2014年，以Havex為代表的新一代的APT攻擊肆虐工業(yè)控制系統(tǒng)，而基于信息網(wǎng)絡(luò)安全的防護手段及現(xiàn)有的工控網(wǎng)絡(luò)防護手段，在APT2.0時代的攻擊面前已經(jīng)成為“皇帝的新衣”。面對APT2.0時代的威脅，打造針對于工控網(wǎng)絡(luò)的新一代防御體系已勢在必行。很多人對2014年黑客APT攻擊德國鋼廠事件仍然記憶猶新：黑客通過魚叉式網(wǎng)絡(luò)釣魚和精心安排的社會工程學(xué)攻擊手段獲取鋼廠辦公網(wǎng)絡(luò)訪問權(quán)，成功進入生產(chǎn)網(wǎng)絡(luò)并攻擊，導(dǎo)致工控系統(tǒng)的控制組件和整個生產(chǎn)線被迫停止運轉(zhuǎn)，非正常關(guān)閉煉鋼爐令鋼廠損失慘重。

    目前，我國鋼企在原料場、焦化、燒結(jié)、煉鐵、煉鋼、軋鋼等主要工藝階段已實現(xiàn)全流程自動化控制，隨著兩化融合、能源管理系統(tǒng)的建設(shè)，工業(yè)控制系統(tǒng)的信息安全問題日益凸顯，鋼企系統(tǒng)架構(gòu)中存在著的信息安全隱患令人擔(dān)憂。
 

    2015年6月24日，在通化市舉行的第37屆全國冶金企業(yè)自動化、信息化技術(shù)論壇上，北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司的解決方案總監(jiān)井柯，為參會代表帶來了一場題為“一場沒有硝煙的戰(zhàn)爭，由德國鋼廠遭黑客攻擊引發(fā)的思考”的精彩報告，以德國鋼廠遭攻擊透視中國冶金行業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的潛在威脅，并為參會代表奉上匡恩網(wǎng)絡(luò)的獨家解決方案。

    潛在的威脅

    目前，鋼鐵廠控制網(wǎng)絡(luò)按控制功能和邏輯分為1-4級網(wǎng)絡(luò)（如下圖）：
 

    • L4(企業(yè)資源計劃級ERP)；

    • L3(生產(chǎn)管理級MES)；

    • L2(過程控制級PCS)：過程控制網(wǎng)和實時數(shù)據(jù)庫采集網(wǎng)；

    • L1(基礎(chǔ)自動化級BAS)：由PLC組成的控制層和SCADA形成的監(jiān)控層構(gòu)成。

    大部分鋼廠中的自動控制系統(tǒng)已經(jīng)和信息系統(tǒng)連成一體，L2與L3之間由防火墻和數(shù)據(jù)交換平臺進行隔離(邏輯隔離)，在L2以下沒有防火墻，OA與ERP和MES服務(wù)器之間沒有隔離，現(xiàn)有的安全措施并不足以保證控制系統(tǒng)的安全，攻擊者可能會利用ICS的安全漏洞獲取諸如煤氣柜、大型鍋爐等大型設(shè)備的控制權(quán)。
 

    存在的漏洞

    通信協(xié)議漏洞

    • L1級一般采用modbus等通信協(xié)議，存在授權(quán)、加密等安全問題。

    • L1級與L2級過程控制系統(tǒng)和實時數(shù)據(jù)庫系統(tǒng)之間是采用OPC協(xié)議，極易受到攻擊。同時OPC通信采用動態(tài)端口，不能有效使用傳統(tǒng)的IT防火墻。

    操作系統(tǒng)漏洞

    • ICS的工程師站/操作站/過程級HMI都是通用的Windows操作系統(tǒng)，很少裝補丁，或裝補丁后不能正常運行，從而埋下安全隱患。

    安全策略和管理流程漏洞

    • 缺乏完整有效的安全策略與管理流程，人員信息安全意識缺乏，如調(diào)試用筆記本電腦、U盤等設(shè)備的使用及不嚴(yán)格的訪問控制策略，為有目的的攻擊創(chuàng)造機會。

    匡恩網(wǎng)絡(luò)的解決方案

    在匡恩網(wǎng)絡(luò)提供的解決方案中，建立安全區(qū)域，確定區(qū)域邊界并對其安全防護，通過安全防護產(chǎn)品達到以下目標(biāo)：

    1. 防止任何未定義流量經(jīng)過區(qū)域邊界。

    2. 防止所有含有惡意軟件或代碼的已定義流量通過區(qū)域邊界。

    3. 檢測并記錄可疑或異常活動。

    4. 在區(qū)域內(nèi)容記錄正常或者合法的活動，可用于合規(guī)性報告。

    匡恩網(wǎng)絡(luò)通過全網(wǎng)監(jiān)測審計平臺對控制系統(tǒng)操作行為進行審核，詳細記錄調(diào)度系統(tǒng)對過程控制系統(tǒng)的所有操作行為，實現(xiàn)對關(guān)鍵參數(shù)配置實時監(jiān)測與安全審計并進行及時的預(yù)警響應(yīng)；在L3與L2之間、L2和L1之間部署智能保護產(chǎn)品，通過工業(yè)協(xié)議的深度解析確保上位機監(jiān)控系統(tǒng)與現(xiàn)場控制設(shè)備之間通訊與控制的合法性；在OPC服務(wù)器端采用數(shù)據(jù)采集隔離終端 進行數(shù)據(jù)傳輸防護；建立攻防模擬驗證系統(tǒng)，模擬鋼鐵自動化系統(tǒng)應(yīng)用，通過不斷的在系統(tǒng)上進行深入的漏洞挖掘、攻擊研究，完成攻擊效果展示及安全防護方案驗證。

    隨著“中國制造2025”進程的加深，冶金行業(yè)自動化信息完全建設(shè)將迎來高速發(fā)展時代，但同時所面臨工業(yè)控制信息安全問題也日益嚴(yán)峻。如井柯引用狄更斯《雙城記》中的那句話，“這是一個最好的時代，也是一個最壞的時代”，工業(yè)控制網(wǎng)絡(luò)安全之路任重道遠，匡恩網(wǎng)絡(luò)作為工業(yè)4.0時代的網(wǎng)絡(luò)安全專家，專注于解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，為“中國制造2025”保駕護航。