《工业控制系统信息安全公司会议演讲稿》由会员分享,可在线阅读,更多相关《工业控制系统信息安全公司会议演讲稿(112页珍藏版)》请在金锄头文库上搜索。
1、月殳票代码:002439启朋星辰工业控制系统信息安全月殳票代码:002439启朋星辰月殳票代码:002439启朋星辰刘怡欣2014-04-11a01工控系统安全分析工控系统安全理念工控安全解决方案I工控安全动态基本概念一基本概念一基本概念一信息安全(security)基本概念一基本概念一基本概念一本质安全(safety)基本概念一基本概念一基本概念二工业控制系统(ICS)是综合集成了计算机、网络、现代通信,微电子以及自动化技术,是对多种 控制系统的总称,包括:可编程逻辑控制器(PLC); 监控和数据采集(SCADA)系统;分布式控制系统(DCS);ICS普遍应用于电力、水处理、石油、天然气、化
2、 工、交通运输、制造业(烟草、汽车、食品等)。可编程逻辑控制器(PLC); PLC单纯的实现逻辑功能和控制,不提供人机界面,实现操作 需借助与按钮指示灯、HMI以及SCADA系统,PLC实现单机及简单控制。恋看控灯名tt乐怯坊构MjC现场能邛堆H C民畅帶件Mliric匸水分说Q5S怎斗屈廣州 -j一Q良廉汁H-jTurck frt- ai 谊水狩口H_JTwckftt -Q lt-Tiifek7 -ffl-D如* -q阿支 (J Rl*tl :or sI! 9 I 93Lu甘才机筮冷什IT机妆县什算轨 W!;fWLJRS砸i工程律处D SZlftZ1Wz%z-?wZlflH1. &15工fc
3、u rtlOOfe(光外环网n r H?场捋形吗监控和数据采集(SCADA)系统 SCADA是对分布距离远,生产单位分散的生产系统的一种数据采集、监视和控制系统,SCADA作为生产管理级上位监控;厂站端大屏幕投影询度员工作站历史数据库I 务哭通伽务器无线通信通信设备PLC厂站端厂站端IED通信设备RTU控制巾心分布式控制系统(DCS) DCS兼具PLC和SCADA二者功能,但是基本上用在比较大的系统中和一些控制要求高的系统中,实现复杂控制;(HoneywellSCM企业经百曾理层ERP更实时-关系数据蛊I nt or netInterne! Sever企业生产管理层阿IS实时 信息系统OAS
4、质 fit 分析系统心设备管理及维护累统IIIEMS能谯 话理系统BMS批次 骨理礙统PSS生产调度系统MCAS生产成本统计与核算熹统第三方设备数据服务弱HIM UHOLbAS-PADS工厂电站 线台白0化系统电 Pllt 口HOLLiAS控制层装置与过程 疫制层ucs援口RASC冗余先进RASC冗余先进 系統控制88ntiElhttnoinri系統控制asS3ElhATMl现场使号 处理与单 元控制层元&来仗ucs 元&来仗FM1ttrttrIOA熾IAH0U,2-VS炸站8号联fij恳统eaI XMMM91乐 r 的iiiiiiii和利时DCS)工业控制系统特点实时性要求高,强调实时1/0
5、能力;可用性要求高,系统一旦上线,不能接受重新启动之 类的响应,中断必须有计划和提前预定时间;工控硬件要求寿命长,防电磁干扰,防爆,防尘等要 求非常严格;特有的工业控制协议通讯协议,不同厂商控制设备采 用不同通信协议,很多协议不公开;工控系统上线生产后,一般不会调整;g 工控系统要求封闭性比较强。传统工控安全的管理属于生产单位和部门;操作人员缺乏应对信息安全的警惕性和经验;工控系统中承载着一些需要保密的工艺数据;加强工控系统的物理安全,会达到事半功倍的效果;现场设备越来越多具备无线接入功能;工控系统是国家重要的基础设施,工控系统安全会影响到生命安全、重大财产损失以及产生环境问题。1工业控制系统
6、功能层次工业控制系统功能层次A工业控制系统功能层次A工业控制系统功能层次A工业控制系统功能层次AGB/T 20720企业控制系统集成IEC62264工业控制系统协议天然气调度系统架构(实体模型)* .一麴3J工控碱在ICS中的使礴况n细分M电力变电站自动化Modbus Profib咚 DNP3. IEC鞭自动化60870-5-101/104. ICCP (IEC60870-6,TASE.2)、IEC 61850Modbus Piofibus DNP3市政供汕供电、蹶、n水处理、交 通馳水利、删、化匸瞬业工业控制系统A工业控制系统A硬件平台系统平台通讯协议数据库开发环境传统IT部分终端、服务器工
7、控部分IPC、工业交换机、工业环网、PLC、RS485 X RS232、CANBus现场总线通用系统(基本上都是基于 通用系统(基本上是基于windows XP、 windows XP、win7、win8、 win7x windows2000 windows2003) windows2003 windows2008)HTTP等通用协议工业协议如: OPC、Rockwe I I ABControl Nets RSLogi x OPCDDEGE Fanuc GE SRTP Quick Pane I关系 数据库Oracle、SQL实时数据库,Rockwel l-RSSQL ServerGE FANU
8、C-iHistorians PHD常见开发语言和工具C、java等 组态软件RSIogix、RSlinx、WINCC、 STEP7、 iFIX等应用软件IT应用系统工业制造应用系统工控系统安全分析工控系统安全理念工控安全解决方案I工控安全动态Stuxnet震网病毒2010年7月震惊全球工业 界世界上首个专门针对 ICS编写的病毒;伊朗核电站Stuxnet病毒事件病毒特点:目标明确,针对特定场景结构复杂,隐臧、掩饰手段 高明多种伪装,盗用数字签名, 逃避查杀,同时利用多个 Oday漏洞,不惜代价; 7个已知和未知漏洞,其中至 少4个Oday漏洞(其中五个 windows紊统漏洞和2个西门 子SI
9、MATIC WinCC漏洞);修改PLC的程序逻辑,造成物 理过程的故障;传播途径:U盘、共孚网络、 打印机危害攻击伊朗核设施,使得伊朗核计划拖后两年,60%的个人电脑感 染病毒;全球超过45000个网络遭受攻击;多个行业的领军企业的工控系统受此感染。时间表 2010年6月,震网病毒首次发现,并且攻击伊朗核设备成功; 2010年12月,微软推出针对Stuxnet所利用的漏洞修复补丁; 2012年7月,西门了公司宣布修复Stuxnet利用的软件漏洞。从发现病毒,到发布修复补丁,一共两年多时间4安全传统概念美国纽约时报称,美国和以色列情报机构合作制造出震网”病毒。4安全传统概念4安全传统概念 “震
10、网”病毒结构非常复杂,计算机安全专家在对软件进行反编译后发现,它不可能是黑客所为,应该是一个“受国家资助的高级团队研发的结晶”。2007年,在美国国土安全局Aurora演习中,针对电 力控制系统进行渗透测试,一台发电机在其控制系统收 到攻击后被物理损坏绝对的物理隔离就不会出现安全问题受影响的只是二次系统,一次设备不会受到损坏工业控制系统安全事件-水处理a多起试图入侵大型输气公司的黑客活动2000年z俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络 2001年,黑客入侵了监管美加州多数电力传输系统的独立运营商 2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机
11、被微软的SQL Ser ver蠕虫病毒所感染,导致其安全监控系统停机近5小时 2003年,中国龙泉、政平、鹅城换流站控制系统发现病毒,后发现是由外国工 程师在系统调试中使用笔记本电脑所致2010年,震网(Stuxnet),5病毒在伊朗出现 20年,沙特国家石油公司受到攻击,超过三万台电脑瘫痪 2012年,美国国土安全局下属的ICS-CERT组织称,自20年12月以来,已发现工业控制系统安全事件-水处理工业控制系统安全事件-水处理2012年4月22号j伊朗石;由部和国豕石油公司内部电月凶网络遭受病毒攻击,为 安全起见,伊朗方面暂时切断海湾附近哈尔克岛石油设施的网络连接 2000年,个工程师在应聘
12、澳大利亚的一家污水处理厂被多次 扌巨绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理站的故障,导致超过1000立方米的污水被直接排入河流z导致严重的环境灾难 2006年z黑客从互联网上攻破了美国哈里斯堡的一家污水处理 厂的安全措施,在其系统内植入了能够影响污水处理的恶意程 序,导致了严重的事故 2007年,攻击者侵入加拿大的一个水利SCADA控制系统z通过安 装恶意软件破坏了用于从Sacrmento;可调水的控制计算机 2010.1.31 12岁男孩侵入亚利桑那州的罗斯福大坝50万英亩 的水域,可把整个凤凰城淹掉 20门年,黑客通过I nternetW了美国伊利诺伊州城市供水系 统SCADA,使得其控制的供水泵遭到破坏工业控制系统安全事件-能源 1997年,个十几岁的少年侵入纽约NYNES系统,干扰了航空与
