《工业控制系统信息安全防护技术》由会员分享,可在线阅读,更多相关《工业控制系统信息安全防护技术(37页珍藏版)》请在金锄头文库上搜索。
1、Shenyang Institute of Automation, Chinese Academy of Science. *工业控制系统信息安全防护技术中国科学院沈阳自动化研究所中科院网络与控制系统重点实验室2014.11.05Shenyang Institute of Automation, Chinese Academy of Science. 2 工业控制系统的脆弱性工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全管控技术工业控制系统安全产品形式工业控制系统安全产品形式提 纲沈自所研究基础与开展工作沈自所研究基础与开展工作Sh
2、enyang Institute of Automation, Chinese Academy of Science. 3一、工业控制系统的脆弱性一、工业控制系统的脆弱性正向复杂化、IT化和通用化趋势发展基于PC+Windows的工业控制网络面临安全挑战国外:2011年,黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏;2011年,微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据;2012年,两座美国电厂遭USB病毒攻击,感染了每个工厂的工控系统,可被窃取数据;2012年,发现攻击多个中东国家的恶意程序Flame火焰病毒,它能收集各行业的敏感信息。
3、国内: 我国同样遭受着工业控制系统信息安全漏洞的困扰,比如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯不同程度地中断。Shenyang Institute of Automation, Chinese Academy of Science. 4一、工业控制系统的脆弱性一、工业控制系统的脆弱性1、ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势,仅2013年度,针对关键基础设施的攻击报告已达到257起。”2、主要集中在能源、关键制造业、交通、通信、水利、核能等领域,而能源行业的安全事故则超
4、过了一半。Shenyang Institute of Automation, Chinese Academy of Science. 5一、工业控制系统的脆弱性一、工业控制系统的脆弱性归根结底就是工业控制系统的漏洞问题归根结底就是工业控制系统的漏洞问题,截止到2013年12月底,公开的工业控制系统漏洞数总体仍呈增长趋势。 Shenyang Institute of Automation, Chinese Academy of Science. 6一、工业控制系统的脆弱性一、工业控制系统的脆弱性2010年6月出现的Stuxnet病毒,是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒
5、,它同时利用7个最新漏洞进行攻击。这7个漏洞中,有5个是针对windows系统,2个是针对西门子SIMATICWinCC系统。Shenyang Institute of Automation, Chinese Academy of Science. 7一、工业控制系统的脆弱性一、工业控制系统的脆弱性工业控制系统的漏洞主要包括:工业控制系统的漏洞主要包括:(1)通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。(2)操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的,通常现
6、场工程师在系统开启后不会对windows平台安全任何补丁,埋下了安全隐患。(3)应用软件漏洞 由于应用软件多种多样,很难形成统一的防护规范以应对安全问题,另外当应用软件面向网络应用时,就必须开放其应用端口,是重要的攻击途径。Shenyang Institute of Automation, Chinese Academy of Science. 8一、工业控制系统的脆弱性一、工业控制系统的脆弱性工业控制系统的漏洞主要包括:工业控制系统的漏洞主要包括:(4)安全策略和管理流程漏洞 追求可用性而牺牲安全性,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带
7、来一定的威胁。(5)杀毒软件漏洞 为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件,即使安装了杀毒软件,病毒库也不会定期的更新。Shenyang Institute of Automation, Chinese Academy of Science. 9 工业控制系统的脆弱性工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全管控技术工业控制系统安全产品形式工业控制系统安全产品形式提 纲沈自所研究基础与开展工作沈自所研究基础与开展工作Shenyang Institute of Automation, Chinese A
8、cademy of Science. 10二、工业控制系统的安全需求二、工业控制系统的安全需求工控系统与传统工控系统与传统IT系统的不同系统的不同对比项工业控制系统ICS传统IT系统体系结构体系结构主要由传感器、主要由传感器、PLC、RTU、DCS、SCADA等设备及系统组成等设备及系统组成通过互联网协议组成的计算机网络通过互联网协议组成的计算机网络操作系统操作系统广泛使用广泛使用嵌入式系统嵌入式系统VxWorks、uCLinux、winCE等等,并根据功能及,并根据功能及需求进行裁剪与定制需求进行裁剪与定制通用操作系统通用操作系统 如如windows、linux、UNIX等,功能强大等,功能
9、强大数据交换数据交换协议协议专用的通信协议或规约(专用的通信协议或规约(OPC、Modbus TCP、DNP3等),等),一般直一般直接使用或作为接使用或作为TCP/IP的应用层的应用层TCP/IP协议栈协议栈系统实时性系统实时性实时性要求高,不能停机或重启实时性要求高,不能停机或重启实时性要求不高,允许传输延迟,可停实时性要求不高,允许传输延迟,可停机或重启机或重启系统升级系统升级兼容性差、软硬件升级困难兼容性差、软硬件升级困难兼容性好、软件升级频繁兼容性好、软件升级频繁Shenyang Institute of Automation, Chinese Academy of Science.
10、 11二、工业控制系统的安全需求二、工业控制系统的安全需求工控安全与传统工控安全与传统IT安全的差异化安全的差异化传统网络安全技术不适于应用到工业控制系统传统网络安全技术不适于应用到工业控制系统传统传统ITIT安全:安全: 机密性机密性 完整性完整性 可用性可用性工控系统安全:可用性工控系统安全:可用性 完整性完整性 机密性机密性 方式方式防火墙防火墙入侵检测入侵检测漏洞扫描漏洞扫描传统传统ITIT网络网络工业控制网络工业控制网络TCP/IPTCP/IP协议协议存在误报率存在误报率实时的补丁修复实时的补丁修复专有协议格式专有协议格式不允许存在误报不允许存在误报补丁修复困难补丁修复困难传统传统I
11、TIT系统:机密性系统:机密性工业测控系统:可用性工业测控系统:可用性设计初衷设计初衷Shenyang Institute of Automation, Chinese Academy of Science. 12二、工业控制系统的安全需求二、工业控制系统的安全需求 美国国土安全部下属的ICS-CERT(工业控制系统应急响应小组)及CSSP(控制系统安全项目)通过对工业控制系统软件的缺陷性分析发现,工业控制系统软件的安全脆弱性问题主要涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面。Shenyang Institute of Automation, Chinese Acade
12、my of Science. 13工业控制系统的特点u封闭性:SCADA、ICS系统的设计之初安全机制不完善u多样性:多种数据接口(如RJ45、RS485、RS232等),协议规约实现多样u复杂性:专用的通信协议或规约(如OPC、Modbus、DNP3、 Profibus等)u不可改变性:工控系统程序升级困难!传统IT安全防护技术不适合工业控制系统急需针对工业控制系统的安全防护技术: 针对针对SCADA、ICS系统系统自身脆弱性(漏洞)和通信规约的安全自身脆弱性(漏洞)和通信规约的安全性性,研究工业控制系统的安全防护技术,分析工业控制系统中已,研究工业控制系统的安全防护技术,分析工业控制系统中
13、已知的与未知的安全威胁,指导其对安全威胁进行有效的防御。知的与未知的安全威胁,指导其对安全威胁进行有效的防御。二、工业控制系统的安全需求二、工业控制系统的安全需求Shenyang Institute of Automation, Chinese Academy of Science. 14 工业控制系统的脆弱性工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全管控技术工业控制系统安全产品形式工业控制系统安全产品形式提 纲沈自所研究基础与开展工作沈自所研究基础与开展工作Shenyang Institute of Automation, C
14、hinese Academy of Science. 15保证工业控制系统安全稳定运行,工业控制系统的安全防护必须达到以下三个目标:目标主要内容通信可控通信可控能够直观观察、监控、管理通信中数据。仅保证工业控制专有协议数据通过即可,其他通信一律禁止。区域隔离区域隔离为防止局部控制网络问题扩散导致全局瘫痪,在关键数据通道上部署网络隔离。报警追踪报警追踪及时发现网络中感染或其他问题,准确找出故障点。通过对报警事件进行记录,为故障分析提供依据。工业控制系统工业控制系统防火墙技术三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术Shenyang Institute of Automation
15、, Chinese Academy of Science. 16工业控制系统防火墙技术工业控制系统防火墙技术 防火墙是基于访问控制技术,它可以保障不同安全区域之间进行安全通信,通过设置访问控制规则,管理和控制出入不同安全区域的信息流,保障资源在合法范围内得以有效使用和管理。 可以根据“白名单”或者“黑名单”的方式进行规则设置。对于“白名单”,可以设置允许规则,也就是说只有符合该规则的数据流才能通过,其他的任何数据流都可以被看做攻击而过滤掉,这样就保障了资源的合法使用;而对于“黑名单”,可以设置禁止规则,禁止不合法的客户端对资源的访问。三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术
16、Shenyang Institute of Automation, Chinese Academy of Science. 17工业控制系统防火墙技术工业控制系统防火墙技术区域管控划分控制系统安全区域,对安全区域的隔离保护保护合法用户访问网络资源控制协议深度解析解析Modbus、DNP3等应用层异常数据流量对OPC端口进行动态追踪,对关键寄存器和操作进行保护数据数据捕获捕获控制系统通控制系统通信数据信数据协议协议分析分析应用层应用层深度分析深度分析访问控制访问控制规则策略规则策略正常数据正常数据放行放行动态链表动态链表调整调整报警报警日志数据库日志数据库日志发送日志发送检测检测发现异常发现异常
17、阻断通信阻断通信白名单白名单DNP3默认值规则链表ModbusOPC动态端口动态端口匹配匹配 动作动作匹配匹配 动作动作匹配匹配 动作动作功能码、寄存器功能码、寄存器匹配匹配 动作动作生成功能码、寄存器功能码、寄存器三、工业控制系统的安全管控技术三、工业控制系统的安全管控技术Shenyang Institute of Automation, Chinese Academy of Science. 18工业控制网络安全管控技术工业控制网络安全管控技术模块划分:模块划分:模块功能中央管控平台中央管控平台组组态态、配配置置分分布布在在网网络络中中的的工工业业防防火火墙墙,下下载载与与修修改改安安全全
18、策策略略;收收集集并并存存储储各各个个工工业业防防火火墙墙上上传传的的报报警警和和日日志志数数据据,为为安安全全审审计计,异异常常事事件件关关联联分分析析提提供供依依据据;实实时时显显示示网网络络中中流流量量情情况、攻击行为。况、攻击行为。工业防火墙工业防火墙根根据据所所建建立立的的“区区域域”与与“管管道道”模模型型,部部署署在在关关键键数数据据通通路路上上,对对不不同同“区区域域”之之间间的的数数据据流流进进行行访访问问控控制制,对对工工业业通通信信协协议议进进行行深深度度过过滤滤检检查查,对对违违反反安安全全规规则则的的网网络络行行为为进进行行实实时时报报警警,并并且且将将异异常常事事件
19、件上上传传至至异异常常事事件数据库。件数据库。Shenyang Institute of Automation, Chinese Academy of Science. 19Modbus/TCP深度防护模块深度防护模块Modbus/TCP协议威胁分析:协议威胁分析:开放、通俗易懂(开放、通俗易懂(双刃剑双刃剑易于厂商开发,也易于黑客易于厂商开发,也易于黑客发动攻击发动攻击)任意连接到网络中的计算机都可以改变控制器的任意连接到网络中的计算机都可以改变控制器的IO点数,或者寄存器数值。点数,或者寄存器数值。甚至进行复位、禁止运行、下载恶意控制逻辑操甚至进行复位、禁止运行、下载恶意控制逻辑操作等。作
20、等。Shenyang Institute of Automation, Chinese Academy of Science. 20Modbus/TCP深度防护模块深度防护模块主要功能完整性检测,阻挡不符合完整性检测,阻挡不符合Modbus标准的通讯。标准的通讯。设定允许的设定允许的Modbus功能码、寄存器、线圈列表。功能码、寄存器、线圈列表。典型应用石油、石化与天然气石油、石化与天然气SCADAPLC的人机界面的人机界面/编程管理站编程管理站采用采用Modbus TCP通讯的安全仪表系统通讯的安全仪表系统SISShenyang Institute of Automation, Chines
21、e Academy of Science. 21Modbus/TCP深度防护模块深度防护模块RTUPLC1PLC2HMI未获授权客户端未获授权客户端禁止访问网络禁止访问网络HMI2试图对试图对PLC2进行访问进行访问HMI需要访问需要访问RTU和和PLC1HMI不需要访问不需要访问PLC2潜在的攻击链路潜在的攻击链路消除潜藏攻击通道!消除潜藏攻击通道!问题问题1:HMI可以被信任吗?可以被信任吗?问题问题2:HMI如果被病毒渗透了,该怎么保护重要控如果被病毒渗透了,该怎么保护重要控制器?制器?Shenyang Institute of Automation, Chinese Academy o
22、f Science. 22RTUPLC1“写写”操作被操作被“拦截拦截”“读读”操作被操作被“放行放行”非必要操作码被非必要操作码被“拦截拦截”访问重要寄存器访问重要寄存器“被拦截被拦截”不符合不符合Modbus标准数据包被拦截标准数据包被拦截沈阳自动化研究所沈阳自动化研究所Modbus/TCP深层次防护技术优势深层次防护技术优势深入工业通讯协议内部检查,提供深入工业通讯协议内部检查,提供应用层防护应用层防护,安全级别高于一般防火墙,安全级别高于一般防火墙(传输层、网络层)(传输层、网络层)阻止病毒向重要控制器传播及扩散阻止病毒向重要控制器传播及扩散Modbus/TCP深度防护模块深度防护模块
23、HMI可能成为攻击的可能成为攻击的“跳板跳板”!Shenyang Institute of Automation, Chinese Academy of Science. 23OPC协议防护模块协议防护模块OPC技术威胁性分析技术威胁性分析 :OPC基于微软的基于微软的DCOM技术,天然存在安技术,天然存在安全隐患。全隐患。OPC不使用固定的端口(动态端口),常不使用固定的端口(动态端口),常规的规的IT防火墙无法进行安全防护。防火墙无法进行安全防护。OPC访问权限过于宽泛。访问权限过于宽泛。Shenyang Institute of Automation, Chinese Academy o
24、f Science. 24OPC协议防护模块协议防护模块 OPC防护软件工作原理:防护软件工作原理:只允许只允许OPC标准格式标准格式DCE/RPC访问请求访问请求只允许特定客户端与服务器之间通讯只允许特定客户端与服务器之间通讯只允许客户端使用指定的端口通讯只允许客户端使用指定的端口通讯只允许只允许TCP通讯发生在特定的通讯发生在特定的OPC连接时间内连接时间内典型应用:典型应用:数据采集网络中信息层与控制层数据采集网络中信息层与控制层OPC通讯防护通讯防护ESD/SIS等安全仪表防护等安全仪表防护APC等先控站防护等先控站防护Shenyang Institute of Automation,
25、 Chinese Academy of Science. 25OPC协议防护模块协议防护模块OPC ServerOPC Client非法客户非法客户/端口端口OPC数据请求数据请求(5555)OPC 数据数据“放行放行”符合符合OPC标准数据标准数据OPC数据返回数据返回沈阳自动化研究所沈阳自动化研究所OPC防护技术优势防护技术优势采用采用“动态跟踪动态跟踪TCP端口端口”连接技术,实时打开连接技术,实时打开OPC所需要端口,最大程度所需要端口,最大程度减少攻击面减少攻击面“拦截拦截”非非OPC标准格式的标准格式的DCE/RPC的访问请求的访问请求Shenyang Institute of A
26、utomation, Chinese Academy of Science. 26 工业控制系统的脆弱性工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全管控技术工业控制系统安全产品形式工业控制系统安全产品形式提 纲沈自所研究基础与开展工作沈自所研究基础与开展工作Shenyang Institute of Automation, Chinese Academy of Science. 27以太网以太网中央管理控制平台中央管理控制平台工业防火墙工业防火墙OPC深度防护深度防护方式一:平台与方式一:平台与ICS防火墙协同防御防火墙协同防御产
27、品应用形式产品应用形式Modbus深度防护深度防护Shenyang Institute of Automation, Chinese Academy of Science. 28方式二:安全网关单独应用方式二:安全网关单独应用Modbus深度防护深度防护OPC深度防护深度防护Modbus PLC数采工作站数采工作站OPC服务器服务器OPC客户端客户端产品应用形式产品应用形式工业防火墙工业防火墙其他通讯协议控制器其他通讯协议控制器数采工作站数采工作站Shenyang Institute of Automation, Chinese Academy of Science. 29产品应用形式产品应用
28、形式名称物理接口应用领域Modbus/TCP防火墙防火墙工业以太网工业以太网(RJ45)隔离采用隔离采用Modbus/TCP通讯的人机界面通讯的人机界面/工程工程师站、数据采集站与师站、数据采集站与PLC/RTU/安全仪表系统安全仪表系统SIS等。等。OPC通讯防通讯防火墙火墙以太网以太网(RJ45)MES数采网与控制网隔离,保护数采网与控制网隔离,保护OPC (DA,HAD,A&E)服务器端与客户端的通讯安)服务器端与客户端的通讯安全。全。Shenyang Institute of Automation, Chinese Academy of Science. 30集团网与工隔离厂集团网与工
29、隔离厂网络隔离网络隔离OPC防护防护DA/HAD/A&E先进控制站隔离先进控制站隔离Modbus/TCP通通讯控制器防护讯控制器防护Modbus/TCP 通通讯讯ESD/SIS防护防护工程师站隔离工程师站隔离重要控制器重要控制器SIS/ESD系统系统工程师站工程师站OPC serverOPC server安全管控平台安全管控平台先进控制站先进控制站双网卡双网卡Buffer机机过程控制网过程控制网厂级厂级MES网网集团集团/总部网总部网办公计算机办公计算机厂级数据库厂级数据库其他子厂接入其他子厂接入Shenyang Institute of Automation, Chinese Academy
30、 of Science. 31Shenyang Institute of Automation, Chinese Academy of Science. 32 工业控制系统的脆弱性工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全管控技术工业控制系统安全产品形式工业控制系统安全产品形式提 纲沈自所研究基础与开展工作沈自所研究基础与开展工作Shenyang Institute of Automation, Chinese Academy of Science. 33五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作中国科学院沈阳自动
31、化研究所中国科学院沈阳自动化研究所n始建于始建于1958年,国家机器人学重点实验室、国家机器人技术国家工程中心、年,国家机器人学重点实验室、国家机器人技术国家工程中心、中中国科学院工业信息技术重点实验室、辽宁省先进制造技术工程中心、辽宁省网国科学院工业信息技术重点实验室、辽宁省先进制造技术工程中心、辽宁省网络化控制技术工程中心、辽宁省工业物联网重点实验室,完成各类科研项目络化控制技术工程中心、辽宁省工业物联网重点实验室,完成各类科研项目10001000余项,获得国家科技进步奖、中科院科技进步奖省、市地方科技成果奖余项,获得国家科技进步奖、中科院科技进步奖省、市地方科技成果奖200200余项。余
32、项。n主要研究方向有机器人、工业自动化和光电信息处理,主要研究方向有机器人、工业自动化和光电信息处理,在工业自动化领域,工在工业自动化领域,工业无线技术和现场总线技术有深厚的积累,获得国家科技进步二等奖业无线技术和现场总线技术有深厚的积累,获得国家科技进步二等奖1 1项、国家项、国家技术发明二等奖技术发明二等奖1 1项、科学院科技进步一等奖项、科学院科技进步一等奖1 1项。项。Shenyang Institute of Automation, Chinese Academy of Science. 34五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作n在现场总线方面,沈阳自动化研究所是
33、国内第一个开展在现场总线方面,沈阳自动化研究所是国内第一个开展FF现场总线技现场总线技术研究、国际上第三个通过一致性测试的研究机构,制定的术研究、国际上第三个通过一致性测试的研究机构,制定的工业以太工业以太网标准网标准EPA已成为国家和国际标准已成为国家和国际标准。Shenyang Institute of Automation, Chinese Academy of Science. 35五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作l沈阳自动化研究所是中国工业无线联盟的发起单位,沈阳自动化研究所是中国工业无线联盟的发起单位,工业无线技术国工业无线技术国家标准制定的组长单位家标准制
34、定的组长单位,“十一五十一五”863863计划工业无线技术重点项目的计划工业无线技术重点项目的牵头单位。牵头单位。l在工业无线技术和现场总线技术方面有深厚的积累,发表学术论文近在工业无线技术和现场总线技术方面有深厚的积累,发表学术论文近150 150 余篇,出版专著余篇,出版专著1 1部,申请国家发明专利部,申请国家发明专利4040余项,国际专利余项,国际专利3 3项,项,软件著作权软件著作权14 14 项,获得国家科技进步二等奖项,获得国家科技进步二等奖1 1项、国家技术发明二等项、国家技术发明二等奖奖1 1项、科学院科技进步一等奖项、科学院科技进步一等奖1 1 项。项。l20112011年
35、年7 7月,月,WIA-PAWIA-PA标准标准以中华人民共和国以中华人民共和国国家标准国家标准GB/T 26790.1-GB/T 26790.1-20112011发布,并于发布,并于20112011年年1111月成为月成为IECIEC正式国际标准。正式国际标准。Shenyang Institute of Automation, Chinese Academy of Science. 36五、沈自所研究基础与开展工作五、沈自所研究基础与开展工作n中国科学院沈阳自动化研究所是中国科学院沈阳自动化研究所是国家标准国家标准信息安全技术信息安全技术工业控制工业控制系统安全管理基本要求系统安全管理基本要
36、求标准草案的起草单位之一。标准草案的起草单位之一。n面向智能无线网关、无线远程控制器(面向智能无线网关、无线远程控制器(RTURTU)等设备,进行了)等设备,进行了基于可信基于可信加密芯片的主动安全防御技术的研究,加密芯片的主动安全防御技术的研究,面向石油、化工、电力、冶金、面向石油、化工、电力、冶金、环保通等行业进行了应用。环保通等行业进行了应用。n研发研发ICS安全管控平台和防火墙产品,防火墙支持安全管控平台和防火墙产品,防火墙支持Modbus TCP、OPC、DNP3协议。协议。技术参数接收灵敏度:接收灵敏度:-100dBm发射功率:发射功率:19dBm机箱尺寸:机箱尺寸:430290158.4mm工作温度:工作温度:-40+85宽幅工作电压:宽幅工作电压:AC85V265V防护等级:防护等级:IP65防爆等级:防爆等级:Ex ib IIC T3无线安全认证:无线安全认证:AES 128bitShenyang Institute of Automation, Chinese Academy of Science. *科技创造未来 服务体现价值敬请批评指正,谢谢!敬请批评指正,谢谢!
