工控安全关系着企业生产、国计民生,更关系着整个国家的安全和利益,工控安全问题已上升为国家战略。为保证工控安全,近日,上海钧昊网络科技有限公司董事长、红蓝攻防专家兼网络安全工程师宋思伟带领团队在新疆乌鲁木齐策划并制定乌鲁木齐调控中心石油线、天然气线的SCADA系统数据传输网络的工控系统漏洞测试系列工程。

宋思伟团队默契的配合下,工控安全工作取得了《乌鲁木齐调控中心信息系统渗透测试报告》以及《乌鲁木齐调控中心信息系统渗透测试复查报告》两项优良成果。

据悉,此次宋思伟团队演练通过人工方法和技术手段相结合的方式,梳理油气管道SCADA系统资产清单,系统地分析和诊断企业现有油气管道SCADA系统面临的威胁及其存在的脆弱性,发现其中的漏洞和弱口令等安全隐患和突出问题,综合统计分析存在的问题,提出整改建议,及时消除网络安全隐患。为避免演练中存在偶然性,宋思伟团队选择了4个工业控制系统,分别是:乌鲁木齐调控中心工控系统、西一线轮南站SCADA系统(含轮吐线)、阿拉山口首站SCADA系统以及鄯善输油站(包括油库)SCADA系统。

“此次渗透测试是通过模拟黑客思维及行动模式,使用主流的攻击技术对目标网络、系统、数据库进行模拟攻击测试,提前发现系统潜在的各种高危漏洞和脆弱性等。”宋思伟提到,团队会利用安全扫描器、渗透测试工具结合人工对指定的设备进行非破坏性质的黑客模拟攻击,目的是尝试入侵系统并获取机密信息并将入侵的过程和技术细节产生报告提供给采购方信息技术部门。

近年来,工业控制系统网络安全事件不断发生,“勒索病毒”、“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,宋思伟及其团队充分意识到了工业控制系统网络安全面临的严峻形势,大胆创新选定了渗透测试为主要测试方法。据了解,该过程渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高,甚至渗透测试报告的价值直接依赖于渗透测试者的专业技能。对此,宋思伟解释道,通过渗透测试,团队可以发现工控系统中逻辑性更强、更深层次的脆弱点。

宋思伟谈到,通过收集信息和分析,测试结果存在两种可能性,一是目标系统存在重大漏洞:渗透测试人员可以直接远程控制目标系统,这时渗透测试人员可以直接调查目标系统中的漏洞分布、原因,形成最终的渗透测试报告;二是目标系统没有远程严重漏洞,但是可以获得远程普通权限,这时渗透测试人员将通过该普通权限进一步收集目标系统信息,尽最大努力获取本地权限,收集本地信息,寻求本地权限提升的机会。这些信息收集分析、权限提升的循环上升结果构成了整个渗透测试过程的输出。

记者得知,渗透测试完成后,为确保修复结果的有效性,宋思伟团队将协助采购方对已发现的安全隐患进行修复以及渗透测试工程师对修复的成果再次进行远程测试复查。从制定测试方案到执行复查反馈,宋思伟表示,团队将会及时且完备的解决企业现有油气管道SCADA系统的问题,消除网络安全隐患。