《工业控制系统信息安全防护技术-2017工业控制系统信息安全》由会员分享,可在线阅读,更多相关《工业控制系统信息安全防护技术-2017工业控制系统信息安全(37页珍藏版)》请在金锄头文库上搜索。
1、,Shenyang Institute of Automation, Chinese Academy of Science.,*,工业控制系统信息安全防护技术,中国科学院沈阳自动化研究所,中科院网络与控制系统重点实验室,2014. 11.05,工业控制系统的脆弱性,工业控制系统信息安全需求,工业控制系统安全管控技术,工业控制系统安全产品形式,提 纲,沈自所研究基础与开展工作,一、工业控制系统的脆弱性,正向复杂化、IT化和通用化趋势发展 基于PC+Windows的工业控制网络面临安全挑战,国外: 2011年,黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏; 2011年,
2、微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据; 2012年,两座美国电厂遭USB病毒攻击,感染了每个工厂的工控系统,可被窃取数据; 2012年,发现攻击多个中东国家的恶意程序Flame火焰病毒,它能收集各行业的敏感信息。 国内: 我国同样遭受着工业控制系统信息安全漏洞的困扰,比如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯不同程度地中断。,一、工业控制系统的脆弱性,1、ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势,仅2013年度,针对关键基础设施的攻击报告已
3、达到257起。” 2、主要集中在能源、关键制造业、交通、通信、水利、核能等领域,而能源行业的安全事故则超过了一半。,一、工业控制系统的脆弱性,归根结底就是工业控制系统的漏洞问题,截止到2013年12月底,公开的工业控制系统漏洞数总体仍呈增长趋势。,一、工业控制系统的脆弱性,2010年6月出现的Stuxnet病毒,是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒,它同时利用7个最新漏洞进行攻击。这7个漏洞中,有5个是针对windows系统,2个是针对西门子SIMATIC WinCC系统。,一、工业控制系统的脆弱性,工业控制系统的漏洞主要包括: (1)通信协议漏洞 两化融合和物联网的
4、发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。 (2)操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的,通常现场工程师在系统开启后不会对windows平台安全任何补丁,埋下了安全隐患。 (3)应用软件漏洞 由于应用软件多种多样,很难形成统一的防护规范以应对安全问题,另外当应用软件面向网络应用时,就必须开放其应用端口,是重要的攻击途径。,一、工业控制系统的脆弱性,工业控制系统的漏洞主要包括: (4)安全策略和管理流程漏洞 追求可用性而牺牲安全性,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策
5、略与管理流程也给工业控制系统信息安全带来一定的威胁。 (5)杀毒软件漏洞 为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件,即使安装了杀毒软件,病毒库也不会定期的更新。,工业控制系统的脆弱性,工业控制系统信息安全需求,工业控制系统安全管控技术,工业控制系统安全产品形式,提 纲,沈自所研究基础与开展工作,二、工业控制系统的安全需求,工控系统与传统IT系统的不同,二、工业控制系统的安全需求,工控安全与传统IT安全的差异化,传统网络安全技术不适于应用到工业控制系统 传统IT安全: 机密性 完整性 可用性 工控系统安全:可用性 完整性 机密性,二、工业控制系统的安全需求,美国国土安
6、全部下属的ICS-CERT(工业控制系统应急响应小组)及CSSP(控制系统安全项目)通过对工业控制系统软件的缺陷性分析发现,工业控制系统软件的安全脆弱性问题主要涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面。,工业控制系统的特点 封闭性:SCADA、ICS系统的设计之初安全机制不完善 多样性:多种数据接口(如RJ45、RS485、RS232等),协议规约实现多样 复杂性:专用的通信协议或规约(如OPC、Modbus、DNP3、 Profibus等) 不可改变性:工控系统程序升级困难!,传统IT安全防护技术不适合工业控制系统,急需针对工业控制系统的安全防护技术: 针对SCAD
7、A、ICS系统自身脆弱性(漏洞)和通信规约的安全性,研究工业控制系统的安全防护技术,分析工业控制系统中已知的与未知的安全威胁,指导其对安全威胁进行有效的防御。,二、工业控制系统的安全需求,工业控制系统的脆弱性,工业控制系统信息安全需求,工业控制系统安全管控技术,工业控制系统安全产品形式,提 纲,沈自所研究基础与开展工作,保证工业控制系统安全稳定运行,工业控制系统的安全防护必须达到以下三个目标:,工业控制系统防火墙技术,三、工业控制系统的安全管控技术,工业控制系统防火墙技术,防火墙是基于访问控制技术,它可以保障不同安全区域之间进行安全通信,通过设置访问控制规则,管理和控制出入不同安全区域的信息流
8、,保障资源在合法范围内得以有效使用和管理。 可以根据“白名单”或者“黑名单”的方式进行规则设置。对于“白名单”,可以设置允许规则,也就是说只有符合该规则的数据流才能通过,其他的任何数据流都可以被看做攻击而过滤掉,这样就保障了资源的合法使用;而对于“黑名单”,可以设置禁止规则,禁止不合法的客户端对资源的访问。,三、工业控制系统的安全管控技术,工业控制系统防火墙技术,区域管控 划分控制系统安全区域,对安全区域的隔离保护 保护合法用户访问网络资源,控制协议深度解析 解析Modbus、DNP3等应用层异常数据流量 对OPC端口进行动态追踪,对关键寄存器和操作进行保护,三、工业控制系统的安全管控技术,工
9、业控制网络安全管控技术,模块划分:,Modbus/TCP深度防护模块,Modbus/TCP协议威胁分析: 开放、通俗易懂(双刃剑易于厂商开发,也易于黑客发动攻击) 任意连接到网络中的计算机都可以改变控制器的IO点数,或者寄存器数值。 甚至进行复位、禁止运行、下载恶意控制逻辑操作等。,Modbus/TCP深度防护模块,主要功能 完整性检测,阻挡不符合Modbus标准的通讯。 设定允许的Modbus功能码、寄存器、线圈列表。 典型应用 石油、石化与天然气SCADA PLC的人机界面/编程管理站 采用Modbus TCP通讯的安全仪表系统SIS,Modbus/TCP深度防护模块,RTU,PLC1,P
10、LC2,HMI,未获授权客户端 禁止访问网络,HMI2试图对PLC2 进行访问,HMI需要访问RTU和PLC1,HMI不需要访问PLC2 潜在的攻击链路,消除潜藏攻击通道!,问题1:HMI可以被信任吗?,问题2:HMI如果被病毒渗透了,该怎么保护重要控制器?,RTU,PLC1,“写”操作被“拦截”,“读”操作被“放行”,非必要操作码被“拦截”,访问重要寄存器“被拦截”,不符合Modbus标准数据包被拦截,沈阳自动化研究所Modbus/TCP深层次防护技术优势,深入工业通讯协议内部检查,提供应用层防护,安全级别高于一般防火墙(传输层、网络层),阻止病毒向重要控制器传播及扩散,Modbus/TCP
11、深度防护模块,HMI可能成为攻击的“跳板”!,OPC协议防护模块,OPC技术威胁性分析 : OPC基于微软的DCOM技术,天然存在安全隐患。 OPC不使用固定的端口(动态端口),常规的IT防火墙无法进行安全防护。 OPC访问权限过于宽泛。,OPC协议防护模块,OPC防护软件工作原理: 只允许OPC标准格式DCE/RPC访问请求 只允许特定客户端与服务器之间通讯 只允许客户端使用指定的端口通讯 只允许TCP通讯发生在特定的OPC连接时间内 典型应用: 数据采集网络中信息层与控制层OPC通讯防护 ESD/SIS等安全仪表防护 APC等先控站防护,OPC协议防护模块,OPC Server,OPC C
12、lient,非法客户/端口,OPC数据请求(5555),OPC 数据,“放行”符合OPC标准数据,OPC数据返回,沈阳自动化研究所OPC防护技术优势,采用“动态跟踪TCP端口”连接技术,实时打开OPC所需要端口,最大程度减少攻击面,“拦截”非OPC标准格式的DCE/RPC的访问请求,工业控制系统的脆弱性,工业控制系统信息安全需求,工业控制系统安全管控技术,工业控制系统安全产品形式,提 纲,沈自所研究基础与开展工作,以太网,中央管理控制平台,工业防火墙,OPC深度防护,方式一:平台与ICS防火墙协同防御,产品应用形式,Modbus深度防护,方式二:安全网关单独应用,Modbus深度防护,OPC深
13、度防护,Modbus PLC,数采工作站,OPC服务器,OPC客户端,产品应用形式,工业防火墙,其他通讯协议控制器,数采工作站,产品应用形式,集团网与工隔离厂网络隔离,OPC防护DA/HAD/A&E,先进控制站隔离,Modbus/TCP通讯控制器防护,Modbus/TCP 通讯ESD/SIS防护,工程师站隔离,重要控制器,SIS/ESD系统,工程师站,OPC server,OPC server,安全管控平台,先进控制站,双网卡 Buffer机,过程控制网,厂级MES网,集团/总部网,办公计算机,厂级数据库,其他子厂接入,工业控制系统的脆弱性,工业控制系统信息安全需求,工业控制系统安全管控技术,
14、工业控制系统安全产品形式,提 纲,沈自所研究基础与开展工作,五、沈自所研究基础与开展工作,中国科学院沈阳自动化研究所,始建于1958年,国家机器人学重点实验室、国家机器人技术国家工程中心、中国科学院工业信息技术重点实验室、辽宁省先进制造技术工程中心、辽宁省网络化控制技术工程中心、辽宁省工业物联网重点实验室,完成各类科研项目1000余项,获得国家科技进步奖、中科院科技进步奖省、市地方科技成果奖200余项。 主要研究方向有机器人、工业自动化和光电信息处理,在工业自动化领域,工业无线技术和现场总线技术有深厚的积累,获得国家科技进步二等奖1项、国家技术发明二等奖1项、科学院科技进步一等奖1项。,五、沈
15、自所研究基础与开展工作,在现场总线方面,沈阳自动化研究所是国内第一个开展FF现场总线技术研究、国际上第三个通过一致性测试的研究机构,制定的工业以太网标准EPA已成为国家和国际标准。,五、沈自所研究基础与开展工作,沈阳自动化研究所是中国工业无线联盟的发起单位,工业无线技术国家标准制定的组长单位,“十一五”863计划工业无线技术重点项目的牵头单位。 在工业无线技术和现场总线技术方面有深厚的积累,发表学术论文近150 余篇,出版专著1部,申请国家发明专利40余项,国际专利3项,软件著作权14 项,获得国家科技进步二等奖1项、国家技术发明二等奖1项、科学院科技进步一等奖1 项。 2011年7月,WIA
16、-PA标准以中华人民共和国国家标准GB/T 26790.1-2011发布,并于2011年11月成为IEC正式国际标准。,五、沈自所研究基础与开展工作,中国科学院沈阳自动化研究所是国家标准信息安全技术工业控制系统安全管理基本要求标准草案的起草单位之一。 面向智能无线网关、无线远程控制器(RTU)等设备,进行了基于可信加密芯片的主动安全防御技术的研究,面向石油、化工、电力、冶金、环保通等行业进行了应用。 研发ICS安全管控平台和防火墙产品,防火墙支持Modbus TCP、OPC、DNP3协议。,技术参数 接收灵敏度:-100dBm 发射功率:19dBm 机箱尺寸:430290158.4mm 工作温度:-40+85 宽幅工作电压:AC85V265V 防护等级:IP65 防爆等级:Ex ib IIC
