智能制造带来的工业信息安全思考
发表时间:2019-10-08 05:24:39 作者:雕刻机

随着工业化与信息化融合的浪潮,工业控制系统(industrial control system, ics)与it系统已经密不可分。现代工控系统自身正逐步采用通用的tcp/ip标准协议、通用的操作系统,同业务系统等其它信息系统的连接也越来越多。原来相对封闭的工控网络环境日趋开放,工控系统逐渐暴露在网络威胁之下。

截至2018年3月,risi(the repository of industrial security incidents)数据库已经收集了242起全球著名的工控安全事件。其中以震网病毒和火焰病毒危害最为巨大,令人思之犹有余悸。工控系统与it系统的一大区别是,前者直接与实际受控物理设备互动。一旦工控系统遭受破坏,可能导致物理世界中不可逆转的重大灾难。因此工控信息安全比单纯企业信息系统的安全问题更加重要。智能制造将云计算、大数据、物联网等技术引入工业制造,在提升生产效率的同时,也将工控系统至于更加开放不确定的环境中,安全问题可能更加严峻。

智能制造带来的工业信息安全思考

著名工控安全事件分析

2010年,震网病毒stuxnet入侵伊朗的ics系统,致使布什尔核电站长时间停运。

"震网"(stuxnet)是一种windows平台上的计算机蠕虫病毒。其传播途径是首先感染外部主机;然后感染u盘,利用快捷方式文件解析漏洞,传播到内部网络;在内部网络中,通过快捷方式解析漏洞、rpc远程执行漏洞、打印机后台程序服务漏洞等,实现联网主机之间的传播;通过伪装realtek 和jmicron两大公司的数字签名,顺利绕过安全产品的检测;最后抵达安装有simatic wincc软件的主机,展开攻击。"震网"病毒能控制关键进程并开启一连串执行程序,最终导致整个系统自我毁灭。

核设施工控网络是内部网络,相对安全,但仍被通过“摆渡”的方式入侵,造成了重大灾难。入侵利用了多个系统的零日漏洞,而且能伪造大公司的数字签名,实在值得高度警惕。

2011年,黑客入侵数据采集与监控控制系统(supervisory control and data acquisition,scada)系统,破坏了美国伊利诺伊州城市供水系统的一台供水泵。此次事件虽未造成重大损失,但足以引起国际上高度关注。因为scada系统广泛应用于电力、能源行业,这些关键行业的scada系统一旦被控制,造成的损失不可估量。

2012年,flame火焰病毒袭击了伊朗的相关设施,还影响了整个中东地区。该病毒具有超强的数据攫取能力,收集的信息不仅包括键盘输入、语音输入,还包括屏幕输出及各种外设通信,几乎包括了计算机系统的所有输入输出。

火焰病毒被官方机构和杀毒厂商认定为迄今最复杂、最危险的病毒威胁。病毒文件达到20mb,代码量巨大,组织复杂,要分析透彻,可能要花费几年时间,想要彻底防御非常困难。该病毒只入侵特定的目标,潜伏性很强。完成搜集数据的任务后,该病毒还会自我毁灭,更增加其隐蔽性。目前火焰病毒主要处于潜伏状态,但可能已经收集了大量关键数据,一旦发起攻击将是致命的。

2015年12月,blackenergy病毒攻击scada系统,乌克兰至少有三个区域的电力系统被攻击导致大规模停电。blackenerngy利用微软office的cve-2014-4114漏洞,把恶意脚本封装在一个office文档中。当电力系统员工打开这个包含ole对象的office文档时,ole中的恶意脚本执行,下载病毒程序并加入开机启动项。blackenerngy包含了killdisk程序,会删除包含执行文件在内的各种文件,从而破坏scada系统和人机接口(human machine interface,hmi)终端。由此可知,blackenergy对于scada系统的攻击源头依然是来源于商业操作系统的漏洞。

智能制造带来的新安全挑战

传统的工业控制网络如下图所示。企业信息网与内部的生产控制网络组成一个较封闭的环境。要入侵这样的系统,需要通过介质的摆渡攻击或者恶意邮件、买通内部员工等社会工程手段来入侵。

智能制造带来的工业信息安全思考

图1 传统工控网络示意图

智能制造的变革打破了传统ics的封闭环境,它融合云计算技术、大数据技术、物联网技术,将生产制造环节与互联网信息系统连接起来,实现资源整合共享、生产智能化自动化,从而达到降低运营成本、缩短研制周期、提高生产效率的目标。智能制造环境下网络环境如下图所示。

智能制造带来的工业信息安全思考

图2 智能制造网络环境

早在2010年提出的云工厂概念勾勒了智能制造的原型。云工厂受到互联网云概念的启发,认为一切都可以抽象成服务,包括设计服务、生产服务、测试服务、仿真服务、管理服务等。通过服务抽象,达到资源共享的目标。