中国到底需要什么样的工控安全(二)
供稿:北京威努特技术有限公司
- 关键词:工控安全,威努特,工控安全元年
- 作者:龙国东
- 摘要:2015新年伊始,万象更新。在过去的一年里,工控安全突然成为了一个热门词,举目望去,几乎所有跟网络安全相关的展会、论坛,以及自动化领域的重大会议,与会者言必谈工控安全,笔者就以自己多年从事相关行业的经验和总结,谈一谈中国到底需要什么样的工控安全。
二、工控安全真实情况
在过去一年里,所有关于工控安全的演讲、文章中,出现最多的就是震网病毒和Havex。每逢论坛、展会,无一不讲震网病毒。在2014年7月发现的Havex病毒,也很快被某些厂商大肆加以宣传利用。
实际上,震网病毒和Havex跟中国几乎没有直接关系,震网病毒主要破坏了伊朗的核设施,而Havex病毒的影响也主要在欧洲。中国的工控系统到底面临哪些实实在在的威胁,好像没有人能真正说清楚。
中国有没有工控安全事件,有多少,影响如何?在国内由于这类事件很快被处理,信息传播被控制,公开资料非常有限,在网上几乎搜索不到。笔者作为工控安全的从业者,通过跟众多客户的真实接触,得到了很多一手的资料,在这里与大家分享。
2011年,某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断。
笔者曾出差到江苏某地级市,该市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
某大型石化公司,控制网内已经部署了大量某外国品牌的工业防火墙,以为可以从此高枕无忧。但实际情况却是控制网内大量工程师站、操作员站感染了大量病毒,导致控制软件运行缓慢,正常操作无法进行。
2014年,某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件带入在控制网扩散。
从以上笔者获得的部分实际案例来看,中国的工控安全威胁长期以来就已存在,但由于信息的曝光度不高,并没有获得更高层面的足够重视。并且往往一些简单的电脑病毒,就能在企业工控网内肆虐,对生产造成严重影响。
三、工控安全问题根源分析
从上一章节我们可以看出,我国的工业控制网络的确存在着较为明显的网络安全问题,导致这些问题的根源,通过威努特长期的实地调研以及分析研究,我们认为主要可以概括为以下几个方面:
1)工控系统以可用性为第一位,系统的稳定可靠运行是管理人员关注的重点。设备停车带来的经济损失、甚至人员伤亡事故是所有人不愿意看到的。这就导致了对工控设备的管理维护非常保守谨慎,工作人员只会按照设备厂商的要求做已经验证的、必要的软硬件升级,而防病毒软件、防火墙等网络安全设备的软硬件升级几乎不予考虑。这就给病毒、恶意程序以可乘之机,可以轻松绕过形同虚设的防火墙和病毒库陈旧的杀毒软件,直接攻陷对工控系统至关重要的操作控制主机。笔者一位长期从事石化行业维护的朋友就说他们宁可工作站出了问题重装系统,也不敢升级系统补丁和病毒库。
2. 工控系统的生命周期普遍较长,现场存在很多老旧设备。这些老旧设备因为历史的技术所限,或多或少都存在一定的设计缺陷。在新的应用条件下,一些以前不太明显的缺陷会暴露出来。比如上一章节提到的PLC的TCP/IP协议栈缺陷问题,在以前的应用中,PLC的通讯网口很少会直接连接到互联网,所以没有发生这类问题,是用户新的需求导致了问题的暴露。
3. 工厂对于信息类设备的管理流程和制度,往往也存在明显漏洞。比如员工个人的笔记本、U盘可以随时接入控制网络,可以随时从工作站拷贝资料到个人电脑等。这些操作无疑会给工控网络带来显而易见的风险——众所周知,Stuxnet震网病毒就是从U盘流入完全隔离的伊朗核设施网络的。
正如在《打造工业控制系统网络安全“白环境”》中所说,传统的工控网络一直被认为是一片祥和的“世外桃源”,彼此之间是一个完全信任的体系,“小国寡民、夜不闭户、路不拾遗”,当其不得不对外开放时,何来抵御外来盗匪的能力?
四、工控安全解决之道
首先,笔者先说明一下关于安全的三个概念:第一,安全不免费;第二,安全的最高境界是感觉不到安全;第三,安全无侥幸。
安全不免费,这个概念很好理解,世上没有白吃的午餐,企业要想做安全就要做好投入的准备,这个概念谁都同意,但是很多人就未必愿意做。为什么呢?他会说以前我没做安全也一直都运行的很好,为什么还要花钱、花精力去搞这些。做个对比就很好理解,以前国内有些大山内的村子,家家户户根本没有锁的,但是现在随着社会发展,交流增多,谁家还敢不上锁?
从控制网发布的《2014年中国工业控制系统信息安全蓝皮书》数据看,2014年狭义的工控安全市场不足2亿,只占信息安全整体市场的1%!而作为对比,中国2014年PLC、DCS、SCADA等都有接近百亿的市场规模,按IT行业通用标准,安全产品及服务应该占整个信息化投入的8%~10%。即正常来讲,工控安全应该每年有20-30亿投入,才能达到IT界平均的安全水准。并且在工控安全市场刚起步时,产品和解决方案都不完善,各个企业的投入并不平均,考虑“智猪博弈”的原理,那些行业内的大企业需要先期投入更多。
第二个概念,安全的最高境界是感觉不到安全。从投入效益比来说,预防永远比治疗更划算。正所谓善战者无赫赫之功,一个真正好的安全解决方案,是能够把所有隐患消除在萌芽阶段,让使用的人甚至完全感觉不到它在起作用。但是,正如保健品永远不如特效药有名,一个真正好的安全产品也无法给用户那么明显的存在感。总之,我们这个行业,不但需要一批真正懂安全的卖家,也需要一批真正懂安全的买家。
第三个概念,安全无侥幸。既然安全又花钱效果又不明显,是不是我们就可以不去做了呢?事实告诉我们,这种侥幸的心理是千万要不得的。墨菲定律告诉我们,如果事情有变坏的可能,无论它的几率多么小,它一定会发生。以震网病毒为例,为了攻击网络完全隔离、只能使用U盘进行数据交换的伊朗核设施工厂,在它被发现之前,它感染了全球超过45000个网络,6000万台主机作为跳板,互联网时代的网络攻击就是如此恐怖。又比如Havex病毒,其后期对主要SCADA供应商的官网下载软件进行了挂马的水坑攻击,使得很多国家的电网、水坝等设施中招,目前它的最终攻击目标还不明。面临着可自我复制,可通过多种途径传播的网络病毒、木马,企业网络没有一个自身强健的“免疫系统”,是一定要感冒的。所以,网络安全是一定要做的。但是想做新、做好很难,可能需要很多人、很多厂家前仆后继的投入,最后能够活下来的就那么几家。技术和理念不能太超前,又不能不超前,这个窗口是非常小的。有这么一句话“我们只领先别人半步,领先一步的都成了烈士。”
在技术和理念上,我们是怎么做到领先别人半步的呢?作为一家继承了传统IT安全厂家深厚技术积累,并对工控安全有着自己深入研究的企业,威努特公司没有简单照搬传统IT安全思维,而是以工控系统安全的视角,针对工控系统对可靠性、稳定性、业务连续性的严格要求,以及工控系统软件和设备更新不频繁、通信和数据较为特定的特点,提出了建立工控系统安全生产与运行的“可信网络白环境”以及“软件应用白名单”概念,进而构筑工业控制系统的整体网络安全“白环境”。
区别于传统防护“黑名单”的方式,所谓“白”指的是好的、可信的,即只有可信任的设备、软件和数据,才允许在工控网络内部流通;其他恶意的、不明确的或者规定不允许的东西都不允许流通使用。
●只有可信任的设备,才能接入控制网络;
●只有可信任的消息,才能在网络上传输;
●只有可信任的软件,才允许被执行。
其次,要加强工控企业对操作维护人员的网络安全意识的培训,杜绝一些高危操作的发生,如将个人U盘插入控制主机,将个人电脑连入控制网络;让每个员工都对网络安全有明确的认识,同时也有切实可行的操作方式。
另外,要建立健全工厂的整体网络安全操作规章制度,让所有人的行为都有章可循,有章可依,有章可查;把所有可能的隐患都列入制度的管理之中,这样才能保证网络安全问题长治久安。
其实在安全领域,一个普遍的观点是没有100%的安全,再强大的产品、再完善的制度都有漏洞,都会被攻破。我们做安全的目的都不是防住所有的攻击,而是尽可能提高攻击者的成本,使得攻击者攻破安全防御体系付出的代价远远高于其可能获得的利益。威努特构建工控网络“白环境”的解决方案既能最大限度保证工控用户原有系统的可用,又能有效利用IT安全积累的成果,保证最大限度的安全性,能够为用户构建有效抵御工控系统攻击的工控安全防御体系,为客户带来工控安全防护的真正价值。
结语:
中国到底需要什么样的工控安全,这个问题不但是所有的工控安全厂商应该考虑的问题,而且是所有相关从业者都应该回答的问题。笔者在这里抛砖引玉,希望工控安全不仅是大家讨论的焦点,更能早日形成真正的产业化。