雲曉春:新形勢下關鍵資訊基礎設施的安全保護
隨著“網際網路 +”“中國製造 2025”國家戰略的提出,我國“兩化”融合的步伐正在不斷加快,網路空間的邊界向關鍵基礎設施領域不斷延展,工業控制系統、物聯網也因此正面臨著嚴重的網路安全威脅。
圖 1 工業控制系統、物聯網正面臨著嚴重的網路安全威脅
網路安全新形勢
目前出現的網路安全威脅可以歸結到兩個方面。第一,IT 技術的廣泛應用帶來更多的安全隱患。工控、物聯網領域越來越多地使用通用作業系統、資料庫和伺服器等 IT 類產品,使攻擊者能夠輕易地利用現有系統的安全漏洞實現入侵、攻擊。如震網病毒正是利用 Windows 作業系統的多個漏洞實施攻擊。第二,全方位的開放互聯增加更多的攻擊平面。工控、物聯網系統可以通過網際網路直接或間接地訪問、管理網路和生產網路的雙向資訊互動成為常態。開放互聯趨勢使得網路攻擊平面得到極大的拓展,相應的安全防禦邊界也需要進一步擴充套件。
圖 2 近幾年來比較典型的網路安全事件
2010 年成功攻擊伊朗核設施的 Stuxnet 病毒和 2016 年攻擊烏克蘭電力系統的 BlackEnergy惡意程式碼,都是對關鍵資訊基礎設施的攻擊,是近幾年來比較典型的網路安全事件,但其中BlackEnergy 惡意程式碼事件造成更大的震動。
為什麼兩次的攻擊事件會造成不同的反響呢?首先需要對兩次事件進行一個全方位比較。
圖 3 兩次網路攻擊事件的全方位比較
可以看出,這兩次攻擊的目標都是針對關鍵國家基礎設施,兩次攻擊也都是通過網際網路對於現實空間的物理基礎設施發動攻擊的。但在 2010 年的 Stuxnet 病毒事件出現以後,大家都只是覺得這是一個高水平的、由國家長時間謀劃並採用高精尖的技術才能產生的攻擊事件,難度係數大,並不認為會經常發生,但是 2016 年攻擊烏克蘭電力系統事件被稱為是 BlackEnergy惡意程式碼的事件,其中所展現出來的攻擊水平就並不是那麼高明,所使用的是普通病毒,利用電廠跟網際網路的連線,用普通的方式發動攻擊,同樣也造成嚴重的影響。因此我們可以得出這樣一個結論,目前對於關鍵資訊基礎設施的攻擊,已經不只是高階技術的攻擊,一般性的、普遍意義上的攻擊,也能夠對關鍵資訊基礎設施造成重大的危害。
基於這些原因,對於網路安全對抗的發展趨勢,我們也可以得出以下三個觀點:
第一,針對國家關鍵資訊基礎設施的網路攻防研究已然成為各國政府、安全界乃至暴恐組織的關注重點,相關的攻防對抗事件正在持續增加。美俄兩個主要大國均已具備很強的針對關鍵基礎設施的網路攻擊能力,並在持續增強其攻擊能力。無論是從攻擊效果、攻擊成本,還是攻擊隱蔽性乃至攻擊可控性看,針對國家關鍵基礎設施的網路攻擊將有可能逐步取代傳統的軍事戰爭,成為各國政府的優先選擇手段之一。與傳統的物理攻擊方式相比,網路攻擊對攻防雙方具有明顯的不對稱性(遠端、普適、隱匿、經濟),未來必然成為暴恐組織的優先選擇手段之一。
第二,對絕大多數關鍵資訊基礎設施而言,聯網與否都不是保證其安全的決定條件。特別是隨著網際網路與資訊科技的應用不斷拓展,開放互聯是大勢所趨,它們也因此將面臨更為嚴峻的安全威脅。
第三,對絕大多數關鍵資訊基礎設施而言,SCADA 系統(HMI)處於管理域與控制域的結合點,PLC 系統是工業控制的核心裝置裝置,它們本身缺乏必要的安全機制,同時又缺乏安全防護措施,成為網路攻擊的主要目標。
安全保障新要求
新時代、新形勢、新任務也帶來安全保障的新要求。
(1)安全意識和責任。目前面臨的網路安全問題,很多是意識問題,需要樹立正確的網路安全觀,不斷強化網路安全意識,在頭腦中真正築起網路安全的“防火牆”,“只重發展輕安全、重建設輕防護”“關起門來搞更安全,不願立足開放環境搞安全”“網路安全是中央的事、專業部門的事,同自己無關”這些看法都是不正確的。
同時,要落實關鍵資訊基礎設施防護責任制度,行業、企業作為關鍵資訊基礎設施運營者承擔主體防護責任,主管部門需履行好監管責任。在網路安全檢查中可以發現,關鍵資訊基礎設施安全防護水平不高,物理隔離防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易和教育等資訊可被竊取。一些重要工控企業對外國技術依賴嚴重,生產控制系統由外國公司建設,網路安全配置由外方人員操控,企業內部人員甚至不掌握安全裝置配置和管理許可權。
(2)檢測認證與審查。2017 年 5 月,網信辦出臺《網路產品和服務安全審查辦法(試行)》,其中第二條規定:關係國家安全的網路和資訊系統採購的重要網路產品和服務,應當經過網路安全審查。2017 年 6 月四部門釋出《網路關鍵裝置和網路安全專用產品目錄(第一批)》,明確指出:列入該目錄的裝置和產品,應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或安全檢測符合要求後,方可銷售或提供。同月,四部門還發布了《承擔安全認證和安全檢測任務機構名錄(第一批)》。
結合上位檔案和當前的情況,對於如何做好檢測認證與審查,這裡提三點建議 :
①對於關鍵基礎設施領域採用的核心裝置與裝置,應實施例行的入網安全檢測與認證,必要時進行全面的網路安全審查,以掌握其安全性狀況;②相關的網路安全檢測與認證,其檢測標準、方法和工具必須由我方完全自主可控;③通過安全檢測與認證,建立統一的國家漏洞資訊共享平臺。
(3)安全巡檢與評估。習近平總書記在“4·19”講話中指出:“要加強網路安全檢查,摸清家底,明確保護範圍和物件,及時發現隱患、修補漏洞,做到關口前移,防患於未然”。
按照總書記的要求,這裡提兩點建議:
①上線前要進行風險評估。對於有聯網(外)或入網(內)需求的關鍵資訊基礎設施,須具備必要的網路安全風險防控能力,應對其進行上線前的風險評估。評估主要可以從安全防護措施和安全應急能力兩個方面進行。②做好執行中的安全巡檢。對已聯網(外)或入網(內)的關鍵資訊基礎設施,應對其開展不定期地遠端巡檢或現場檢查,以全面掌握國家關鍵資訊基礎設施的整體安全性狀況。 國家網際網路應急中心(CNCERT)在對全國範圍內電力、煤炭、水務、燃氣、供熱、消防、電梯、視訊監控等多個行業的 1500 多個聯網生產執行系統或雲平臺開展遠端安全巡檢中發現,超過 20% 存在嚴重的網路安全風險與隱患。
(4)態勢感知與預警。習近平總書記在“4·19”講話中指出:“聰者聽於無聲,明者見於未形”。感知網路安全態勢是做好網路安全工作的基礎。如果對網路攻擊感知不到位、預警不及時、行動不統一,反射弧太長,就會錯失良機。因此,需要在三方面著手加強:
①加強網路安全資訊的統籌機制、手段和平臺的建設。把政府和企業、國內和國外的安全威脅、風險情況和事件資訊彙集起來,綜合分析、系統研判,既掌握網路空間當前狀態,又分析下一步動態,為科學決策指揮提供依據。②加強網路安全事件應急指揮能力的建設。實現對網路安全重大事件的統一協調指揮和響應處置。③加強網路安全主動發現和監測預警的能力建設。通過在網路空間開展聯網裝置、元件及系統的探測發現,有助於我們提前發現暴露在網際網路上的關鍵資訊基礎設施及其元件。通過在網際網路關口對工控及物聯網通訊流量的監測分析,有助於及時發現境外國家或組織對我國關鍵資訊基礎設施所實施的探測、滲透、竊密或破壞等惡意行為。
(5)資料跨境監管。國家的資料安全問題越來越突出,特別是重要資料出境的監管變得愈發重要。監測發現是關鍵,根據監測結果來進行資訊通報和違規查處。CNCERT 目前已具備對生物醫療領域三大類資料(生物基因、醫學影像、身份識別)的識別與監測能力。
(6)安全保障體系。如何強化不同地區、不同行業、不同領域關鍵資訊基礎設施之間的威脅資訊共享,加強協同應對,著力構建全國一體化的關鍵資訊基礎設施安全保障體系,這是一個值得思考也必須思考的問題。
圖 4
經過數年來的研究和實踐,可以考慮如下模式:
①建立行業應急支撐隊伍。面向電力、石化、交通等不同關鍵資訊基礎設施行業,從安全廠商中評選技術實力強、社會責任感強的企業組成應急支撐隊伍。②建設預警通報機制。面向產品製造商和關鍵資訊基礎設施運營企業提供工控及物聯網產品漏洞、惡意程式碼、安全事件、行業安全態勢等的資訊共享與預警通報。③完善應急處置機制。當關鍵資訊基礎設施運營企業發生重大網路安全事件時,提供相關場景下的有效處置流程,必要時支撐開展實地取證分析和網路系統恢復。④加強應急演練。幫助關鍵資訊基礎設施運營企業構建複雜工業網路場景下應急演練環境並組織攻防對抗演練、安全技能培訓。
安全研究成果
近年來,基於 CNCERT 自主研發的分散式隱匿探測平臺,一直針對聯網裝置及系統進行探測掃描,在全球 IP 地址空間,對聯網的工控系統及物聯網系統和裝置進行掃描探測;並通過構建裝置指紋庫、全球 IP 定位庫和產品漏洞資訊庫,可以識別生產廠商、產品型號及版本和所在地理位置,進而匹配裝置漏洞資訊,掌握聯網系統和裝置的整體安全態勢。
圖 5
平臺通過對全球網路空間的 IP 地址進行探測掃描,重點對工控及物聯網系統和裝置進行發現、識別和漏洞關聯。平臺所使用的系統支援對 50 多類主流通訊協議(工控和物聯網)展開探測,支援識別 80 多個廠商產品,這些產品範圍覆蓋 PLC、HMI、工業交換機、SCADA 系統、攝像頭、路由器、DTU 等 40 餘大類產品。通過系統探測結果自動與漏洞庫關聯,匹配裝置相關漏洞資訊,識別潛在安全威脅。目前已發現全球 2.2 億餘個網站, 1200 萬個視訊攝像裝置, 790 萬餘臺路由裝置,9.1 萬個工控裝置。
目前,通過對國內聯網工業控制裝置及系統的探測掃描,發現國內聯網工控裝置共計14728 臺,2018 上半年 CNCERT 新增發現暴露裝置 1138 臺,其中,數量排名前 5 位的省份為:臺灣(652)、香港(115)、江蘇(41)、浙 江(39)、 黑 龍 江(37), 涉 及 Siemens、Schneider、Moxa 等多家廠商生產的工控產品,大量裝置存在拒絕服務、資訊洩露、緩衝區溢位等高危漏洞。
圖 6 新增暴露裝置的全國分佈
圖 7 新增暴露裝置的漏洞型別
另外,針對國內的聯網工業網際網路雲平臺的巡查中, CNCERT 檢測到國內聯網工業網際網路雲平臺(含 WEB 監控管理系統)共計 1968 個,其中 2018 上半年新增發現 1016 個,涉及消防、供水、醫療、基因檢測行業。
圖 8 新增平臺的行業分類和比例
主要分佈在北京、浙江和廣東等資訊產業發達省份;通過安全巡檢,發現有超過 23% 的系統存在嚴重的安全漏洞,易被入侵。
圖 9 新增平臺的全國分佈
目前,CNCERT 自主研發的工控物聯網安全監測平臺通過對網際網路關口流量進行大資料分析,可實現:
(1)通聯狀況監測:對 Modbus、S7Comm、Ethernet/IP 等數十種工控物聯網協議進行監測和裝置畫像,對跨省、跨境協議通訊等資料進行分析,綜合研判裝置的線上規模和對外通聯情況;
(2)安全態勢監測:對工控物聯網系統遭到的探測掃描、滲透竊密、殭屍木馬等各類攻擊行為的實時檢測、分析、溯源和總體呈現,快速準確地感知惡意程式碼、異常行為、未知威脅;
(3)跨境資料監測:對目標領域中重要資料的跨境傳輸進行實時監測,以發現違規違法行為。
圖 10 基於流量的工控物聯網裝置畫像
在對跨境異常通聯行為監測中,2018 上半年累計監測到與 Modbus、S7Comm 等工業協議相關的跨境通聯行為 3632777 次,涉及 27688 個境外 IP 地址,分佈於全球 91 個國家或地區。發現隸屬於 Shadowserver、Shodan 等機構的 36 個境外 IP,對境內開展長期、持續、大範圍的掃描探測;發現大量來自境外的 IP,針對根雲、航 天 雲 網 等 工 業 雲 平 臺 發 起 DDoS、HTTP 和WEB CGI 等多種型別的網路攻擊。
圖 11 工控相關的跨境通聯行為
圖 12 針對工業雲平臺的攻擊行為
大量的基因資料出境行為也在基因資料跨境傳輸監測中被發現,從 2017 年 5 月至今,共發現 4391 家境內單位疑似發生基因資料出境行為,包括高等院校和科研院所(佔比 19%)、醫療機構(佔比 9%)和生物技術企業(佔比72%)。我國基因資料流向境外 6 個大洲、229個國家和地區,跨境傳輸 925 萬餘包次;涉及境內 IP 地址近 358 萬個,境外 IP 地址近 62 萬個。
圖 13
作者: 雲曉春 ,國家計算機網路應急技術處理協調中心副主任兼總工程師,現任國家資訊化專家諮詢委員會委員,研究領域:網際網路建模大規模網路惡意程式碼預警與防治技術分散式系統生存性技術安全性分析技術計算機資訊內容安全技術。
(本文選自《資訊保安與通訊保密》2018年第十一期)
宣告:本文來自資訊保安與通訊保密雜誌社,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。