工業(yè)控制系統(tǒng)信息安全-公司會議演講稿

劉怡欣2014-04-11

工業(yè)控制系統(tǒng)信息安全綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動態(tài)基本概念一信息安全(security)基本概念一本質(zhì)安全(safety)基本概念二工業(yè)控制系統(tǒng)(ICS)是綜合集成了計算機、網(wǎng)絡(luò)、現(xiàn)代通信，微電子以及自動化技術(shù)，是對多種控制系統(tǒng)的總稱，包括：可編程邏輯控制器(PLC)；監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)；分布式控制系統(tǒng)（DCS)； ICS普遍應(yīng)用于電力、水處理、石油、天然氣、化工、交通運輸、制造業(yè)（煙草、汽車、食品等）?；靖拍疃删幊踢壿嬁刂破?PLC)；PLC單純的實現(xiàn)邏輯功能和控制，不提供人機界面，實現(xiàn)操作需借助與按鈕指示燈、HMI以及SCADA系統(tǒng)，PLC實現(xiàn)單機及簡單控制?；靖拍疃O(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)SCADA是對分布距離遠，生產(chǎn)單位分散的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)，SCADA作為生產(chǎn)管理級上位監(jiān)控；基本概念二分布式控制系統(tǒng)（DCS)DCS兼具PLC和SCADA二者功能，但是基本上用在比較大的系統(tǒng)中和一些控制要求高的系統(tǒng)中，實現(xiàn)復(fù)雜控制；（Honeywell、和利時DCS）工業(yè)控制系統(tǒng)特點實時性要求高，強調(diào)實時I/O能力；可用性要求高，系統(tǒng)一旦上線，不能接受重新啟動之類的響應(yīng)，中斷必須有計劃和提前預(yù)定時間；工控硬件要求壽命長，防電磁干擾，防爆，防塵等要求非常嚴格；特有的工業(yè)控制協(xié)議通訊協(xié)議，不同廠商控制設(shè)備采用不同通信協(xié)議，很多協(xié)議不公開；工控系統(tǒng)上線生產(chǎn)后，一般不會調(diào)整；工控系統(tǒng)要求封閉性比較強。工業(yè)控制系統(tǒng)特點傳統(tǒng)工控安全的管理屬于生產(chǎn)單位和部門；操作人員缺乏應(yīng)對信息安全的警惕性和經(jīng)驗；工控系統(tǒng)中承載著一些需要保密的工藝數(shù)據(jù)；加強工控系統(tǒng)的物理安全，會達到事半功倍的效果；現(xiàn)場設(shè)備越來越多具備無線接入功能；工控系統(tǒng)是國家重要的基礎(chǔ)設(shè)施，工控系統(tǒng)安全會影響到生命安全、重大財產(chǎn)損失以及產(chǎn)生環(huán)境問題。工業(yè)控制系統(tǒng)功能層次工業(yè)控制系統(tǒng)功能層次GB/T20720《企業(yè)控制系統(tǒng)集成》IEC62264工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)天然氣調(diào)度系統(tǒng)架構(gòu)（實體模型）工業(yè)控制系統(tǒng)協(xié)議工業(yè)控制系統(tǒng)

傳統(tǒng)IT部分工控部分硬件平臺終端、服務(wù)器IPC、工業(yè)交換機、工業(yè)環(huán)網(wǎng)、PLC、RS485、RS232、CANBus現(xiàn)場總線系統(tǒng)平臺通用系統(tǒng)（基本上都是基于windowsXP、win7、win8、windows2003、windows2008）通用系統(tǒng)（基本上是基于windowsXP、win7、windows2000、windows2003）通訊協(xié)議HTTP等通用協(xié)議工業(yè)協(xié)議如：

OPC、RockwellABControlNet、RSLogixOPC\DDEGEFanucGESRTPQuickPanel數(shù)據(jù)庫關(guān)系數(shù)據(jù)庫Oracle、SQLServer實時數(shù)據(jù)庫，Rockwell-RSSQLGEFANUC-iHistorian、PHD開發(fā)環(huán)境常見開發(fā)語言和工具C、java等組態(tài)軟件RSlogix、RSlinx、WINCC、STEP7、iFIX等應(yīng)用軟件IT應(yīng)用系統(tǒng)工業(yè)制造應(yīng)用系統(tǒng)綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動態(tài)Stuxnet震網(wǎng)病毒2010年7月震驚全球工業(yè)界——世界上首個專門針對ICS編寫的病毒；伊朗核電站Stuxnet病毒事件病毒特點：目標明確，針對特定場景結(jié)構(gòu)復(fù)雜，隱藏、掩飾手段高明多種偽裝，盜用數(shù)字簽名，逃避查殺，同時利用多個0day漏洞，不惜代價；7個已知和未知漏洞，其中至少4個0day漏洞（其中五個windows系統(tǒng)漏洞和2個西門子SIMATICWinCC漏洞）；修改PLC的程序邏輯，造成物理過程的故障；傳播途徑：U盤、共享網(wǎng)絡(luò)、打印機危害攻擊伊朗核設(shè)施，使得伊朗核計劃拖后兩年，60%的個人電腦感染病毒；全球超過45000個網(wǎng)絡(luò)遭受攻擊；多個行業(yè)的領(lǐng)軍企業(yè)的工控系統(tǒng)受此感染。時間表2010年6月，震網(wǎng)病毒首次發(fā)現(xiàn)，并且攻擊伊朗核設(shè)備成功；2010年12月，微軟推出針對Stuxnet所利用的漏洞修復(fù)補丁；2012年7月，西門子公司宣布修復(fù)Stuxnet利用的軟件漏洞。從發(fā)現(xiàn)病毒，到發(fā)布修復(fù)補丁，一共兩年多時間伊朗核電站Stuxnet病毒事件伊朗核電站Stuxnet病毒事件美國《紐約時報》稱，美國和以色列情報機構(gòu)合作制造出“震網(wǎng)”病毒?！罢鹁W(wǎng)”病毒結(jié)構(gòu)非常復(fù)雜，計算機安全專家在對軟件進行反編譯后發(fā)現(xiàn)，它不可能是黑客所為，應(yīng)該是一個“受國家資助的高級團隊研發(fā)的結(jié)晶”。安全傳統(tǒng)概念絕對的物理隔離就不會出現(xiàn)安全問題受影響的只是二次系統(tǒng)，一次設(shè)備不會受到損壞2007年，在美國國土安全局”Aurora”演習中，針對電力控制系統(tǒng)進行滲透測試，一臺發(fā)電機在其控制系統(tǒng)收到攻擊后被物理損壞2000年，俄羅斯政府聲稱黑客成功控制了世界上最大的天然氣輸送管道網(wǎng)絡(luò)2001年，黑客入侵了監(jiān)管美國加州多數(shù)電力傳輸系統(tǒng)的獨立運營商2003年，美國俄亥俄州Davis-Besse的核電廠控制網(wǎng)絡(luò)內(nèi)的一臺計算機被微軟的SQLServer蠕蟲病毒所感染，導致其安全監(jiān)控系統(tǒng)停機近5小時2003年，中國龍泉、政平、鵝城換流站控制系統(tǒng)發(fā)現(xiàn)病毒，后發(fā)現(xiàn)是由外國工程師在系統(tǒng)調(diào)試中使用筆記本電腦所致2010年，“震網(wǎng)(Stuxnet)”病毒在伊朗出現(xiàn)2011年，沙特國家石油公司受到攻擊，超過三萬臺電腦癱瘓2012年，美國國土安全局下屬的ICS-CERT組織稱，自2011年12月以來，已發(fā)現(xiàn)多起試圖入侵大型輸氣公司的黑客活動2012年4月22號，伊朗石油部和國家石油公司內(nèi)部電腦網(wǎng)絡(luò)遭受病毒攻擊，為安全起見，伊朗方面暫時切斷海灣附近哈爾克島石油設(shè)施的網(wǎng)絡(luò)連接工業(yè)控制系統(tǒng)安全事件-能源2000年，一個工程師在應(yīng)聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統(tǒng)，惡意造成污水處理站的故障，導致超過1000立方米的污水被直接排入河流，導致嚴重的環(huán)境災(zāi)難2006年，黑客從互聯(lián)網(wǎng)上攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統(tǒng)內(nèi)植入了能夠影響污水處理的惡意程序，導致了嚴重的事故2007年，攻擊者侵入加拿大的一個水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于從Sacrmento河調(diào)水的控制計算機2010.1.3112歲男孩侵入亞利桑那州的羅斯福大壩，150萬英畝的水域，可把整個鳳凰城淹掉2011年，黑客通過Internet操縱了美國伊利諾伊州城市供水系統(tǒng)SCADA，使得其控制的供水泵遭到破壞工業(yè)控制系統(tǒng)安全事件-水處理1997年，一個十幾歲的少年侵入紐約NYNES系統(tǒng)，干擾了航空與地面通信，導致馬薩諸塞州的Worcester機場關(guān)機6小時2003年，SCX運輸公司的計算機系統(tǒng)被病毒感染，導致華盛頓特區(qū)的客貨運輸中斷2003年，19歲的AaronCaffery侵入Houston渡口的計算機系統(tǒng)，導致該系統(tǒng)停機2008年，一少年攻擊了波蘭Lodz的城鐵系統(tǒng)，用一個電視遙控器改變軌道扳道器，導致4節(jié)車廂出軌2011年，上海地鐵因信號系統(tǒng)故障發(fā)生追尾事件，原因查明是系統(tǒng)升級過程中發(fā)生信息阻塞導致信號燈故障工業(yè)控制系統(tǒng)安全事件-交通2000年6月5號，江蘇省某縣供電局某220KV變電所發(fā)生了一起帶地線合閘的惡性誤操作事故，造成全所停電。當時負荷達70000KW，給該縣造成了很大的經(jīng)濟損失2006年，清華同方環(huán)境有限公司在中國華能集團公司德州電廠二期3號機組脫硫裝置運行過程中，旁路門突然非受控性關(guān)閉，致使工作間內(nèi)7人被埋，其中4人搶救無線死亡2007年，法國電力公司全資企業(yè)廣西來賓B電廠（2臺36萬千瓦燃煤機組）因江邊水泵房設(shè)備的控制和通訊完全中斷，造成兩臺機組停運，全廠對外停電2008年，華中（河南）電網(wǎng)因續(xù)電保護誤動作、安全穩(wěn)定控制裝置拒動等原因引發(fā)一起重大電網(wǎng)事故，導致華中東部電網(wǎng)與川渝電網(wǎng)解列，華中電網(wǎng)與西北電網(wǎng)直流閉鎖、與華北電網(wǎng)解列2012年，亞馬遜等網(wǎng)站上出現(xiàn)了智能電表破解裝置，聲稱可以通過無線網(wǎng)更改智能電表讀數(shù)工業(yè)控制系統(tǒng)安全事件-能源1992年，一前雇員關(guān)閉了雪佛蘭位于22個州的應(yīng)急報警系統(tǒng)，直到一次緊急事件發(fā)生以后發(fā)被發(fā)現(xiàn)2005年，在Zotob蠕蟲安全事件中，盡管在Internet與企業(yè)網(wǎng)、控制網(wǎng)之間都部署了防火墻，但還有13個美國汽車廠由于被蠕蟲病毒感染而被迫關(guān)閉，50,000生產(chǎn)線工人被迫停止工作，預(yù)計經(jīng)濟損失超過1,400,000美元2011年，美國某大型藥廠被黑客侵入并悄悄更改了生產(chǎn)物料配比，導致幾個批次的藥品出現(xiàn)不良反應(yīng)，給藥廠造成巨大損失工業(yè)控制系統(tǒng)安全事件-制造工業(yè)控制系統(tǒng)安全事件入侵者通過現(xiàn)場無線網(wǎng)絡(luò)，入侵工控生產(chǎn)過程控制系統(tǒng)，控制產(chǎn)品生產(chǎn)溫度，改變產(chǎn)品生產(chǎn)質(zhì)量。工控系統(tǒng)安全事件入侵者在郵件中植入木馬，控制辦公終端，進一步滲透到SCADA系統(tǒng)，從工程師服務(wù)獲取生產(chǎn)工藝數(shù)據(jù)。某制造行業(yè)工控安全事件移動存儲設(shè)備的隨意接入，把病毒代入工控系統(tǒng)。移動筆記本在沒有準入控制和身份認證的情況下接入工控網(wǎng)絡(luò)，把病毒帶入到工控系統(tǒng)。維護工控系統(tǒng)疏忽導致網(wǎng)線插錯，造成工控網(wǎng)形成網(wǎng)絡(luò)風暴，造成生產(chǎn)停車。固定IP地址與DHCP共存造成的IP地址沖突，影響生產(chǎn)作業(yè)。硬件設(shè)備丟失問題。某石化行業(yè)工控安全事件2009.6.儲控中心電腦感染蠕蟲死機；2009.10.芳烴裝置控制系統(tǒng)感染病毒運行異常；2010.5.上層網(wǎng)絡(luò)感染病毒故障；2009-2010.操作站頻繁死機；雖未發(fā)生嚴重事故，但還是耗費了大量的人力、物力和精力去處理安全事件，給安全生產(chǎn)帶來很大隱患!工控系統(tǒng)的脆弱性工業(yè)控制應(yīng)用系統(tǒng)幾乎是傳統(tǒng)IT信息系統(tǒng)的拷貝，但安全防護遠遠落后于傳統(tǒng)IT系統(tǒng)的安全防護。工控系統(tǒng)大量采用IT通用軟硬件，如PC服務(wù)器和終端產(chǎn)品、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；由于工控系統(tǒng)兼容性的問題，系統(tǒng)補丁和殺毒軟件的安全措施不到位，使系統(tǒng)的脆弱性得以放大！工控系統(tǒng)的脆弱性工控軟件與通信協(xié)議不健壯相對于傳統(tǒng)IT軟件，工業(yè)控制系統(tǒng)組態(tài)軟件、PLC嵌入式系統(tǒng)等在設(shè)計過程中主要考慮可用性，實時性、對安全性考慮不足；工控系統(tǒng)通信協(xié)議缺乏授權(quán)和加密、缺乏對用戶身份的鑒別和認證等安全機制。工控系統(tǒng)的脆弱性工業(yè)控制系統(tǒng)安全不僅使用一個技術(shù)問題，更是一個管理問題，需要完善的工業(yè)控制系統(tǒng)安全政策、標準、制度和安全意識來支撐。相對信息系統(tǒng)用戶來說，工控系統(tǒng)用戶安全意識更加薄弱！大多數(shù)的漏洞在工控系統(tǒng)上存在的時間超過3年一年左右，這些漏洞就已經(jīng)存在于開源的黑客入侵工具MetasploitSCADAmodule工控系統(tǒng)的脆弱性網(wǎng)絡(luò)安全風險急速增加2012年美國ICS蜜罐實驗?zāi)M了一個連接在Internet上的ICS18小時內(nèi)發(fā)生第一次深度攻擊28天內(nèi)發(fā)生39次深度攻擊美國DHS的統(tǒng)計，41%記錄在案的針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊是針對能源相關(guān)行業(yè)石油及天然氣行業(yè)電力基礎(chǔ)設(shè)施攻擊已經(jīng)蔓延到關(guān)鍵基礎(chǔ)設(shè)施的各個部門Sources–DHS,NSSLabs,TrendMicro針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊常常成為新聞頭條Sources–WallStreetjournal,WiredMagazine工控系統(tǒng)面臨的威脅臺灣ICST在幾個月時間，通過檢測31廠家的67個產(chǎn)品，挖掘出50個可以被利用的漏洞。從2007年起，每年的黑客大會都有關(guān)于工控系統(tǒng)安全的報告。美國ICS-CERT報告，2012年工控安全事件197起，2013上半年工控安全事件206起。排在前三位的行業(yè)分別是：能源、關(guān)鍵制造業(yè)、交通。工控系統(tǒng)面臨的威脅分析來自于經(jīng)營管理網(wǎng)與互聯(lián)網(wǎng)的威脅“兩化”融合，信息化帶動了工業(yè)化，工業(yè)化促進了信息化。產(chǎn)生了新型工業(yè)化，同時是也把傳統(tǒng)IT風險延伸到了工控系統(tǒng)使工控系統(tǒng)面臨來自經(jīng)營管理網(wǎng)和互聯(lián)網(wǎng)的威脅；工控系統(tǒng)面臨的威脅分析來自于工控系統(tǒng)內(nèi)網(wǎng)的威脅：操作系統(tǒng)漏洞已知與無法修復(fù)的尷尬！病毒木馬橫行與無法殺毒的尷尬！非工控應(yīng)用軟件的存在，帶來的未知風險！移動介質(zhì)的隨意使用帶來的風險！移動筆記本隨意接入帶來的風險！工業(yè)無線網(wǎng)絡(luò)邊界的不可見與非法接入的不可控風險！安全標準與動態(tài)2014.1.12美國白宮發(fā)布《網(wǎng)絡(luò)安全框架》2013.5美國商務(wù)部NIST更新《工業(yè)控制系統(tǒng)安全指南》版本r1，2014年第一季度將推出第二版本國際電工委員會制定IEC62443(ISA99)工控安全標準。安全標準與動態(tài)2011-2013連續(xù)三年被發(fā)改委納入國家信息安全專項2013.12.26國家標準批準公布《工業(yè)以太網(wǎng)交換機技術(shù)規(guī)范》2012年6月，《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）中明確：保障工業(yè)控制系統(tǒng)安全。2011年9月，工業(yè)和信息化部發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（451號文）工控安全動態(tài)工信部安全協(xié)調(diào)司趙澤良司長在RSA中國2011大會上強調(diào)“工業(yè)控制系統(tǒng)安全工作也到了非加強不可的時候了！”2014年02月27日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組成立；2014年3月6日上海市正式發(fā)布了《上海市網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案》。綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動態(tài)工控系統(tǒng)安全-白名單工控PC、服務(wù)器的進程、服務(wù)操作員站、工程師站、HMI、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器；工控系統(tǒng)訪問控制列表IT防火墻、工業(yè)交換機、工業(yè)防火墻等；工控系統(tǒng)資產(chǎn)能夠?qū)崟r識別非法設(shè)備進入工控系統(tǒng)。工控系統(tǒng)安全-層次化“層次化”根據(jù)工控系統(tǒng)功能的不同，對工控系統(tǒng)進行縱向分層、橫向分域，域分等級，目的是進行安全隔離防護。針對工控系統(tǒng)的特點，我們提出了“三層架構(gòu)，二層發(fā)防護”的方案。工控系統(tǒng)安全-邊緣化“邊緣化”從工控系統(tǒng)演變過程可以看到，工控系統(tǒng)最初是獨立的自動控制系統(tǒng)，但隨著信息化的發(fā)展，以及智能控制的要求，不斷的引入IT技術(shù)、互聯(lián)網(wǎng)技術(shù)，從而使工控系統(tǒng)不再獨立。工控系統(tǒng)安全，需要加強工控系統(tǒng)周邊信息化系統(tǒng)的安全。例如：SCADA、MES、ERP安全。工控系統(tǒng)安全-透明化“透明化”工控系統(tǒng)安全采取的技術(shù)措施、管理措施，不能夠降低系統(tǒng)使用者的易用性，安全措施對使用者來說是透明的；工控系統(tǒng)安全解決方案，不能夠降低系統(tǒng)的可用性、盡可能避免系統(tǒng)的延時（如果有延時，必須在可接受的范圍之內(nèi)）。綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動態(tài)工控系統(tǒng)安全解決方案思路基于工控系統(tǒng)安全防護理念，從四個維度，解決工控系統(tǒng)安全問題。工控系統(tǒng)安全防護縱向分層：三層架構(gòu)，二層防護。經(jīng)營管理層、生產(chǎn)控制層、過程控制層。橫向分域：