SCADA系统的信息安全任重道远
★工业控制系统受到黑客制造的恶意代码攻击
今年7月19日德国西门子公司证实其广泛使用的工业控制系统受到黑客制造的恶意代码攻击。这个名为Stuxnet的恶意代码利用了微软新曝出的“MicrosoftWindows快捷方式自动执行漏洞”这一高危零日漏洞,并借助U盘进行传播,目标是入侵西门子的SimaticWinCC和PCS7数据采集与SCADA系统,窃取工业设计和控制文件。
此次事件是起利用零日漏洞、且面向工业领域的大规模恶意代码事件,而SCADA系统广泛应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域,所以事件受到广泛关注。目前,西门子正在调查此事,但尚未评估该恶意代码对西门子SCADA软件的影响和危害。
发现这一恶意攻击的反病毒信息安全公司NormanSecurity称,病毒攻击了14个系统,大部分在伊朗境内。近该公司估计这一蠕虫病毒攻击了1万台工业用计算机,分布在英、德、北美、韩国、伊朗等地。
★为什么必须关注SCADA系统的信息安全
这一事件对所有SCADA系统的供应商和应用者不啻是一个警钟。它深刻地揭示了自从SCADA系统从专用技术转向开放的标准化解决方案,而且不断地增加与办公网络和互联网连接控制工程网版权所有,这使得它产生越来越多的漏洞而容易受到攻击。因此,基于SCADA的系统日益面临着漏洞引发的控制战争和控制恐怖主义的攻击。
而我们都很清楚,SCADA系统,特别是涉及输电、输油、输气、供水、道路照明等现代社会的基础设施的SCADA系统,一旦遭到攻击,影响面之大、后果的难料都是难以估计的。有鉴于此,增强SCADA系统的信息安力从道理上看不言而喻的。
不过信息安全的专家对SCADA系统信息安全的现状并不乐观。这主要是基于以下问题。
★SCADA系统的信息安全问题存在认识偏差
对SCADA系统的信息安全问题存在认识偏差表现为:
①现有的SCADA系统在设计、运用和运行操作方面,缺乏对信息安全和安全授权的关注。
②对使用特殊的协议和专用接口的SCADA系统,过于相信其在信息安全的能力,认识存在偏差。
③片面认为SCADA系统只要在物理上设置了硬件防火墙,其网络就不存在信息安全问题。
④认为只要不与互联网向连接,SCADA系统在信息安全方面就不会发生问题。
★信息安全会怎么影响SCADA系统?
对现代SCADA系统存在两种完全不同的信息安全威胁:
①对控制软件和常驻于SCADA系统主计算机中的其他软件的非授权存取的威胁不论是人工的存取还是由病毒感染而造成的故意或偶发的变化。
②对SCADA系统主要设备所处的网段进行数据帧存取的威胁在许多情况下实际使用的的数据帧控制协议还不够成熟或压根没有考虑信息安全问题,致使随便是谁都可以向SCADA设备发送足以控制它的数据帧。往往SCADA系统用户以为他的SCADA系统使用的虚拟专用网络VPN受到足够的保护,也没有人知道向SCADA有关网络进行存取的物理接头,也不会有人了解能完全旁路掉所有控制软件信息安全从而可以控制这些SCADA网络的交换器。
★SCADA系统的信息安全工作任重道远
其实对这些防火墙和VPN进行旁路物理攻击的防护方法,好是进行端对端的授权,而授权的方式就可以运用其他系统中常用的、在设备中运用加密套接字协议或其它密码逻辑技术。
目前许多SCADA系统和控制产品的供应商已经开始着重于开发特殊的工业防火墙系列,一些特殊的基于TCP/IP的SCADA网络则开发特殊的VPN解决方案。
另外,还有在应用可以防止软件故障和非授权应用、而又不会影响传统的反病毒扫描的所谓白名单(whitelisting)解决方案。
美国ISASecurityComplianceInstitute(ISCI)正在探索进行SCADA信息安全测试工作,ISA99第四工作组也在为建立工业信息安全的联盟做工作。
物联网在SCADA系统中的应用是全新课题
既然SCADA系统已经广泛的利用了互联网,作为下一代互联网的组成部分之一的物联网,完全可以顺理成章地为SCADA系统所用。这已引起了很多人的关注。
分析SCADA系统三代的演进,我们明显地发现通信系统的迅猛发展极大地影响着SCADA的体系结构。不但过去是这样,今后还是这样。当互联网技术已经日益渗透到第三代SCADA系统,产生了基础性的影响的今天,我们对代表未来互联网发展的一个方向—物联网将如何影响SCADA系统产生了浓厚的兴趣和好奇。
在物联网出现以前,SCADA系统只是对物理位置固定的过程进行数据采集和监控。在物联网发展的今天,毫无疑问SCADA系统今后也会扩展到对移动的过程、装置和流程的数据采集和监控。
