一 工控安全市場現(xiàn)狀
其實(shí)工控安全并不是一個(gè)新課題,早在2006年8月,中國工業(yè)設(shè)備網(wǎng)就刊發(fā)了一篇文章《工控軟件安全性的設(shè)計(jì)問題探討》,文章中針對(duì)工控軟件存在的信息安全問題提出了針對(duì)性的解決方案,要求工控軟件要在用戶身份認(rèn)證、訪問控制、操作審計(jì)以及與殺毒軟件的兼容性等多方面采取解決措施。
這樣一篇文章,當(dāng)時(shí)并沒有引起業(yè)界很多的關(guān)注。然而時(shí)隔8年之后,工控安全在2014年忽然間就成為了大眾話題,從年頭到年尾,各路英雄是你方唱罷我登臺(tái),恨不能一夜之間,將工控安全市場炒個(gè)底朝天。
在這一年里,市場上突然出現(xiàn)了接近10家專業(yè)的工控安全解決方案廠商;
在這一年里,工控安全第一次以獨(dú)立論壇的方式亮相2014中國互聯(lián)網(wǎng)安全大會(huì);
在這一年里,工控安全產(chǎn)品發(fā)布會(huì)此起彼伏,威努特、海天煒業(yè)、啟明星辰、綠盟以及三零衛(wèi)士陸續(xù)發(fā)布新產(chǎn)品;
在這一年里,工控系統(tǒng)信息安全國家標(biāo)準(zhǔn)首次發(fā)布;
在這一年里,“工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室”在電子部六所揭牌成立。
……
物聯(lián)網(wǎng)、工業(yè)4.0以及兩化融合等國家政策的引導(dǎo),讓眾多廠家都敏銳的感到了工控市場興起的前兆。總的來說,這一年的確稱得上是工控安全元年!
工控安全廠商現(xiàn)狀工控安全廠商作為這個(gè)市場中最重要、最活躍的推動(dòng)力量,在工控安全元年的各項(xiàng)重大活動(dòng)中都扮演著非常重要的角色。
二 工控安全真實(shí)情況
在過去一年里,所有關(guān)于工控安全的演講、文章中,出現(xiàn)最多的就是震網(wǎng)病毒和Havex。每逢論壇、展會(huì),無一不講震網(wǎng)病毒。在2014年7月發(fā)現(xiàn)的Havex病毒,也很快被某些廠商大肆加以宣傳利用。
實(shí)際上,震網(wǎng)病毒和Havex跟中國幾乎沒有直接關(guān)系,震網(wǎng)病毒主要破壞了伊朗的核設(shè)施,而Havex病毒的影響也主要在歐洲。中國的工控系統(tǒng)到底面臨哪些實(shí)實(shí)在在的威脅,好像沒有人能真正說清楚。
中國有沒有工控安全事件,有多少,影響如何?在國內(nèi)由于這類事件很快被處理,信息傳播被控制,公開資料非常有限,在網(wǎng)上幾乎搜索不到。筆者作為工控安全的從業(yè)者,通過跟眾多客戶的真實(shí)接觸,得到了很多一手的資料,在這里與大家分享。
2011年,某石化企業(yè)某裝置控制系統(tǒng)分別感染Conficker病毒,造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
筆者曾出差到江蘇某地級(jí)市,該市自來水公司將所有小區(qū)泵站的PLC都通過某公司企業(yè)路由器直接聯(lián)網(wǎng),通過VPN遠(yuǎn)程進(jìn)行控制訪問,實(shí)時(shí)得到各泵站PLC的數(shù)據(jù);結(jié)果發(fā)現(xiàn)大量的PLC聯(lián)網(wǎng)狀態(tài)不穩(wěn)定,出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象。經(jīng)過現(xiàn)場診斷,發(fā)現(xiàn)是PLC的TCP/IP協(xié)議棧存在明顯缺陷導(dǎo)致,最后靠廠家升級(jí)PLC固件解決。
某大型石化公司,控制網(wǎng)內(nèi)已經(jīng)部署了大量某外國品牌的工業(yè)防火墻,以為可以從此高枕無憂。但實(shí)際情況卻是控制網(wǎng)內(nèi)大量工程師站、操作員站感染了大量病毒,導(dǎo)致控制軟件運(yùn)行緩慢,正常操作無法進(jìn)行。
2014年,某大型冶金廠車間控制系統(tǒng)發(fā)現(xiàn)病毒,是因?yàn)閱T工在某一臺(tái)工作站上私自安裝娛樂軟件帶入在控制網(wǎng)擴(kuò)散。
從以上筆者獲得的部分實(shí)際案例來看,中國的工控安全威脅長期以來就已存在,但由于信息的曝光度不高,并沒有獲得更高層面的足夠重視。并且往往一些簡單的電腦病毒,就能在企業(yè)工控網(wǎng)內(nèi)肆虐,對(duì)生產(chǎn)造成嚴(yán)重影響。
三 工控安全問題根源分析
從上一章節(jié)我們可以看出,我國的工業(yè)控制網(wǎng)絡(luò)的確存在著較為明顯的網(wǎng)絡(luò)安全問題,導(dǎo)致這些問題的根源,主要可以概括為以下幾個(gè)方面:
1)工控系統(tǒng)以可用性為第一位,系統(tǒng)的穩(wěn)定可靠運(yùn)行是管理人員關(guān)注的重點(diǎn)。設(shè)備停車帶來的經(jīng)濟(jì)損失、甚至人員傷亡事故是所有人不愿意看到的。這就導(dǎo)致了對(duì)工控設(shè)備的管理維護(hù)非常保守謹(jǐn)慎,工作人員只會(huì)按照設(shè)備廠商的要求做已經(jīng)驗(yàn)證的、必要的軟硬件升級(jí),而防病毒軟件、防火墻等網(wǎng)絡(luò)安全設(shè)備的軟硬件升級(jí)幾乎不予考慮。這就給病毒、惡意程序以可乘之機(jī),可以輕松繞過形同虛設(shè)的防火墻和病毒庫陳舊的殺毒軟件,直接攻陷對(duì)工控系統(tǒng)至關(guān)重要的操作控制主機(jī)。筆者一位長期從事石化行業(yè)維護(hù)的朋友就說他們寧可工作站出了問題重裝系統(tǒng),也不敢升級(jí)系統(tǒng)補(bǔ)丁和病毒庫。
2)工控系統(tǒng)的生命周期普遍較長,現(xiàn)場存在很多老舊設(shè)備。這些老舊設(shè)備因?yàn)闅v史的技術(shù)所限,或多或少都存在一定的設(shè)計(jì)缺陷。在新的應(yīng)用條件下,一些以前不太明顯的缺陷會(huì)暴露出來。比如上一章節(jié)提到的PLC的TCP/IP協(xié)議棧缺陷問題,在以前的應(yīng)用中,PLC的通訊網(wǎng)口很少會(huì)直接連接到互聯(lián)網(wǎng),所以沒有發(fā)生這類問題,是用戶新的需求導(dǎo)致了問題的暴露。
3)工廠對(duì)于信息類設(shè)備的管理流程和制度,往往也存在明顯漏洞。比如員工個(gè)人的筆記本、U盤可以隨時(shí)接入控制網(wǎng)絡(luò),可以隨時(shí)從工作站拷貝資料到個(gè)人電腦等。這些操作無疑會(huì)給工控網(wǎng)絡(luò)帶來顯而易見的風(fēng)險(xiǎn)——眾所周知,Stuxnet震網(wǎng)病毒就是從U盤流入完全隔離的伊朗核設(shè)施網(wǎng)絡(luò)的。
傳統(tǒng)的工控網(wǎng)絡(luò)一直被認(rèn)為是一片祥和的“世外桃源”,彼此之間是一個(gè)完全信任的體系,“小國寡民、夜不閉戶、路不拾遺”,當(dāng)其不得不對(duì)外開放時(shí),何來抵御外來盜匪的能力?
四 工控安全解決之道
首先,筆者先說明一下關(guān)于安全的三個(gè)概念:第一,安全不免費(fèi);第二,安全的最高境界是感覺不到安全;第三,安全無僥幸。
安全不免費(fèi),這個(gè)概念很好理解,世上沒有白吃的午餐,企業(yè)要想做安全就要做好投入的準(zhǔn)備,這個(gè)概念誰都同意,但是很多人就未必愿意做。為什么呢?他會(huì)說以前我沒做安全也一直都運(yùn)行的很好,為什么還要花錢、花精力去搞這些。做個(gè)對(duì)比就很好理解,以前國內(nèi)有些大山內(nèi)的村子,家家戶戶根本沒有鎖的,但是現(xiàn)在隨著社會(huì)發(fā)展,交流增多,誰家還敢不上鎖?
從控制網(wǎng)發(fā)布的《2014年中國工業(yè)控制系統(tǒng)信息安全藍(lán)皮書》數(shù)據(jù)看,2014年狹義的工控安全市場不足2億,只占信息安全整體市場的1%!而作為對(duì)比,中國2014年P(guān)LC、DCS、SCADA等都有接近百億的市場規(guī)模,按IT行業(yè)通用標(biāo)準(zhǔn),安全產(chǎn)品及服務(wù)應(yīng)該占整個(gè)信息化投入的8%~10%。即正常來講,工控安全應(yīng)該每年有20-30億投入,才能達(dá)到IT界平均的安全水準(zhǔn)。并且在工控安全市場剛起步時(shí),產(chǎn)品和解決方案都不完善,各個(gè)企業(yè)的投入并不平均,考慮“智豬博弈”的原理,那些行業(yè)內(nèi)的大企業(yè)需要先期投入更多。
第二個(gè)概念,安全的最高境界是感覺不到安全。從投入效益比來說,預(yù)防永遠(yuǎn)比治療更劃算。正所謂善戰(zhàn)者無赫赫之功,一個(gè)真正好的安全解決方案,是能夠把所有隱患消除在萌芽階段,讓使用的人甚至完全感覺不到它在起作用。但是,正如保健品永遠(yuǎn)不如特效藥有名,一個(gè)真正好的安全產(chǎn)品也無法給用戶那么明顯的存在感??傊?,我們這個(gè)行業(yè),不但需要一批真正懂安全的賣家,也需要一批真正懂安全的買家。
第三個(gè)概念,安全無僥幸。既然安全又花錢效果又不明顯,是不是我們就可以不去做了呢?事實(shí)告訴我們,這種僥幸的心理是千萬要不得的。墨菲定律告訴我們,如果事情有變壞的可能,無論它的幾率多么小,它一定會(huì)發(fā)生。以震網(wǎng)病毒為例,為了攻擊網(wǎng)絡(luò)完全隔離、只能使用U盤進(jìn)行數(shù)據(jù)交換的伊朗核設(shè)施工廠,在它被發(fā)現(xiàn)之前,它感染了全球超過45000個(gè)網(wǎng)絡(luò),6000萬臺(tái)主機(jī)作為跳板,互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)攻擊就是如此恐怖。又比如Havex病毒,其后期對(duì)主要SCADA供應(yīng)商的官網(wǎng)下載軟件進(jìn)行了掛馬的水坑攻擊,使得很多國家的電網(wǎng)、水壩等設(shè)施中招,目前它的最終攻擊目標(biāo)還不明。面臨著可自我復(fù)制,可通過多種途徑傳播的網(wǎng)絡(luò)病毒、木馬,企業(yè)網(wǎng)絡(luò)沒有一個(gè)自身強(qiáng)健的“免疫系統(tǒng)”,是一定要感冒的。所以,網(wǎng)絡(luò)安全是一定要做的。但是想做新、做好很難,可能需要很多人、很多廠家前仆后繼的投入,最后能夠活下來的就那么幾家。技術(shù)和理念不能太超前,又不能不超前,這個(gè)窗口是非常小的。有這么一句話“我們只領(lǐng)先別人半步,領(lǐng)先一步的都成了烈士?!?/p>
在技術(shù)和理念上,我們是怎么做到領(lǐng)先別人半步的呢?作為一家繼承了傳統(tǒng)IT安全廠家深厚技術(shù)積累,并對(duì)工控安全有著自己深入研究的企業(yè),威努特公司沒有簡單照搬傳統(tǒng)IT安全思維,而是以工控系統(tǒng)安全的視角,針對(duì)工控系統(tǒng)對(duì)可靠性、穩(wěn)定性、業(yè)務(wù)連續(xù)性的嚴(yán)格要求,以及工控系統(tǒng)軟件和設(shè)備更新不頻繁、通信和數(shù)據(jù)較為特定的特點(diǎn),提出了建立工控系統(tǒng)安全生產(chǎn)與運(yùn)行的“可信網(wǎng)絡(luò)白環(huán)境”以及“軟件應(yīng)用白名單”概念,進(jìn)而構(gòu)筑工業(yè)控制系統(tǒng)的整體網(wǎng)絡(luò)安全“白環(huán)境”。
區(qū)別于傳統(tǒng)防護(hù)“黑名單”的方式,所謂“白”指的是好的、可信的,即只有可信任的設(shè)備、軟件和數(shù)據(jù),才允許在工控網(wǎng)絡(luò)內(nèi)部流通;其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。
●只有可信任的設(shè)備,才能接入控制網(wǎng)絡(luò);
●只有可信任的消息,才能在網(wǎng)絡(luò)上傳輸;
●只有可信任的軟件,才允許被執(zhí)行。
其次,要加強(qiáng)工控企業(yè)對(duì)操作維護(hù)人員的網(wǎng)絡(luò)安全意識(shí)的培訓(xùn),杜絕一些高危操作的發(fā)生,如將個(gè)人U盤插入控制主機(jī),將個(gè)人電腦連入控制網(wǎng)絡(luò);讓每個(gè)員工都對(duì)網(wǎng)絡(luò)安全有明確的認(rèn)識(shí),同時(shí)也有切實(shí)可行的操作方式。
另外,要建立健全工廠的整體網(wǎng)絡(luò)安全操作規(guī)章制度,讓所有人的行為都有章可循,有章可依,有章可查;把所有可能的隱患都列入制度的管理之中,這樣才能保證網(wǎng)絡(luò)安全問題長治久安。
其實(shí)在安全領(lǐng)域,一個(gè)普遍的觀點(diǎn)是沒有100%的安全,再強(qiáng)大的產(chǎn)品、再完善的制度都有漏洞,都會(huì)被攻破。我們做安全的目的都不是防住所有的攻擊,而是盡可能提高攻擊者的成本,使得攻擊者攻破安全防御體系付出的代價(jià)遠(yuǎn)遠(yuǎn)高于其可能獲得的利益。威努特構(gòu)建工控網(wǎng)絡(luò)“白環(huán)境”的解決方案既能最大限度保證工控用戶原有系統(tǒng)的可用,又能有效利用IT安全積累的成果,保證最大限度的安全性,能夠?yàn)橛脩魳?gòu)建有效抵御工控系統(tǒng)攻擊的工控安全防御體系,為客戶帶來工控安全防護(hù)的真正價(jià)值。