14 企业在OT安全管理方面普遍存在的问题是什么?
许多工业互联网系统在安全保护建设方面存在根本性的安全缺陷,这些缺陷可以视为工业互联网系统的内部安全风险,包括以下方面。
(1)工业设备资产可视性严重不足
工业设备可视性不足严重阻碍了安全策略的实施。工业企业的IT团队一般不负责OT的资产,而是由OT团队负责OT资产。但因为生产线系统是历经多年由多个自动化集成商持续建设的,因此OT团队对OT资产的可视性十分有限,甚至没有完整的OT资产清单,关于OT资产的漏洞基本无人负责和收集,也不能及时发现安全问题。在出现问题时,也仅能靠人员经验排查,且排查过程耗费大量人力成本、时间成本。
(2)工业设备缺乏安全设计
各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等,在设计之初可能未考虑保密性、完整性、身份校验等安全需求,存在输入验证不严格,许可、授权与访问控制不严格,没有身份验证,配置维护不足,凭证管理不严,加密算法过时等安全隐患。
例如,国产数控系统所采用的操作系统可能是基于某一版本的Linux系统进行裁剪的,所使用的内核、文件系统、对外服务等,一旦稳定后均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、对外服务多年来暴露出的漏洞并未得到更新,安全隐患长期存在。
(3)OT安全制度不完善,管理不到位
在很多大中型工业企业中,IT安全制度和管理措施一般比较到位,但OT安全制度和管理措施却较为欠缺。目前,还未形成完整的制度保障OT安全,缺乏工业控制系统规划、建设、运维、废止全生命周期的安全需求和管理,欠缺配套的管理体系、处理流程、人员责任等规定。
例如,在工业控制系统运维和使用过程中,存在随意使用U盘、光盘、移动硬盘等移动存储介质的现象,病毒、木马等易传播并威胁生产系统;一些工业控制系统在上线前未进行安全性测试,系统上线后存在大量安全风险漏洞,安全配置薄弱,甚至系统带毒工作。
(4)IT和OT安全责任模糊
很多工业企业的信息中心管理OT网络和服务器的连接与安全,但往往对于OT网络中的生产设备与控制系统的连接没有管辖权限。而这些设备、控制系统也是互联的,有些就是基于IT实现的,如操作员站、工程师站等。因此,常见的IT威胁对OT系统也有影响。OT的运维团队一般会对生产有效性负责,但往往并不会对网络安全性负责。对于很多工业企业来说,生产有效性通常都比网络安全性更重要。
(5)IT安全措施在OT领域几乎无效
较多工业企业在OT设置中使用IT安全措施,但没有考虑其对OT的影响。例如,国内某汽车企业,IT安全团队按照IT安全要求主动扫描OT网络,结果导致汽车生产线PLC出现故障,引起停产。
从实践来看,较多工业企业基本不做OT安全评估,即使做OT安全评估,也是由IT安全服务商执行。而IT安全评估通常不包括OT网络的过程层和控制层,即使对这两层进行评估,也只能采用问卷方式,而不能使用自动化工具。执行这些评估的人员通常是IT安全专家,对OT领域也不甚了解。
(6)工业主机几乎“裸奔”
工业企业的OT网络中存在着大量工业主机,如操作员站、工程师站、历史数据服务器、备份服务器等。这些PC或服务器中运行实时数据库、监视系统、操作编程系统等,向上对IT网络提供数据,向下对OT中的控制设备及执行器进行监视和控制,它们是连接信息世界和物理世界的“关键之门”。
但在实际生产环境中,这些工业主机基本没有任何安全防护措施,即使有一部分有防护措施,也常因没有及时更新而失效,工业主机几乎处在“裸奔”状态。近年来不断发生的各类工业安全事件中,首先遭到攻击或受影响的往往都是工业主机。
例如,基于Windows平台的操作员站被广泛使用,但大部分企业无移动存储介质管理、操作站软件运行“白名单”管理、联网控制、网络准入控制技术措施等,极易感染木马、蠕虫等计算机病毒。而目前普通IT防火墙无法实现工业通信协议的过滤,所以当网络中某个操作员站感染病毒时,可能会立即传播给其他计算机,容易造成所有操作员站同时发生故障或者引发控制网络风暴,造成网络通信堵塞,严重时可导致所有操作员站失控,甚至停止。
(7)设备联网混乱,缺乏安全保障
工业控制系统中越来越多的设备与网络相连,如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络;工业网络与办公网络连接,形成企业内部网络;企业内部网络与外部云平台、第三方供应链、客户网络连接,形成工业互联网。
但很多工业企业的IT和OT网络并没有进行有效的隔离,部分工业企业虽然进行了分隔,并设置了访问策略,但有的员工为方便,私自设置各类双网卡机器,使得IT、OT网络中存在许多不安全、不被掌握的通信通道。
OT系统往往由不同集成商在不同时间建设,使用不同的安全标准。因此,当需要集成商进行维修、维护时,工作人员经常会开放远程维护端口,而且这些端口往往不采用任何安全防护措施,甚至存在将常见端口打开后忘记关闭的情况,从而增加了工业互联网的攻击面。
工业控制系统各子系统之间没有进行有效的隔离,系统边界不清楚,边界访问控制策略缺失,尤其是采用OPC和Modbus等通信的工业控制网络,一旦发生安全问题,故障将迅速蔓延。
(8)OT缺乏安全响应预案和恢复机制
IT工作计划和OT工作计划往往是两张皮,IT安全事件响应计划与OT之间的协调往往十分有限。很多OT网络在制定生产事故应对计划时,都没有考虑过网络安全事件的处理。同时,由于缺乏备份和恢复机制,OT中的网络安全事件恢复速度往往很慢。
(9)IT和OT人员安全培训普遍缺失
随着智能制造的网络化和数字化发展,OT与IT在工业互联网中高度融合。企业内部人员,如工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能会破坏工业系统、传播恶意软件或忽略异常情况。由于网络的广泛使用,这些影响将被放大。很多企业虽然有IT组织负责IT网络安全,但其往往会忽视IT和OT之间的差异。IT和OT人员的安全培训普遍缺失。
(10)工业数据面临丢失、泄露、篡改等安全威胁
工业互联网中的生产管理数据、生产操作数据,以及客户信息和订单数据等各类数据(无论数据是通过大数据平台存储的,还是分布在用户、生产终端和设计服务器等多种设备中),都可能面临丢失、泄露和篡改等安全威胁。
(11)第三方人员管理体制不完善
大部分的企业会将设备的建设运维工作外包给设备商或集成商,尤其针对国外厂商,企业多数情况并不了解工业控制设备的技术细节,对于所有的运维操作无控制、无审计,留有安全隐患。
例如,高级过程控制(Advanced Process Control,APC)系统通常可以由软件供应商自由操作,其自身无任何防护措施,存在较高感染病毒的风险。而且APC系统的安装、调试、运行一般需要较长的时间,需要项目工程师进行不断调试、修改。期间APC系统需要频繁与外界进行数据交换,这给APC系统本身带来很大风险。一旦APC系统受到病毒感染,将对实时运行的控制系统造成极大安全隐患。