工控系統(tǒng)安全培訓(xùn).ppt
伊朗核電站“震網(wǎng)”病毒事件,發(fā)生事件:2010年7月 攻擊目標(biāo):伊朗核電站(物理隔離網(wǎng)絡(luò)) 入侵方式: 收集核電站工作人員和其家庭成員信息 針對(duì)家用電腦發(fā)起攻擊,成功控制家用電腦 并感染所有接入的USB移動(dòng)介質(zhì)通過(guò)U盤將 病毒擺渡核電站內(nèi)部網(wǎng)絡(luò) 利用西門子的0DAY漏洞,成功控制離心機(jī) 的控制系統(tǒng),修改了離心機(jī)參數(shù),讓其生產(chǎn) 不出制造核武器的物質(zhì),但在人工檢測(cè)顯示端正常 利用漏洞: MS10-046、西門子SIMATIC WinCC系統(tǒng)0 Day漏洞 滲透手段: U盤 損失:美國(guó)利用“震網(wǎng)”蠕蟲病毒攻擊伊朗的軸濃縮設(shè)備,造成伊朗核 電站離心機(jī)損壞,推遲發(fā)電達(dá)兩年之久。 影響面:感染全球超過(guò)45000個(gè)網(wǎng)絡(luò),5,烏克蘭電網(wǎng)遭受病毒攻擊事件,2,2015年的最后一周,烏克蘭至少有三個(gè)區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導(dǎo)致大規(guī)模的停電,12月23日,伊萬(wàn)諾-弗蘭科夫斯克地區(qū),有超過(guò)一半的家庭(約140萬(wàn)人)遭受了停電的困擾。,擴(kuò)大影響,刪除關(guān)鍵系統(tǒng)數(shù)據(jù),監(jiān)控系統(tǒng)無(wú)法啟動(dòng),洪范攻擊電網(wǎng)的客服電話,導(dǎo)致技術(shù)部分處于癱瘓狀態(tài)。,延長(zhǎng)供電恢復(fù)的時(shí)間,整個(gè)停電事件持續(xù)了數(shù)小時(shí)之久,病毒關(guān)閉生產(chǎn)控制大區(qū)的控制服務(wù)器,使得二次信息系統(tǒng)喪失對(duì)物理設(shè)備的 感知和控制力,導(dǎo)致部分設(shè)備運(yùn)行中斷而大面積停電。,釣魚郵件,潛伏到特地時(shí)間,查找HIM設(shè)備,滲透擴(kuò)散到生產(chǎn)網(wǎng),點(diǎn)擊office郵件,感染辦公電腦,執(zhí)行關(guān)機(jī),智能制造 數(shù)控機(jī)床關(guān)鍵數(shù)據(jù)被竊,損失難以估量,工控網(wǎng)絡(luò)安全危及國(guó)家安全,高新技術(shù) 黑客遠(yuǎn)程入侵智能汽車,汽車也可能隨時(shí)遭遇恐怖襲擊,工控系統(tǒng)安全,電力 電廠遭USB病毒攻擊,大量機(jī)密數(shù)據(jù)泄露,水處理 污水處理廠遭非法入侵,污水直接排入自然水系,軍事 代碼及武器,美國(guó)直接控制漏洞市場(chǎng),制藥 黑客入侵藥泵,輸入致命劑量,危害人身安全,冶金 德國(guó)鋼廠熔爐控制系統(tǒng)受攻擊,導(dǎo)致熔爐無(wú)法正常關(guān)閉,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)威脅來(lái)源,4,現(xiàn)有防護(hù)手段已經(jīng)無(wú)法防御不斷升級(jí)的網(wǎng)絡(luò)攻擊,5,IT防火墻,病毒查殺,單向安全隔離,“物理隔離“,網(wǎng)關(guān)網(wǎng)閘,工業(yè)防火墻,邊界防火墻,工控網(wǎng)絡(luò)APT2.0時(shí)代攻擊手段,基于信息網(wǎng)絡(luò)安全的防護(hù)手段以及現(xiàn)有的工控網(wǎng)絡(luò)防護(hù)手段在APT2.0時(shí)代的攻擊前面已經(jīng)成為“皇帝的新衣”,工業(yè)控制網(wǎng)絡(luò),國(guó)內(nèi)工控系統(tǒng)面臨高危風(fēng)險(xiǎn),6,暴露在互聯(lián)網(wǎng)上的西門子PLC設(shè)備分布,中高危數(shù)據(jù)漏洞居高不下,暴露在互聯(lián)網(wǎng)上的VxWorks系統(tǒng)主機(jī)有16202個(gè),漏洞補(bǔ)丁不及時(shí),數(shù)據(jù)來(lái)源:CNVD2015年新增工控漏洞,數(shù)據(jù)來(lái)源:CNVD2015年新增工控漏洞,數(shù)據(jù)來(lái)源:匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù),其中1130個(gè)運(yùn)行FTP服務(wù),占 總數(shù)的70% 其中4291個(gè)運(yùn)行SNMP服務(wù),占總數(shù)的26%,數(shù)據(jù)來(lái)源:匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù),工程控制系統(tǒng)名詞解釋,工業(yè)控制系統(tǒng) (Industrial Control Systems簡(jiǎn)稱:ICS) 是指由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù) 據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件,構(gòu)成的確保工業(yè) 基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。 可編程邏輯控制器(Programmable Logic Controller簡(jiǎn)稱 : PLC) 是一種可以被編程,并通過(guò)數(shù)字或模擬式輸入/輸出控制各種類型的機(jī)械或生產(chǎn)過(guò)程。 分布式控制系統(tǒng) (Distributed Control System簡(jiǎn)稱:DCS) 在國(guó)內(nèi)自控行業(yè)又稱之為集散控制系統(tǒng)。是相對(duì)于集中式控制系統(tǒng)而言的一種新型 計(jì)算機(jī)控制系統(tǒng),它是在集中式控制系統(tǒng)的基礎(chǔ)上發(fā)展、演變而來(lái)的。 數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)(Supervisory Control And Data Acquisition簡(jiǎn)稱:SCADA) SCADA系統(tǒng)是以計(jì)算機(jī)為基礎(chǔ)的DCS與電力自動(dòng)化監(jiān)控系統(tǒng);它應(yīng)用領(lǐng)域很廣,可以 應(yīng)用于電力、冶金、石油、化工、燃?xì)?、鐵路等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過(guò)程控制 等諸多領(lǐng)域。 遠(yuǎn)程終端單元(Remote Terminal Unit 簡(jiǎn)稱RTU) 負(fù)責(zé)對(duì)現(xiàn)場(chǎng)信號(hào)、工業(yè)設(shè)備的監(jiān)測(cè)和控制。RTU(RemoteTerminalUnit)是構(gòu)成企業(yè)綜合自動(dòng)化 系統(tǒng)的核心裝置,通常由信號(hào)輸入/出模塊、微處理器、有線/無(wú)線通訊設(shè)備、電源及外殼等組成,由 微處理器控制,并支持網(wǎng)絡(luò)系統(tǒng)。它通過(guò)自身的軟件(或智能軟件)系統(tǒng),可理想地實(shí)現(xiàn)企業(yè)中央監(jiān) 控與調(diào)度系統(tǒng)對(duì)生產(chǎn)現(xiàn)場(chǎng)一次儀表的遙測(cè)、遙控、遙信和遙調(diào)等功能。,1,工控系統(tǒng)網(wǎng)絡(luò)涵蓋范圍,Level 4 戰(zhàn)略決策層: 商業(yè)計(jì)劃和物流管理/ 工程系統(tǒng) Level 3 經(jīng)營(yíng)管理層: 系統(tǒng)管理/監(jiān)視控制 Level 2 生產(chǎn)控制層: 監(jiān)控功能/現(xiàn)場(chǎng)檢測(cè) 和現(xiàn)場(chǎng)顯示 Level 1 現(xiàn)場(chǎng)控制層: 保護(hù)和現(xiàn)場(chǎng)控制設(shè)備 Level 0 現(xiàn)場(chǎng)執(zhí)行層: 傳感器和制動(dòng)器,8,工控安全對(duì)抗形勢(shì)及發(fā)展,工控系統(tǒng)防御必須具有全球性視角,1 、各國(guó)網(wǎng)軍不斷擴(kuò)大,對(duì)抗升級(jí),2、明間黑客組織水平的不斷提升,3、背后巨大的商業(yè)利益驅(qū)動(dòng),4、針對(duì)工業(yè)控制網(wǎng)絡(luò)的恐怖襲擊,國(guó)內(nèi)外工控網(wǎng)絡(luò)安全防護(hù)理念的演變歷程,強(qiáng)調(diào),強(qiáng)調(diào)隔離 物理隔離的變種, 網(wǎng)關(guān)、網(wǎng)閘、單向隔離,隔離背后是脆弱的,現(xiàn)代高端持續(xù)性攻擊都是針對(duì)隔離系統(tǒng)的,縱深防御體系 由傳統(tǒng)信息安全廠商提出的,大多數(shù)項(xiàng)目演變?yōu)樾畔踩a(chǎn)品的簡(jiǎn)單堆砌,不能完全適應(yīng)工業(yè)網(wǎng)絡(luò)安全的特點(diǎn),由工業(yè)控制系統(tǒng)內(nèi)部生長(zhǎng)的持續(xù)性防御體系 適應(yīng)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn),通過(guò)基礎(chǔ)硬件創(chuàng)新來(lái)實(shí)現(xiàn),低延時(shí),高可靠,可定制化,持續(xù)更新,簡(jiǎn)單化的實(shí)施和操作等,以功為守的國(guó)家戰(zhàn)略 以美國(guó)、以色列為代表,在國(guó)家層面注重攻擊技術(shù)的研究、實(shí)驗(yàn)、突破和攻防演示實(shí)驗(yàn)的建設(shè),以攻擊技術(shù)的提高,帶動(dòng)防御技術(shù)的提高,以攻擊威懾力換取安全性,網(wǎng)絡(luò)安全立法頂層設(shè)計(jì),在反恐怖主義法和刑法修正案九的制修訂工作中納入網(wǎng)絡(luò)安全監(jiān)管有關(guān)規(guī)定,大力推進(jìn)依法治網(wǎng)。 2014年全國(guó)人大法工委組織國(guó)信辦、工信部、公安部等有關(guān)部門大力加強(qiáng)我國(guó)網(wǎng)絡(luò)安全立法頂層設(shè)計(jì),開展網(wǎng)絡(luò)安全法制定。 網(wǎng)絡(luò)安全法立法納入全國(guó)人大2015年立法年度工作計(jì)劃,7月6日,十二屆全國(guó)人大常委會(huì)第十五次會(huì)議對(duì)網(wǎng)絡(luò)安全法草案進(jìn)行了分組審議,現(xiàn)面向社會(huì)公開征集意見,有望年底正式通過(guò)。,網(wǎng)絡(luò)安全立法頂層設(shè)計(jì),網(wǎng)絡(luò)安全法(草案)重要規(guī)定:,部署方式,PLC,重點(diǎn)行業(yè)、企業(yè),煙草: 煙廠 煙商,重點(diǎn)行業(yè)、企業(yè),水利: 航運(yùn) 發(fā)電,“兩化”深度融合的趨勢(shì),決策管理層 利用數(shù)據(jù)倉(cāng)庫(kù)技術(shù)整合公司全產(chǎn)業(yè)鏈的關(guān)鍵數(shù)據(jù) 和生產(chǎn)經(jīng)營(yíng)信息,實(shí)現(xiàn)數(shù)據(jù)挖掘、監(jiān)控分析、統(tǒng)計(jì) 查詢和可視化展示,輔助高層科學(xué)決策和戰(zhàn)略管理。 經(jīng)營(yíng)管理層 以ERP系統(tǒng)為核心整合各專業(yè)應(yīng)用系統(tǒng)和綜合管理 系統(tǒng)關(guān)鍵信息,形成公司級(jí)的經(jīng)營(yíng)管理信息平臺(tái)。 生產(chǎn)運(yùn)行層 以供應(yīng)鏈管理為核心,建立一體化完整的生產(chǎn)運(yùn)行 管理平臺(tái)。 操作執(zhí)行層 以生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)為基礎(chǔ),實(shí)現(xiàn)數(shù)據(jù)采集、傳輸、 處理一體化,現(xiàn)場(chǎng)數(shù)據(jù)自動(dòng)采集率大幅度提高。,3,ERP (Enterprise Resource Planning),MES (Manufacturing Execution System),PCS (Process Control System),工控網(wǎng)絡(luò)與互聯(lián)網(wǎng)和辦公網(wǎng)有本質(zhì)的區(qū)別,工控網(wǎng)絡(luò)的特點(diǎn)決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設(shè)計(jì)的信息安全防護(hù)手段 (如防火墻、病毒查殺等)無(wú)法有效地保護(hù)工控網(wǎng)絡(luò)的安全 網(wǎng)絡(luò)通訊協(xié)議不同 對(duì)系統(tǒng)穩(wěn)定性要求高 系統(tǒng)運(yùn)行環(huán)境不同 大量的工控系統(tǒng)采用私有協(xié)議 網(wǎng)絡(luò)安全造成誤報(bào)等同于攻擊 工控系統(tǒng)運(yùn)行環(huán)境相對(duì)落后 更新代價(jià)高 網(wǎng)絡(luò)結(jié)構(gòu)和行為穩(wěn)定性高 無(wú)法像辦公網(wǎng)絡(luò)或互聯(lián)網(wǎng)那樣 不同于互聯(lián)網(wǎng)和辦公網(wǎng)絡(luò)的頻繁變動(dòng) 通過(guò)補(bǔ)丁來(lái)解決安全問(wèn)題,4,工業(yè)控制網(wǎng)絡(luò),工程網(wǎng)絡(luò)安全體系,18,工程安全的多面性;動(dòng)靜合一,內(nèi)外兼修,動(dòng),靜,外,內(nèi),基因性,行為性,結(jié)構(gòu)性,本體性,持續(xù)性,基因安全,可信,硬件,操作系統(tǒng),協(xié)議,免疫,排除惡意代碼執(zhí)行,植入,完整性檢測(cè)恢復(fù),程序,參數(shù),基因安全,植根于工控系統(tǒng)的生命周期解決方案,持續(xù)安全,防護(hù)原則,管理持續(xù)化,防護(hù)手段,安全管理,安全運(yùn)營(yíng),本體安全,防護(hù)原則,防護(hù)手段,設(shè)備加固,基因全安,行為安全,設(shè)備加固,白名單,設(shè)備安全,介質(zhì)安全,漏挖漏歸,防護(hù)原則,防護(hù)手段,防護(hù)手段,防護(hù)原則,安全可控,白名單,自主可控,可信計(jì)算,免疫,完整性,監(jiān)測(cè)審計(jì),威脅評(píng)估,結(jié)安構(gòu)全,防護(hù)原則,防護(hù)手段,設(shè)備加固,區(qū)域劃分,邊界防護(hù),工業(yè)控制系統(tǒng) 全生命周期安全防護(hù)能力,設(shè)備加固,設(shè)備加固,采取適合的評(píng)估手段,資產(chǎn)分析,流量分析,威脅分析,在設(shè)備接入的過(guò)程中需要向工控系統(tǒng)責(zé)任單位確認(rèn)如下條件,在檢查前,要求工控系統(tǒng)責(zé)任單位閱讀現(xiàn)場(chǎng)接入工控系統(tǒng)安全檢查工具須知并在工控系統(tǒng)安全檢查入場(chǎng)確認(rèn)表簽字。,設(shè)備的流量分析接入點(diǎn)一般選擇在工控系統(tǒng)信息系統(tǒng)邊界區(qū)域的交換機(jī),請(qǐng)確認(rèn)該接入交換機(jī)具備鏡像端口功能并要求工控系統(tǒng)責(zé)任單位配置完成,設(shè)備的資產(chǎn)識(shí)別接入點(diǎn)原則上接入工控系統(tǒng)網(wǎng)絡(luò),要求工控系統(tǒng)責(zé)任單位提供該工程控制網(wǎng)絡(luò)的網(wǎng)段地址和IP地址數(shù)量,并提供該網(wǎng)段的一個(gè)空閑IP地址,在設(shè)備接入前請(qǐng)確認(rèn)被接的交換機(jī)負(fù)荷小于10%,對(duì)于現(xiàn)場(chǎng)設(shè)備存在嚴(yán)重老化(大于15年)和超期服役的情況,原則上不建議接入設(shè)備。,在設(shè)備的接入過(guò)程中必須由工控系統(tǒng)責(zé)任單位相關(guān)的技術(shù)人員全程陪同,明確工控系統(tǒng)責(zé)任單位應(yīng)急響應(yīng)聯(lián)系人,在檢查結(jié)束,要求工控系統(tǒng)責(zé)任單位在工控系統(tǒng)安全檢查完成確認(rèn)表上簽字。,必須充分考慮工控系統(tǒng)責(zé)任單位網(wǎng)絡(luò)架構(gòu)及要求,結(jié)構(gòu)安全,22,Level 4: 戰(zhàn)略決策層 商業(yè)計(jì)劃和物流管理 /工程系統(tǒng),Level 3: 經(jīng)營(yíng)管理層 系統(tǒng)管理和/監(jiān)控控制,Level 2: 生產(chǎn)控制層 監(jiān)控功能/現(xiàn)場(chǎng)檢測(cè)和現(xiàn)場(chǎng)檢測(cè),Level 1: 現(xiàn)場(chǎng)控制層 保護(hù)盒現(xiàn)場(chǎng)控制設(shè)備,Level 0: 現(xiàn)場(chǎng)執(zhí)行層 傳感器和制動(dòng)器,