行业概述
自来水厂的自动化生产,主要是指使用工业控制系统检测现场水质状况、控制工艺设备运行(如加药设备、水泵机组、机组电气柜等),实现对现场实时数据采集与上传,工艺电控设备的顺序、条件、计时、计数控制、PID调节控制等功能,并按照工艺要求依次完成混凝反应、沉淀处理、过滤处理、滤后消毒、加压供水等环节,最终将纯净卫生的自来水可靠地送入千家万户的过程。
安全隐患与关键设备
自来水生产供给行业最大的安全隐患在于自来水的输、配送管网线路铺设范围广,通常采用大量的GPRS无线通讯方式进行管网状况的数据传输,传输的数据不加密,传输的报文容易被截获,从而给非法入侵提供了可乘之机。其次,水务行业大多时成套系统,生产设备与控制系统配套使用,严重依赖国外的产品与技术,部分控制系统存在安全漏洞与固有后门,一旦被黑客利用,后果不堪设想。
典型安全事件
据英国《每日邮报》11月21日报道,美国基础设施控制体系专家称,黑客通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。这是国外黑客首次瞄准美国工业设施网络监控系统。黑客从一家软件公司获得授权信息,窃取用户姓名和密码,约在9月初开始侵入伊利诺伊州首府斯普林菲尔德以西一处农村地区水利控制系统,频繁开关一个水泵,直至11月8日马达报废,公司职员才发现水泵的监控与数据采集系统异常。这次攻击事件表明,这家美国公司的“监控和数据采集系统”(SCADA)软件系统存在漏洞。这种软件也在核电站、天然气管道、水坝和火车运行、钻油平台等关键设施中使用。
典型的攻击方式
远程控制攻击
攻击者利用别人的计算机隐藏他们真实的IP地址后,寻找在企业内网中且联接外网的目标主机,通过使用扫描器工具,获取目标主机操作系统、帐户、WWW、FTP、Telnet 、SMTP等服务器程式版本等资料,为入侵作好充分的准备。进而利用社会工程学、工具和漏洞对账号进行破解,通过FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,清除记录并留下后门,以便日后可以再次进入系统。通过类似手法层层向下渗透,直到基础控制层,最终直接控制DCS系统控制器,造成生产破坏、生产数据和工艺流程数据被泄露。
U盘攻击
典型的U盘攻击主要有三种:
1)USB RUBBER DUCKY:简称USB橡皮鸭,是最早的按键注入工具,通过嵌入式开发板实现,后来发展成为一个完全成熟的商业化按键注入攻击平台。它的原理是将USB设备模拟成为键盘,让电脑识别成为键盘,然后进行脚本模拟按键进行攻击。
2)TEENSY:TEENSY是攻击者在定制攻击设备时,向USB设备中置入一个攻击芯片,此攻击芯片是一个非常小而且功能完整的单片机开发系统。通过TEENSY可以模拟出一个键盘和鼠标,当插入这个定制的USB设备时,电脑会识别成一个键盘,利用设备中的微处理器与存储空间和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。
3)Bad USB:最新出现的一种攻击手段,不需要进行硬件定制,更具有普遍性。通过对U盘的固件进行逆向重新编程,改写了U盘的操作系统进行攻击。恶意代码存在于U盘的固件中,由于PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着普通杀毒软件和U盘格式化都无法应对BadUSB进行攻击。
U盘的入侵攻击通常会给上位机和控制器植入病毒,造成数据泄露和文件丢失,导致现场生产异常等情况。
中间人攻击
中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的计算机放置在网络连接中的两台通信计算机或上位机与DCS系统控制器之间。当两者通讯时其实由中间人计算机进行转发,中间人不仅可以监听两者通讯的内容,甚至可以伪造通讯信息转发给双方,对双方进行欺骗从而达到自己的目的。中间人攻击会造成数据泄露、现场上传数据与实际数据不符等情况。
水坑攻击
水坑攻击是指黑客通过分析企业内部人员的网络活动规律,寻找被攻击者经常访问的网站的弱点,例如工控论坛或供应商网站。先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。一旦被攻击用户访问了事先被植入攻击代码的网站,并将带木马的文件或软件安装到现场主机上,木马病毒就会一边采集现场数据一边将信息加密并传输到C&C服务器上。
拓扑结构
安全审计设计
建立专门针对本厂的三中网安智能监测审计平台,可以实现以下目标:
(1)可以提供整个控制网络的总体运行情况,自动识别网络设备,显示网络设备当前状态,进行网络性能综合分析。
(2)针对工业控制系统重要的网络节点或区域,监测所有数据包,并对数据包进行深度解析,发现异常或非法操作数据包,分析是否有外界入侵或人员误操作,并对所有异常情况发出报警,提醒现场操作人员。
(3)对网络中存在的所有活动提供行为审计、内容审计,产生完整记录便于事件追溯。
入侵防范设计
针对于工业控制系统设备的专业防护,三中网安工控智能监测审计平台为工业控制网络提供了全方位的综合防御与保护,并且完整覆盖了工业控制系统整个漫长的生命周期。
智能监测审计平台能够保障DCS控制器安全,根据自带的漏洞特征库,智能识别出自来水厂控制系统网络中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,及时对其进行告警和阻断,并能为后续的安全威胁排查提供依据。
互联接口安全功能设计
数据采集隔离平台是针对工控系统在数据采集过程中进行数据交换时遇到的安全难题,并结合自来水厂的工业控制系统现状,进行开放式全方位综合防御及保护的平台。数据采集隔离平台可对自来水厂大规模的无线数据采集及与调度中心通讯过程中可能遇到的数据泄露、病毒入侵等威胁提供全方位的监测、过滤、报警和阻断。
上位机安全防护
工业控制系统内的上位机和服务器一般具有下列显著特征:运行时间长;操作系统版本控制混乱;因为不能联网而无法进行补丁升级操作;U盘、USB硬盘等便携式可插拔存储设备无法严格管理;运维人员对主机内后台运行的程序不甚了解;没有安装专业的工控防病毒软件,无法检测主机是否存在病毒威胁。正是这些严重威胁工业控制系统整体安全的问题,导致系统内的主机成为攻击者最佳攻击跳板。
“工控安全卫士”是三中网安依托技术优势,充分研究、吸收工控网络安全攻防技术的前沿成果,专门为工控主机提供的一款防护产品,实现对工控上位机与工控服务器全面的安全防护。将防护软件安装在所有上位机,即可实现对工业控制系统主机进行防护的目的。
