关于工业控制SCADA系统的信息安全防护研究
从当前网络黑客所掌握的攻击技术来看,存有个人恶意企图的攻击者可能会利用一些大型SCADA系统的安全漏洞获取诸如电力、石油、天然气管道以及其他大型设备的控制权,一旦这些控制权被黑客所掌握,进行致瘫攻击,将使这些国家基础行业的生产蒙受重大损失。1999年,在内部人员的配合下,黑客绕过了俄罗斯最大的一家天然气公司的网络防护系统,侵入该公司控制天然气输气管道的SCADA系统,一度控制了总控制室。2000年,美国一名男童通过网络侵入亚利桑纳州罗斯福水坝的SCADA系统,并能够控制水坝闸门提升,该水坝储水一旦被放出来,足以淹没下游的菲尼克斯城。2000年,在澳大利亚昆士兰,一名被解雇的工程师通过无线网络侵入水厂控制系统[3],造成水处理厂发生46次控制设备功能异常事件,导致数百万公升污水进入地区供水系统。2003年,震荡波蠕虫病毒在全球肆虐期间,美国俄亥俄州核电站企业网感染蠕虫并扩散到核电站的运行网,引发了网络堵塞,造成了监视核电厂关键安全指示的计算机控制板崩溃,最后导致核电厂处理计算机瘫痪。2010年,“震网”病毒攻击伊朗核电站,病毒对西门子公司的数据采集与监控系统SIMATICWinCC进行攻击;2011年,全球独立安全检测机构NSSLabs发布报告称[4],西门子的一个工业控制系统存在新的漏洞,该漏洞易受黑客攻击。
安全技术体系
SCADA系统安全解决方案在技术上系统性地考虑了控制中心和各站控系统之间的网络纵向互联、横向互联和数据通信等安全性问题,通过划分安全区、专用网络、专用隔离和加密认证等项技术从多个层次构筑纵深防线,抵御网络黑客和恶意代码攻击。
1)物理环境安全防护。物理环境分为室内物理环境和室外物理环境,包括控制中心以及站控系统机房物理环境、PLC等终端设备部署环境等。根据设备部署安装位置的不同,选择相应的防护措施。室内机房物理环境安全需满足对应信息系统等级的等级保护物理安全要求,室外设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。
2)边界安全防护。SCADA系统边界包括横向边界、纵向边界,其中横向边界包括SCADA系统不同功能模块之间,与其他系统之间的边界,纵向边界包括控制中心与站控系统之间的边界。对于横向边界通过采用不同强度的安全设备实施横向隔离保护,如专用隔离装置、硬件防火墙或具有ACL访问控制功能的交换机或路由器等设备;控制中心与站控系统之间的纵向边界采用认证、加密、访问控制等技术措施实现安全防护,如部署纵向加密认证网关,提供认证与加密服务,实现数据传输的机密性、完整性保护。
3)网络安全防护。SCADA系统的专用通道应采用独立网络设备组网,在物理层面上实现与对外服务区网络以及互联网的安全隔离;采用虚拟专网VPN技术将专用数据网分割为逻辑上相对独立的实时子网和非实时子网,采用QoS技术保证实时子网中关键业务的带宽和服务质量;同时核心路由和交换设备应采用基于高强度口令密码的分级登陆验证功能、避免使用默认路由、关闭网络边界关闭OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、开启访问控制列表、记录设备日志、封闭空闲的网络端口等安全配置。
4)主机系统安全防护。SCADA系统应对主机操作系统、数据库管理系统、通用应用服务等进行安全配置,以解决由于系统漏洞或不安全配置所引入的安全隐患。如按照国家信息安全等级保护的要求进行主机系统的安全防护,并采用及时更新经过测试的系统最新安全补丁、及时删除无用和长久不用的账号、采用12位以上数字字符混合口令、关闭非必须的服务、设置关键配置文件的访问权限、开启系统的日志审计功能、定期检查审核日志记录等措施。
5)应用和数据安全防护。(1)应用系统安全防护,在SCADA系统开发阶段,要加强代码安全管控,系统开发要遵循相关安全要求,明确信息安全控制点,严格落实信息安全防护设计方案,根据国家信息安全等级保护要求,确定的相应的安全等级,部署身份鉴别及访问控制、数据加密等应用层安全防护措施。(2)用户接口安全防护,用户远程连接应用系统需进行身份认证,需根据SCADA系统等级制定相应的数据加密、访问控制、身份鉴别、数据完整性等安全措施,并采用密码技术保证通信过程中数据的完整性。(3)系统数据接口安全防护,SCADA系统间的数据共享交换采用两种模式,系统间直接数据接口交换或通过应用集成平台进行数据交换,处于这两种数据交换模式的系统均应制定数据接口的安全防护措施,对数据接口的安全防护分为域内数据接口安全防护和域间数据接口安全防护;域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口;对于域内系统间数据接口和安全域间的系统数据接口,根据确定的等级,部署身份鉴别、数据加密、通信完整性等安全措施;在接口数据连接建立之前进行接口认证,对于跨安全域进行传输的业务数据应当采用加密措施;对于三级系统应具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能,可采用事件记录结合数字证书或其他技术实现。
6)远程拨号安全防护。拨号访问能绕过安全防护措施而直接访问SCADA系统,存在很大的安全隐患,应进行专门防护。对于远程通过拨号访问SCADA系统这种方式,应采用安全拨号装置,实施网络层保护,并结合数字证书技术对远程拨号用户进行客户端检查、登陆认证、访问控制和操作审计。同时加强安全管理,采取如下防护措施:拨号设施平时应该关闭电源,只有在需要时才能打开电源;远程用户维护完毕后应及时通知系统值班员,值班员应及时关闭拨号设施电源;对拨号登陆用户和密码至少1个月更换一次,对拨号对象、事由、时间等必需详细记录,保证远程接入用户的可审计性和责任性,出现问题及时追查等;对远程拨号用户必需进行合理的权限限制,在经过认证的连接上应该仅能够行使受限的网络功能与应用。
安全管理体系
规范化管理是SCADA系统安全的保障。以“三分技术,七分管理”为原则,建立信息安全组织保证体系,落实责任制,明确各有关部门的工作职责,实行安全责任追究制度;建立健全各种安全管理制度,保证SCADA系统的安全运行;建立安全培训机制,对所有人员进行信息安全基本知识、相关法律法规、实际使用安全产品的工作原理、安装、使用、维护和故障处理等的培训,以强化安全意识,提高技术水平和管理水平。
安全服务体系
建立完善的安全服务体系,进行SCADA系统上线前的安全测评、上线后的安全风险评估、安全整改加固以及监控应急响应,用于保护、分析对系统资源的非法访问和网络攻击,并配备必要的应急设施和资源,统一调度,形成对重大安全事件(遭到黑客、病毒攻击和其他人为破坏等)快速响应的能力。
安全基础设施
SCADA系统安全防护的基础安全设施主要包括建立基于公钥技术的数字证书体系以及远程容灾备份体系。数字证书体系为SCADA控制中心和站控系统的关键用户和设备提供数字证书服务,实现高强度的身份认证、安全的数据传输以及可靠的行为审计。远程容灾备份体系应尽量采用应用级的容灾备份,且要做好网络链路的冗余和应用的异地接管,如果
结束语
随着我国基础产业“两化融合”进程的不断加快,SCADA系统的应用日益广泛,其安全防护已纳入国家战略,建立工控SCADA的信息安全防护体系,确保SCADA系统的安全、稳定和优质运行,能更好地为国民经济高速发展和满足人民生活需要服务。
SCADA系统出现故障时就能够及时、准确地恢复。同时,应制定合理的远程容灾备份策略和进行定期恢复验证,一方面可以验证容灾备份数据的可用性,没有经过验证的备份风险非常大,这样就可以发现备份没有完成、或者备份错误等情况;另一方面也可以锻炼系统管理员的灾难处理能力,避免在出现故障时无从下手。
参考文献:
[1] 方兰 , 王春雷 , 赵刚 . SCADA 系统结构特点及其脆弱性分析 [C].全国抗恶劣环境计算机第十七届学术年会论文集,2007.
[2] 兰昆,饶志宏,唐林等 . 工业 SCADA 系统网络的安全服务框架研究 [J]. 信息安全与通信保密,2010,(03):47-49.
[3] Joe St Sauver. SCADA Security and Critical Infrastructure[C]. Oregon Infraguard Meeting 2004.
[4] 高国辉 . 西门子被曝工业系统漏洞 或影响多数工业化国家 [N]. 南方日报,2011-6-8.
[5] P.A.S. Ralston et al. Cyber security risk assessment for SCADA and DCS networks[C]. ISA Transactions 46 (2007): 583-594.
[6] 余勇,林为民,邓松,车建华 . 智能电网中的云计算应用及安全研究 [J]. 信息网络安全,2011,(06):41-43.
余勇,林为民
(中国电力科学研究院)