从物联网看工控系统的安全38

孙利民@物联网安全实验室从物联网看工控系统的安全物联网安全技术北京市重点实验室报告人：孙利民时间：2014年11月孙利民@物联网安全实验室大纲•安全是IoT应用前提•工控系统是IoT典型应用•工控系统通信协议安全•工控系统的攻击模式•工控系统的防护体系•思考孙利民@物联网安全实验室工控安全事件Stuxnet震网病毒2010年，伊朗布什尔核电站发现遭受震网病毒攻击截止2011年，已经感染了全球超过45000个网络,成为世界首个网络“超级武器”Davis-Besse核电站事件2003年1月，美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlammer蠕虫病毒攻击网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作Duqu病毒Duqu病毒最早出现在2011年9月，市专门针对工业控制系统开发的病毒，目标主要是伊朗、英国和美国，控制中心在印度，专为收集数据而来，其目的是使未来发动网络袭击变得更加容易孙利民@物联网安全实验室工控安全事件盐湖工程事件1994年，美国亚利桑那州凤凰城的主要供水源以及电源发电系统-盐湖工程SRP的控制网络遭到攻击黑客使用拨号调制解调器，就能够进入的计费信息，从而渗透到监视凤凰城地区运河水位的控制服务器直接经济损失$40,000，控制系统无法正常工作Havex病毒2014年6月,安全厂商F-Secure首先发现Havex病毒，ICS-CERT发布安全通告，该病毒主要攻击目标以能源行业为主(水电大坝、核电站、电网)Havex被编写来感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网近来被用于从事工业间谍活动，主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司孙利民@物联网安全实验室工控安全事件美国伊利诺伊州供水系统受损2011年11月，美国伊利诺伊州一家水厂的监控及数据采集系统（SCADA）因遭到黑客攻击，其中一个水泵被频密开关导致停止运转美国国土安全部门和联邦调查局调查指出目前许多控制重要行业的工业SCADA系统存在脆弱性，具有很大的安全隐患澳大利亚污水2001年,一个澳大利亚SCADA系统软件开发前雇员46次非法入侵了SCADA系统，控制了昆士兰州德的一家污水处理厂，非法改变排污泵站的电力驱动装置参数,导致超过1000立方米的污水被直接倾泻到河流和公园,导致严重的环境灾难美国水库失灵2005年美国密执安那州的TaumSauk水库抽水蓄能电站的上库堆石坝,因发电自动控制的水位计缺少定期维护和再校准,逐渐产生严重误差,加上坝体结构施工不良等因素,导致库水超抽漫顶而溃决，倾泻了10亿加仑的水资源孙利民@物联网安全实验室工控安全事件手机控制飞机2013年，荷兰阿姆斯特丹（HackInTheBoxSecurityConferenceHITB)黑客安全大会，黑客HugoTeso展示用安卓手机劫持飞机波兰城市轨道交通脱轨事件2008年，一少年攻击了波兰Lodz的城铁系统，通过电视遥控器改变轨道扳道器，导致四节车厢脱轨Worcester机场关闭事件1997年少年黑客入侵BellAtlantic公司的计算机系统时关闭了机场通信系统，干扰了航空与地面通信,导致马萨诸塞州的Worcester机场关闭6个小时改变轨道扳道器孙利民@物联网安全实验室安全是物联网广泛应用的前提对物理世界的攻击日益增多对资源环境、基础设施、生命财产造成巨大威胁！生命资源财产环境孙利民@物联网安全实验室工控安全事件统计-引起各国政府的重视从2010财年至2013财年，美国ICS-CERT累计响应了超过600起工业控制系统信息安全事件0501001502002503002010201120122013对于2013财年，美国ICS-CERT响应的工业控制系统信息安全事件涉及行业的分布图2013孙利民@物联网安全实验室期刊和会议-学术界越来越关注工控安全2009年CCS发表关于智能电网中错误数据注入攻击的论文。2011年CCS设立“硬件，SCADA与物理安全”的session，收录4篇论文。2012年CCS设立“基础设施的安全与隐私”的session，收录5篇论文，内容涉及电网数据的安全与隐私，GPS定位，PLC负载等。2013年CCS设立“关键基础设施”session，收录2篇论文，内容涉及智能电网中的入侵检测与实时电价问题。2013年，欧洲举办专门针对工业控制系统信息安全的会议ICS-CSR，收录论文13篇。2010年，S&P设立“真实世界安全”session，收录论文3篇，内容涉及针对打印机的侧信道攻击和车载无线网络安全问题。ASIACCS收录有工控安全论文，2011年有论文讨论过程控制系统攻击评估、检测与响应的论文。会议期刊《IEEETransactionsonIndustrialInformatics》（TII）关注工业控制系统的效能、可靠性和安全性等。典型论文：2013年《Reviewofsecurityissuesinindustrialnetworks》。《IEEETransactionsonSmartGrid》（TSG）内容涵盖典型工业控制系统——智能电网的安全问题。典型论文：2011年《Integritydataattacksinpowermarketoperations》。《IEEETransactionsonAutomaticControl》（TAC）研究各种自动控制系统，包括工控系统及其安全性。典型论文：2014年《Ontheperformanceanalysisofresilientnetworkedcontrolsystemsunderreplayattacks》。2010年成立的IEEESmartGridComm会议，内容包括智能电网的安全问题。2014年，第二届ICS-CSR在欧洲举办，收录论文10篇（包括positionpaper）。200920102011201420132012孙利民@物联网安全实验室大纲•安全是IoT应用前提•工控系统是IoT典型应用–从IoT看工控系统的特点与挑战•工控系统通信协议安全•工控系统的攻击模式•工控系统的防护体系•思考孙利民@物联网安全实验室物联网的基本特征物联网的基本特征第一，更透彻的感应/控制第二，更全面的互联互通第三，更深入的智能洞察物联网的实质物理空间与信息空间深度融合“人、机、物”三元融合M2M交通网WSNRFIDWiMax感知传输决策控制大量感/部件部署在物理环境中,与物理环境实时交互,影响或改变物理环境/系统的状态“人、机、物”三元融合：未来物联网将人员、设备与物理环境融合成为一体孙利民@物联网安全实验室工控系统是物联网的典型应用外部-物理分布部署在多个区域需要更多互联互通•内部-智慧工厂感知、决策、控制采用开放标准孙利民@物联网安全实验室信息传输的通用平台工控系统的特点对比点工业控制系统IT信息系统安全目标可信的物理世界的感知可靠的物理世界的反馈控制可信信息获取、处理与存储实时性自治决策型系统，对控制事件处理需实时响应允许一定程度上的网络延迟和阻塞生命周期部署和开发周期长，更新换代的速度慢系统发展更迭速度快连续性一旦上线，不允许中断，否则将影响业务进程，造成生命财产的损失；系统在更新时需临时停运允许重启和宕机。补丁可随时、自动完成通信协议有大量专用和私有协议，适用于多种应用需求采用统一的TCP/IP协议资源限制前端设备嵌入物理环境，资源有限有足够的资源进行安全策略的部署ITICS与物理世界进行实时交互孙利民@物联网安全实验室工控系统安全的挑战-“人机物”三元融合有利面具体操作操作行为固定操作对象固定操作流程明确部署拓扑结构固定服务、端口基本不变无线接入固定、少人员操作人员固定操作人员数量有限挑战性具体可用性要求严苛不允许突发性重启，宕机发生对系统响应能力要求严格系统复杂多样设备种类繁多设备协议繁多，私有通信方式灵活更新维护困难系统生命周期长，老旧系统维护缺失系统更新容易影响系统稳定性工控系统安全面临的挑战孙利民@物联网安全实验室大纲•安全是IoT应用前提•工控系统是IoT应用•工控系统协议安全分析–工控系统通信协议的安全分析–工控系统通信协议的演进•工控系统的攻击模式•工控系统的防护体系•思考孙利民@物联网安全实验室工业控制系统架构业务网路、Email、业务服务监控网路SCADA、历史记录、历史数据库控制系统HMI(人机接口)-PLC或RTU及IED的操作控制面板IED(智能监测单元)-传感器、电动机、变电器、泵等现场设备PLC(可编程逻辑控制器)-用于多输入/多输出应用，控制实时过程RTU(远程终端单元)-监控现场参数，将数据传回中央监控站历史记录IED/PLCRTU现场系统互联网其他设施图例智能监测单元IED/可编程逻辑控制器PLC以太网工业以太网主终端单元MTU远程终端单元RTU孙利民@物联网安全实验室工业控制协议-Modbus1979年由施耐德电气子公司设计应用层协议，基于请求/应答方式适用范围HMI与PLC之间主PLC与从设备(PLC、HMI、驱动器、传感器、I/O设备)安全问题与建议安全问题根源安全问题举例安全建议缺乏认证仅需要使用一个合法的Modbus地址和合法的功能码即可以建立一个Modbus会话增加必要的认证、授权和加密功能，考虑使用白名单机制缺乏授权没有基于角色的访问控制机制，任意用户可以执行任意的功能缺乏加密地址和命令明文传输，易被捕获解析孙利民@物联网安全实验室工业控制协议-DNP3适用范围主控站和从设备、“子站”及RTU与IED之间非正常轮询周期时响应，将报警事件通知主站具有可靠性CRC校验(单帧中最多可包含高达17个CRC)链路层确认机制(可选)安全问题与建议安全问题根源安全问题举例安全建议缺乏认证攻击者使用定义好的功能码和数据类型可非常容易地建立会话1)DNP3安全变种：增加了授权机制-会话秘钥2)使用专用且隔离的DNP3网络，增加认证和授权3)使用传输层安全保护ICCP数据缺乏授权没有使用基于角色的访问控制机制缺乏加密地址和命令明文传输，易被捕获解析协议复杂性相对于Modbus的请求响应模式，DNP3增加了主动上报模式的同时，增加了出现漏洞的可能孙利民@物联网安全实验室工业控制协议-ICCP/TASE.2美国电科院牵头1996年纳入IEC体系(IEC60870-6)适用范围-点对点两个企业控制中心之间同一电力企业内的两个控制系统间客户端/服务器模式通信警报、异常情况通知远程设备配置、控制安全问题与建议安全机制安全问题举例安全建议缺乏认证攻击者可以很容易利用合法指令建立会话1)ICCP变种安全-集成了数字认证与加密机制2)使用专用且隔离的ICCP网络，增加认证3)谨慎定义双边表4)传输层安全保护ICCP数据，纵深防御(防火墙、IDS、IPS)缺乏加密报文明文传输，易被捕获解析显示地定义可信关系“双边表”-访问控制双边表信息遭到利用将可直接破坏ICCP服务器和客户端的安全性可访问广域网协议，易受包括DoS在内的多种攻击孙利民@物联网安全实验室工业控制协议-OPC微软为过程控制设计的对象链接与嵌入(OLE)协议OPC使用微软DCOM通信API，减少驱动程序需求OPC以客户端/服务器模式工作通过远程过程调用（RPC）方式向服务器提供必要参数OPC在工业网络的许多领域都有应用历史记录数据库转移数据HMI内部的数据采集及监控等等安全问题与建议安全问题根源安全问题举例安全建议Windows漏洞OPC基于Windows操作系统，易受到针对Windows漏洞的攻击(大量现存