隨著IT科技的演變,許多早期建立的SCADA系統面臨更高的安全風險,還能繼續沿用過去的方式管理嗎? 近來,越來越多資安專家對監視控制與資料擷取(SCADA)系統安全問題提出警告,包括在2008年Defcon大會上,TippingPoint研究員Ganesh Devarajan提出,大型主機上的安全漏洞可能被駭客利用,致使SCADA系統癱瘓,特別是在老舊設備上;知名資安技術改革者Marcus Ranum亦曾指出,這些公共建設的關鍵系統設計愈趨複雜,拼湊而成的不良軟體,不需要駭客恐怖份子入侵,就將承受可怕的系統中斷問題,因為「有那樣脆弱的架構,誰還需要敵人?」可見SCADA系統的潛在安全問題需要受到重視。
工程人員與IT安全人員間認知差距大
去年底來台參加「第十屆網際空間:資安、犯罪與法律社會研討會」的澳洲南澳大學資訊科技與工程學系教授Jill Slay,以她多年對SCADA系統安全與數位鑑識的研究提出觀察,她認為,影響SCADA系統安全的最大問題在於人員與管理的問題,而非技術性議題。
長久以來管理SCADA系統的工程人員,在學校的人才養成教育中未曾接受過資訊安全認知訓練,不了解現今資安威脅將如何使其系統癱瘓。在澳洲進行許多SCADA研究專案也接觸過許多公共建設事業單位第一線工程人員的Slay,最常用的方式就是舉電影「終極警探4.0」為例,告訴他們此類劇情絕非科幻情節,真實世界極可能發生。
Slay表示,由於IT技術的演進,許多SCADA系統已不像過去是封閉式環境,近年來逐漸走向開放性系統設計,且與網際網路相連。而這正是讓這些關鍵基礎架構處於高度風險的原因。一個委外承包商工作人員攜帶的筆記型電腦就有可能使整個系統中斷停擺。
然而,這類潛在的系統安全卻往往被忽略,因為IT人員與工程人員說不同的語言,除了告訴工程人員資安威脅之外,也必須讓IT人員知道這裡不是只有Windows系統的問題,在一般IT網路中可以透過安裝更新程式修補漏洞,但在工程網路中,工程人員卻會說「走開,別來煩我,安裝之後就會使系統中斷。」不同於企業環境,企業的IT系統中最重要需要被保護的是所儲存的重要資料,機密性非常重要。而對關鍵建設系統來說,最重要的卻是可用性,維持各種服務的供應輸送及流暢最為重要。因此如何為這兩個不同世界的人建立起溝通橋樑,是Slay所關心的議題。所以她建議IT人員可以告訴工程人員,「如果不讓我保護,有人帶筆電進來,有些東西就會跟著進來並且佔領你的網路。」
老舊SCADA系統端靠實體隔離保護
另一個SCADA系統的潛在問題如同Devarajan所說,是老舊SCADA系統的漏洞問題。「早期的控制系統漏洞百出,隨便Port Scan就掛掉。」一位熟悉SCADA環境的資安技術顧問說。
Slay表示,在新的SCADA軟體當中較少此問題,但是在早年建立起的控制系統網路所使用的SCADA軟體問題較多。近期SCADA大廠已開始注意系統弱點的修補問題,美國愛達荷國家實驗室與SCADA大廠合作,協助進行SCADA系統弱點的修補與測試(相關報導請見本刊第47期P.50)。目前,經濟部國營事業委員會計畫聯繫SCADA原廠以取得更新修補。然而即使有了更新修補程式,實際環境廠區的電腦可能還停留在286CPU等級,安裝修補程式也跑不動。
以台灣來說,目前大部分的解決方式是在控制系統網路與辦公室網路間,築起防火牆做實體隔離,以杜絕控制系統網路直接連上網際網路。至於如何做後端監控資料彙整分析,以台電來說,每個廠區的控制系統資料是透過RTU(Remote Terminal Unit)遠端測控系統以微波方式將資料傳回到總公司。
經過IT人員的努力,工程人員逐漸知道需要縱深防禦,層層架構起安全措施,包括防火牆、存取控制等,然而如何正確地管理控制系統的安全又是另一課題。他們時常擔心,如果在SCADA網路中放置入侵偵測系統,而這些安全設備卻時常對流量發出警示,工程人員最不願見的就是這麼一來將影響系統效能。所以有些系統管理者為了維持SCADA系統順暢的即時營運,而把系統日誌(log file)功能關閉。但Slay提醒,沒有log就無法保存數位證據。根據她的研究,過去有許多數位鑑識案件都是因為缺乏證據而無法起訴。然而這正是SCADA管理人員的難題所在,為了維持持續營運,他們的系統是從來不重新開機的。然而建置資安方案卻往往需要重新開機。
資安規範與訓練 雙管齊下 公共建設系統的安全問題深受各國政府重視,台電、中油等國營事業單位也都被行政院資通安全會報列為A級,必須建置ISMS系統並通過ISO 27001資安認證。Slay指出,此類安全準則與基礎對SCADA系統安全有一定幫助,但光靠ISMS無法解決所有問題。
研究過各國推動SCADA系統保護的Slay指出,不同國家有不同文化背景,因此推動方式也不盡相同。在美國,透過訂定很多制度標準來推動安全,例如針對不同產業訂定不同的系統安全規章,SCADA系統安全有特別為電力或其他系統所設計的不同標準。而澳洲的民情文化,則傾向於用教育訓練方式對民眾傳達安全的重要性,「用education(教育)而非legislation(法律)」Slay說,用教育的方式並不容易,因此澳洲政府也針對不同產業訂定許多不同的訓練計畫。而在英國,則是採取折衷方式,一半教育一半法令規範。
不論採取何種方式,關鍵基礎建設的系統安全議題應持續獲得關注,否則部分歷史悠久的發電廠、煉油廠的老舊控制系統就像一顆潛藏的不定時炸彈,何時會不小心被引爆都不知道。
國營會建置國內首座ISAC 穩固關鍵基礎建設安全
國內關鍵基礎建設安全逐漸受到重視,負責監督管理台電、中油等國營事業單位的經濟部國營事業委員會(簡稱國營會),在行政院「建立我國通資訊基礎建設安全機制計畫」的要求下,於2008年11月完成了資訊分享與分析中心(ISAC, Information Sharing and Analysis Center)平台的建置,成為國內第一個ISAC維運管理機構。
在第一階段的計畫中,除國營會本身ISAC平台之外,台電、中油、自來水公司也分別建置內部ISAC平台。在風險評鑑方面,納入各廠區營運需求,由成大資通安全研究中心協助發展威脅燈號方法論。從實體安全、資通安全、人員安全、事故/事件、安全管理等5個面向建立威脅模型,設計了涵蓋70個項目的問卷以取得資料。而資料來源則由廠區第一線工程人員定期填寫,經過ISAC的彙整分析後,管理階層可依照燈號了解整體威脅等級。
國營會第一組資訊科科長鄭春光表示,ISAC類似知識管理平台,使用者輸入資料後,經由分析研判,再產出結果與建議,讓廠區人員採取必要措施。除了依靠人力監看外,目前台灣自來水公司高雄給水廠已經完成南化聯通管監控系統、自來水公司的SOC平台以及ISAC平台整合,可做到緊急事件的預警。日前,並完成資安演練。平台整合運作模式如下:當輸水管壓力大過一定的數值(須先在SIEM建立起偵測規則),系統自動發出警示到SOC中心,SOC則通報到ISAC,由熟悉工業控制系統的各領域資深人員擔任二線專家協助做判讀。
在此階段,國營會先選定台電台中風力發電廠、中油林園煉油廠、自來水高雄給水廠等廠區中的一套工業控制系統為先期導入對象。先將營運模式與資訊整合機制建立起來,然而接下來的工作就是一大挑戰。別說中油石化廠與台電發電廠使用不同的SCADA系統,因為光是台電公司裡面,發電廠、電力調度廠或核能廠用的也是不同廠牌,舉凡西門子、ABB等。甚至就算同廠商的系統,隨建廠時代演進,也有不同版本。因此緊接著的工作就是針對代表性廠區,進行所有工業控制系統軟、硬體元件的普查、盤點。如此才能最快掌握多數系統的弱點與風險。
任何新專案的導入都會遇到同樣的問題,就是人員的抗拒,此次ISAC專案也不例外。許多作業項目增加廠區人員的工作負擔,例如問卷填寫。如果光是要靠各事業單位裡的資訊部門推動廠區一線工程人員配合,其影響力有限,困難度也相當高。加上此次ISAC沒有前例可循,前線工程人員對於要做到「資訊分享」存有高度疑慮,沒有人願意將自己系統的弱點公開,儘管ISAC只建在各單位內部,就連內部人員也是依照權限控管才能接觸。然而這些都是在建置初期會遇到的阻礙。所幸在經濟部組織體制設計下,國營會負責掌管國營事業的部份預算,因此由國營會擔任專案發起的角色,各事業單位的配合度較高,才能順利推動。
平台建置好只是第一步,接下來更有許多計畫等待執行。包括弱點資料庫與威脅資料庫的持續擴建,未來計劃納入更多外部資料來源,如美國電力資訊分享與分析中心(ES-ISAC)、國安局以及資安廠商的威脅資訊等。以及這次國營會編譯完成「工業控制系統安全手冊」及工業控制系統採購標準規範等文件,相信有助於確保基礎建設新廠建置時的SCADA系統安全需求。 |