03 工控网信息安全解决方案探讨
3.1 轨交行业信息安全的总体考虑
轨交业务总体可以分为自动化控制和管理信息两大类。划分为三个安全域:生产网域、管理网域和互联网域。上海在处置信息安全时,一般有以下做法:
(1)同区域访问、各不同区域之间实行受控访问或禁止访问。安全域之间的访问控制策略见表1。
(2)自动化控制系统按照既有的建设安全体系进行防护的同时,与列车运行控制直接相关的系统(如信号系统和SCADA系统)级别应定为非常重要,对应安全等级保护体系的第三级;为列车运行提供辅助、支撑的系统级别应定为重要,对应安全等级保护体系的第二级;
(3)仅供轨交行业内部使用的管理、决策、办公类系统级别应定为一般,对应安全等级保护体系的第一级。
3.2 工控网信息安全的考虑
针对以上的分析,建议从硬件以及软件两个方面实现工业以太网的信息安全。
(1)硬件实现多层次网络信息安全防护
针对轨道交通自动化系统构成特征,将现场级系统分解成多层结构(如图1所示),在各层网络中根据不同情况(如连接设备数目、带宽以及性能要求等),设置合适的工业级网络安全产品。以Moxa公司的EDR-810系列为例,随着集成技术发展,在市场上推出了一体化的防火墙交换机,主要面对最底层需连接多个终端设备,必须放置一台交换机的情况;该集成设备集合了二层网管交换功能以及防火墙/NAT/VPN的功能,具有千兆上联口以及多个快速以太网口,在满足现场设备接入的同时,还可利用网管的功能,有效防止由于现场设备故障导致的广播风暴对于其它关键设备的影响;对于现场不被使用的端口,在物理封存的同时系统可以将其关闭,从而防止利用现场设备接入交换机进行的恶意篡改以及非法入侵。另外,该设备的防火墙策略控制不同信任区域之间的网络流量以及网络地址转换(NAT)防御内部局域网免受未经授权从外部主机传来的活动,能够执行深度的Modbus TCP数据包检测,从而有效地防止对于现场PLC等关键设备的非法控制,确保关键设备的可靠性。
在最上层对接办公网络时,宜选择设置工业级千兆防火墙/VPN安全路由器设备,同时应考虑满足带宽需求高、对外连线需要有备份链路的要求。以Moxa公司的EDR-G903系列为例,其具备冗余的WAN接口,千兆的宽带性能,吞吐量能够达到500Mbps,能够建立的Firewall/NAT规则数为512/256以上,从而确保企业信息网与自动化网络之间的安全通信;同时,支持VPN三层隧道协议IPSec可达100条,能够满足远端的多通道安全通讯。
(2)在网管软件中设置信息安全的选项
工业网络管理套件可以实现简易配置、智能可视化管理、简便的备份管理以及快速故障排除,将整个网络生命周期都结合到了一个工具包内。为了回应工业网络对于信息安全的重视,须基于ISA与IEC共同制定的针对工业网络分隔的工业自动化系统和控制信息系统的标准IEC 62443标准,分别在安装、运行和诊断三个阶段来确保网络安全。
在安装阶段,要从软件上可以批量部署设备的安全功能,可选择不同的设备安全级别,规范不同的安全条款,以满足不同的应用需要。
在运行阶段,软件可在可视化的网络拓扑结构中,用不同颜色来标注设备的不同安全等级,方便进行设备管理。在侦测到安全异常情况后,有相应的界面输出警告,通知操作人员,进行及时处理。
04 案例与结语
案例:美国亨利科县交通控制系统的安全处置
弗吉尼亚州亨利科县交通部门按NEMA TS2交通控制规范升级现有的公路交通信号控制系统,使其成为先进交通管理系统(ATMS)。亨利科县现有的交通控制系统是由140个信号控制的十字路口组成,但只有25个十字路口是相互连接的,其余115个十字路口的信号控制电路隔离。该系统将采用一个集中的网络架构,使得中央指挥中心可以与每一个现场交通信号控制器进行数据通信。现场的交通控制器也可以调整和安排每天不同时间段的交通信号配时参数,以此来提高交通车流量。从中央指挥中心,运营商将能够访问交通信号的实时监控和应急响应远程流量控制的位置。这种先进的交通控制网络将通过公用网络进行部署,不只需要一个高度可靠的连接,同时也保护了网络安全,禁止未经授权的访问。
为了使交通控制器能够将数据传送到交通指挥中心,系统集成商需要利用现有的ISP公共网络。然而,在公共网络中存在可能的安全性问题,会直接威胁到交通控制网络的通信。所以,采用VPN和现场及核心防火墙来保证数据通信的安全就显得至关重要。
2011年,工业和信息化部颁发了451号文《关于加强工业控制系统信息安全管理的通知》,从国家层面强调了加强工业控制系统信息安全工作的重要性和紧迫性,而轨道交通的核心生产系统正属于此通知范围内。因此希望通过上述讨论,提请相关人士重视对轨道交通现有的、各个层次系统部署状况、网络架构及主要安全问题的分析,形成一套有效的信息安全架构方案,推动轨道交通信息安全基础建设,完善轨道交通信息安全技术防护体系、信息安全管理体系,提升轨交行业的信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。
洪翔,高级工程师。多年从事轨道交通通信工程、控制中心、综合监控系统以及信息化等专业的工程规划、可研 告编制、工程设计、咨询和技术管理、评审和科研等工作。曾获上海市科技进步奖、教育部科技进步奖、建设部优秀工程设计银奖、上海市优秀工程咨询成果奖等奖项。
摘自《工业控制系统信息安全专刊(第一辑)》
声明:本站部分文章内容及图片转载于互联网、内容不代表本站观点,如有内容涉及侵权,请您立即联系本站删除。