24 工业自动化中的网络安全
24.1 工厂控制网络
工厂控制网络是所有与工业测量和控制相关的组件连接并交换信息以实现过程或生产自动化的网络。例如,炼油厂、石化和电力等行业拥有各自的测量和控制设备以及生产工艺,可以通过分布式控制系统(DCS)或可编程逻辑控制器(PLC)等系统实现自动化。所有测量和控制设备、根据输入信号及内置逻辑/算法做出控制决策的控制器、人机界面(HMI)或操作员站(OS),都连接到被称为工厂控制网络(PCN)的网络中。PCN还包含一些不直接用于测量和控制,但用于有效管理和维护核心控制系统、设备和工艺的其他节点。这些节点被归为一组,称为制造运营管理系统。图24.1展示了工厂控制网络的基本组成部分。
工厂控制网络有时也称为运营技术(OT)网络,而企业或业务网络则称为信息技术(IT)网络。
24.1.1 物理安全的重要性
在确保工厂运行高效有效的同时,适当的物理安全措施与原材料的流动、高效的过程控制以及称职的劳动力同样重要。网络安全的主要目标,即物理安全的核心概念,是检测和预防入侵。尽管这是一种不同类型的入侵,但未能加以保护所带来的后果可能是灾难性的。因此,显然不能将物理安全置于低优先级。
因此,工厂必须确保在关注网络安全的同时,不忽视建立有效的物理安全系统。常用的方法仍然是“纵深防御”,这与设计综合安全系统时采用的“保护层”理念类似,即通过叠加部署多重措施,确保当某一层被突破时,还有其他层可提供进一步保护。在这种体系中,没有任何一层或措施需要承担全面防护的责任。
但制造业最近的趋势(工艺安全事故、预算日益紧张、劳动力老龄化、法规以及需求增加)正迫使工厂在纵深防御概念上进行更深入的挖掘。具体而言,纵深防御如今的意义已不仅仅是增加防护层,还意味着要确保这些防护层与其它子系统一起融入核心工厂控制之中。
工业网络
24.1.2 纵深防御控制方法
工厂始终专注于保护其人员、资产和环境。从根本上讲,物理安全有助于实现这一目标,即将不合适的人挡在围栏之外,以预防破坏行为、盗窃和其他恶意行为的发生。
由于保护人员、资产和盈利能力需要从整体观点出发,因此要直观地了解工厂的物理安全状况可能较为困难,因为这一概念相当抽象。保护设施最明显的方式是采用物理手段:围栏、路障和警卫。但这些防护措施仅提供了一层安全保障,而物理安全远不止在设施周围设置铁丝网围栏。它还包括人员和资产的跟踪与管理、遵守联邦和行业法规、通过视频录像监控场所、实施访问控制以及建立周界。目前尚无单一的最佳方法来实施或加强物理安全计划,但已有成功实施的蓝图可作为参考,提供需遵循的步骤和需考虑的因素。
集成方法必须提供从过程控制室到周界的保护,保护工厂的所有资产。它应包括视频监控、访问控制、周界入侵检测和指挥中心等组件,这些组件协同工作,为工厂提供全面的保护方法。
集成物理安全解决方案可帮助工厂管理人员和操作人员确保其最高安全优先事项(如工厂的稳定控制)得到保障,同时专注于影响工厂安全、可靠运行的其他组成部分。因此,集成系统的设计必须与现有的安全和过程控制系统明确协调一致。这种方法能够通过某些防护层预防事件的发生,而其他防护层则可提供检测与报警以及相关指导。
各层可以是自动化的,也可以需要人工干预。一些层提供易于量化的降低风险的效益,但需要进行风险预先识别。另一些层则较不具体,提供较软性的效益(图24.2)。
分层架构的核心是经过精心设计和实施的工艺设计,该设计体现了有效运行所必需的业务、安全和生产方面的考虑。该工艺必须由覆盖整个工厂和企业网络的安全的过程控制网络进行控制。管理工厂资产可确保工艺设计按预期运行,同时通过故障资产的早期预警保护工厂免受事故影响。
通过实施正确的工作实践和技术,在发生异常情况、破坏安全运行时,可以执行、控制和监控应急响应计划,以最小化事件影响。
24.1.2.1 工厂安全示例
在实施纵深防御工厂安全理念时,必须采用能够相互集成的技术,以加强工厂安全所需的分层防护。视频监控技术在此发挥着关键作用。安装数字视频系统需要具备将视频与控制室集成的能力。
将闭路电视系统与工厂的控制室连接,可为操作人员提供广泛的访问和监控能力,覆盖设施的各个角落。操作人员可以在单一位置查看、记录和归档相关功能。
纵深防御
通过将数字视频集成到一个平台,现在可以从中央控制室对远在数百英里之外的设施进行监控。这一点在今天尤为重要,因为与几十年前的大型设施相比,许多新站点规模更小且分布更为广泛。分布式视频架构 (DVA) 使安全人员能够在单个园区或全国范围内,通过一个虚拟平台查看来自多个数字视频系统的视频。
DCS系统对于多站点和关键基础设施应用程序尤其有益,因为它能够对网络上的现场设备进行集中监控与控制。采用分布式架构的DCS系统具有可扩展性,使得系统扩展更加经济高效。
DCS系统在部署传统监控措施时,还能减少对工厂的影响。全天候警报或提醒的可用性显著提高了操作人员响应异常情况的速度和准确性。重要工厂事件能够得到适当响应,甚至经常避免昂贵的工厂停机。部署成本也得以降低,因为一个系统即可集成安全、消防与气体以及控制系统等异构系统。除了降低运营成本外,视频监控还增强了工厂操作员的监督与响应能力。
控制系统与其他计算机系统不同,原因在于其遗留继承的网络安全弱点或漏洞(表24.1)。
控制系统供应商和所有者可以学习并应用许多常见的计算机安全概念和实践来保护其系统。
安全措施应由合格的安全与工控系统专家进行设计和实施,以确保解决方案的有效性,并保证这些方案不会影响系统的可靠性和时序要求。
鉴于在控制系统中发现的漏洞特性,资产所有者并不总是能够直接修复它们。因此,在资产所有者等待供应商提供补丁和修复方案的同时,设计并实施有助于保护控制系统免受攻击的纵深防御安全策略,是有效主动安全计划的一部分。此类计划是必要的,因为攻击策略正在不断演变,以应对不断增强的防御机制。
在系统设计中融入安全性,并采用安全编码和安全最佳实践,还可以最大限度地减少内部人员、社会工程攻击者或任何其他在过程控制网络边界内部拥有访问权限的人员所造成的损害(表24.2)。
表24.1 在已安装的控制系统中识别出的最常见弱点
| Rank | 现场评估 | 事件响应 | 差距领域 |
|---|---|---|---|
| 1 | 凭证管理 | 网络设计弱点 | 缺乏正式文档 |
| 2 | 防火墙规则薄弱 | 防火墙规则薄弱 | 审计与问责(事件监控) |
| 3 | 网络设计弱点 | 审计与问责(事件监控) | 权限、特权和访问控制 |
这三个通用类别按以下方式分组:
a. 解决方案中固有的漏洞
b. 在安装、配置和维护过程中产生的漏洞
c. 由于网络设计或配置不当导致缺乏足够的保护。
CSET自评估工具。控制系统安全计划(CSSP)网络安全评估的主要目标是通过向每个行业合作伙伴提供评估期间发现的所有安全问题报告,以及针对其产品或基础设施(视情况而定)的安全改进建议,来提升关键基础设施的安全性。
CSSP 对各种各样的系统进行了评估,每次评估时,CSSP 都会根据拥有该系统的客户的具体需求量身定制评估计划和方法,以提供最大价值。系统配置也因控制系统的功能、协商目标以及评估是在实验室还是现场进行而有很大差异。在所有情况下,都会仔细确定被测系统的架构和边界。根据系统配置和评估重点,为每次评估单独制定评估目标,以解决合作伙伴的关切。尽管所有评估都采用一种通用的方法,但每次评估的细节各不相同;某个特定系统报告中未列出某个脆弱性,并不意味着该系统不存在此脆弱性(表24.3)。
24.1.3 确定起点
工厂管理人员采用由内而外的方法对于有效保护设施至关重要。应首先从保护工厂的核心(过程控制网络)开始,逐步建立延伸至厂区周界的多层防护层。
表24.2 供应商缓解措施
| 供应商缓解措施 | 资产所有者缓解措施 |
|---|---|
|
对开发人员进行安全编码方面的教育/培训——缺少输入验证、身份验证和完整性检查
迅速测试并向受影响的客户受影响的客户 |
实施并测试强身份验证和加密机制
提高网络解析代码的鲁棒性 开发网络流量防火墙和IDS规则 |
| 开发用于安全问题的高级网络安全测试套件在产品线中 | sets – 为通用入侵检测系统创建自定义协议解析器 |
| 进行第三方安全源代码审计 | 以安全为目标重新设计网络协议 |
| 为工业控制系统开发加密和/或密码哈希数据存储和通信 |
重新设计网络布局以充分利用
防火墙、虚拟专用网络等 |
|
实施分层网络拓扑(关键通信位于安全可靠的层)
限制对工业控制系统网络和设备的物理访问 测试后部署及时的安全补丁 针对工业控制系统主机和网络定制入侵检测系统 限制工业控制系统用户权限(即建立基于角色的访问控制) 制定密码管理计划(强密码) 更改所有默认密码 |
要实现这些防护层并确保有效集成,必须采取若干全面的步骤,例如:
- 现场漏洞评估
- 了解可用的安全系统
- 确定缓解措施
- 系统实施
- 重新评估
现场漏洞评估用于确定工厂整体安全系统中可能存在的漏洞,并对改进机会进行优先排序。
该评估包括研究安全漏洞对安全人员和工艺操作员的影响及其后果,同时检查工厂物理安全应用中存在的差距。
表24.3 确定的常见安全弱点
| 类别 | 常见漏洞 |
|---|---|
| 输入验证不当 |
缓冲区溢出
命令注入: • 操作系统(OS)命令注入 • SQL注入 跨站脚本 路径遍历 |
| 权限、特权、访问控制 |
不正确的访问控制(授权)
错误的默认权限 无端点可访问的通道(中间人) 跨站请求伪造 |
| 不正确的认证 |
缺少完整性检查支持
下载代码时无完整性检查 |
| 数据真实性验证不足 | 空指针解引用 |
| 代码质量差的迹象 |
补丁管理不善
• 集成到工业控制系统软件中的未修补或旧版本第三方应用程序 |
| 工业控制系统软件安全配置,以及维护(开发) |
不当的安全配置
• 开发过程中未使用安全功能/选项 • 通过调试信息暴露信息 |
| 凭证管理 |
保护不足的凭证
• 密码的明文存储 • 凭据的未受保护传输 使用硬编码凭证 弱密码策略 • 使用默认用户名和密码 |
在评估站点漏洞后,必须充分了解最新的安全技术,以确定威胁缓解措施以及如何弥补观察到的安全缺口。为实现有效的工厂安全,必须考虑物理安全的各个子系统,例如访问控制、访客管理、视频监控以及周界和入侵控制。要全面有效地实施安全策略,深入理解最新技术及其发展至关重要。
在确定缓解措施之前,必须对漏洞进行分类和优先级排序。缓解措施因现场而异,但通过加强工艺操作员和安全人员的态势感知等实践,有助于整合过程控制与安全系统。提高安全人员对非安全事件的认识,以及提高工艺人员对安全事件的认识,这种相互兼顾和提升意识的方式有助于实现更有效、更全面的工业安全。
最基本的保护涉及正确的密码保护。常见的密码保护方法如下:
- 密码:
- 每个用户都要求使用单独的密码登录系统。
- 密码的管理和管理应在系统内的中央位置进行。如果用户在任何系统上更新其密码,所有连接的系统都应能够访问更新后的密码。不允许为系统上的各个工作站设置单独的密码。
- 该系统应具备执行密码策略以管理用户密码的能力。
以下策略应至少能够进行配置:
- 密码老化 ——系统应能够配置并强制执行最长密码使用期限。用户必须在密码老化周期内更改其密码。当当前密码即将过期时,系统应在用户登录时发出通知。未在密码老化周期内更改密码的用户将被锁定,无法登录系统。
- 密码复杂性 ——系统应能够配置并强制执行密码创建策略。至少,密码必须满足最小长度要求。
- 密码唯一性 ——系统应能够配置并强制执行在重复使用密码前必须使用的最少唯一密码数量。这禁止用户重复使用相同的密码。
系统实施创建了一个集成架构,使工厂运营人员能够提高协作和响应能力,以降低安全风险。过程控制系统集成安全和过程系统的能力,以及其连接第三方系统的能力,使其在实现集成时至关重要。如果没有标准,就很难实现有效的通信,而有效的通信能使现场更及时地意识到安全问题,从而提升响应能力(图24.3)。
当全面实施并上线后,工厂安全的集成方法有助于提升业务绩效和安心感。它包括独立但相互关联的防护层,以威慑、预防、检测和缓解潜在威胁,同时提高整个系统的灵活性、可扩展性和成本效益。实施技术驱动的解决方案可能在一定程度上缓解当前的安全压力。要满意地解决物理安全问题,现场必须考虑独立但相互关联的防护层,以威慑、缓解和预防潜在威胁。
网络安全的纵深防御
供应商应提交一份详细规格,专门涵盖所提供系统中的系统和网络安全特性。该规格至少应包括以下要求。
24.1.4 系统加固
- 移除不必要的服务和程序
- 主机入侵检测系统
- 文件系统和操作系统权限更改
- 硬件配置
- 心跳信号
- 安装操作系统、应用程序和第三方软件
24.1.5 边界保护
- 防火墙
- 网络入侵检测系统
- 诱饵系统
24.1.6 账户管理
- 禁用、删除或修改知名账户或访客账户
- 会话管理
- 密码/身份验证策略与管理
- 账户审计与日志记录
- 控制系统应用程序的基于角色的访问控制
- 单点登录
- 分离协议
24.1.7 编程实践
- 安全编程
24.1.8 漏洞修复
- 供应商的通知和文档
- 问题报告
24.1.9 恶意软件检测与防护
- 恶意软件检测与防护
24.1.10 主机名解析
- 网络寻址和名称解析
24.1.11 终端设备
- 智能电子设备
- 远程终端单元
- 可编程逻辑控制器
- 传感器、执行器和仪表
24.1.12 远程访问
- 拨号
- 专用线路调制解调器
- TCP/IP
- 基于Web的界面
- 安全虚拟专用网络
- 串行通信安全
24.1.13 物理安全
- 网络组件的物理访问
- 物理周界访问
- 手动超控控制
- 内部周界通信
24.1.14 网络分区
- 网络设备
- 网络架构
24 工业自动化中的网络安全(续)
24.2 网络攻击
网络安全,直到最近仍饱受不成熟、被动的技术解决方案以及缺乏安全复杂性的困扰,导致了诸如红色代码、尼姆达、冲击波、震荡波、SQL蠕虫王、震网病毒和我的 doom 等一系列严重爆发事件。安全界在安全、安全计算和系统加固方面已经不断演进并变得更加智能,但我们的对手也同样如此。当前这个十年正成为指数级增长的起点。攻击者正在迅速利用产品化的恶意软件工具包,使他们能够开发出比以往所有年份总和还要多的恶意软件,并且相较于上一个十年,他们已经发展成熟,释放出有史以来最阴险和持久的网络威胁。
2010年1月公布的谷歌黑客事件以及2010年维基解密的文件泄露事件凸显了一个事实:几乎无法预防外部和内部威胁。不法分子继续渗透网络,窃取支撑全球经济运行的敏感和专有数据。每当出现新的攻击时,安全厂商都有责任共享相关信息,以保护尚未受影响的用户,并帮助已受影响者进行修复。
24.2.1 攻击剖析
夜龙攻击通过有条不紊且逐步推进的方式侵入目标基础设施。夜龙行动执行了以下基本活动(图24.4):
- 公司外联网服务器通过SQL注入技术被攻破,从而实现远程命令执行。
- 常见的黑客工具被上传到被攻陷的服务器上,使攻击者能够横向移动进入公司内联网,并获取内部敏感的桌面和服务器的访问权限。
- 通过使用密码破解和哈希传递工具,攻击者获得更多的用户名和密码,从而能够进一步获得对敏感内部桌面和服务器的认证访问。
- 攻击者利用该公司被攻陷的服务器作为命令与控制(C&C)服务器,发现只需禁用微软Internet Explorer(IE)的代理设置,即可使受感染的机器直接与互联网通信。
- 通过使用远程管理工具(RAT)恶意软件,他们进一步连接到其他机器(以高管为目标),并渗透进入电子邮件存档和其他敏感文档。
24.2.1.1 攻击细节
攻击者利用多个地点,通过购买的托管服务上的服务器以及被攻破的服务器,对全球石油、天然气和石化公司及相关个人和高管发动攻击,以获取专有且高度机密的信息。攻击者使用了多种黑客工具,包括私有开发和定制工具,这些工具为攻击者提供了完全远程管理功能。远程管理工具(RATs)提供的功能类似于Citrix或微软Windows终端服务,允许远程个体完全控制受影响的系统。
要部署这些工具,攻击者首先通过对外网Web服务器的SQL注入漏洞以及对移动办公人员笔记本电脑的定向鱼叉式网络钓鱼攻击,攻破了边界安全控制,通过破坏企业虚拟专用网络账户,渗透目标公司的防御架构(非军事区和防火墙),并对其联网计算机进行侦察(图24.5)。
许多黑客网站提供这些工具的下载,包括reduh、WebShell、ASPX‐Spy以及其他多种漏洞利用工具和零日恶意软件。
一旦初始系统被攻破,攻击者便进一步攻破了本地管理员账户以及活动目录管理员(和管理用户)账户。攻击者经常使用常见的Windows工具(如SysInternals工具)和其他公开可用的软件,包括由中国开发并广泛发布于中国地下黑客网站的黑客工具,通过反向代理建立“后门”,并植入木马,使攻击者能够绕过网络和主机的安全策略与设置。在某些情况下,桌面防病毒和反间谍软件工具也被禁用,这是一种常见的针对性攻击技术。
ISA SP99 建议采用“纵深防御”概念,以保护工业网络免受可能的外部攻击。控制流量具有时间关键性,对确定性任务的完成至关重要,因此不应因同一网络中诸如系统健康监控之类的非关键网络流量而受到干扰。控制网络隔离以及控制流量优先级高于其他流量是一项重要建议。在企业网络与工业控制网络之间使用隔离区(DMZ)和防火墙进行数据传输,而不是直接从企业网络访问工业控制网络,这是保障任何工业解决方案安全的必备措施。这些建议有助于隔离网络流量,并避免拒绝服务等攻击。
防火墙规则薄弱、通过防火墙开放多个端口、仅基于端口的访问控制而未指定IP地址等,都是网络设计弱点的其他示例。纵深防御增加了攻击系统的难度,从而降低了攻击者能够跨越所有障碍的可能性。这样就提高了攻击者在实现攻击控制系统网络目标之前放弃的可能性。
下图示意了纵深防御网络实施的一个示例(图24.6)。
在此示例中,0级网络由末端测量与控制设备组成,这些设备直接测量过程变量并控制工艺过程。1级网络包含所有控制器,这些控制器具有逻辑/控制算法,能够根据测量到的变量执行控制动作。在1级网络中,控制流量应比其他任何流量具有更高的优先级。二级网络是所有操作系统或人机界面、服务器等连接的地方。3级网络主要包含用于优化工厂运行(高级控制)的应用程序,如现场设备维护应用、域控制器、过程历史数据库等。
将0级、1级和3级合并称为过程控制网络(PCN)。
3.5级是隔离区的另一个名称,用于在业务层(4级)应用程序上获取过程控制网络数据。
访问活动
SQL注入
纵深防御示例
24.3 了解常见的过程控制系统漏洞
保护过程控制系统(PCS)与典型计算机系统的一个主要区别在于,工业控制系统(ICS)组件不使用标准的 IT硬件或软件。定制的PCS硬件和软件不像普通计算机产品那样经过严格审查,且更新频率通常要低得多。
过程控制系统安全目标通常按以下优先级排序:
1. 可用性
2. 完整性
3. 机密性
24.4 过程控制系统软件常见安全弱点
24.4.1 输入验证不当
- 缓冲区溢出 :输入验证用于确保提供给应用程序的内容不会使攻击者获得未授权的功能访问或权限提升。缓冲区溢出漏洞是由程序员错误导致的。
- 缺乏边界检查 :对于预期在特定范围内的值(如数组索引值)缺乏输入验证,可能导致意外行为。
- 命令注入 :这允许攻击者执行任意命令和代码。如果恶意用户注入一个分隔符字符(例如分号),该字符标志着一条命令的结束和另一条命令的开始,则可能插入一个全新的功能。
- SQL注入 :这种注入已成为数据库驱动网站的常见问题。该漏洞易于检测和利用,因此,任何具有最低用户基数的网站或软件包都可能成为此类攻击的尝试目标。
- 跨站脚本 :跨站脚本漏洞允许攻击者将代码注入到由存在漏洞的Web应用生成的页面中。攻击代码在客户端执行,且具有Web服务器的权限。
- 路径遍历 :路径遍历通常与Web应用相关,但各种类型的应用程序都可能存在此类问题。
24.4.2 代码质量差
- 使用潜在危险函数 :应用程序调用了潜在危险函数,如果使用不当,可能会引入脆弱性。
- 空指针解引用 :当应用程序解引用一个预期为有效但实际为NULL的指针时,会发生空指针解引用,通常导致崩溃或退出。
24.4.3 权限、特权和访问控制
权限、特权和其他安全功能用于在计算机系统上执行访问控制。缺失或薄弱的访问控制可能被攻击者利用,以获得对过程控制系统功能的未授权访问。
- 不正确的访问控制(授权)
- 以不必要的权限执行
24.4.4 不正确的认证
由于软件未能充分验证声称具有特定身份的真实性,导致在过程控制系统中发现了大量脆弱性。
- 认证绕过问题
- 关键功能缺少认证
- 客户端强制执行服务器端安全
24.4.5 网络设计不当
缺乏网络分段是工业控制领域中最常见的网络设计弱点。ISA SP99建议采用“纵深防御”概念,以保护工业网络免受前文所述的可能外部攻击。
正如我们迄今为止所看到的弱点,可以遵循一些最佳实践来最大限度地降低因这些漏洞而带来的风险,具体如下:
-
通过产品开发最佳实践可以缓解产品中的脆弱性 ,其中一些实践如下:
- 输入验证以处理缓冲区溢出、SQL注入、跨站脚本、路径遍历、缺乏边界检查等漏洞。
- 限制使用潜在的危险函数调用:不安全的C/C++函数调用是危险的,因为这可能导致缓冲区溢出。大多数不安全的函数调用出现在通信处理代码中。建议所有系统供应商遵循安全编码实践。
- 工业控制网络中各节点之间的认证和加密通信:这对于减少中间人攻击非常重要。
- 禁止在无完整性检查的情况下下载代码:建议使用加密数字签名和楼宇自动化代码在下载前验证签名,以保护过程控制系统,因为此方法可提供数据完整性。
- 凭证不应硬编码:系统供应商应摒弃硬编码凭证,转而采用安全认证。 -
通过遵循某些标准操作规程,可以将过程控制系统在安装、配置和维护过程中产生的漏洞降至最低 ,此处提供一个示例:
- 定期更新安全热修复和杀毒补丁:这对于通过已知漏洞减少攻击至关重要。一旦漏洞公开且相应的补丁可用,若未及时应用,系统在此时间窗口内仍将处于脆弱状态。这种时间窗口极易成为攻击者的目标,因此定期应用热修复和补丁非常关键。
- 严格的账户管理(包括所有用户账户的创建、激活、组访问、禁用和定期审查):如果凭证以明文形式传递,攻击者可以捕获这些凭证并用于提升权限,从而访问过程控制系统的关键资源。实施账户锁定策略、启用密码复杂性、强制用户定期更改密码、移除执行定义任务所不需要的组的不必要权限等措施,对于确保工业网络和系统的安全至关重要。
- 任何安全热修复和防病毒更新在部署到工业在线节点之前,必须在非运行系统上进行测试,以确保不会造成附带损害。过程控制系统本质上是复杂的,许多此类系统是在安全概念尚未出现的多年前构建的。直接应用新的安全热修复和补丁可能会影响某些应用程序的运行或一个应用程序与其他应用程序之间的交互,从而导致不可预测的系统行为、应用程序或服务崩溃、性能下降等。
- 定期备份所有控制系统节点,以便在发生任何灾难时能够快速恢复:备份工作至关重要,同时将备份传输到安全位置也同样重要。所有系统级数据必须定期备份并存储在安全位置。
- 妥善维护安全文档:确保过程控制系统(PCS)安全的第一步是识别风险,并记录应对这些风险的详细计划。该计划应与组织的业务需求保持一致。要成功实施安全建议,必须获得高级管理层的支持,因此对计划进行文档化、分配适当的业务优先级等至关重要,并应保持最新状态。
- 安全审计与评估是确保PCS安全的另一项推荐做法。其中,带有审计追踪的变更管理(MOC)是一个关键方面。必须启用事件日志记录,并定期进行审查。网络日志记录也十分重要,因为它能够准确反映是否存在非预期访问/攻击的尝试。 -
由于不良的网络设计与配置导致的保护不足,可通过遵循后续章节中推荐的一系列最佳实践来最小化 ;为了更好地理解这些层级的内容,建议参考纵深防御部分:
- 1级流量绝不应到达3级网络:1级流量主要由控制器之间的点对点消息以及控制器与网关之间的I/O数据组成。这些是敏感数据,如果外泄可能会被利用。由于企业网络的可见性可达3级,因此建议避免此类流量进入3级网络。
- 1级关键点对点流量必须优先于其他所有网络流量:控制器之间的点对点流量用于工业控制目的。为了实现确定性数据传输,此类流量应优先于其他流量(例如1级和2级之间的监控消息交换)。如今所有交换机都是智能的,并且具有在交换机级别上对流量进行优先级划分的选项。
- 广播和组播流量应在1级受到限制:广播和组播流量主要用于诊断与健康监控。如果1级中的此类流量增加,可能会影响控制操作。
- 应在1级和2级实施针对广播与组播风暴的防护措施:由于错误的网络连接(例如形成环路)或故障硬件,工业网络中可能会产生风暴。这可能导致整个工业网络瘫痪,从而导致完全失去控制与监控。为避免此类灾难,必须在所有交换机上设置风暴限制,以确保当某问题节点产生的风暴流量超过预设阈值时,该节点能自动从网络中隔离。这将确保工业网络的其他部分不受单个问题节点的影响。
- 2级与3级之间的路由器应正确配置访问控制列表(ACL),以限制来自上级对2级的访问:并非所有3级节点都需要访问2级节点,反之亦然。为了减少工厂控制网络(PCN,即1级和2级)层面的流量,建议在路由器上使用适当的访问控制列表(ACL)。
- 不应从4级直接访问3级网络:4级网络通常暴露于外部世界,因此遭受网络攻击的可能性最高。如果4级节点可以直接访问3级,则攻击者更容易以3级为目标,进而威胁整个工业网络。为限制此类攻击,不建议提供从4级到3级的直接连接。
- 任何需要过程控制数据的4级应用程序必须接入隔离区/3.5级。3.5级应从3级获取数据并将其提供给4级应用程序:同上一点,隔离区的建立是为了在“纵深防御”概念中增加一层防御,同时也用于隔离访问层级。
- 过程控制系统必须提供所有需要通过访问控制列表为特定应用程序需求而打开的端口详细信息:工业控制系统供应商必须提供其支持的不同应用程序/功能所使用的端口列表。这将确保仅根据最终用户的功能需求和连接性,通过访问控制列表打开“必需”的端口。
- 一级、二级和三级的未使用交换机端口应加以保护,因为任何非授权节点都可能连接到这些空闲端口,从而在工业网络中引发问题:尽管已通过隔离区和其他层级、访问控制列表等方式进行了适当的隔离,但仍可能存在外部计算机连接到一级或二级网络上的空闲端口,进而传播恶意软件或入侵整个工业控制网络。在这种情况下,即使遵循了所有建议的隔离措施,网络仍可能无法得到保护。为避免此类问题,建议锁定所有未使用的工业控制网络中的交换机/路由器端口。
- 防火墙应根据必要的通信限制对不同较低网络层级的访问:这一点与路由器访问控制列表类似。防火墙访问控制列表也应定期审查,以确保仅通过访问控制列表开放“必需”的端口和IP地址。
- 防火墙规则应足够强大,以限制任何对工业控制网络的非必要通信:默认情况下,防火墙应配置为“拒绝所有”,仅开放极少数端口。允许分布式组件对象模型通过防火墙就是“弱防火墙配置”的一个例子,因为分布式组件对象模型使用大量端口,一旦允许其通过防火墙,几乎所有的端口都会被打开。在这种情况下,始终建议使用OPC隧道工具,并仅打开隧道器所使用的单个端口。
- 入侵检测系统和入侵防御系统应部署在工业控制网络以监控任何攻击:- 基于特征的入侵检测系统 – 该系统监控网络流量,将其与已知恶意攻击/威胁的特征进行比对,并向系统或网络管理员发出警报。其工作方式类似于防病毒软件,需要定期更新。
- 基于异常的入侵检测系统 – 该系统首先监控流量并建立网络特征基线,然后将当前网络流量与基线进行比较,以检测任何威胁并向系统或网络管理员发出警报。
- IPS – 也称为入侵检测与防御系统(IDPS)。它不仅能够进行入侵检测,还能尝试预防或阻止已检测到的入侵行为,例如丢弃恶意数据包、阻止来自可疑节点的流量等。
24.4.5.1 远程管理工具的使用
远程管理工具(RATs)是常用的管理工具,可使黑客(以及管理员)管理受害者的计算机(或受管系统),并完全控制其使用和功能。RAT 的功能通常包括屏幕和摄像头监控、键盘记录、鼠标控制、文件/注册表操作、进程管理,以及远程命令行功能。
一旦攻击者完全控制了目标内部系统,他们就会使用gsecdump导出账户哈希,并利用 Cain & Abel工具破解哈希,从而进一步攻击越来越敏感的基础设施。感兴趣的文件主要包括油气田生产运行系统以及与油田勘探和竞标相关的财务文件,这些文件随后被复制自被攻破的主机或通过外网服务器。在某些情况下,攻击者从公司Web服务器复制并下载了文件。在某些情况下,攻击者从SCADA系统收集了数据。
24.4.5.2 检测攻击
这些攻击所使用的方法和工具相对简单,看起来只是标准的主机管理技术,利用的是标准管理凭证。这正是它们能够逃避标准安全软件和网络策略检测的主要原因。然而,自从最初被攻破以来,安全厂商已识别出该木马及其关联工具的许多独特特征;直到最近通过分析并发现共同痕迹以及建立证据关联后,才确定这一有组织的行动已持续至少两年或更长时间。
以下内容事实有助于确定公司或系统是否已被攻破:
- 主机文件和/或注册表项
- 杀毒软件警报
- 网络通信
木马组件通过管理工具手动复制或传输到远程系统。它们不包含任何蠕虫或自我复制功能,也无法“感染”其他计算机。删除木马组件只需删除相关文件和注册表设置即可。
24.4.5.3 杀毒软件警报
防病毒模式根据客户端或分析人员提交的样本进行定义,这些样本在发现时即被处理。一些木马表现出其他类型恶意软件的特征,例如具有感染其他系统能力的蠕虫或病毒。远程访问木马通常不包含此类功能,并且由于它们是为特定用途而配置的独特程序,因此其变化速度通常快于独特样本的识别速度。
发现整个工具包时,才能定义出足够通用的反病毒模式,以检测任何配置更改。该软件包必须包含应用服务器、用于创建投放器的生成器公用工程、相关投放器和后门——以及足够数量的每种组件,以关联该工具包。已从提交的样本中开发出多个独特模式。
24.5 标准
网络安全标准是最近制定的,因为敏感信息现在经常存储在连接互联网的计算机上。此外,许多手动任务现已实现计算机化,因此需要信息保障(IA)和安全。网络安全对于防范身份盗用至关重要。企业也需要网络安全,因为他们需要保护其商业秘密、专有信息以及客户或员工的个人身份信息(PII)。政府也有保护其信息的需求。如今最广泛使用的一项安全标准是始于1995年的ISO/IEC 27002。该标准包括两个基本部分:BS 7799 第1部分和BS 7799 第2部分,均由英国标准协会制定。
英国标准协会(BSI)。最近,该标准已发展为ISO 27001。美国国家标准与技术研究院(NIST)发布了多份关于网络安全的特别出版物。其中三份特别出版物与网络安全密切相关:800‐12《计算机安全手册》、800‐14《公认的信息技术安全原则与实践》以及800‐26《信息技术系统安全自评估指南》。国际自动化学会(ISA)为工业自动化控制系统(IACS)制定了适用于制造业的网络安全标准。这一系列ISA工业网络安全标准被称为ISA‐99,目前正在扩展以应对新的关注领域。
24.5.1 ISA安全合规研究所
国际自动化学会安全合规研究所(ISCI)已为ISA99及其他控制系统安全标准制定了合规性测试规范。他们还创建了一个经ANSI认证的认证计划,称为ISASecure,用于对可编程逻辑控制器(PLCs)、分布式控制系统(DCSs)和安全仪表系统(SIS)等工业自动化设备进行认证。这些设备用于实现对石油和天然气、化工、电力公用事业、制造、食品和饮料以及水/废水处理等行业中工业流程的自动控制。政府机构和私营产业日益担忧这些系统面临被黑客、心怀不满的员工、有组织的犯罪分子、恐怖组织甚至国家支持的团体等“恶意行为者”攻破的风险。近年来出现的名为震网病毒(Stuxnet)的工控系统恶意软件,进一步加剧了人们对这些系统脆弱性的担忧。
震网病毒显然已成为对工业界的一个警示,企业需要确保网络安全以保护其运营。
24.5.2 案例研究
让我们考虑一个工艺工厂,该工厂有两个区域,即“生产”和“公用工程”。这两个厂区在地理上相互隔离,并通过光纤链路连接。因此,两个独立的控制系统分别控制这两个区域。这两个控制系统之间需要进行数据传输。此外,一些四级工厂网络OPC客户端(高级应用)也需要从这两个控制系统获取部分数据。
因此,基本的用户需求是:
- 工厂两个区域之间的数据传输
- 四级应用需要通过OPC访问控制系统数据
满足上述需求的网络架构如图24.7所示。
24.5.2.1 自动化系统互连性
- 生产区域有一个带有控制的控制系统,控制器、I/O模块、带OPC接口的服务器等
- 同样,公用区域还有另一个包含控制器、I/O模块、带OPC接口的服务器等的控制系统。
- 两个控制系统的二级网络均连接到防火墙。
- 防火墙的第三条支路连接到四级网络。
- 防火墙规则已配置为完成以下任务:
- 二级控制系统与四级OPC客户端之间的OPC数据传输
- 两个控制系统之间的数据传输
工厂自动化系统互连
24.5.2.2 安全准则违规
上述解决方案违反了多项工业自动化安全准则。建议在此停止,并尝试列出安全准则违规项。
在进入后续章节之前,请在此处写下您的发现。
24.5.2.3 发现
- 2级网络直接连接到防火墙。在2级和4级之间没有3级网络,因此此处违反了纵深防御建议。
- 两个厂区之间的控制数据传输将通过4级防火墙进行,这意味着L1控制数据会经过4级防火墙,这再次违反了安全准则。
- 四级OPC客户端从2级OPC服务器获取数据时,需要在防火墙上打开几乎所有端口(端口135和端口1024–65535),这意味着安全性完全被破坏。如果如前所述所有端口都打开,则中间的防火墙将变得毫无作用。
24.5.2.4 推荐的网络连接性
以下是为确保工业自动化系统安全而在系统互连方面所做的更改:
- 在防火墙和二级网络之间引入路由器,以在两者之间创建三级网络。
- 两个厂区之间的控制数据传输将通过三级网络进行,因此控制数据不会经过四级防火墙。
- 在三级网络中添加带有隧道器的OPC服务器,该服务器从2级服务器收集数据,并作为四级OPC客户端的数据源。该隧道器使用某一特定用户自定义的TCP端口来跨防火墙传输数据,因此无需打开分布式组件对象模型工作时跨防火墙所需的大量端口。
- 四级OPC客户端不再直接访问2级服务器。现在由3级OPC服务器作为4级应用程序的数据源,从而增加了一层隔离(纵深防御)。
推荐结束的工厂自动化系统互连 ctions
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
