工业控制系统的重要性、脆弱的安全状况以及日益严重的攻击威胁,已引起了世界各国的 高度重视,并在政策、标准、技术、方案等方面展开了积极应对[LYHC2012]。进入 2013 年以来 工业控制系统安全更成为备受工业和信息安全
领域研究机构关注的研究热点。因为历史上相对封闭的使用环境,工业控制系统在开发时多重视系统的功能实现,对安全 的关注相对缺乏。不像传统 IT 信息系统
软件在开发时拥有严格的安全软件开发规范及安全测 试流程,这必然造成工业控制系统不可避免地拥有较多的安全缺陷。因此,针对工业控制系 统软件自身的安全性评测分析及脆弱性评估是当前首要考虑的问题。美国国土安全部(The U.S. Department of Homeland Securty,DHS)的控制系统
安全 计划(Control System Security Program,CSSP)建立了依托工业控制系统模拟仿真平台、 综合采用现场检查测评与实验室测评相结合的测评方法[DHS2011],以实施工业控制系统产品的 脆弱性验证和分析工作。美国国土安全部下属的 ICS-CERT(工业控制系统应急响应小组)及 CSSP 通过对工业控制系统软件的缺陷性分析发现,工业控制系统软件的安全脆弱性问题主要 涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面(如图 1.1 所示)。 尤其是错误输入验证方面的脆弱性在 2009-2010 年度参与测评的工业控制系统软件中占到 45%,这可能会轻易地通过输入不正确的参数,而造成系统故障,显然这种脆弱性对工业控 制系统的正常运行具有极大的威胁。图 1.1 ICS-CERT 及 CSSP 对工业控制系统软件的脆弱性评估分析
同时,工业控制系统应急响应小组(ICS-CERT)更是专注于工业控制系统相关的安全事 故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持;通过信息产品、 安全通告以及漏洞及威胁信息的共享提供工业控制系统安全事件监控及行业安全态势分析, 并以季度报告的方式公开发布[ICSCERT1] [ICSCERT2]。2012年 10月至 2013年 3月期间,ICS-CERT 监测到 200 多起工业控制系统安全事件,其中主要集中在能源、关键制造业、交通、通信、 水利、核能等领域(图 1.2),而能源行业的安全事故则超过了一半。
图 1.2 ICS-CERT 关于安全事件行业分布分析(2012.10-2013.03)
结合 ICS-CERT 往年的安全事件统计数据结果可知,近年来,工业控制系统相关的安全 事件正在呈快速增长的趋势(如图 1.3 所示)。由图中可知,ICS—CERT 在 2013 年上半年 统计到的安全事件数已经超过了 2012 年全年的安全事件数。
ICS-CERT统计的工控安全事件(按财年)
工控事件 100
图 1.3 ICS-CERT 统计的工业控制系统安全事件(按财年①统计)
此外,CVE 漏洞库也对工业控制系统相关的漏洞非常重视,目前公开的工业控制系统漏 洞数以百计,并提供相关漏洞的修补信息。近年的各种信息安全大会上工业控制系统安全已 成为一个热点话题 [RSA2013] [GK2013], 美国国家标准与技术研究 院 ( National Institute of Standards and Technology,NIST)积极推进工业控制系统的相关安全标准,2013 年 5 月份 又进一步推出了《工业控制系统安全指南》(NIST SP 800-82)[NIST-1]的最新修订版。
近年来国内电力、高铁、市政、石化行业也出现了一些因病毒入侵所造成的一些安全事件, 并造成了一定经济损失,这些安全事件引起了主管部门及用户的极大重视。
2013 年国内已做了大量的关于工业控制系统安全的工作:工业控制系统相关的安全标准 正在制订过程中,电力、石化、制造、烟草等多个行业,已在国家主管部门的指导下进行安 全检查、整改[工信部 451][电监会 2013][国家烟草局 2013]。在此背景下,我们从 2012 年开始也在积极地开展 工业控制系统安全相关的研究工作、技术合作、技术研讨会;在启动相关安全产品的开发、
① 这里的财年计算方法是从上一年的 10 月开始至下一年的 9 月结束。
发布工业控制系统安全研究报告[LYHC2012]的同时,寻求与行业用户合作筹建联合实验室;力图 实现工业控制系统的企业(用户)、工业控制系统厂商、信息安全厂商、行业主管部门的多 方位战略合作。
虽然国内关于工业控制系统安全的研究及产业化工作刚刚展开。但随着工业化与信息化的 深度融合,智能化的工业控制系统在电力、交通、石化、市政、制造的涉及到国计民生的各 行各业的重要性也越来越重要,来自信息网络的安全威胁将逐步成为工业控制系统所面临的 最大安全威胁,也是我们当前需要迫切进行研究并及时解决的重大问题。不管攻击者的目的 是出于经济的目的(比如南美某国电网被攻击者敲诈勒索[Event2008])、意识形态的纷争[stuxnet1] (比如:燕子行动[LHP2013-1])甚至是国家间网络战对抗[News2012]的需要,我们必须深入研究工 业控制系统的安全性及其可能遭受到的各种威胁,并提供切实有效的安全防护措施,以确保 这些时刻关系到国计民生的工业控制系统的安全运营。从这个角度来看,工业控制系统安全 相关的产品将不可避免地具有广阔的市场发展前景。根据工信部电子科学技术情报研究所 2013 年 8 月 8 日发布的《2013 年中国工业控制系统信息安全市场研究报告》的预测数据可 知[GK2013]:2012 年,中国工业控制系统信息安全市场已达到 11 亿元,未来五年仍将保持年均 15%的增长速度,并将着重于安全审计及运营服务方面。 而根据工控网的预测:中国工业网 络安全市场有望在 2015 年达到超 20 亿元的规模,并以每年超过 30%的复合增长率。
行业用户的安全意识培训、工业控制系统的安全状况调查及系统脆弱性评估与整改将是近 期的主要工作任务。这就需要建立工业控制系统的安全性测评验证机制,提供系统漏洞信息 及厂商的漏洞修补方案及安全补丁的及时通报、分享及可用性验证机制。而以模拟仿真平台 为基础的系统脆弱性验证服务和自主可控的测评服务已成为当前工业控制系统信息安全的一 种必然趋势。
本文期望在上一期关于工业控制系统及其安全性分析的综述性技术报告的基础上,重点探 讨工业控制系统的脆弱性及相关新型攻击技术;并结合行业应用分析电力、市政等领域工业 控制系统的安全性及典型攻击场景,提出基于实践的安全建议。期望本报告能够为日益关注 工业控制系统安全的用户及相应监管部门提供实用性的帮助。
为方便读者的阅读,这里对报告后续内容的组织逻辑进行简单介绍。
依据绿盟科技 2012 年上半年的安全威胁态势报告[BL2012]针对整个IT 行业漏洞发展趋势 的分析及预测结果(如图 2.1):从 2011 年第二季度开始信息网络及系统相关的高风险的安 全漏洞正在逐渐被雪藏。造成这种现象的最大可能就是:针对伊朗核电站的“震网病毒”事 件之后,大量高风险未公开漏洞通过地下经济出卖或被某些国家/组织高价收购,并被利用来 开发 0-day 攻击或高级持久威胁(Advanced Persistent Threat ,简称 APT)的攻击技术, 为未来可能的网络对抗做准备。因此,利用 0-day 漏洞的新型攻击正成为网络空间安全防护 的新挑战,而涉及国计民生的电力、交通、市政、化工、关键制造业等行业的工业控制系统 在工业化和信息化日益融合的今天,将极大可能地成为未来网络战的重要攻击目标。
低 中 高
图 2.1 2010-2012 漏洞按风险级别分类的统计分析
随着我国工业化与信息化深度融合的快速发展,成熟的 IT 及互联网技术正在不断地被引 入到工业控制系统中,这必然因为需要与其它系统进行互联、互通、互操作而打破工业控制 系统的相对封闭性。由于工业控制系统开发时仅重视系统功能实现而缺乏相应的安全考虑, 现有的工业控制系统中难免会存在不少危及系统安全的漏洞或系统配
脆弱性均有可能被系统外部的入侵攻击者所利用,轻则干扰系统运行、窃取敏感信息,重则 有可能造成严重的安全事件。
本章将从工业控制系统公开安全漏洞的统计分析入手,来讨论工业控制系统的安全脆弱 性及其检测防护的问题。*
本文以绿盟科技安全漏洞库收录的工业控制系统相关的漏洞信息为基础,综合参考了美 国 CVE[CVE]、ICS-CERT 以及中国国家信息安全漏洞共享平台①所发布的漏洞信息[CNVD],共整 理出了 386 个与工业控制系统相关的漏洞(截至到 2013 年 12 月)。 因在 2012 年的工业控 制系统安全研究报告[LYHC2012]中对 2013 年之前工业控制系统的公开漏洞的情况分析较为详细, 本文将重点分析 2013年新增漏洞的统计特征和变化趋势,主要涉及公开漏洞的总体变化趋势、 漏洞的严重程度、主要工业控制系统厂商分布情况等数据的对比分析。
图 2.2给出了截止到 2013年 12月之前所公开发布的的工业控制系统相关漏洞按年度进行 统计分析的结果。从图中可以很明显地看出:公开 ICS 漏洞数总体仍呈增长趋势,但 2013 年 漏洞数增长变缓。
通过对漏洞的统计分析,图 2-4、图 2-5 给出了公开漏洞所涉及的主要工业控制系统厂商 及各厂商的系统中所发现漏洞及其占漏洞库中所有漏洞的比例。
分析结果表明,公开漏洞所涉及的工业控制系统厂商主要是国际著名的工业控制系统厂商。 但国内也有两家工业控制系统厂商进入到了前十的行列,其中北京亚控科技发展有限公司(亚 控科技,WellinTech)公布有 17 个漏洞,其中被 CVE 收录 14 个,北京三维力控科技有限公 司(力控科技,Sunway)搜集到 11 个相关漏洞,其中被 CVE 收录 2 个。虽然图 2.4、图 2.5 反映的是这些公司产品的脆弱性问题,但这些数据也很可能与这些公司产品的市场排名有较 大的联系。
需要说明的是:各厂商产品的漏洞数量不仅与产品自身的安全性有关,而且也和厂商的产 品数量、产品的复杂度、受研究者关注程度以及工业控制系统厂商对自身系统安全性的自检 力度等多种因素有关。因此,我们并不能简单地认为公开漏洞数量越多的厂商产品越不安全。