刘怡欣2014-04-11工业控制系统信息安全纲要IIIIII工控系统介绍工控系统安全分析工控系统安全理念IV工控安全解决方案V工控安全动态基本概念一信息安全(security)基本概念一本质安全(safety)基本概念二工业控制系统(ICS)是综合集成了计算机、网络、现代通信,微电子以及自动化技术,是对多种控制系统的总称,包括:可编程逻辑控制器(PLC);监控和数据采集(SCADA)系统;分布式控制系统(DCS);ICS普遍应用于电力、水处理、石油、天然气、化工、交通运输、制造业(烟草、汽车、食品等)。基本概念二可编程逻辑控制器(PLC);PLC单纯的实现逻辑功能和控制,不提供人机界面,实现操作需借助与按钮指示灯、HMI以及SCADA系统,PLC实现单机及简单控制。基本概念二监控和数据采集(SCADA)系统SCADA是对分布距离远,生产单位分散的生产系统的一种数据采集、监视和控制系统,SCADA作为生产管理级上位监控;基本概念二分布式控制系统(DCS)DCS兼具PLC和SCADA二者功能,但是基本上用在比较大的系统中和一些控制要求高的系统中,实现复杂控制;(Honeywell、和利时DCS)工业控制系统特点实时性要求高,强调实时I/O能力;可用性要求高,系统一旦上线,不能接受重新启动之类的响应,中断必须有计划和提前预定时间;工控硬件要求寿命长,防电磁干扰,防爆,防尘等要求非常严格;特有的工业控制协议通讯协议,不同厂商控制设备采用不同通信协议,很多协议不公开;工控系统上线生产后,一般不会调整;工控系统要求封闭性比较强。工业控制系统特点传统工控安全的管理属于生产单位和部门;操作人员缺乏应对信息安全的警惕性和经验;工控系统中承载着一些需要保密的工艺数据;加强工控系统的物理安全,会达到事半功倍的效果;现场设备越来越多具备无线接入功能;工控系统是国家重要的基础设施,工控系统安全会影响到生命安全、重大财产损失以及产生环境问题。工业控制系统功能层次工业控制系统功能层次GB/T20720《企业控制系统集成》IEC62264工控系统网络架构天然气调度系统架构(实体模型)工业控制系统协议工业控制系统传统IT部分工控部分硬件平台终端、服务器IPC、工业交换机、工业环网、PLC、RS485、RS232、CANBus现场总线系统平台通用系统(基本上都是基于windowsXP、win7、win8、windows2003、windows2008)通用系统(基本上是基于windowsXP、win7、windows2000、windows2003)通讯协议HTTP等通用协议工业协议如:OPC、RockwellABControlNet、RSLogixOPC\DDEGEFanucGESRTPQuickPanel数据库关系数据库Oracle、SQLServer实时数据库,Rockwell-RSSQLGEFANUC-iHistorian、PHD开发环境常见开发语言和工具C、java等组态软件RSlogix、RSlinx、WINCC、STEP7、iFIX等应用软件IT应用系统工业制造应用系统纲要IIIIII工控系统介绍工控系统安全分析工控系统安全理念IV工控安全解决方案V工控安全动态Stuxnet震网病毒2010年7月震惊全球工业界——世界上首个专门针对ICS编写的病毒;伊朗核电站Stuxnet病毒事件病毒特点:目标明确,针对特定场景结构复杂,隐藏、掩饰手段高明多种伪装,盗用数字签名,逃避查杀,同时利用多个0day漏洞,不惜代价;7个已知和未知漏洞,其中至少4个0day漏洞(其中五个windows系统漏洞和2个西门子SIMATICWinCC漏洞);修改PLC的程序逻辑,造成物理过程的故障;传播途径:U盘、共享网络、打印机危害攻击伊朗核设施,使得伊朗核计划拖后两年,60%的个人电脑感染病毒;全球超过45000个网络遭受攻击;多个行业的领军企业的工控系统受此感染。时间表2010年6月,震网病毒首次发现,并且攻击伊朗核设备成功;2010年12月,微软推出针对Stuxnet所利用的漏洞修复补丁;2012年7月,西门子公司宣布修复Stuxnet利用的软件漏洞。从发现病毒,到发布修复补丁,一共两年多时间伊朗核电站Stuxnet病毒事件伊朗核电站Stuxnet病毒事件美国《纽约时报》称,美国和以色列情报机构合作制造出“震网”病毒。“震网”病毒结构非常复杂,计算机安全专家在对软件进行反编译后发现,它不可能是黑客所为,应该是一个“受国家资助的高级团队研发的结晶”。安全传统概念•绝对的物理隔离就不会出现安全问题•受影响的只是二次系统,一次设备不会受到损坏•2007年,在美国国土安全局”Aurora”演习中,针对电力控制系统进行渗透测试,一台发电机在其控制系统收到攻击后被物理损坏2000年,俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络2001年,黑客入侵了监管美国加州多数电力传输系统的独立运营商2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫病毒所感染,导致其安全监控系统停机近5小时2003年,中国龙泉、政平、鹅城换流站控制系统发现病毒,后发现是由外国工程师在系统调试中使用笔记本电脑所致2010年,“震网(Stuxnet)”病毒在伊朗出现2011年,沙特国家石油公司受到攻击,超过三万台电脑瘫痪2012年,美国国土安全局下属的ICS-CERT组织称,自2011年12月以来,已发现多起试图入侵大型输气公司的黑客活动2012年4月22号,伊朗石油部和国家石油公司内部电脑网络遭受病毒攻击,为安全起见,伊朗方面暂时切断海湾附近哈尔克岛石油设施的网络连接工业控制系统安全事件-能源2000年,一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理站的故障,导致超过1000立方米的污水被直接排入河流,导致严重的环境灾难2006年,黑客从互联网上攻破了美国哈里斯堡的一家污水处理厂的安全措施,在其系统内植入了能够影响污水处理的恶意程序,导致了严重的事故2007年,攻击者侵入加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于从Sacrmento河调水的控制计算机2010.1.3112岁男孩侵入亚利桑那州的罗斯福大坝,150万英亩的水域,可把整个凤凰城淹掉2011年,黑客通过Internet操纵了美国伊利诺伊州城市供水系统SCADA,使得其控制的供水泵遭到破坏工业控制系统安全事件-水处理1997年,一个十几岁的少年侵入纽约NYNES系统,干扰了航空与地面通信,导致马萨诸塞州的Worcester机场关机6小时2003年,SCX运输公司的计算机系统被病毒感染,导致华盛顿特区的客货运输中断2003年,19岁的AaronCaffery侵入Houston渡口的计算机系统,导致该系统停机2008年,一少年攻击了波兰Lodz的城铁系统,用一个电视遥控器改变轨道扳道器,导致4节车厢出轨2011年,上海地铁因信号系统故障发生追尾事件,原因查明是系统升级过程中发生信息阻塞导致信号灯故障工业控制系统安全事件-交通2000年6月5号,江苏省某县供电局某220KV变电所发生了一起带地线合闸的恶性误操作事故,造成全所停电。当时负荷达70000KW,给该县造成了很大的经济损失2006年,清华同方环境有限公司在中国华能集团公司德州电厂二期3号机组脱硫装置运行过程中,旁路门突然非受控性关闭,致使工作间内7人被埋,其中4人抢救无线死亡2007年,法国电力公司全资企业广西来宾B电厂(2台36万千瓦燃煤机组)因江边水泵房设备的控制和通讯完全中断,造成两台机组停运,全厂对外停电2008年,华中(河南)电网因续电保护误动作、安全稳定控制装置拒动等原因引发一起重大电网事故,导致华中东部电网与川渝电网解列,华中电网与西北电网直流闭锁、与华北电网解列2012年,亚马逊等网站上出现了智能电表破解装置,声称可以通过无线网更改智能电表读数工业控制系统安全事件-能源1992年,一前雇员关闭了雪佛兰位于22个州的应急报警系统,直到一次紧急事件发生以后发被发现2005年,在Zotob蠕虫安全事件中,尽管在Internet与企业网、控制网之间都部署了防火墙,但还有13个美国汽车厂由于被蠕虫病毒感染而被迫关闭,50,000生产线工人被迫停止工作,预计经济损失超过1,400,000美元2011年,美国某大型药厂被黑客侵入并悄悄更改了生产物料配比,导致几个批次的药品出现不良反应,给药厂造成巨大损失工业控制系统安全事件-制造某制造行业工控安全事件移动存储设备的随意接入,把病毒代入工控系统。移动笔记本在没有准入控制和身份认证的情况下接入工控网络,把病毒带入到工控系统。维护工控系统疏忽导致网线插错,造成工控网形成网络风暴,造成生产停车。固定IP地址与DHCP共存造成的IP地址冲突,影响生产作业。硬件设备丢失问题。某石化行业工控安全事件2009.6.储控中心电脑感染蠕虫死机;2009.10.芳烃装置控制系统感染病毒运行异常;2010.5.上层网络感染病毒故障;2009-2010.操作站频繁死机;虽未发生严重事故,但还是耗费了大量的人力、物力和精力去处理安全事件,给安全生产带来很大隐患!工控系统的脆弱性工业控制应用系统几乎是传统IT信息系统的拷贝,但安全防护远远落后于传统IT系统的安全防护。工控系统大量采用IT通用软硬件,如PC服务器和终端产品、操作系统和数据库系统;由于工控系统兼容性的问题,系统补丁和杀毒软件的安全措施不到位,使系统的脆弱性得以放大!工控系统的脆弱性工控软件与通信协议不健壮相对于传统IT软件,工业控制系统组态软件、PLC嵌入式系统等在设计过程中主要考虑可用性,实时性、对安全性考虑不足;工控系统通信协议缺乏授权和加密、缺乏对用户身份的鉴别和认证等安全机制。工控系统的脆弱性工业控制系统安全不仅使用一个技术问题,更是一个管理问题,需要完善的工业控制系统安全政策、标准、制度和安全意识来支撑。相对信息系统用户来说,工控系统用户安全意识更加薄弱!大多数的漏洞在工控系统上存在的时间超过3年一年左右,这些漏洞就已经存在于开源的黑客入侵工具MetasploitSCADAmodule工控系统的脆弱性网络安全风险急速增加2012年美国ICS蜜罐实验模拟了一个连接在Internet上的ICS18小时内发生第一次深度攻击28天内发生39次深度攻击美国DHS的统计,41%记录在案的针对关键基础设施的攻击是针对能源相关行业石油及天然气行业电力基础设施攻击已经蔓延到关键基础设施的各个部门Sources–DHS,NSSLabs,TrendMicro针对关键基础设施的网络攻击常常成为新闻头条Sources–WallStreetjournal,WiredMagazine工控系统面临的威胁台湾ICST在几个月时间,通过检测31厂家的67个产品,挖掘出50个可以被利用的漏洞。从2007年起,每年的黑客大会都有关于工控系统安全的报告。美国ICS-CERT报告,2012年工控安全事件197起,2013上半年工控安全事件206起。排在前三位的行业分别是:能源、关键制造业、交通。工控系统面临的威胁分析来自于经营管理网与互联网的威胁“两化”融合,信息化带动了工业化,工业化促进了信息化。产生了新型工业化,同时是也把传统IT风险延伸到了工控系统使工控系统面临来自经营管理网和互联网的威胁;工控系统面临的威胁分析来自于工控系统内网的威胁:操作系统漏洞已知与无法修复的尴尬!病毒木马横行与无法杀毒的尴尬!非工控应用软件的存在,带来的未知风险!移动介质的随意使用带来的风险!移动笔记本随意接入带来的风险!工业无线网络边界的不可见与非法接入的不可控风险!安全标准与动态2014.1.12