资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,时间,/,年,被攻击对象,所属工业领域,系统被攻击类型,1992,立陶宛,Inalina,核电站,核工业,1992,雪福来报警系统,制造业,1994,盐河工程,能源,SCADA,系统,1997,纽约航空管理,交通运输,SCADA,系统,2000,俄国天然气,能源,DCS,系统,2001,加州电力传输,电力,SCADA,系统,2001,澳洲污水处理厂,水力,SCADA,系统,2003,换流站控制系统,能源,DCS,系统,2003,CSX,运输公司,交通运输,SCADA,系统,2003,休斯顿渡口,交通运输,SCADA,系统,2003,美国核电站,核工业、电力,DCS,系统,2005,索科水库,水力,SCADA,系统,2005,Zotob,蠕虫安全事件,汽车制造业,DCS,系统,2005,PLC,控制器,2006,哈里斯堡污水处理厂,水力,SCADA,系统,2006,美国,Brow Ferry,核电站,核工业、电力,DCS,系统,2007,加拿大水利系统,水力,SCADA,系统,2008,南美电网系统,电力,SCADA,系统,2008,美国电厂,电力,SCADA,系统,2008,波士顿城市铁路,交通运输,SCADA,系统,2010,震网病毒事件,各个领域,DCS,系统,2011,石油化工,能源、石化,DCS,系统,1,事件详述,能源、石油化工控制系统安全事件,1994,年,美国的亚利桑那州的盐河工程就被黑客成功入侵。,2000,年,黑客在加斯普罗姆,(Gazprom),公司,(,俄罗斯国营天然气工业股,份公司,),内部人员的帮助下突破了该公司的安全防护网络,通过,木马程序修改了底层控制指令,致使该公司的天然气流量输出一,度控制在外部用户手中,对企业和国家造成了巨大的经济损失。,2001,年,黑客侵入了监管加州多数电力传输系统的独立运营商计算机控,制系统。,2003,年,中国某换流站控制系统发现病毒,系为外国工程师在系统调试,中使用工作笔记本电脑上网所致。,2008,年,黑客入侵并劫持了南美洲某国的电网控制系统,敲诈该国政府,,在遭到拒绝后,攻击了电力传输系统,导致长时间的电力中断。,2008,年,在美国国土安全局的一次针对电力系统的渗透测试中,一台发,电机组在其控制系统遭到攻击后发生物理损害。,2,2025/6/4 周三,水利控制系统安全事件,2001,年,澳大利亚昆士兰,Maroochy,污水处理厂由于内部工程师,的多次网络入侵,(,攻击,SCADA,系统,),,该厂发生了,46,次不,明原因的控制,设备功能异常事件,导致数百万公升的污,水进入了地区供水系统。,2005,年,由于控制系统漏洞,导致位于路易斯安那州索克水库上,的水量监控数据与远程监控站获得的数据不符,致使意外,排放出,10,亿加仑的水。,2006,年,10,月,一部被感染的笔记本电脑,(,维修用的,),,让黑客入侵了,美国宾夕法尼亚州哈里斯堡污水处理厂的计算机系统。被,感染的笔记本是通过互联网安装了病毒和间谍软件。这一,入侵攻击,致使该地区农作物的灌溉大受影响。,2007,年,攻击者入侵加拿大的一个水利,SCADA,控制系统,通过,安装恶意软件破坏了用于控制萨克拉门托河河水调度的控,制计算机系统。,3,2025/6/4 周三,核工业控制系统安全事件,1992,年,2,月,立陶宛,Inalina,核电站的计算机中心员工因对管理当局不满,故意,在电厂控制程序内植入恶意程序,(,逻辑炸弹,),,使控制系统功能异常。,2003,年,美 国 俄 亥 俄 州 的 戴 维 斯,-,贝 斯,(Davis Besse),核电站进行维修时,,由于施工商在进行常规维护时自行搭接对外连接线路以方便工程师在厂,外进行维护工作,结果当私人电脑接入核电站网络时,将电脑上携带的,SQL Server,蠕虫病毒传入核电站网络,致使核电站的控制网络全面瘫,痪,系统停机将近,5,小时。,2006,年,8,月,美国,Browns Ferry,核电站因其控制网络上的通信信息过载,导致控,制水循环系统的驱动器失效,使反应堆处于“高功率、低流量”的危险,状态,核电站工作人员不得不全部撤离,直接经济损失数百万美元。,2010,年,6,月,德国安全专家发现可攻击工业控制系统的震网病毒,截止,9,月底,,该病毒感染了全球超过,45 000,个网络,其中伊朗最为严重,直接造成其,核电站推迟发电。震网病毒专门针对西门子公司的,SIMATIC WinCC,监控,与数据采集,(SCADA),系统进行攻击,通过直接篡改,PLC,控制代码实施。,而,SIMATIC WinCC,监控与数据采集,(SCADA),系统在中国的多个重要行业,应用广泛,如钢铁、电力、能源、化工等行业。,4,2025/6/4 周三,交通控制系统安全事件,1997,年,一个十几岁的少年侵入纽约航空管理系统,(NYNES),,干扰了航空与地面,通信,导致马赛诸,塞州的伍斯特,(Worcester),机场被迫关闭,6,小时。,2003,年,,CSX,运输公司的计算机系统因为外接移动设备感染病毒,导致华盛顿特,区的客货运输中断。,2003,年,,19,岁的,Aaron Caffrey,侵入休斯顿渡口的计算机控制系统,导致该系统,全面停机。,2008,年,一少年攻击了波兰罗兹,(LodZ),市的城市铁路系统,用一个电视遥控器,改变了轨道扳道器的运行,导致,4,节车厢脱轨。,制造业安全事件,1992,年,前雇员入侵雪弗莱报警控制系统,通过修改程序参数,关闭了该公司,位于,22,个州的应急警报系统,并直到一次紧急事件发生之后才被发现。,2005,年,在,Zotob,蠕虫安全事件中,尽管在因特网与企业网、控制系统网络之间,部署了防火墙,但还是有,13,个美国汽车厂,(,尤其是佳士拿汽车工厂,),由,于被蠕虫感染被迫关闭,,50 000,名生产工人被迫停止工作,直接经济损,失超过,140,万美元。,5,2025/6/4 周三,工业控制系统和,SCADA,系统的信息安全漏洞和脆弱性分析,平台配置的脆弱性:,对已知的,OS,、软件漏洞未提供相应补丁,OS,与应用补丁缺乏维护,OS,与应用补丁采用了默认配置,未经过彻底的测试,关键配置未备份,数据未受保护地存储在移动设备中,缺乏充分的口令策略,没有采用口令,口令泄露或者口令容易被猜中,缺乏备份电源,使用不充分的访问控制。,6,2025/6/4 周三,平台硬件的脆弱性:,安全变更的测试不充分,关键系统缺乏物理防护,未授权的人员能够物理访问,对工控系统,ICS,设立不安全的进程访问,采用双网络接口卡连接多个网络,物理资产未经备案,缺乏备份电源,缺乏环境控制,关键配置缺乏备份,7,2025/6/4 周三,平台软件的脆弱性:,缓冲区溢出,已安装的安全功能未被默认启用,对未定义,/,定义不清,/,非法的输入处理不当,采用不安全的,ICS,协议,采用明文,采用其资料能够公开获得的私有软件,缺乏针对配置与编程软件的有效认证与访问控制,未安装入侵检测与防护软件,未维护安全日志,发生安全事件而检测不到,8,2025/6/4 周三,缺乏病毒及恶意代码的防护机制,未安装病毒防护软件及恶意代码防护程序,没有及时更新病毒库以及恶意代码库,病毒及恶意代码防护系统没有得到充分测试,缺乏操作系统等软件补丁的管理机制,没有针对已知的操作系统戒软件漏洞的补丁或者更新,缺乏对系统补丁或者软件更新的有效管理,系统补丁戒者软件更新未得到彻底测试,安全隐患,缺乏对用户身的鉴别,缺乏对路由协议的鉴别认证,,TCP/UDP,自身缺陷,操作系统安全漏洞,应用软件安全漏洞,对于控制网络系统,由亍安全漏洞可能带来的直接安全隐患有:,入侵,进行拒绝服务的攻击,病毒与恶意代码,9,2025/6/4 周三,国内外控制系统信息安全研究现状,1999,年,911,事件后,关键基础设施的安全成为各国关注的重点。,首先是美国:在,2002,年収表的,国土安全国家战略,中,将保护控制系统基础设施安全列入重要的工作内容;,2003,年又把控制系统安全纳入,网络空间国家安全战略,;国土安全部(,DHS,)设立了专门的国家实验室,通过与多个自动化厂商合作,建立模拟环境,开展相关的研究。,近些年来,随着对工业控制系统安全威胁的认识日益加深,国际上,紧接着国内,先后加强了,ICS/SCADA,及关键基础设施安全防护的研究。各国际标准化组织、各国陆续推出了一些标准、规范,以及信息安全建议和指南。,美国,ISA,学会从,2007,年起制定了工业自动化系统和控制系统信息安全的系列标准,ISA 99,,包括工业自动化及控制系统的总体信息安全要求、安全规范要求、系统级技术要求和组件级技术要求等。,IEEE,于,07,年颁布发电站网络安全能力的标准,,2010,年颁布针对发电站串行链路网络安全的加密协议的试用标准。,美国燃气协会,AGA,制定了其,12,号标准,SCADA,通信的加密保护,,推荐了为应付网络突发事件的,SCADA,通信安全的设计方法。,美国石油协会制定了其,1164,号标准,输油管道,SCADA,的安全,,指导输油和输气管道系统的操作人员管理,SCADA,系统的完整性和安全性。,美国国土安全部,DHS,和世界多家知名工业控制领域企业开展合作,建立“工业控制系统安全评估实验室”,并启动了“控制系统安全计划,(CSSP)”,,目标是通过国家、地方政府,协调工业控制系统的操作者和供应商,减少关键设施和资源部门的,ICS/SCADA,系统的安全风险,将工业控制系统安全提高到了国家安全层面。,工业控制系统网络应急响应小组,ICS-CRET,作为,CSSP,的支持单位帮助发布了,CSSP,的推荐实践,。,2008,年,美国商务部制定,工业控制系统安全的指导书,(Guide to Industrial Control Systems Security),,监管工业控制产品,(SCADA,、,DCS,、,PLC,等,),的安全性。,美国国家标准与技术研究院(,NIST,)制定的,工业控制系统信息安全指南,(,Guide to Industrial Contyrol System Security,)于,2011,年,6,月正式颁布。,10,2025/6/4 周三,我国的,GB 17859-1999,标准,标准规定了计算机信息系统安全保护能力的五个等级,即:,第一级,:,用户自主保护级,第二级,:,系统审计保护级,第三级,:,安全标记保护级,第四级,:,结构化保护级,第五级,:,访问验证保护级,美国,ISA,最先开发了针对内部网络分隔的工业自动化系统和控制系统信息安全的系列标准,ISA 99,,得到,IEC,的全面接受,等同制定了,IEC 62443,。,在这个标准的信息安全模型中,导入了区域(,Zone,)和信息通道(,Conduits,)的概念,用作分隔和隔离控制系统中各种各样的子系统。,我国的,ICS/SCADA,系统的信息安全标准正在积极制定过程中,基本等同采用,IEC 62443,。,11,2025/6/4 周三,ISA99/IEC 62443,的信息安全模型,所谓区域就是共享公共信息安全要求的逻辑或物理资产设备的集合。,所谓信息通道就是两个区域之间信息传输的路径。信息通道为不同区域间的安全通信提供信息安全的功能。,12,2025/6/4 周三,ISA99/IEC 62443,的信息安全保证等级,IEC 61508,规定了功能安全的安全完整性等级,SIL,,它们可以定量加以认证。,信息安全同样也规定了信息安全的保证等级,SAL,(,Security Assurance Level,),但在目前尚未找到定量描述方法之前,它们只能是定性的,分为低、中、高三个等级。,为了在信息安全生命周期的不同阶段都能使用,SAL,的概念,规定了,4,种类型:,目标(,Target,),SAL,设计(,Design,),SAL,达到(,Achieve,),SAL,能力(,Capacity)SAL,每种类型的,SAL,还分为,SAL 1,(偶然入侵予以防范)、,SAL 2,(用简单方法防范入侵)、,SAL 3,(用复杂方法防范入侵)和,SAL 4,(用复杂方法且借助其他资源防范入侵),13,2025/6/4 周三,常用方案,1,主动隔离式解决方案,主动隔离式解决方案的设计思想来源于,IEC62442,标准中“区域”和“管道”的概念,即相同功能和安全要求的设备放在同一区域内,区域间通信靠专有管道执行,通过对管道的管理来阻挡非法通信,保护网络区域及其中的设备。其典型代表是,Byres Security,公司推出的,Tofino,工控系统信息安全解决方案。,Tofino,解决方案由硬件隔离模块、功能软插件和中央管理平台组成,硬件隔离模块应用于受保护区域或设备的边界,;,功能软插件对经过硬件模块的通信进行合法性过滤,;,中央管理平台实现对安全模块的配置和组态,并提供报警的显示、存储和分析。该方案最大的特点是基于白名单原理,能够深入到协议和控制器模型的层次对网络进行交通管制。此外,非,IP,的管理模式使安全设备本身不易被攻击,同时其报警平台让管理者对控制网络的信息安全状况有直观的了解,这些都增加了它的市场吸引力。由于工控系统应用环境的特殊性,该方案对安全组件的可靠性要求比较高。,因为所有的网络威胁最后都要经由通信来实,现,而工控系统具有物理结构和通信模式相对固定的特点,所以主动隔离式是一种比较有效的解决方案,可以根据实际要求对工控系统进行灵活的信息安全防护。应用这种方案的关键是防护等级和安全区域的确定,需要寻求一个防护深度和成本的折中。,14,2025/6/4 周三,2,被动检测式解决方案,被动检测式解决方案延续了,IT,系统的网络安全防护策略。由于,0C,系统具有结构、程序、通信多变的特点,所以除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等黑名单匹配的方式确定非法身份,通过多层次的部署来加强网络信息安全。其典型代表是美国,Industrial Defender,公司的工控系统信息安全解决方案。,Industrial Defender,解决方案主要面向安全要求较高的电力行业推出,包括统一威胁管理(,UTM,)主机入侵防护、网络入侵检测、访问管理、网关和安全事件管理等部分。其中,统一威胁管理构成了安全防御的第,1,道防线,集成了防火墙、防毒墙、入侵防御、远程访问身份验证和虚拟专用网络(,VPN,)技术,;,主机入侵防护自动拦截所有未经授权的应用程序,;,网络入侵检测被动检测控制网络安全边界内所有的网络流量,能够检测到来自内部或外部的可疑活动,;,访问管理和,IP,网关保证了授权的远程访问和设备子站的安全接入,;,安全事件管理对网络中的安全事件进行集中监视和管理。该方案中的主机入侵防护系统基于白名单技术,确保得到授权的应用程序才能在工作站和客户端上运行,与耗费资源的黑名单技术相比,这是一个适用于工控环境的重要优点,;,网络入侵检测系统也集成了对某些工控协议的监视功能。该方案的缺点是部署和应用比较复杂。,被动检测式解决方案的主要硬件设备均部署于原有系统之外,且主机入侵防护功能通过代理终端以白名单技术实现,这些措施大大减少了对原有系统性能的影响,满足了工控系统可用性的要求。然而,由于网络威胁特征库的更新总存在滞后,所以基于黑名单技术的安全组件对于新出,现的入侵行为不能及时做出响应。因此,一些新型病毒或黑客行为仍可能对工控系统造成危害。,相比较而言,主动隔离式方案主要对网络交通进行管理,而被动检测式方案更侧重于对应用程序的监控。二者都可以达到较好的安全防御效果,需要根据不同的行业领域或应用场景来选择应用。,15,2025/6/4 周三,国内方案(某冶金自动化设计院),该方案主要从区域隔离、入侵检测、外设管理、安全运维,4,方面出发,建立如下,3,个层次的纵深防御体系,:,第,1,层,边界隔离。在生产管理网与企业信息网的边界部署统一威胁管理(,UTM,)系统。整合多种,IT,系统信息安全技术,最大程度地阻挡来自信息网络的安全威胁。,第,2,层,通信管理。进行安全区域隔离和设备接入管理,阻断威胁传播途径。在各控制单元之间实行基于工控协议过滤和内容深度检查的安全通信管理。对控制网络中主机的存储、输入和输出设备,以及远程或本地接入网络的生产和维护设备进行身份认证和行为管理。,第,3,层,主机防御。部署主机入侵防御系统,消除已有安全隐患。在控制系统工作站运行基于白名单技术的终端应用管理,自动拦截所有未经授权的应用程序。同时,对生产管理网络进行病毒查杀和补丁加固。,最后,由统一的信息安全管理平台对所述防御体系进行实时监管。该平台支持网络安全设备的在线配置和组态,可视化地监督网络资产运行状况,能够及时发现和弥补安全漏洞。同时,可以提供详细的信息安全审计功能,通过对安全事件,的跟踪和预警,为网络故障的及时排查和分析提供可靠依据。,16,2025/6/4 周三,
展开阅读全文