2015年12月23日,俄罗斯能源部表示,因乌克兰输往克里米亚的电力供应全面中断,截至当地时间22日晚间,克里米亚共有164万人受到电力供应中断影响。据俄能源部当天发布的公告,克里米亚全境共有约300个大型社会服务设施被中断电力供应,其中包括150所中学、100所幼儿园、40个锅炉房等。
2015年12月27日,乌克兰电力公司网络系统遭到黑客攻击,导致乌克兰西部地区大规模停电。据路透社报道,乌克兰西部电力公司表示,他们服务区域的一部分,包括Ivano-Frankivsk的总部,因为工控系统受到干扰而停电。乌克兰国家安全局谴责俄罗斯黑客应对此次事件负责,俄罗斯方面 则未对此置评。
克里米亚和乌克兰的这两次停电事故是否有联系,折射出目前错综复杂的国际形势,在此我们不做分析,但停电事故中所暴露出的工业控制系统的安全问题,则足以给予我们警示。工业控制系统(Industrial Control Systems,ICS)是几种类型控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其它控制系统如可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)等,以及确保各组件通信的接口技术。工业控制系统普遍应用在电力、石油天然气、自来水和污水处理、化工、交通运输、造纸等行业,是工业基础设施能够正常运作的关键。
最初的工业控制系统采用专门的硬件和软件来运行专有的控制协议,而且由于是孤立的系统,不太容易受到外部的攻击。随着信息技术的发展,通用的计算机、操作系统(如Windows)和网络协议(TCP/IP)在工业控制系统中得到了广泛应用,大大增加了网络安全漏洞和事故出现的可能。另外,工业控制系统也开始与企业管理网络、生产监控网络互联互通,而这些网络本身又具备相当的开放性,甚至存在同互联网的接口,这为信息系统的安全威胁向生产系统扩散提供了便利条件。可以说,传统的IT系统所面临的信息安全风险,在工业控制系统中都是存在的,而且工业控制系统直接同生产设备交互,决定了其安全性还存在自己的特点。
工业控制系统中存在比较多的工业控制协议如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。绝大多数工控协议在设计之初,仅关注效率、实时性和可靠性以满足工业生产的需求,而忽视了安全性的需求,缺少诸如认证、授权和加密等安全机制,这使得工业控制协议更容易遭受第三者的窃听及欺骗性攻击。而通用IT安全产品,比如防火墙、IDS等,对于工业控制协议的识别和检测时不够的,比如对Modbus、OPC、DNP3等协议字段级别的识别和防护。在工业控制系统中,还需采用支持工业控制协议的专用安全产品来弥补通用安全技术的不足,实现对网络边界的完全保护。
根据网络上已有的分析,黑客组织很有可能利用了臭名昭著的BlackEnergy的恶意软件来发动攻击。早在2007年BlackEnergy就开始在俄罗斯的地下网络中流通,最初它被设计为一个能够进行DDoS攻击的僵尸网络工具,随着时间的推移,该恶意软件已经演变为可以支持各种插件,并且基于攻击的意图进行组合以提供必要的功能。在2008年格鲁吉亚冲突期间,BlackEnergy曾被用来对格鲁吉亚实施网络攻击。从暴露的样本来看,此次攻击样本开始于一个xls文档,通过与控制端的交互产生了后续的BlackEnergy,再通过BlackEnergy释放出破坏性的KillDisk插件和SSH后门程序来破坏受感染系统,致使其无法恢复。乌克兰电力系统不得不使用备份系统,大大延长了电力系统恢复运行的时间。
针对此类攻击,一方面需要强化对电力专用网络的隔离和监控,BlackEnergy运转的前提是内网同CC服务器的交互,根据我国的电力系统二次防护规定,电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。如果真正实现了物理隔离,那么通过网络途径是无法侵入调度系统的。另一方面需要对调度网内部的网络访问加强防护,比如对SCADA系统、EMS系统的准入控制,除了传统的IT防护手段,必然还需要通过部署专业的工业控制防护产品来加强。
作为国内最早推出专业工控安全产品和安全服务的厂商,力控华康的工业防火墙和工业网络安全防护网关是目前比较成熟的工业控制网络边界防护产品,在钢铁冶金、石油化工、电力、市政等领域有着广泛的应用。
力控华康HC-ISG工业防火墙是国内首款专门应用于工业控制安全领域的自主知识产权的防火墙产品,能有效针对SCADA、DCS、PLC、RTU提供安全保护。HC-ISG支持对常见工业控制协议的识别、过滤和深度防御,可以对工业协议内部的指令、寄存器等信息进行检查,防止应用层协议被篡改或破坏,保证工业协议通讯的可控性和准确性。
力控华康PSL工业网络安全防护网关是一款安全隔离产品,用于解决工业控制系统接入信息网络时的安全问题。PSL安全防护网关采用“2+1”的安全隔离技术架构,阻断网络间直接的TCP/IP连接,通过专有协议实现对OPC、Modbus等工业控制协议的封装和安全的数据传输。
关注更多工控安全资讯,请关注力控华康官方微信公众号!