1、引言
2021年5月10日,美国政府宣布美国17个州和华盛顿特区进入紧急状态,原因是由于当地最大燃油管道运营商遭遇了网络攻击,所以被迫关闭美国东部沿海各州的关键燃油网络。此事件一出,舆论哗然,依靠网络信息技术拔得世界头筹的美国竟然面对黑客攻击断网了。而这也恰恰为工控系统的安全再次敲响警钟。工控安全与一个国家的经济命脉紧密相连,必须全力保障工控安全,尤其是工业控制中关键基础设施的安全。
2、工控网络面临的风险
2.1 什么是工控网络
工控网络是工业数据通信与控制网络的简称,是近年来发展形成的自动控制领域的网络技术,是计算机网络、通信技术与自动控制技术结合的产物。随着人工智能技术的发展,工控网络从自动化也逐步向智能化迈进。工控网络具有实现互连设备间、系统间的信息传递与沟通的互操作性;还具有可以与世界任何地方遵守同标准的其它设备连接的系统开放性;与此同时,工控网络还可以与红外线、电力线、同轴电缆等很多设备合作,去适应不同的现场环境,并可提供实时通信,还具有时间管理功能。
工控网络各部分分层图示如下:
2.2 勒索软件对工控网络的危害
为了完成工业控制应用,工控网络基于设备和系统形成了不同的组织和分工,接入网络中的各种设备通过应用程序实现不同的功能,再通过工控网络实现相互之间的通讯交流,相互配合完成不同的工业控制应用。
工控应用中,最常见到的攻击就是勒索软件攻击。勒索软件是一种木马病毒,一般以邮件、程序木马、网页挂马的形式进行传播,其病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。所以,勒索软件对工控应用的危害性也非常大。
在工控系统运行过程中,假如在网络中的一个设备被注入了病毒(勒索软件),那么这台设备就有可能会被修改,去执行工控系统本身要求之外的其他应用,比如将采集的数据发送给非法用户,或者向网络中的其他设备继续发送扩展病毒,直至整个网络瘫痪,甚至直接攻击核心设备,造成数据泄露,控制失灵,甚至是大的灾难事故!
从2019年以来,6月,美国飞机零部件供应商ASCO遭勒索软件攻击;11月,墨西哥国有石油公司Pemex遭勒索软件攻击;12月英国核电站遭受攻击等等,基本都在通过勒索软件实现的攻击。而这些被攻击的对象也恰恰是对工控安全网络的防护缺乏认证,缺少手段造成的。
当然,这些勒索软件注入都是非法者找到了设备的系统漏洞或者发现了系统后门,通过黑客技术悄悄完成的。在这个过程中,工控网络的管理者甚至没有一点感知,当最终感觉到的时候,可能已经造成了破坏!而这些非法操作,对于没有安全防护的工控系统来讲,实现攻击并非难事。
3、工控网络安全防御的两个关键点
3.1、工控系统的主动防御与技术实现
针对勒索软件的防御,传统的安全手段一般是为工控系统加载病毒库,采用杀毒软件的方式来进行的。杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具,它是基于代码特征进行筛选而实现病毒查杀的。所以,杀毒软件只能针对已知病毒展开分析、识别和查杀,这对于一般的商业软件或系统来讲,效果直接且明显,但是,对于涉及国家经济、生产的工控网络来讲并不起作用。
针对工控网络的攻击,非法者往往是通过最新编制的勒索病毒软件来实现攻击的,面对这种最新的勒索病毒,杀毒软件其实根本不起作用。所以,通过增加病毒库实现防护的这种被动防御方式并不适合工控网络防护,随着病毒种类的不断增加,工控系统还需要加载更多的病毒库,这除了会大大增加工控系统的负担外,还会大大增加工控安全防护成本的投入,而实际上这种被动防御的效果平平。
那么,如何才可以建立工控系统的主动防御呢?
如果在应用系统自身运行的过程中加入安全防御,将安全防御执行代码作为系统软件执行代码的一部分,不论系统是否会遭遇安全攻击,软件程序都会执行相关的安全防御功能,这样就可以实现工控系统的主动防御,而这种主动防御,也恰恰是近两年密码安全行业提出的零信任构架实践的核心。
但对于系统主动防御的实现,有一点必须明确:那就是安全防御的增加不能让系统运行效率降低,运算开销增加,否则这样的安全防御将会拖垮系统,导致更严重的问题发生。在工控系统应用中,系统一般会接收到两类数据:一类就是感知数据,一类就是执行数据。工控系统主动防御实际上就是要对这两个类数据的进行高效率的真实性判别,从而保证系统的安全稳定运行。
对数据的真实性判别目前采用的方式都是公钥密码体制,通过公私钥对的方式实现数据的真实性研判,传统的PKI(即:Public Key Infrastructure) CA体制,也就是我们常说的证书公钥体系是一种方式,PKI采用了中心认证的方式,对工控网络带宽要求高,所以一般是在工控网络中的企业资源层和生产管理层中使用,主要针对人与人之间的、人与系统之间的数据交换与认证,而在工控网络的过程监控层、现场控制层、现场设备层,全部是是物与物之间的数据交换与认证,PKI中心化认证的方式会严重降低系统的执行效率,而是采用IPK(即:Identity Public Key)标识公钥体制来实现。IPK是一种轻量级密钥技术,无需证书参与,基于设备MAC或者自定义标识实现点对点本地认证,低功耗、高效能,满足窄带通信要求,可对海量终端实现密钥签发管理,可很好地满足工控网络过程监控层、现场控制层、现场设备层的数据交换与认证。
3.2 工控网络终端身份认证与技术实现
在实现工控系统零信任主动防御的同时,对于在工控网络中过程监控层、现场控制层、现场设备层的各种终端设备来讲,是否真实、可靠就变得尤为重要。在工控网络中,虽然工控系统程序可以实现主动安全防护,但如果在工控网络中存在了一个假冒的设备,也会造成系统运行的紊乱,使得整个工控网络也出现安全漏洞。随着工控应用自动化到智能化的发展与推进,越来越多的智能终端被加入到工控网络中,每一个智能设备都会拥有自己独立的系统,而这些系统都无法避免的存在系统漏洞,这将会给非法者的入侵创造更多的机会。
在工控系统中,分布在过程监控层、现场控制层、现场设备层的各种终端设备承担着极其重要的作用,他们通过对工控数据采集上传,实现工控应用的分析预测,从而更好地实现工控系统执行的智能化。当这些设备一旦遭遇攻击替换后,上传的数据就会出现问题,可能导致系统做出错误判断,执行错误的命令,形成严重的后果。
实现对终端的真实性判断也就是要实现对终端的身份认证。为了保证终端的安全,终端密钥必须具有唯一性,即使是密钥中心也不能知道终端的密钥,因为一旦密钥中心可以推算出终端密钥,甚至密钥中心备份了终端密钥,那么密钥中心一旦被攻击,甚至遭遇脱库,终端密钥将被泄露,这相当于公开了每台设备自己的身份信息,对于整个工控网络来讲,这将是灾难性的,其安全防护体系会被瞬间击垮!也就没有安全防御可言了。
工控网络终端的真实可靠依赖于密钥中心签发的密钥,这条密钥相当于终端自己的身份证,只能由终端持有,而密钥中心无须备份、且无法推算出终端密钥,这一点非常重要。这种情况下,假设出现了极端情况,非法者最多也就只能获取一台设备的密钥,对于整个工控网络来讲也很容易进行处理。
在工控网络的过程监控层、现场控制层、现场设备层的终端认证一般采用IPK(即:Identity Public Key)标识公钥体制实现,在终端密钥生成过程中,由密钥中心和终端设备共同参与生产,并在终端侧最终复合生成终端密钥,密钥中心不知道终端密钥,这样就解决了密钥只能由中心生成的信任问题,IPK密钥生成方式使得密钥中心无法得到终端密钥,同时签名满足电子签名法。
4、结束语
工控网络与互联网不同,工控网络的应用不是基于人本身,而是集中在工控网络中的各种终端设备上。在工控网络的过程监控层、现场控制层、现场设备层的应用场景中,有的存在窄带通讯、低功耗要求,有的终端部署数量众多、分布很广,同时,工控应用本身还会存在一些特殊性要求,这就使工控网络的安全需求与传统的、以人为主体的互联网完全不同,尤其工控网络更需要的不影响业务应用的快速认证,传统的中心化认证方式显然是无法适应的,必须采用点对点、低功耗认证方式。
然而,安全始终是防患于未然的,出了事才想到如何防护,那就为时已晚。另外,安全不能盲目,绝不能因为增加安全防护却降低了系统运行效率,那就得不偿失了。实现一个工控系统最基本的安全防护,至少需要两个方面:一个就是要建立工控业务系统自身的主动防御,另一个就是对工控网络设备层终端做好身份认证。随着科技的告诉发展,工控网络智能化将逐步成为主流,安全防护也就成为国家与工控企业关注的重点。
引石老王:从事信息安全工作20年,国内首批商业密码从业人员,国家商业密码应用的参与者与见证者。专注物联网、人工智能应用的远程控制指令的加固授权,致力于系统的反劫持防御与信息安全反黑。
关注引石老王,为您解读安全与高科技,提高安全意识,保障个人信息安全。欢迎关注交流、留言探讨,期待与您的互动!