1.行業(yè)概述
自來水廠的自動(dòng)化生產(chǎn),主要是指使用工業(yè)控制系統(tǒng)檢測(cè)現(xiàn)場(chǎng)水質(zhì)狀況、控制工藝設(shè)備運(yùn)行(如加藥設(shè)備、水泵機(jī)組、機(jī)組電氣柜等),實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)采集與上傳,工藝電控設(shè)備的順序、條件、計(jì)時(shí)、計(jì)數(shù)控制、PID調(diào)節(jié)控制等功能,并按照工藝要求依次完成混凝反應(yīng)、沉淀處理、過濾處理、濾后消毒、加壓供水等環(huán)節(jié),最終將純凈衛(wèi)生的自來水可靠地送入千家萬戶的過程。
2.安全隱患與關(guān)鍵設(shè)備
自來水生產(chǎn)供給行業(yè)最大的安全隱患在于自來水的輸、配送管網(wǎng)線路鋪設(shè)范圍廣,通常采用大量的GPRS無線通訊方式進(jìn)行管網(wǎng)狀況的數(shù)據(jù)傳輸,傳輸?shù)臄?shù)據(jù)不加密,傳輸?shù)膱?bào)文容易被截獲,從而給非法入侵提供了可乘之機(jī)。
其次,水務(wù)行業(yè)大多時(shí)成套系統(tǒng),生產(chǎn)設(shè)備與控制系統(tǒng)配套使用,嚴(yán)重依賴國(guó)外的產(chǎn)品與技術(shù),部分控制系統(tǒng)存在安全漏洞與固有后門,一旦被黑客利用,后果不堪設(shè)想。
3.典型安全事件
據(jù)英國(guó)《每日郵報(bào)》11月21日?qǐng)?bào)道,美國(guó)基礎(chǔ)設(shè)施控制體系專家稱,黑客通過一臺(tái)位于俄羅斯的電腦入侵了美國(guó)伊利諾伊州斯普林菲爾德市(Springfield)的公共供水網(wǎng)絡(luò)系統(tǒng),毀掉了一個(gè)向數(shù)千戶家庭供水的水泵。這是國(guó)外黑客首次瞄準(zhǔn)美國(guó)工業(yè)設(shè)施網(wǎng)絡(luò)監(jiān)控系統(tǒng)。黑客從一家軟件公司獲得授權(quán)信息,竊取用戶姓名和密碼,約在9月初開始侵入伊利諾伊州首府斯普林菲爾德以西一處農(nóng)村地區(qū)水利控制系統(tǒng),頻繁開關(guān)一個(gè)水泵,直至11月8日馬達(dá)報(bào)廢,公司職員才發(fā)現(xiàn)水泵的監(jiān)控與數(shù)據(jù)采集系統(tǒng)異常。這次攻擊事件表明,這家美國(guó)公司的“監(jiān)控和數(shù)據(jù)采集系統(tǒng)”(SCADA)軟件系統(tǒng)存在漏洞。這種軟件也在核電站、天然氣管道、水壩和火車運(yùn)行、鉆油平臺(tái)等關(guān)鍵設(shè)施中使用。
4.典型的攻擊方式
4.1遠(yuǎn)程控制攻擊
攻擊者利用別人的計(jì)算機(jī)隱藏他們真實(shí)的IP地址后,尋找在企業(yè)內(nèi)網(wǎng)中且聯(lián)接外網(wǎng)的目標(biāo)主機(jī),通過使用掃描器工具,獲取目標(biāo)主機(jī)操作系統(tǒng)、帳戶、WWW、FTP、Telnet 、SMTP等服務(wù)器程式版本等資料,為入侵作好充分的準(zhǔn)備。進(jìn)而利用社會(huì)工程學(xué)、工具和漏洞對(duì)賬號(hào)進(jìn)行破解,通過FTP、Telnet等工具利用系統(tǒng)漏洞進(jìn)入目標(biāo)主機(jī)系統(tǒng)獲得控制權(quán)之后,清除記錄并留下后門,以便日后可以再次進(jìn)入系統(tǒng)。通過類似手法層層向下滲透,直到基礎(chǔ)控制層,最終直接控制DCS系統(tǒng)控制器,造成生產(chǎn)破壞、生產(chǎn)數(shù)據(jù)和工藝流程數(shù)據(jù)被泄露。
4.2U盤攻擊
典型的U盤攻擊主要有三種:
1)USB RUBBER DUCKY:簡(jiǎn)稱USB橡皮鴨,是最早的按鍵注入工具,通過嵌入式開發(fā)板實(shí)現(xiàn),后來發(fā)展成為一個(gè)完全成熟的商業(yè)化按鍵注入攻擊平臺(tái)。它的原理是將USB設(shè)備模擬成為鍵盤,讓電腦識(shí)別成為鍵盤,然后進(jìn)行腳本模擬按鍵進(jìn)行攻擊。
2)TEENSY:TEENSY是攻擊者在定制攻擊設(shè)備時(shí),向USB設(shè)備中置入一個(gè)攻擊芯片,此攻擊芯片是一個(gè)非常小而且功能完整的單片機(jī)開發(fā)系統(tǒng)。通過TEENSY可以模擬出一個(gè)鍵盤和鼠標(biāo),當(dāng)插入這個(gè)定制的USB設(shè)備時(shí),電腦會(huì)識(shí)別成一個(gè)鍵盤,利用設(shè)備中的微處理器與存儲(chǔ)空間和編程進(jìn)去的攻擊代碼,就可以向主機(jī)發(fā)送控制命令,從而完全控制主機(jī),無論自動(dòng)播放是否開啟,都可以成功。
3)Bad USB:最新出現(xiàn)的一種攻擊手段,不需要進(jìn)行硬件定制,更具有普遍性。通過對(duì)U盤的固件進(jìn)行逆向重新編程,改寫了U盤的操作系統(tǒng)進(jìn)行攻擊。惡意代碼存在于U盤的固件中,由于PC上的殺毒軟件無法訪問到U盤存放固件的區(qū)域,因此也就意味著普通殺毒軟件和U盤格式化都無法應(yīng)對(duì)BadUSB進(jìn)行攻擊。
U盤的入侵攻擊通常會(huì)給上位機(jī)和控制器植入病毒,造成數(shù)據(jù)泄露和文件丟失,導(dǎo)致現(xiàn)場(chǎng)生產(chǎn)異常等情況。
4.3中間人攻擊
中間人攻擊(Man-in-the-MiddleAttack,簡(jiǎn)稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的計(jì)算機(jī)放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)或上位機(jī)與DCS系統(tǒng)控制器之間。當(dāng)兩者通訊時(shí)其實(shí)由中間人計(jì)算機(jī)進(jìn)行轉(zhuǎn)發(fā),中間人不僅可以監(jiān)聽兩者通訊的內(nèi)容,甚至可以偽造通訊信息轉(zhuǎn)發(fā)給雙方,對(duì)雙方進(jìn)行欺騙從而達(dá)到自己的目的。中間人攻擊會(huì)造成數(shù)據(jù)泄露、現(xiàn)場(chǎng)上傳數(shù)據(jù)與實(shí)際數(shù)據(jù)不符等情況。
4.4水坑攻擊
水坑攻擊是指黑客通過分析企業(yè)內(nèi)部人員的網(wǎng)絡(luò)活動(dòng)規(guī)律,尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點(diǎn),例如工控論壇或供應(yīng)商網(wǎng)站。先攻下該網(wǎng)站并植入攻擊代碼,等待被攻擊者來訪時(shí)實(shí)施攻擊。一旦被攻擊用戶訪問了事先被植入攻擊代碼的網(wǎng)站,并將帶木馬的文件或軟件安裝到現(xiàn)場(chǎng)主機(jī)上,木馬病毒就會(huì)一邊采集現(xiàn)場(chǎng)數(shù)據(jù)一邊將信息加密并傳輸?shù)紺&C服務(wù)器上。
5.拓?fù)浣Y(jié)構(gòu)
5.1安全審計(jì)設(shè)計(jì)
建立專門針對(duì)本廠的在線全網(wǎng)監(jiān)控審計(jì)平臺(tái),可以實(shí)現(xiàn)以下目標(biāo):
(1)可以提供整個(gè)控制網(wǎng)絡(luò)的總體運(yùn)行情況,自動(dòng)識(shí)別網(wǎng)絡(luò)設(shè)備,顯示網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài),進(jìn)行網(wǎng)絡(luò)性能綜合分析。
(2)針對(duì)工業(yè)控制系統(tǒng)重要的網(wǎng)絡(luò)節(jié)點(diǎn)或區(qū)域,監(jiān)測(cè)所有數(shù)據(jù)包,并對(duì)數(shù)據(jù)包進(jìn)行深度解析,發(fā)現(xiàn)異常或非法操作數(shù)據(jù)包,分析是否有外界入侵或人員誤操作,并對(duì)所有異常情況發(fā)出報(bào)警,提醒現(xiàn)場(chǎng)操作人員。
(3)對(duì)網(wǎng)絡(luò)中存在的所有活動(dòng)提供行為審計(jì)、內(nèi)容審計(jì),產(chǎn)生完整記錄便于事件追溯。
5.2入侵防范設(shè)計(jì)
針對(duì)于工業(yè)控制系統(tǒng)設(shè)備的專業(yè)防護(hù),匡恩工業(yè)控制網(wǎng)絡(luò)智能保護(hù)平臺(tái)為工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護(hù),并且完整覆蓋了工業(yè)控制系統(tǒng)整個(gè)漫長(zhǎng)的生命周期。
智能保護(hù)平臺(tái)能夠保障DCS控制器安全,根據(jù)自帶的漏洞特征庫,智能識(shí)別出自來水廠控制系統(tǒng)網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異??刂菩袨楹头欠〝?shù)據(jù)包,及時(shí)對(duì)其進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù)。
5.3互聯(lián)接口安全功能設(shè)計(jì)
數(shù)據(jù)采集隔離平臺(tái)是針對(duì)工控系統(tǒng)在數(shù)據(jù)采集過程中進(jìn)行數(shù)據(jù)交換時(shí)遇到的安全難題,并結(jié)合自來水廠的工業(yè)控制系統(tǒng)現(xiàn)狀,進(jìn)行開放式全方位綜合防御及保護(hù)的平臺(tái)。數(shù)據(jù)采集隔離平臺(tái)可對(duì)自來水廠大規(guī)模的無線數(shù)據(jù)采集及與調(diào)度中心通訊過程中可能遇到的數(shù)據(jù)泄露、病毒入侵等威脅提供全方位的監(jiān)測(cè)、過濾、報(bào)警和阻斷。
5.4上位機(jī)安全防護(hù)
工業(yè)控制系統(tǒng)內(nèi)的上位機(jī)和服務(wù)器一般具有下列顯著特征:運(yùn)行時(shí)間長(zhǎng);操作系統(tǒng)版本控制混亂;因?yàn)椴荒苈?lián)網(wǎng)而無法進(jìn)行補(bǔ)丁升級(jí)操作;U盤、USB硬盤等便攜式可插拔存儲(chǔ)設(shè)備無法嚴(yán)格管理;運(yùn)維人員對(duì)主機(jī)內(nèi)后臺(tái)運(yùn)行的程序不甚了解;沒有安裝專業(yè)的工控防病毒軟件,無法檢測(cè)主機(jī)是否存在病毒威脅。正是這些嚴(yán)重威脅工業(yè)控制系統(tǒng)整體安全的問題,導(dǎo)致系統(tǒng)內(nèi)的主機(jī)成為攻擊者最佳攻擊跳板。
“工控衛(wèi)士”是匡恩網(wǎng)絡(luò)依托技術(shù)優(yōu)勢(shì),充分研究、吸收工控網(wǎng)絡(luò)安全攻防技術(shù)的前沿成果,專門為工控主機(jī)提供的一款防護(hù)產(chǎn)品,實(shí)現(xiàn)對(duì)工控上位機(jī)與工控服務(wù)器全面的安全防護(hù)。將防護(hù)軟件安裝在所有上位機(jī),即可實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)主機(jī)進(jìn)行防護(hù)的目的。