工控網路和普通網路在安全防護上有哪些不同?工控網路中有哪些常用的、知名的安全設備?


工控網路的價值遠遠超出普通的網路。如果電力、石油石化、鋼鐵、煤炭、煙草、軌道交通、先進位造、燃氣等各行業所使用的自動化控制網路一旦遭到破壞,後果將不堪設想。舉個簡單的例子國家信息安全漏洞共享平台 CNVD-2014-01914這個漏洞直接造成了工控設備拒絕服務進入defect模式,那麼可能直接影響了某一個電站的發點導致停止供電等等。所以對這些網路保護尤為重要。

這兩天仔細研究了一下,搜集了很多國內外資料在進行分析,國內的一些論文,至少我看到的論文都還不能夠實際論述一些問題,更像是在喊口號或者是空談概念,一些國外的文章乾貨可能更多一些,我還在繼續搜集材料當中,會一點點完善答案的,也請這個領域的前輩或者老師多多指出問題。

————————說了些廢話——————————

數據採集與監控系統 (SCADA) 的安全性如何?

————————其他答案———————————


進入正題:

工控系統在部署時具有設備單元多,地域分布廣的特點。其實和普通網路相似的是,工控設備同樣具有各種各樣的漏洞,並且這些漏洞不易修復。試想一種場景,某電力公司因為其中的5台工控設備存在漏洞,需要停止供電數小時進行升級,這樣的損失對於工業企業來說損失非常大。況且各廠長看重的更多是money lady 而不是 security,花錢雇幾個網管,沒事鬥鬥地主,盯著屏幕玩玩手機什麼的

『標準的SCADA網路』應該是這樣的

整個SCADA網路中各處部署這不同類型的伺服器,或者業務系統等等,所以就要使用各種手段,簡單一點就是使用防火牆把生產系統,業務系統,以及工控系統分離開,
但是有的企業為了節省成本或者不重視安全問題,會把SCADA網路部署成這個鳥樣子,並且可以稱之為『典型SCADA網路』:

那些慵懶的網路管理員會把防火牆的策略改為 ANY&<------&>ANY,好一點的還會配置一些策略。
個人覺得最嚴重的莫過於這些了。。

直接把PLC接到互聯網上你老闆造不造!!分分鐘發送個數據包就掛掉有木有!!雖然不知道你拿它用來做什麼,但是這樣做,你覺得對嗎?從工業設備本身來講也暴露出相當多的問題

  1. 如在工業協議中,使用非加密的設計,從硬體角度來說也不支持加密手段,在傳輸過程中使用很多層封裝的數據,多數基於TCP/IP進行封裝,並沒有專有的協議來傳輸。使用的應用協議也非常古老,像modbus協議從20世紀70年代至今只有很少的變化。
  2. 在工控設備中也經常會開啟其他的服務,如:FTP、HTTP、SSH等等,一旦開啟這些服務將會面臨弱口令、使用服務自身的漏洞都會導致整個設備被攻擊。
  3. HMI人機介面:也叫上位機通常都是使用的windows workstation。應用伺服器:通常使用的也是win家族的server版本。工程師開發軟體:如西門子的WinCC,就是在windows平台上開發的,眾所周知當年的Stuxnet震網病毒就是通過控制WinCC來破壞整個伊朗核電站的網路的。
  4. 可編程邏輯控制器(Programmable Logic Controller,PLC)一般使用的是嵌入式操作系統,如VxWorks、Linux(通常是BusyBox)、或者其他的Old crusty RTOS。這些PLC需要在網路中才能夠接收到上位機對它下達的控制邏輯,並且PLC設備的內存可以被任意修改其輸入和輸出單元。

工控網路面臨的問題:

  • 大多數基於Windows的機器都是不安全的
  • 供應商必須提供所有補丁
  • 系統中的任何改變就,需要一個複雜的商務部流程
  • 管理員的心態是只要不壞,就不用去修復
  • 許多控制器面臨的威脅是人為的疏忽所造成的

綜上對於題主所說的『工控網路中有哪些常用的、知名的安全設備?』這一題來講,目前國內還沒有那些知名的廠商能夠生產一種知名的設備。其實縱觀全球貌似也沒有很好的廠商能夠提供一款專門針對工控網路進行防護的設備,更多的是一種結合傳統的安全設備和安全管理來針對工控網路的解決方案。可能這個話題也是近幾年才被重視起來,可能在國內還沒有開始引起重視,所以如果說安全設備可能還是有點早。國外倒是有不少的公司能夠給出一些相對比較完善的解決方案,但是在APT面前,好像也只是增加了一些困難而已,僅僅能夠過濾掉一些cracker。

另外一個方面就是現在研究工控安全的人相對於傳統安全來說,人才方面還是比較缺乏的,因為第一安全公司沒有能力提供一個很好的平台去研究,只能結合國家層面,或者是工業企業來一起,這就要看安全公司的實力和關係了。但是工業企業考慮到利益問題,也不會輕易的讓一個安全公司去研究,萬一搞壞了損失誰來承擔?所以這個領域的發展,引用綠盟發表的《2014工業控制系統的安全研究和實踐》中的一段話:

對此我們認為,安全行業廠商和工業控制系統廠商應儘早建立合作機制、建立國家或行業級的漏洞信息分享平台與專業的關於工控系統的攻防研究團隊,並儘早開發出適合於工業控制系統使用的脆弱性掃描設備。

現在來看,這個領域急需的是合作機制,研究人才,初級階段的掃描設備。
這個領域目前相對於傳統安全的領域需求還不是那麼迫切,畢竟使用傳統網路的人占多數啊,真正關心工控安全的也僅僅是國家或者廠長,剩下的都是給老大幹活的,只要不出事誰會關心它的,對吧?


樓的回答很正確,下面舉例來說明一下,請大家來了解一下震驚世界的七大工控網路安全事件

近年來,針對工業控制系統的各種網路攻擊事件日益增多,暴露出工業控制系統在安全防護方面的嚴重不足。大家匯總了世界七大典型的世界工控網路安全事件,以了解工業控制系統所面臨的安全威脅,促進國內工控網路安全事業不斷發展。


  一、 澳大利亞馬盧奇污水處理廠非法入侵事件

  2000年3月,澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障,無線連接信號丟失,污水泵工作異常,報警器也沒有報警。本以為是新系統的磨合問題,後來發現是該廠前工程師Vitek Boden因不滿工作續約被拒而蓄意報復所為。

  這位前工程師通過一台手提電腦和一個無線發射器控制了150個污水泵站;前後三個多月,總計有100萬公升的污水未經處理直接經雨水渠排入自然水系,導致當地環境受到嚴重破壞。

  二、 美國Davis-Besse核電站受到Slammer 蠕蟲攻擊事件

  2003年1月,美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQL Slammer蠕蟲病毒攻擊,網路數據傳輸量劇增,導致該核電站計算機處理速度變緩、安全參數顯示系統和過程式控制制計算機連續數小時無法工作。

  經調查發現,一供應商為給伺服器提供應用軟體,在該核電站網路防火牆後端建立了一個無防護的T1鏈接,病毒就是通過這個鏈接進入核電站網路的。這種病毒主要利用SQL Server 2000中1434埠的緩衝區溢出漏洞進行攻擊,並駐留在內存中,不斷散播自身,使得網路擁堵,造成SQL Server無法正常工作或宕機。實際上,微軟在半年前就發布了針對SQL Server 2000這個漏洞的補丁程序,但該核電站並沒有及時進行更新,結果被Slammer病毒乘虛而入。

  三、 美國Browns Ferry核電站受到網路攻擊事件

  2006年8月,美國阿拉巴馬州的Browns Ferry核電站3號機組受到網路攻擊,反應堆再循環泵和冷凝除礦控制器工作失靈,導致3號機組被迫關閉。

  原來,調節再循環泵馬達速度的變頻器(VFD)和用於冷凝除礦的可編程邏輯控制器(PLC)中都內嵌了微處理器。通過微處理器,VFD和PLC可以在以太區域網中接受廣播式數據通訊。但是,由於當天核電站區域網中出現了信息洪流,VFD和PLC無法及時處理,致使兩設備癱瘓。

  四、 美國Hatch核電廠自動停機事件

  2008年3月,美國喬治亞州的Hatch核電廠2號機組發生自動停機事件。

  當時,一位工程師正在對該廠業務網路中的一台計算機(用於採集控制網路中的診斷數據)進行軟體更新,以同步業務網路與控制網路中的數據信息。當工程師重啟該計算機時,同步程序重置了控制網路中的相關數據,使得控制系統以為反應堆儲水庫水位突然下降,自動關閉了整個機組。

  五、 震網)病毒攻擊美國Chevron(Stuxnet等四家石油公司

  2012年,位於美國加州的Chevron石油公司對外承認,他們的計算機系統曾受到專用於攻擊伊朗核設施的震網病毒的襲擊。不僅如此,美國Baker Hughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計算機系統也感染了震網病毒。他們警告說一旦病毒侵害了真空閥,就會造成離岸鑽探設備失火、人員傷亡和生產停頓等重大事故。

  雖然美國官員指這種病毒不具有傳播用途,只對伊朗核設施有效,但事實證明,震網病毒已確確實實擴散開來。

  六、 Duqu病毒(Stuxnet變種)出現

  2011年安全專家檢測到Stuxnet病毒的一個新型變種—Duqu木馬病毒,這種病毒比Stuxnet病毒更加聰明、強大。與Stuxnet不同的是,Duqu木馬不是為了破壞工業控制系統,而是潛伏並收集攻擊目標的各種信息,以供未來網路襲擊之用。前不久,已有企業宣稱他們的設施中已經發現有Duqu代碼。目前,Duqu殭屍網路已經完成了它的信息偵測任務,正在悄然等待中……。沒人知曉下一次攻擊何時爆發。

  七、 比Suxnet強大20倍的Flame火焰病毒肆虐中東地區

  Flame火焰病毒具有超強的數據攫取能力,不僅襲擊了伊朗的相關設施,還影響了整個中東地區。據報道,該病毒是以色列為了打聾、打啞、打盲伊朗空中防禦系統、摧毀其控制中心而實施的高科技的網路武器。以色列計劃還包括打擊德黑蘭所有通訊網路設施,包括電力、雷達、控制中心等。

  穀神星網路發現,Flame火焰病毒最早誕生於2010年,迄今為止還在不斷發展變化中。該病毒結構非常複雜,綜合了多種網路攻擊和網路間諜特徵。一旦感染了系統,該病毒就會實施一系列操作,如監聽網路通訊、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等等;所有相關數據都可以遠程獲取。

  可以說,Flame病毒的威力大大超過了目前所有已知的網路威脅。


工控網路安全該怎麼入門,怎麼學,要學些什麼


最大的不同,我認為是工業網路防護對實時性,可靠性的苛刻要求,兩害相權取其輕,在安全和實時可靠之間取捨,業主會犧牲安全,這裡是信息網路安全。
與之相對應,這個行業還沒出現被普遍認可的防護設備,也與業主不敢用,缺乏用的積極性有關,從而設備缺乏在實際應用中檢驗,不斷完善改進的機會。


網閘


推薦閱讀:

各網站使用同一套賬戶名,郵箱,密碼,風險大嗎?
如何用C語言和windows api實現一個基本的ssl協議?(參考資料已備齊)
全面普及 HTTPS 有意義嗎?
自2013 年 7 月大量 Apple ID 被盜用來在中國區 App Store 進行刷榜,誰的嫌疑最大?
本人小白準備學習網路攻防,想知道這門技術十幾年後會被淘汰嗎?如果感覺回答很麻煩直接回答會或不會就好了?

TAG:網路安全 | 工控 |