( 数据来源 :2011 年剑桥大学 ) 上面这两张图片来自剑桥大学 2011 年提供的一个分析报告, 通过这个报告我们可以看出, 只要通过网络搜索引擎 (Shodan 搜索引擎 ) 进行简单

智能制造与工业 4.0 时代的信息安全菲尼克斯电气 mguard 为控制系统保驾护航随着智能制造与工业 4.0 战略的提出, 工业生产的数字化成为一种不可阻挡的未来趋势, 高度融合 IT 技术的工业自动化将会得到迅速而广泛的应用, 对于工业控制系统的信息安全的关注将达到前所未有的高度和广度威胁信息安全的主要包括黑客攻击病毒数据操纵蠕虫和特洛伊木马等技术数据显示, 黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统, 主要目标集中在能源水利化工政府机构以及核设施等领域信息安全事件呈逐年上升的趋势, 其背后不乏犯罪商业间谍恐怖主义甚至某些国家赞助的间谍活动菲尼克斯电气是 mguard 工业防火墙技术的发明者, 也是工业信息安全的技术和市场领导者 mguard 工业防火墙技术始于 2001 年, 在全球已经得到了十多万客户的应用和验证, 应用领域包括汽车机械制造仪表自动化能源和轨道交通等行业菲尼克斯电气可以为客户提供全面的工业信息安全产品和技术服务, 包括 mguard 硬件防火墙, 内嵌式的 Linux OS 内核程序,mGuard 相关软件解决方案以及 mguard 的各种定制化信息安全服务等那么, 工业控制系统信息安全所面临的主要威胁有哪些? 办公网络和工业网络信息安全的主要差异是什么? 典型的工业级网络防火墙的特点和优势体现在哪里? 本文将一一为您阐述 1 工业控制系统信息安全威胁分析 : 工业控制系统信息安全的潜在威胁主要来自黑客攻击病毒数据操纵蠕虫和特洛伊木马等 a) 来自黑客的攻击 : 目前, 由于安全制度的缺失, 大量的工业控制系统在完全没有保护的情况下被连接到互联网中, 而这些设备大都使用默认的用户名和密码, 可以轻易的被登陆和访问, 这些控制系统往往非常脆弱, 易于被攻击, 而最危险的是这些控制系统的使用者对这些危险毫无察觉

( 数据来源 :2011 年剑桥大学 ) 上面这两张图片来自剑桥大学 2011 年提供的一个分析报告, 通过这个报告我们可以看出, 只要通过网络搜索引擎 (Shodan 搜索引擎 ) 进行简单的搜索, 就可以找到连接在互联网的工业网络设备网站的研究者也曾使用 Shodan 定位到了核电站的指挥和控制系统及一个粒子回旋加速器, 真正的可怕之处就是这些设备几乎都没有安装安全防御措施, 可以随意进入黑客还可以利用黑客工具和技术, 例如侦察密码猜测攻击缓冲区溢出攻击安装后门嗅探伪造和欺骗拒绝服务攻击等手段对信息系统进行攻击和入侵某些黑客甚至将攻击 SCADA 系统的代码公布到网络上

由此可见, 黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统和 SCADA 系统中, 而其背后的目的包括犯罪商业间谍恐怖主义甚至某些国家赞助的间谍活动 b) 来自病毒的破坏由于操作维护人员第三方的系统维护服务商或访客的不当操作, 将有可能将隐藏在 U 盘移动设备笔记本电脑中的病毒传播到工业控制系统中如果没有防护措施, 这些病毒会利用系统的安全漏洞, 在网络中进行自我复制和传播, 感染工业控制计算机或攻击可编程控制器 i. 直接攻击 PLC 控制器的病毒 (Stuxnet) Stuxnet 蠕虫病毒 ( 超级工厂病毒 ) 是世界上首个专门针对工业控制系统编写的破坏性病毒, 能够利用对 windows 系统和工业控制软件的漏洞进行攻击 Stuxnet 蠕虫病毒会攻击可编程逻辑控制器 (PLC), 向 PLC 中写入数据, 并根据情况和需求改变 PLC 的流程该病毒可以通过 U 盘和局域网进行传播, 国内已有超过 500 万网民及多个行业的领军企业遭 Stuxnet 蠕虫病毒攻击, 而且由于安全制度上的缺失, 该病毒还存在很高的大规模传播风险

ii. ( 数据来源 :http://zh.wikipedia.org/wiki/%e9%9c%87%e7%bd%91#cite_note-27) 间接攻击的病毒 (Dragonfly / Havex) Dragonfly 病毒是继 Stuxnet 之后又一强大的病毒, 它的目标就是侵入特定的工业控制系统 (ICS), 窃取其系统信息和数据并做进一步的传播和扩散 Dragonfly 病毒是在 2014 年开始传播并被发现的, 黑客渗透了三个工业系统服务商的软件升级服务器, 致使其客户通过升级服务下载了数百个包含恶意软件的升级安装文件

iii. 可自我复制的恶意软件 (Conficker / Kido) Conficker 蠕虫是以微软的 windows 操作系统为攻击目标的计算机蠕虫病毒, 目前全球已有超过 1500 万台电脑受到感染 conficker 蠕虫使用特定的 RPC 请求在目标电脑上执行代码, 一旦发现网络中存在有漏洞的计算机系统, 就会激活该漏洞进行远程感染 Conficker 这一类的蠕虫病毒会增加网络负载, 造成网络的不稳定, 也会使被感染的系统 CPU 负载增高, 使得整个系统不可靠 ( 数据来源 :Conficker working group) c) 工业控制系统信息安全事件发生的数量和所受攻击类型的分析 : 据目前已知的数据显示, 工业控制系统的信息安全事件主要集中于能源水利

化工政府机构以及核设施等领域而且在中国, 这类事件的发生也呈逐年上升的趋势 250 200 工业控制系统信息安全事件 198 150 100 50 0 9 41 2009 年 2010 年 2011 年 2009 年 2010 年 2011 年工业控制信息系统所受攻击的来源分析通过 WIFI 5% 通过 HMI 接口 8% 通过移动设备 4% 通过 USB 端口 3% 通过互联网连接 9% 通过远程访问 26% 通过第三方服务商 10% 通过公司内部网络 35% ( 数据来源 : 权威工业安全事件信息库 RISI(Repository of Security Incidents) 2014) 从以上分析可以看出, 工业控制系统信息安全事件呈快速上升趋势, 且所受攻击可能来自方方面面, 幸运的是菲尼克斯电气所提供的 mguard 工业信息安全技术可以很好地解决以上问题 2 办公网络信息安全和工业自动化网络信息安全的主要差别办公电脑和网络与工业电脑和信息网络有很大区别, 针对信息安全所做的防护措施也不尽相同表 1 在办公室和工业环境中信息系统的不同特点

网络项目办公环境工业环境信息安全重要性优先级机密性 > 完整性 > 可用性可用性 > 完整性 > 机密性网络结构经常变化固定不变电脑硬件和操作系统经常更新和升级不更新和升级使用寿命三到五年十年甚至更长防护手段可以使用防火墙升级安全补丁和杀毒软件不能使用防火墙升级安全补丁和杀毒软件风险影响数据丢失危及生产设备和人身安全恢复能接受较长的恢复时间故障后要求快速恢复 / 代换信息系统安全性要求大多数情况现场不够安全同一个现场 Intranet 之间很少分隔关注中央服务器的安全性严密的物理安全性 MIS 网络与工厂网络隔离关注边界控制设备稳定性由上表可以看出, 工业控制计算机和工业网络在对安全性的要求使用寿命信息安全防护手段等方面有着特殊要求由于系统兼容性和稳定性的需要, 工业控制计算机往往都不会安装杀毒软件和经常升级系统补丁, 特别是一些服役多年的工控设备, 往往得不到更新支持, 这些毫无防护的控制系统非常脆弱病毒和毫无经验的黑客都可以对其发起致命性的攻击菲尼克斯电气的 mguard 工业防火墙技术不但可以防止黑客从网络入侵, 同时可以对病毒实现监控和防御 3 菲尼克斯电气 mguard 工业控制系统信息安全解决方案的特点菲尼克斯电气的 mguard 工业防火墙技术始于 2001 年, 为工业企业客户提供信息安全产品和相关技术服务, 目前在全球已经安装了超过 10 万个工业级防火墙主要的客户包括汽车机械制造仪表自动化能源轨道交通所提供的产品和服务包括 mguard 硬件防火墙, 内嵌式的 Linux OS 内核程序, mguard 相关软件解决方案以及 mguard 的各种定制化信息安全服务 mguard 主要安全性能介绍 : a) OPC 深度数据包监测技术

许多工业级蠕虫病毒都是通过远程过程调用 (RPC) 协议进行传播, 在现代工业控制系统中,RPC 协议被广泛使用, 工业集成技术 OPC Classic 就需要允许 RPC 通讯因此它经常被黑客和病毒利用, 用以攻击 SCADA 和工业控制系统如果禁用 RPC 协议, 会导致工业控制系统通讯故障,OPC 深度数据包监测技术 (DPI) 可以识别正常的 OPC 通讯请求, 并阻止恶意信息和不恰当的 SCADA/ICS 通讯, 同时避免对控制系统造成不必要的影响, 这在工业控制系统信息安全防护中是十分必要的 DPI 细粒度防火墙控制将精确地保证服务器与客户端之间的 OPC 通讯, 提供最高级别的安全, 确保针对蠕虫病毒的防护甚至,mGuard 的智能深度数据包检测技术还可以使 OPC 通讯在 NAT 路由模式下正常工作 ( 如 IP 掩蔽或 1:1NAT 模式 ),

世界上只有 mguard 工业防火墙具有这样的技术 b) 恶意软件及病毒检测技术传统的防火墙仅能禁止黑客的入侵和蠕虫病毒的传播, 不能对工控机中潜在的病毒进行防控, 也无法根除这些危险源菲尼克斯电气的 mguard 工业防火墙具有通用互联网文件系统完整性监测技术 (CIFS Integrity Monitoring, 简称 CIM) 利用这个技术,mGuard 可以定期监测指定工控机内文件系统, 判断该计算机系统中的.EXE 文件和.DLL 文件是否被非授权的改写 mguard 还可以利用 CIFS 病毒扫描技术, 调用病毒扫描服务器, 对指定工控机内的文件系统进行病毒扫描, 这样就可以主动消灭恶意软件和病毒, 该功能对于工控机的硬件性能和系统兼容性没有任何特殊要求总体来说 CIM 技术可以为工业控制系统提供信息安全防护, 而不需要为工控机升级安全补丁, 并与原有硬件和系统软件兼容, 可永久在线监测和扫描, 对病毒有防御功能, 不占用 CPU 和网络负载, 支持 Win95/98, CE5+, NT, 2000, XP, Vista, 7 及各种 LINUX 操作系统, 当发现病毒或非正常的文件写入时将触发报警并自动响应 ( 如启动第三方病毒工具, 升级安全级别 ) 使用 CIM 技术, 将节省大量系统信息安全升级改造的成本 c) 三种不同的防护模式为了提高工业控制系统信息安全, 需要对工业控制系统网络划分成不同安全级别的区域, 从而实现纵深防御来隔离系统中的重要部分菲尼克斯电气的 mguard 具有三种不同的防护模式, 可以灵活的适用于不同的安全区域 i. 单一隐秘模式 ( 专利技术 ):

隐秘模式用于完美保护某个单一设备, 在这样的模式中 mguard 不具备 IP 地址, 因此对于黑客来说完全是隐形的, 这样的模式也不会改变原有的网络结构, mguard 将会过滤所有通向被保护设备的数据 ii. 多重隐秘 ( 桥接 ) 模式 : 多重隐秘 ( 桥接 ) 模式用于保护一组设备,mGuard 将会过滤所有通向被保护设备的数据, 在这样的结构中,mGuard 需要一个内部的网络 IP 地址多重隐秘 ( 桥接 ) 模式一般用来保护多台设备, 而这些被保护设备与非安全设备有可能在同一网段内 iii. 路由模式 : 路由模式用来在两个网络之间建立安全防护,mGuard 将会完美保护位于内部网络的控制设备,mGuard 在外部网络 ( 子网 A) 和内部网络 ( 子网 B) 各需要一个 IP 地址路由模式一般用来连接工业控制网络和办公网络 d) mguard Secure Cloud 技术

通过 mguard Secure Cloud 技术, 菲尼克斯电气的安全专家可以通过远程 VPN 功能为 mguard 客户提供各种不同级别的安全服务, 比如说, 定期为客户的工业控制系统和数据做安全检查, 并出具相应的专业报告, 为客户的工业控制系统信息安全提供专家级的建议 e) mguard 硬件装置菲尼克斯电气可以提供适用于不同场合的 mguard 工业防火墙, 这些不同的硬件具有相同的固件并且可以获得免费升级服务, 都可以通过 WEB 界面进行配置, 也可以通过 mguard Device Manager 管理软件进行集中的管理和配置, 可以互相兼容, 全部支持 mguard Secure Cloud 服务如今, 全世界的工业大国都纷纷将工控及其安全问题提到战略级别, 比如德国工业 4.0 就将工控安全作为重要环节单独考虑 2011 年 9 月, 工信部还特别下发关

于加强工业控制系统信息安全管理的通知 2015 年 2 月 1 日, 推荐性国家标准 GB/T30976.1~.2-2014 工业控制系统信息安全正式开始实施由此可见, 加强工业控制系统信息安全工作已是当务之急而菲尼克斯电气的 mguard 工业防火墙所具有的多重防护模式深度数据包检测技术恶意软件及病毒检测技术和 mguard Secure Cloud 技术是专门针对工业领域开发的信息安全防护技术, 将对工业控制系统信息安全保障工作提供有力支持

( 数 据 来 源 :2011 年 剑 桥 大 学 ) 上 面 这 两 张 图 片 来 自 剑 桥 大 学 2011 年 提 供 的 一 个 分 析 报 告, 通 过 这 个 报 告 我 们 可 以 看 出, 只 要 通 过 网 络 搜 索 引 擎 (Shodan 搜 索 引 擎 ) 进 行 简 单

( 数据来源 :2011 年剑桥大学 ) 上面这两张图片来自剑桥大学 2011 年提供的一个分析报告, 通过这个报告我们可以看出, 只要通过网络搜索引擎 (Shodan 搜索引擎 ) 进行简单