油田工业控制的信息安全浅析

油田工业控制系统安全分析

目前Windows平台的技术架构已成为工业控制系统操作站的主流，任何一个版本的Windows自以来都在不停的漏洞补丁，为保证过程控制系统相对的独立性，现场工程师通常在系统投入运行后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成Windows平台乃至控制网络的瘫痪。著名的“震网”病毒就是利用借助了4个0-daywindows漏洞进行针对西门子系统进行传播和感染。在油田工业控制系统中，自动化厂商众多，上位机应用软件也是多种多样，很难形成统一的防护规范以应对安全问题。美国工业控制系统网络紧急响应小组就曾经发出警告，中国开发的工业控制系统软件（SCADA）发现两个安全漏洞，可能会被攻击者远程使用。另外当应用软件面向网络应用时，常需要开放其应用端口。常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些工程自动化软件的安全漏洞获取现场生产设备的控制权。Web信息平台也常常由于程序编写不规范带来安全缺陷，典型的如信息泄露、目录遍历、命令执行漏洞、文件包含漏洞、SQL注入攻击、跨站脚本漏洞等，此类入侵是防火墙产品无法抵御的。在油田企业中，在控制网络与办公网络、互联网之间一般采用IT防火墙进行隔离，但IT防火墙并不是专为工业网络应用设计的产品，在防护工业网络时存在较多缺陷：由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。所以，从防火墙的实际使用情况来看，通过IT防火墙很难在根本上保证生产控制区的网络安全。拒绝服务攻击是一种危害极大的安全隐患，它可以认为操纵也可以由病毒自动执行，常见的流量型攻击如PingFlooding、UDPFlooding等，以及常见的连接型攻击如SYNFlooding、ACKFlooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范，原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果，轻则控制系统的通信完全中断，重则可导致控制器死机等。目前这种现象已经在多家工业控制系统中已经出现，并且造成严重后果。可以想象，一套失控的控制系统可能导致的后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。由于无线网络具有传统有线网络无法比拟的特点，如组网灵活、成本低、移动性好、易安装维护等优势，在油田井口通信设备越来越多的使用无线通信设备。但也由于无线网络传输媒介方面的特殊性，使得一些攻击更容易实施，其安全威胁的具体表现主要有：攻击者伪装成合法用户，通过无线接入非法访问网络资源；无线链路上传输的未被加密的数据被攻击者截获；针对无线连接或设备实施拒绝服务攻击；不适当的数据同步可能破坏数据的完整性；恶意实体可能得到合法用户的隐私；某些节点设备容易丢失，从而泄露敏感信息；设备的不适当配置可能造成数据的泄露；恶意用户可能通过无线网络连接到他想攻击的网络上去实施攻击；恶意用户可能通过无线网络，获得对网络的管理控制权限。TCP/IP在先天上就存在着致命的安全漏洞：TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题，存在缺乏对用户身份的鉴别、缺乏对路由协议的鉴别等先天性缺陷。油田工业控制系统中由于历史的原因，还大量使用各种非安全工业协议，如控制层ModbusTcp协议，该协议设计初期一般以优化实时I/O为主，而并不提供加强的网络连接安全防护功能，任意通过网络连接到Modbus控制器的设备可以改变控制器的I/O点或寄存器数值。许多控制器甚至可以被复位、禁止运行、或被下装新的逻辑。OPC协议由于其通用性在工业现场大量使用，但其使用的端口号是由OPC服务器以一个虚拟随机序列动态分配的，因此没有办法提前知道服务器返回给客户端的端口号。而服务器可以分配的端口号范围很广——WindowsServer2008下超过16000个端口号，早期的端Windows版本则超过了48000个端口号。所以，传统的防火墙在保护OPC服务器时，不得不允许OPC客户端和OPC服务器之间如此大范围内的任何端口号的TCP连接。在这种情况下，防火墙提供的安全保障被降至最低。因此，目前绝大多数的OPC服务器都在没有任何防火墙保护的情况下运行，从而很容易受到恶意软件和其他安全威胁的攻击。3.7病毒与恶意代码基于Windows平台的PC在工业控制系统中广泛应用，病毒也随之而泛滥。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。它能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等，自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。其中著名的“震网”病毒就具有异常精巧的传播与感染机制，借助4个0-daywindows漏洞，窃取2个有效的软件证书，共60000余行代码，而且制作该病毒需要非常丰富的SIMATIC编程及工业现场的专家知识。

油田工业控制系统安全对策

基于目前油田工业控制系统现状，由于当前投用的控制系统通常需要每周7天，每天24小时的长期运行，所以宜采用循序渐进的方法，对现有工业控制系统有步骤的进行安全升级改造。安全对策可以分三步走，首先要建立安全的策略和流程，使后续的安全措施有章可循；其次建立初步防御战略，根据当前有明显漏洞易解决、急需解决的关键点加以实施；最后建立工业控制系统的纵深防御体系，切实保证油田信息安全，保障平稳安全生产。工业控制系统的脆弱性通常是由于缺少完整而合理的策略文档或有效的实施过程而引起的，安全策略文档和管理支持是系统安全的基础，有效的安全策略在系统中的强制实施是减少系统而临的安全风险的前提。无论哪种先进的安全设备和健壮无漏洞的安全体系，一旦脱离了健全的安全策略和流程，依旧是一套脆弱不堪的信息安全系统。建议油田企业从以下几方面建立安全策略和流程：建设安全管理机构；制定工业控制系统的安全策略；进行工业控制系统的安全培训与培养安全意识；采用安全的系统架构与设计；根据安全策略制定正规、可备案的安全流程；制定工业控制系统设备安全部署的实施指南；加强工业控制系统的安全审计；制定针对工业控制系统的业务连续性与灾难恢复计划；加强针对工业控制系统配置变更管理。操作系统补丁升级：在局域网内部署一台微软的SUS（SoftwareUpdateService软件升级服务器），通过SUS可以在局域网中建立一个Windows升级服务器，以后局域网中的电脑就可以通过这个服务器来自动升级预，所有的更新活动都是通过Windows后台自动更新进行的，不需要任何人的干预，非常方便。注意：目前SUS还不能为Office或者其它微软软件提供更新服务。杀毒软件升级：在局域网内部署一台企业版杀毒软件服务器，允许其连接互联网完成自动升级，局域网中的其它计算机或服务器上安装同品牌的支持局域网自动升级杀毒软件客户端。为了追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略，给整个工业控制系统信息安全带来很大的破坏作用，如伊朗的“震网”安全事件最初就是通过U盘传播至控制网络的。控制未经授权用户进行访问可以通过多种手段，比如通过有效的密码和完善的身份认证制度。有效的密码：用户不能使用生日、电话号码等别人容易猜出的密码。密码应该输入至少6位字符，建议混合使用数字、大写、小写和特殊的字符。另外一种硬件加密锁的方式更为有效，硬件加密锁：使用一个USB硬件设备，象U盘一样的东西，里面存放了登陆者的认证信息，当登陆时，必须插上钥匙才能进行密码的验证。在企业内部实施UKey认证制度，可从物理上阻止未经授权人员进行访问。由于Web漏洞攻击有时可以绕过防火墙实现入侵，所以对已有信息平台进行网页漏洞扫描相当必要。网页漏洞扫描是利用专用的Web应用漏洞扫描程序构建的自动化扫描平台，模拟Web前端可以与实际的Web应用程序通信，从而可以发现Web应用程序中的安全缺陷。其工作原理非常类似一个黑匣子测试器，也就是说它并不需要访问源代码，真正实现远程的安全检测。Web应用漏洞扫描程序分析来自网站程序结构中的每一个网站功能脚本程序的应用状况，借助于专用的漏洞检测数据库，能够自动构造各种类型的“异常”提交参数，能够对响应消息进行内容分析，结合状态码，判断测试结果。同时，还会模拟大多数普遍存在的WEB攻击手段，探测各种已知漏洞和未知漏洞，针对所有可能为黑客所利用的项目进行多样化多层次的探测和分析。测试结果最终形成安全隐患报告，和大多数检测工具一样，自动化的Web应用漏洞扫描程序的扫描结果也存在相应的误报，因此对于网页漏洞扫描的结果还需要通过安全专家的精心审核，最终保证网页漏洞检测的准确性。SSL方式：普通的网络传输采用的是HTTP协议，如上面所述，HTTP协议是明文协议，只要截取网络数据就可以反转过来，而SSL协议是通过私钥认证的，即使获得了网络数据流，如果没有相应的密钥，也无法反编译出数据。VPN方式：如果要跨区域使用，数据可能需要在公网上传输，为了保证转输的安全性，SSL方式提供了非明文协议方式。VPN提供也另外一种形式的非明文传输协议。数据加密存储：数据库中存放的数据及用户信息大多数是明文存放，如果黑客一旦有机会侵入系统，如果是明文存放的，该数据很容易暴露出来。所以对一些核心数据，需要在数据库存储时，必须进行数据加密。数据库的默认密码：请务必设定和修改数据库的默认密码，现在很多系统的默认密码为空或简单密码，这会造成很大的安全隐患。DoS(拒绝服务器攻击)和分布式的DDoS(分散式拒绝服务攻击)通过大量合法的请求占用大量的网络资源，以达到瘫痪网络的目的。以下是针对应对DDoS的一些建议：在计算机主机上关闭不必要的服务，限制同时打开的Syn半连接数目，缩短Syn半连接的timeout时间，及时更新系统补丁。利用防火墙禁止对主机的非开放服务的访问，限制同时打开的SYN最大连接数限制特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问。使用unicastreverse-path访问控制列表（ACL）过滤设置SYN数据包流量速率，升级版本过低的ISO，为路由器建立logserver。工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御体系。按照业务职能和安全需求的不同，工业网络可划分为以下几个区域：满足办公终端业务需要的办公区域；满足在线业务需要DMZ（隔离区）区域；满足工业控制系统管理与监控需要的管理区域；满足自动化作业需要的控制区域。针对不同区域间数据通信安全和整体信息化建设要求，实施工业控制网络安全建设，首先需要针对工业控制系统网络管理的关键区域实施可靠的边界安全策略，实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁。在企业管理层和SCADA中心之间加入防火墙，一方面提升了网络的区域划分，另一方面更重要的是只允许两个网络之间合法的数据交换，阻挡企业管理层对数采监控层的未经授权的非法访问，同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网，要求较高的通讯速率和带宽等因素，对此部位的安全防护建议使用常规的IT防火墙。另外企业管理层在进行数据应用时不建议将SCADA中心的实时数据库、关系数据库的服务端口暴露在办公网中进行使用，而应该提供一种一致性数据访问能力的接口服务，该服务除了提供实时历史数据访问外，还能进行用户身份及权限认证，这样既避免了已知常用端口入侵攻击，又能够有比较好的安全权限升级扩展能力。在企业管理层和SCADA中心之间通常使用OPC通讯协议，由于OPC通讯采用不固定的端口号，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至最低。因此，在数采监控层和控制层之间应安装专业的工业防火墙，解决OPC通讯采用动态端口带来的安全防护瓶颈问题，阻止病毒和任何其它的非法访问，这样来自防护区域内的病毒感染就不会扩散到其他网络，提升网络区域划分能力的同时从本质上保证了网络通讯安全。考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议，或者其它工业通信标准如Modbus等。由于常规的IT防火墙和网闸等安全防护产品都不支持工业通讯协议，因此，对关键的控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过，阻挡来自操作站的任何非法访问；另一方面可以对网络通讯流量进行管控，可以指定只有某个专有操作站才能访问指定的控制器；第三方面也可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其它攻击的影响，从而避免控制器死机。

工业控制系统信息安全问题已迫在眉睫，本文针对油田企业流程工业的特点，同时结合工业控制系统网络结构和安全需求，提出工业控制系统信息安全分三步走的策略。将工业系统网络划分为不同的安全区域，在区域之间执行管道通信，从而通过管控区域间管道中的通信内容，实现保证工厂控制网络安全稳定运行的三个目标：通讯可控、区域隔离和报警追踪，进而全方位地保障工业控制系统信息安全，最终实现信息安全的纵深防御策略。值得强调的是建立安全策略与流程是很重要的一个环节，切实做好工业控制系统的安全培训工作与培养安全意识，用“三分技术，七分管理”来形容工业控制系统信息安全不无道理。

本文作者：岳妍瑛王彬工作单位：中国石油长庆油田分公司第一采油厂