一、工业控制系统信息安全面临严峻形势,关键信息基础设施成为网络攻击的重点目标
工业控制系统广泛应用于国民经济的各个重要领域,是工业生产和重要基础设施运行的核心大脑。随着互联网、云计算、大数据等信息技术对工业生产活动的不断渗透,工业控制系统也面临着越来越严峻的信息安全风险。 根据美国工业控制系统网络安全应急响应小组(ICS-CERT)的统计,近2年ICS-CERT共响应了540起工业控制系统信息安全事件,能源、装备制备、市政 等关键信息基础设施领域成为遭受黑客攻击的重灾区。
二、大量工业控制产品和系统漏洞被披露,使得针对工业控制系统的攻击越来越容易
随着网络化时代信息获取的成本越来越小,黑客对工控系统的攻击难度也越来越低,进一步加剧了工控系统的网络安全风险。当前,大量工控系统软硬件设备的安全漏洞及利用方式可通过公开或半公开的渠道获得,越来越多接入互联网的工控系统可通过“Shodan”之类的工业控制系统搜索引擎发现痕迹。
2015年12月17日,俄罗斯著名工控安全研究团队SCADA STRANGELOVE(简称SCADA.SL) 在第32届混沌通信大会上发布了名为“SCADAPass” 的工控软硬件设备组件的默认密码清单。该清单涉及了37家工控厂商的107个工控设备型号。2016年2月14日,该团队在互联网公开发布了 “SCADAPass”清单的更新版本,涉及的工 控厂商和设备型号分别增加到48家和134个。该清单详细描述了各工控设备的设备类型、默认用户名及密码(甚至包括硬编码密码)、网络端口、通信协议与服务、公开信息来源等敏感信息。由于工控系统维护的复杂性,大量关键信息基础设施运营单位在安 装工控系统时使用产品自带的默认密码,甚至关闭密码功能。黑客可能利用该清单获取的默认密码拿到工控设备的操作权限,实施修改系统设置、执行 root 命令、替换系统固件、非法控制等攻击。目前公开渠道报道的大量事件案例仅仅是无数工业控制系统信息安全风险中的“冰山一角”。当前,全球网络安全空间呈现出越来越明显的政治化、军事化势,网络安全与其它传统安全越来越紧密的相互交织和渗透,需要警惕关键信息基础设施控制系统成为黑客重点关注的网络安全目标。
三、我国工控系统面临的网络安全风险尤为严重
(一)工控系统核心软硬件产品自主可控水平低下
由于缺乏具有自主知识产权的核心技术,我国各个行业、各个领域的重要工业控制系统大量采购国外技术和设备,自主可控程度较低。根据 2013年的全国重点领域网络安全检查工作统计,我国重要信息系统和工业控制系统关键设备和基础软硬件采用国外产品的比例仍很高,安全基础不牢。根据我们的统计情况来看,重要的工业控制系统中操作系统、数据库、服务器以及数据存储设备都是国外产品占绝对主导地位。从类别来看,数据采集与监控(SCADA)系统、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)也均以国外产品为主。另外根据我们调研情况来看,数千个工业控制系统由国外厂商提供运行维护,我们不具备自主维护能力,系统运行的可控能力较低,同时缺乏对这些产品和服务的监管,缺少必要的技术检测措施和安全可控方案,安全风险难以掌控。
(二)大量工业控制系统直接接入互联网提 高了安全风险
随着“两化深度融合”和“互联网 +”的发展,越来越多的工业控制系统直接或间接与互联网连接。由于工业控制协议基本上没有加密、认证等安全措施,暴露在互联网的工控系统存在巨大的网络安全风险。根据工业和信息化部电子科学技术情报研究所建设的工业控制系统在线安全监测平台统计,我国存在大量直接接入互联网的工业控制系统软硬件设备,相关工业信息系统更是不计其 数,这些系统广泛集中在水、电、气、热、石化等与国民经济和人民群众生产生活息息相关的重点行业。
(三)工控系统安全防护措施不足,系统处于不设防状态
虽然有部分工控运营单位开始关注工控 安全问题,但只有少数运营单位根据工控系统的实际情况开展了安全防护建设。根据我们调研来看,在安全防护措施部署方 面,绝大多数工控系统的网络边界没有部署网络防护设备,没有安装防病毒软件或未采取加密措施传输、存储数据的设备也都占很高比例,大量的工控系统没有任何安全防护措施。
另外,很多工控系统网络安全管理不严格,员工缺乏网络安全意识。有些单位的移动存储介质使用管理不完善,黑客利用相关漏洞可向内网植入恶意代码、传播恶意程序,易形成跨网攻击通道。USB口的非法使用也会导致生产计算机感染恶意程序、被植入木马等不良后果,轻者可能导致产品良品率下降,重则可能导致生产工艺泄露以及设备损坏等重大安全事故。
四、加强我国工控系统信息安全保障的对策建议
(一)建立健全工控系统信息安全法规体系
为加强工业控制系统的安全保障应尽快研 究组织编制工业控制系统信息安全防护指南,指导工业控制系统运营单位从建设、运行和维护等全生命周期做好信息安全防护。通过健全的法规体系,做到我国工控系统信息安全的“监督有力,防护有据”。
(二)常态化开展工控系统与产品的安全检查
定期对工业控制系统进行信息安全检查,并实施工控系统产品的安全检测,逐步提高应用在我国工控系统中的工控产品安全性,保证我国重点领域工控系统与产品的安全可靠。
(三)加强工控系统态势感知与监测预警
不断提高我国工业控制系统的在线安全监测能力,主动监测发现存在高危网络安全风险的工业控制系统,准确掌握国内外工业信息安全态势。对可能影响我国工业信息安全的重大安全漏洞和突发事件进行监测核查和分析,向相关运营单位提供工控风险信息通报和预警。
转自《中国信息安全》2016年第4期
作者:工业和信息化部电子科学技术情报研究所总工/工业控制系统信息安全产业联盟副理事长 尹丽波