工业控制系统信息安全防护技术.pptx

*工业控制系统信息安全防护技工业控制系统信息安全防护技术术2014.11.05 工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提 纲沈自所研究基础与开展工作一、工业控制系统的脆弱性一、工业控制系统的脆弱性正向复杂化、IT化和通用化趋势发展基于PC+Windows的工业控制网络面临安全挑战国外：2011年，黑客入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏；2011年，微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据；2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据；2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息。国内：我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度地中断。一、工业控制系统的脆弱性一、工业控制系统的脆弱性1、ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势，仅2013年度，针对关键基础设施的攻击报告已达到257起。”2、主要集中在能源、关键制造业、交通、通信、水利、核能等领域，而能源行业的安全事故则超过了一半。一、工业控制系统的脆弱性一、工业控制系统的脆弱性归根结底就是工业控制系统的漏洞问题，截止到2013年12月底，公开的工业控制系统漏洞数总体仍呈增长趋势。一、工业控制系统的脆弱性一、工业控制系统的脆弱性2010年6月出现的Stuxnet病毒，是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒，它同时利用7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATICWinCC系统。一、工业控制系统的脆弱性一、工业控制系统的脆弱性工业控制系统的漏洞主要包括：（1）通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。（2）操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，通常现场工程师在系统开启后不会对windows平台安全任何补丁，埋下了安全隐患。（3）应用软件漏洞 由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，另外当应用软件面向网络应用时，就必须开放其应用端口，是重要的攻击途径。一、工业控制系统的脆弱性一、工业控制系统的脆弱性工业控制系统的漏洞主要包括：（4）安全策略和管理流程漏洞 追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。（5）杀毒软件漏洞 为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，病毒库也不会定期的更新。工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提 纲沈自所研究基础与开展工作二、工业控制系统的安全需求二、工业控制系统的安全需求工控系统与传统IT系统的不同对比项工业控制系统ICS传统IT系统体系结构体系结构主要由传感器、主要由传感器、PLC、RTU、DCS、SCADA等设备及系统组成等设备及系统组成通过互联网协议组成的计算机网络通过互联网协议组成的计算机网络操作系统操作系统广泛使用广泛使用嵌入式系统嵌入式系统VxWorks、uCLinux、winCE等等，并根据功能及，并根据功能及需求进行裁剪与定制需求进行裁剪与定制通用操作系统通用操作系统 如如windows、linux、UNIX等，功能强大等，功能强大数据交换数据交换协议协议专用的通信协议或规约（专用的通信协议或规约（OPC、Modbus TCP、DNP3等），等），一般直一般直接使用或作为接使用或作为TCP/IP的应用层的应用层TCP/IP协议栈系统实时性系统实时性实时性要求高，不能停机或重启实时性要求高，不能停机或重启实时性要求不高，允许传输延迟，可停实时性要求不高，允许传输延迟，可停机或重启机或重启系统升级系统升级兼容性差、软硬件升级困难兼容性差、软硬件升级困难兼容性好、软件升级频繁兼容性好、软件升级频繁二、工业控制系统的安全需求二、工业控制系统的安全需求工控安全与传统IT安全的差异化传统网络安全技术不适于应用到工业控制系统传统IT安全：机密性 完整性 可用性工控系统安全：可用性 完整性 机密性 方式防火墙入侵检测漏洞扫描传统IT网络工业控制网络TCP/IP协议存在误报率实时的补丁修复专有协议格式不允许存在误报补丁修复困难传统IT系统：机密性工业测控系统：可用性设计初衷二、工业控制系统的安全需求二、工业控制系统的安全需求 美国国土安全部下属的ICS-CERT（工业控制系统应急响应小组）及CSSP（控制系统安全项目）通过对工业控制系统软件的缺陷性分析发现，工业控制系统软件的安全脆弱性问题主要涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面。工业控制系统的特点u封闭性：SCADA、ICS系统的设计之初安全机制不完善u多样性：多种数据接口（如RJ45、RS485、RS232等）,协议规约实现多样u复杂性：专用的通信协议或规约（如OPC、Modbus、DNP3、Profibus等）u不可改变性：工控系统程序升级困难！传统IT安全防护技术不适合工业控制系统急需针对工业控制系统的安全防护技术：针对SCADA、ICS系统自身脆弱性（漏洞）和通信规约的安全性，研究工业控制系统的安全防护技术，分析工业控制系统中已知的与未知的安全威胁，指导其对安全威胁进行有效的防御。二、工业控制系统的安全需求二、工业控制系统的安全需求 工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提 纲沈自所研究基础与开展工作保证工业控制系统安全稳定运行，工业控制系统的安全防护必须达到以下三个目标：目标主要内容通信可控通信可控能够直观观察、监控、管理通信中数据。仅保证工业控制专有协议数据通过即可，其他通信一律禁止。区域隔离区域隔离为防止局部控制网络问题扩散导致全局瘫痪，在关键数据通道上部署网络隔离。报警追踪报警追踪及时发现网络中感染或其他问题，准确找出故障点。通过对报警事件进行记录，为故障分析提供依据。工业控制系统防火墙技术三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术工业控制系统防火墙技术 防火墙是基于访问控制技术，它可以保障不同安全区域之间进行安全通信，通过设置访问控制规则，管理和控制出入不同安全区域的信息流，保障资源在合法范围内得以有效使用和管理。可以根据“白名单”或者“黑名单”的方式进行规则设置。对于“白名单”，可以设置允许规则，也就是说只有符合该规则的数据流才能通过，其他的任何数据流都可以被看做攻击而过滤掉，这样就保障了资源的合法使用；而对于“黑名单”，可以设置禁止规则，禁止不合法的客户端对资源的访问。三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术工业控制系统防火墙技术区域管控划分控制系统安全区域，对安全区域的隔离保护保护合法用户访问网络资源控制协议深度解析解析Modbus、DNP3等应用层异常数据流量对OPC端口进行动态追踪，对关键寄存器和操作进行保护数据捕获控制系统通信数据协议分析应用层深度分析访问控制规则策略正常数据放行动态链表调整报警日志数据库日志发送检测发现异常阻断通信白名单DNP3默认值规则链表ModbusOPC动态端口匹配 动作匹配 动作匹配 动作功能码、寄存器匹配 动作生成功能码、寄存器三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术工业控制网络安全管控技术工业控制网络安全管控技术模块划分：模块功能中央管控平台中央管控平台组组态态、配配置置分分布布在在网网络络中中的的工工业业防防火火墙墙，下下载载与与修修改改安安全全策策略略；收收集集并并存存储储各各个个工工业业防防火火墙墙上上传传的的报报警警和和日日志志数数据据，为为安安全全审审计计，异异常常事事件件关关联联分分析析提提供供依依据据；实实时时显显示示网网络络中中流流量量情情况、攻击行为。况、攻击行为。工业防火墙工业防火墙根根据据所所建建立立的的“区区域域”与与“管管道道”模模型型，部部署署在在关关键键数数据据通通路路上上，对对不不同同“区区域域”之之间间的的数数据据流流进进行行访访问问控控制制，对对工工业业通通信信协协议议进进行行深深度度过过滤滤检检查查，对对违违反反安安全全规规则则的的网网络络行行为为进进行行实实时时报报警警，并并且且将将异异常常事事件件上上传传至至异异常常事事件数据库。件数据库。Modbus/TCPModbus/TCP深度防护模块深度防护模块Modbus/TCP协议威胁分析：开放、通俗易懂（双刃剑易于厂商开发，也易于黑客发动攻击）任意连接到网络中的计算机都可以改变控制器的IO点数，或者寄存器数值。甚至进行复位、禁止运行、下载恶意控制逻辑操作等。Modbus/TCPModbus/TCP深度防护模块深度防护模块主要功能完整性检测，阻挡不符合Modbus标准的通讯。设定允许的Modbus功能码、寄存器、线圈列表。典型应用石油、石化与天然气SCADAPLC的人机界面/编程管理站采用Modbus TCP通讯的安全仪表系统SISModbus/TCPModbus/TCP深度防护模块深度防护模块RTUPLC1PLC2HMI未获授权客户端禁止访问网络HMI2试图对PLC2进行访问HMI需要访问RTU和PLC1HMI不需要访问PLC2潜在的攻击链路消除潜藏攻击通道！问题1：HMI可以被信任吗？问题2：HMI如果被病毒渗透了，该怎么保护重要控制器？RTUPLC1“写”操作被“拦截”“读”操作被“放行”非必要操作码被“拦截”访问重要寄存器“被拦截”不符合Modbus标准数据包被拦截沈阳自动化研究所Modbus/TCP深层次防护技术优势深入工业通讯协议内部检查，提供应用层防护，安全级别高于一般防火墙（传输层、网络层）阻止病毒向重要控制器传播及扩散Modbus/TCPModbus/TCP深度防护模块深度防护模块HMI可能成为攻击的“跳板”！OPCOPC协议防护模块协议防护模块OPC技术威胁性分析：OPC基于微软的DCOM技术，天然存在安全隐患。OPC不使用固定的端口（动态端口），常规的IT防火墙无法进行安全防护。OPC访问权限过于宽泛。OPCOPC协议防护模块协议防护模块 OPC防护软件工作原理：只允许OPC标准格式DCE/RPC访问请求只允许特定客户端与服务器之间通讯只允许客户端使用指定的端口通讯只允许TCP通讯发生在特定的OPC连接时间内典型应用：数据采集网络中信息层与控制层OPC通讯防护ESD/SIS等安全仪表防护APC等先控站防护OPCOPC协议防护模块协议防护模块OPC ServerOPC Client非法客户/端口OPC数据请求(5555)OPC 数据“放行”符合OPC标准数据OPC数据返回沈阳自动化研究所OPC防护技术优势采用“动态跟踪TCP端口”连接技术，实时打开OPC所需要端口，最大程度减少攻击面“拦截”非OPC标准格式的DCE/RPC的访问请求 工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提 纲沈自所研究基础与开展工作以太网中央管理控制平台工业防火墙OPC深度防护方式一：平台与ICS防火墙协同防御产品应用形式产品应用形式Modbus深度防护方式二：安全网关单独应用Modbus深度防护OPC深度防护Modbus PLC数采工作站OPC服务器OPC客户端产品应用形式产品应用形式工业防火墙其他通讯协议控制器数采工作站产品应用形式产品应用形式名称物理接口应用领域Modbus/TCP防火墙防火墙工业以太网工业以太网（RJ45）隔离采用隔离采用Modbus/TCP通讯的人机界面通讯的人机界面/工程工程师站、数据采集站与师站、数据采集站与PLC/RTU/安全仪表系统安全仪表系统SIS等。等。OPC通讯防通讯防火墙火墙以太网以太网（RJ45）MES数采网与控制网隔离，保护数采网与控制网隔离，保护OPC（DA，HAD，A&E）服务器端与客户端的通讯安）服务器端与客户端的通讯安全。全。集团网与工隔离厂网络隔离OPC防护DA/HAD/A&E先进控制站隔离Modbus/TCP通讯控制器防护Modbus/TCP 通讯ESD/SIS防护工程师站隔离重要控制器SIS/ESD系统工程师站OPC serverOPC server安全管控平台先进控制站双网卡Buffer机过程控制网厂级MES网集团/总部网办公计算机厂级数据库其他子厂接入 工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提 纲沈自所研究基础与开展工作五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作中国科学院沈阳自动化研究所n始建于1958年，国家机器人学重点实验室、国家机器人技术国家工程中心、中国科学院工业信息技术重点实验室、辽宁省先进制造技术工程中心、辽宁省网络化控制技术工程中心、辽宁省工业物联网重点实验室，完成各类科研项目1000余项，获得国家科技进步奖、中科院科技进步奖省、市地方科技成果奖200余项。n主要研究方向有机器人、工业自动化和光电信息处理，在工业自动化领域，工业无线技术和现场总线技术有深厚的积累，获得国家科技进步二等奖1项、国家技术发明二等奖1项、科学院科技进步一等奖1项。五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作n在现场总线方面，沈阳自动化研究所是国内第一个开展FF现场总线技术研究、国际上第三个通过一致性测试的研究机构，制定的工业以太网标准EPA已成为国家和国际标准。五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作l沈阳自动化研究所是中国工业无线联盟的发起单位，工业无线技术国家标准制定的组长单位，“十一五”863计划工业无线技术重点项目的牵头单位。l在工业无线技术和现场总线技术方面有深厚的积累，发表学术论文近150 余篇，出版专著1部，申请国家发明专利40余项，国际专利3项，软件著作权14 项，获得国家科技进步二等奖1项、国家技术发明二等奖1项、科学院科技进步一等奖1 项。l2011年7月，WIA-PA标准以中华人民共和国国家标准GB/T 26790.1-2011发布，并于2011年11月成为IEC正式国际标准。五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作n中国科学院沈阳自动化研究所是国家标准信息安全技术工业控制系统安全管理基本要求标准草案的起草单位之一。n面向智能无线网关、无线远程控制器（RTU）等设备，进行了基于可信加密芯片的主动安全防御技术的研究，面向石油、化工、电力、冶金、环保通等行业进行了应用。n研发ICS安全管控平台和防火墙产品，防火墙支持Modbus TCP、OPC、DNP3协议。技术参数接收灵敏度：-100dBm发射功率：19dBm机箱尺寸：430290158.4mm工作温度：-40+85宽幅工作电压：AC85V265V防护等级：IP65防爆等级：Ex ib IIC T3无线安全认证：AES 128bit*科技创造未来 服务体现价值敬请批评指正，谢谢！敬请批评指正，谢谢！