工控系统的安全问题大致可划分为以下几个方面:
1、工控系统本质问题:
(1)安全设计不足:在设计之初,由于资源受限,未面向互联网等原因,为保证实时性和可用性,工控系统各层普遍缺乏安全性设计。在缺乏安全架构顶层设计的情况下,无法形成有效技术研究的体系,产品形态多集中在网络安全防护的层面,工控系统自身的安全性能提升缺乏长远的规划。
(2)核心技术落后:CPU作为硬件基础平台的核心,技术掌握在国外厂商手中,“后门”漏洞的隐患始终存在;目前国内研究和生产CPU的品牌主要包括龙芯、众志、多思等,在通用处理器、嵌入式处理器、专用处理器等方面都有了相应的产品,但是否符合工控系统性能要求和安全要求,能否在我国工控领域广泛应用,有待进一步研究和验证。
(3)缺乏动力:尽管目前已有工控产品提供商开始对旧系统进行加固升级,研发新一代的安全工控产品,但是由于市场、技术、使用环境等方面的制约,工控产品生产上普遍缺乏主动进行安全加固的动力。
2、安全策略与管理流程问题:
工控系统从业人员的安全意识欠缺,并缺少培训;相关企业缺少规范的安全流程、安全策略,缺少业务连续性与灾难恢复计划、安全审计机制等。
3、工控系统平台问题:
(1)平台硬件:关键系统缺少物理防护措施,例如:缺少物理安全环境控制,未授权人员访问物理设备,不安全的远程访问组件,双网卡连接多个网络,安全变更测试准备不充分等。
(2)平台软件:OPC组态软件的通信依赖于 RPC 和 DCOM等不安全的工控协议,缺少入侵检测与防护措施,缺乏有效的认证、鉴别与访问控制机制。
(3)平台配置:系统与应用补丁缺少维护和测试,系统多采用默认配置;关键配置信息未备份,数据存储没有使用安全的移动介质;系统缺少必要的口令策略,如:口令缺失、口令泄露、口令易猜解,使用不规范、不充分的访问控制规则等。
(4)恶意代码:缺少恶意代码防护程序,或防恶意代码程序未及时升级更新、存在兼容性问题等。
4、工控系统网络问题:
(1) 网络结构:工控系统网络架构设计不合理,未进行VLAN 划分,未能有效防止广播风暴等。
(2) 网络硬件:网络设备物理安全防护缺乏或不充分,物理端口缺少防护,环境控制缺失,非相关人员访问设备、连接网络,缺少关键设施的容错、冗余、备份。
(3) 网络配置:网络安全设备配置不当,设备配置的关键信息无备份,设备口令策略不合理。
(4)网络边界:网络边界缺失或边界防护设备配置不当。
(5) 网络通信:采用明文传输的协议,缺少对数据、设备、用户、实体等的规范的认证机制,通信完整性检查缺失。
(6)网络监控与日志:工控系统网络缺少安全监控审计,日志记录不充分。
(7) 无线连接:缺少对无线 AP 与客户端间的数据保护或认证不充分。
1.4 工控系统常见安全问题举例
1、通信协议漏洞:
工业化与信息化的融合,使得TCP/IP协议和OPC协议等通用协议越来越广泛的应用在工控系统中,随之而来的通信协议漏洞问题也日益突出。
例如,OPC Classic协议(OPC DA,OPC HAD和OPC A&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通信采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此,确保使用OPC通信协议的工控系统安全性和可靠性给工程师带来了极大的挑战。
2、操作系统漏洞:
目前大多数工控系统的工程师站/操作站/HMI都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场的工程师在系统开始后不会对Windows平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
3、杀毒软件漏洞:
为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于杀毒需要经常更新病毒库,这一要求尤其不适合与工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
4、应用软件漏洞:
由于工控应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外,当应用软件面向网络应用时,就必须开放其应用端口。因此,常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工控自动化软件的安全漏洞获取诸如污水处理厂、天然气管道、以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5、安全策略和管理流程漏洞:
追求可用性而牺牲安全,是很多工控系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工控系统安全带来了一定的威胁。例如,工控系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
