今日頭條
官方微信
官方抖音
資訊頻道
一部靈感來自于“震網(wǎng)Stuxnet”病毒事件的電影《駭客交鋒》(原名“黑帽 Blackhat”),引發(fā)了人們對基礎(chǔ)設(shè)施攻擊的無限想象。電影由王力宏和湯唯主演,邀請了專業(yè)人士作為顧問,其中包括明星黑客Kevin Poulsen。他常使用馬甲“Dark Dante(黑暗但丁)”作案,被稱為史上五大著名黑客之一,后來從良,為Wired News雜志工作,還出版了一本書。谷歌的工程主管,被稱為“信息安全公主”的帕里薩·塔布瑞茲評價該片是她所見過的“最為準(zhǔn)確的有關(guān)信息安全的電影”。
與高昂的投資相比,這部電影的票房并不好。故事情節(jié)不夠緊湊,被定義為了爛片,可這畢竟是首部以工業(yè)基礎(chǔ)設(shè)施與信息安全對抗為題材的商業(yè)電影。如果你是一名工業(yè)控制系統(tǒng)從業(yè)者,對電影中的PLC一定再熟悉不過了。而且,電影中模擬攻擊的目標(biāo)---恰恰是我國的核電站!!!
如果我們還繼續(xù)認(rèn)為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是安全的,那我們看看利用(軟硬件特征識別、工控蜜罐)技術(shù),能夠在互聯(lián)網(wǎng)上發(fā)現(xiàn)什么。
1. 可遠(yuǎn)程訪問和控制的實(shí)時SCADA
燃?xì)獗O(jiān)控:
水廠監(jiān)控:
2. 可遠(yuǎn)程訪問和控制的PLC
3. 遍布互聯(lián)網(wǎng)的工控資產(chǎn)
4. 日漸增多的針對工控專有協(xié)議的探測(蜜罐監(jiān)測數(shù)據(jù)統(tǒng)計(jì)http://plcscan.org/blog/dataanalysis/icsscada-honeypot-log/)
結(jié)合以上各種現(xiàn)實(shí)情況,我們可以嘗試著從中得到以下結(jié)論:
(1)從國家的角度,一切以基礎(chǔ)設(shè)施為目標(biāo)的攻擊,均可視為“敵意”行為;
(2)蓄意的破壞還沒有形成規(guī)模化、產(chǎn)業(yè)化,但大范圍的、具有強(qiáng)烈興趣的試探性“攻擊”頻率正在呈上升趨勢;
(3)核心控制系統(tǒng)不被直接聯(lián)網(wǎng),并不意味著控制網(wǎng)絡(luò)的安全,因?yàn)槎鄶?shù)的無人值守站均可作為入侵的節(jié)點(diǎn)。
一、 國內(nèi)自動化行業(yè)形勢
(一)“兩化融合”的發(fā)展和現(xiàn)狀
回顧2011年4月6日工信部印發(fā)《關(guān)于加快推進(jìn)信息化與工業(yè)化深度融合的若干意見》 (工信部聯(lián)信[2011]160號):“到2015年,信息化與工業(yè)化深度融合取得重大突破,信息技術(shù)在企業(yè)生產(chǎn)經(jīng)營和管理的主要領(lǐng)域、主要環(huán)節(jié)得到充分有效應(yīng)用,信息技術(shù)集成應(yīng)用水平成為領(lǐng)軍企業(yè)核心競爭優(yōu)勢支撐“兩化”深度融合的信息產(chǎn)業(yè)創(chuàng)新發(fā)展能力和服務(wù)水平明顯提高,應(yīng)用成本顯著下降,信息化成為新型工業(yè)化的重要特征。”
現(xiàn)如今,傳統(tǒng)自動化行業(yè)亟待變革,隨著工業(yè)4.0、智能制造、工業(yè)互聯(lián)網(wǎng)這些概念的蓄勢待發(fā),工控安全也正處于變革的十字路口。工控網(wǎng)發(fā)布的文章《正在消失的自動化行業(yè)》(2016-04-05)中指出,“自動化并不是消失了,而是更為廣泛了”。自動化行業(yè)很難有高速成長性,因?yàn)樽詣踊袠I(yè)首先規(guī)模并不大,總體也就在1500億不到,而且包含了大量的細(xì)分市場。畢竟每年不到15%的增長也沒有多少講故事的空間,再說利潤,一直覺得自動化是個高科技行業(yè),但是,與移動互聯(lián)、IT相比,行業(yè)的盈利也決定了收入并不豐厚,大部分業(yè)內(nèi)人士都覺得僅僅過得尚可而已。
智能化可能更為符合未來的發(fā)展描述,自動化只是智能的一部分,而智能涵蓋了但卻不僅只有自動化,而包括感知、分析、思考、判斷、決策者系列與智能相關(guān),也包括呈現(xiàn)(如VR技術(shù))、反饋等,這些前端與后端構(gòu)成了智能化的部分。
自動化只是其中的智能執(zhí)行環(huán)節(jié),當(dāng)然,你也可以說,自動化使其變得更為智能。例如Web技術(shù)不能滿足自動化的實(shí)時性要求,在傳統(tǒng)意義上這是有一定的道理的,但是,在新的時代,我想Web技術(shù)的開放性與低廉成本還是吸引著很多企業(yè),例如:HMI就可以采用Web技術(shù)來實(shí)現(xiàn),這對于SCADA的開發(fā)而言,就是極大的便利。
當(dāng)然,Web技術(shù)可以不僅僅用于純粹只是為了HMI類的應(yīng)用,如果可以的話,我們可以在全世界都可以訪問你想訪問的設(shè)備,安全是必須的。
(二)國內(nèi)的經(jīng)濟(jì)形勢
另外一個與工控安全難以落實(shí)的重要因素,不得不提的是國內(nèi)能源領(lǐng)域產(chǎn)能過剩,導(dǎo)致的經(jīng)濟(jì)發(fā)展緩慢的現(xiàn)實(shí)。當(dāng)然,受影響的不只在國內(nèi),而是全球。
《控制網(wǎng)》整理的一篇文章《一份財(cái)報引發(fā)的xue案》(2016.2.19)中提到,施耐德電氣2015財(cái)年財(cái)報顯示法國施耐德電氣宣布,受中國經(jīng)濟(jì)放緩及美國削減石油和天然氣行業(yè)投資的影響,其2015財(cái)年凈利潤降幅超出預(yù)期。該公司將其較弱的盈利能力歸因于中國疲軟的工業(yè)以及油價崩潰后美國削減石油和天然氣工業(yè)投資。其2015財(cái)年的財(cái)報反映了工業(yè)集團(tuán)縮減西歐市場而擴(kuò)大中國和北美風(fēng)險敞口的策略所帶來的限制。
Emerson公司宣布,由于2015財(cái)年大部分時間經(jīng)濟(jì)持續(xù)低迷狀況不景, 2015年公司凈銷售額下降9%。油價下跌、全球工業(yè)資本支出放緩、新興市場的需求疲軟和美元升值等重大阻力對公司的銷售額造成了負(fù)面影響。由于中國的疲弱需求充分抵消了印度和澳大利亞的強(qiáng)勁增長,因此亞洲的基本需求下降了5%。
ABB在充滿挑戰(zhàn)的市場中實(shí)現(xiàn)盈利增長。2015年訂單額與上一年持平(按美元計(jì)算下降12%)。大額訂單(超過1,500萬美元)增長10%(按美元計(jì)算下降5%),抵消了基礎(chǔ)訂單3%的下滑(按美元計(jì)算下滑14%)。銷售收入與2014年持平(按美元計(jì)算下降11%),因?yàn)殡娏ο到y(tǒng)業(yè)務(wù)和電力產(chǎn)品業(yè)務(wù)的收入增長抵消了離散自動化與運(yùn)動控制業(yè)務(wù)以及過程自動化業(yè)務(wù)的收入下滑。來自服務(wù)業(yè)務(wù)的銷售收入增長6%(按美元計(jì)算下降8%),其在ABB銷售收入總額的占比上升1個百分點(diǎn)。在當(dāng)前宏觀經(jīng)濟(jì)的持續(xù)不確定性和全球諸多市場挑戰(zhàn)的環(huán)境中,ABB三大主要市場領(lǐng)域的需求持續(xù)低迷。電力客戶雖然保持審慎,但仍繼續(xù)在提升電網(wǎng)效率和可靠性方面進(jìn)行選擇性投資。
以數(shù)據(jù)深刻的說明了能源行業(yè)的不給力,而工控系統(tǒng)大多被應(yīng)用于能源行業(yè)的基礎(chǔ)設(shè)備控制中。試問這些生產(chǎn)企業(yè)連盈利問題還沒有得到解決的前提下,管理者又有多大決心,去解決安全問題呢?
二、 國家(隊(duì))的責(zé)任
美國NSA的“七招”(https://www.iad.gov/iad/library/ia-guidance/security-configuration/industrial-control-systems/seven-steps-to-effectively-defend-ics.cfm)不是萬能解藥,與美國相比,受國內(nèi)體制、信息化與自動化發(fā)展的階段、標(biāo)準(zhǔn)與技術(shù)的原創(chuàng)性等種種因素的影響,存在著明顯的區(qū)別。因此,我們建議國內(nèi)工控安全采取更直接、更有效的策略來控制工控安全風(fēng)險。
(1)“兵者,國之大事,死生之地,存亡之道,不可不察也”。
伴隨著消費(fèi)者移動化、物聯(lián)網(wǎng)等新趨勢,工控威脅和潛在攻擊一方面通過多樣化的攻擊手段、專業(yè)的工具、有組織地獲取利益,另一方面則表現(xiàn)在國家戰(zhàn)略布局上。此外,攻擊者可以方便的在工控系統(tǒng)中調(diào)動大規(guī)模資源,攻擊的速度更快、破壞性更強(qiáng)。而防守方僅憑傳統(tǒng)的防守方案已經(jīng)無法阻擋攻擊,威脅、情報、檢測、防護(hù)、態(tài)勢感知都是新的防守技術(shù),而更加智能化的安全模式也是應(yīng)對威脅的新舉措。實(shí)時監(jiān)測開放在互聯(lián)網(wǎng)上的工控設(shè)備,以及分析和監(jiān)督在互聯(lián)網(wǎng)上以工控設(shè)備為目標(biāo)的掃描、探測、滲透等行為。
(2)從國家層面,加大對技術(shù)研發(fā)、標(biāo)準(zhǔn)制訂和資料收集等方面的投入,強(qiáng)化對最終工控現(xiàn)場及重點(diǎn)基礎(chǔ)設(shè)施安全加固的建設(shè)投資。對于目前缺少標(biāo)準(zhǔn)、缺少市場實(shí)踐的背景下,用戶需求并不明確,多數(shù)信息安全產(chǎn)品(包括工控安全產(chǎn)品)雖然被設(shè)計(jì)到現(xiàn)場,可實(shí)際真正運(yùn)行、并且能夠起到防護(hù)作用的少之甚少。主要原因之一是產(chǎn)品的設(shè)計(jì)只是應(yīng)對政策的一廂情愿。而工控行業(yè)的維護(hù)人員,更加關(guān)注穩(wěn)定性和可維護(hù)性。因此,對于政策層面需要引導(dǎo)市場將關(guān)注的焦點(diǎn)回到基礎(chǔ)設(shè)施本身,重視企業(yè)負(fù)責(zé)人的安全意識培養(yǎng),規(guī)范市場、強(qiáng)化產(chǎn)品準(zhǔn)入,把市場的還給市場。
(3)工控安全防護(hù)手冊。工業(yè)控制系統(tǒng)(ICS)的制造商已經(jīng)意識到在工業(yè)環(huán)境中不斷增長的IT安全威脅。為了應(yīng)對威脅和風(fēng)險,他們在系統(tǒng)中實(shí)施安全機(jī)制。然而,只要運(yùn)營商和系統(tǒng)集成商未能積極參與,所有的達(dá)到整個系統(tǒng)的安全性的努力都仍不能發(fā)揮最大作用。因此,工控系統(tǒng)的使用者迫切的需要在一定能力指導(dǎo)下,制訂符合自身行業(yè)特性的管理方法。基礎(chǔ)生產(chǎn)設(shè)施的控制系統(tǒng)是由許多單個的系統(tǒng)組成,因此其強(qiáng)大與安全取決于最薄弱的環(huán)節(jié)。運(yùn)營商和集成商必須了解工業(yè)控制系統(tǒng)的制造商實(shí)施的安全機(jī)制,與他們的行業(yè)需求保持一致,并在整個系統(tǒng)中采納和應(yīng)用這些安全機(jī)制。支持用戶開發(fā)符合ICS制造商和運(yùn)營商或集成商的定制需求的信息技術(shù)安全手冊,分析并派生出切實(shí)可行的安全措施,以適合確保生產(chǎn)工廠的ICS安全運(yùn)行,并最終設(shè)計(jì)和開發(fā)出信息技術(shù)安全手冊。
(4)保護(hù)目標(biāo)手段的多樣性。工控安全問題,完全可能演變?yōu)榭植乐髁x的利用手段。除了前面說到政策層面應(yīng)該是監(jiān)督和指導(dǎo),進(jìn)一步討論,規(guī)范信息、事件的收集渠道和通報方法,建設(shè)必要的“假目標(biāo)”,吸引和分析攻擊來源,緩解工控系統(tǒng)被直接攻擊的壓力。“三軍之眾,可使畢受敵而無敗者,奇正是也”。操作方法上,還需要深入的“軍民融合”、“政企聯(lián)合”,對于工控安全,我們相信:高手在民間。
伴隨著市場的逐步成熟,無論工業(yè)自動化巨頭、傳統(tǒng)安全龍頭,還是新興專業(yè)安全廠商都在積極布局,以完善自身的技術(shù)、市場和產(chǎn)品。
最后,還是以開篇的電影作為結(jié)束,國內(nèi)的工控安全市場,無論是政策、投融資、論壇等等,前期宣傳投入已經(jīng)不小,但還沒到迎接首映的程度,希望最終能夠獲得好票房!
來源:燈塔實(shí)驗(yàn)室
北京市公安局海淀分局備案號:11010802023656號