风电行业系统安全现状
风电行业工控安全的脆弱性是指工控系统在防护措施中和在缺少防护措施时系统所具有的弱点,而工控系统内部的脆弱性问题是导致系统易受攻击的主要因素,脆弱性问题的根源可概括为以下几个方面:
1)网络结构:控制网络与管理网络互联,控制网络面临来自上层信息网的潜在威胁。不同的子系统之间都没有有效的隔离,尤其是基于OPC、MODBUS等通讯的工业控制网络,从而造成安全故障通过网络迅速蔓延
2)区域边界:监控层与现场控制层之间存在相互间安全威胁互侵。缺乏边界保护,容易受到信息网络和相邻系统的安全影响。
3)通信网络:没有对生产控制大区的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。
4)终端设备:生产控制系统的操作终端大部分采用windows系列的操作系统,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师、操作员等在系统开车后不会对Windows 平台安装任何补丁,部分终端同时安装多种防病毒软件,上位机专用编程组态监控软件与传统杀毒软件不兼容,导致仍然存在带毒运行并有入侵事件发生,无严格的U盘等移动介质管控,终端登录无身份认证措施,应用软件存在使用默认密码和用户口令粘贴于显眼位置现象,外部设备管理采取封条方式,未部署安全技术措施,终端设备存在被攻击的可能。
5)通讯协议:两化融合(企业信息网与工业控制网络)和物联网的发展使得TCP/IP 协议和OPC 协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic 协议(OPC DA, OPC HDA 和OPC A&E) 基于微软的DCOM 协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
6)控制系统:操作系统漏洞高居不下,在系统维修或升级检测过程中,第三方人员在远程维护时可能会有相关生产数据的信息泄密,对运维过程中的误操作事件缺乏证据支撑。
7)管理中心:企业控制系统设备复杂,网络设备、控制设备、监控主机服务器等运行情况、告警日志等无法统一管理,企业大多维护人员不具备专业安全分析能力,运维管理人员对电厂设备状况了解不清一旦生产系统出现故障,维护人员不清楚网络状况,不能及时判断是否有网络入侵行为、病毒、业务访问异常等问题,导致延误生产。
8)离线测试:风电厂工业控制系统在上线前未进行安全性测试,系统在上线后存在大量安全风险漏洞,安全配置薄弱,甚至有的系统带毒工作。
等保建设需求分析
通过现场安全调研和信息汇总,针对现场的安全需求汇总归纳如下:
1) 网络通信层面
● 安全域架构设计缺失
一区、二区之间的逻辑隔离强度不够;针对与生产无关的协议没有禁止,对OPC、Modbus的读写操作没有有效管控和记录;生产子系统之间有互联,没有进行有效分域隔离。
● 协议缺陷
通讯协议存在高危漏洞,缺乏指令发送身份认证措施,且以明文方式传输数据。存在信息泄漏风险。工控网络大都基于TCP/IP协议和OPC协议等通用协议,而目前的OPC服务器等关键协议交换设备依赖于外国进口,而为了工程服务的需要,厂家通常会预留后门。此外,OPC Classic协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
● 工业控制安全审计机制缺失
发电系统缺少必要的网络审计手段和针对工业级恶意代码的入侵检测系统,缺乏对系统日常流量数据的实时监控,同时对于日常运维人员的操作指令下发、操作行为等没有进行安全审计管理,对于系统内部出现的异常流量、异常操作甚至人为原因造成的生产业务异常事件无法溯源,也无法找到事件发生根本原因,最终无法对事件进行定性分析。
2) 主机设备系统层面
● 上位机、服务器缺乏安全防范机制
上位机多采用Windows 、Linux等主流操作系统,系统漏洞极多,容易被利用攻击;且无有效的系统加固手段和高级恶性病毒抵御能力;运行多年由于系统机制和系统稳定性考虑并没有做补丁安装和升级工作,同时服务器上安装的杀毒软件由于无法及时更新导致病毒查杀效果无法得到保证。对于生产系统的工程师站、操作员站、业务系统服务器的身份认证机制没有充分的安全性评估和验证,在以往的经验中,大量中控室操作员站及监控终端都采用公用账号(甚至是系统默认账号),且系统操作界面长期处于开放状态,导致进出中控室的所有人员都可以对其进行操作,可能存在被无关人员访问操作员站进行未授权操作的安全风险对于这些主机系统安全监控防护机制几乎失效,缺乏进程监控、移动存储设备监控、远程维护监控、恶意代码防范等措施。
● 风机控制器固件、设备系统漏洞
风机控制器固件、工控相关应用系统和软件的安全健壮性不足。无论是应用软件漏洞,还是设备固件漏洞,均是目标系统在开发过程中遗留的安全设计和实现缺陷所导致的。隐患严重的固件系统Bug存在着大量的安全优化空间,亟待自动化厂商在开发测试阶段就加入安全因素,降低中高危漏洞的数量。
● 移动介质
针对移动介质只有管理制度,没有必要的技术防护措施,APT恶意程序极易利用移动介质传播到生产控制网络。
● 开放端口大量应用
工控设备在投运后,各种控制网络端口并不一定都会采用专用措施或进行密封操作,很可能从远程操作或维护进行接入设备,带来潜在攻击风险。