劉怡欣2014-04-11

工業控制系統信息安全綱要III

III工控系統介紹工控系統安全分析工控系統安全理念IV工控安全解決方案V工控安全動態基本概念一信息安全(security)基本概念一本質安全(safety)基本概念二工業控制系統(ICS)是綜合集成了計算機、網絡、現代通信，微電子以及自動化技術，是對多種控制系統的總稱，包括：可編程邏輯控制器(PLC)；監控和數據采集(SCADA)系統；分布式控制系統（DCS)； ICS普遍應用于電力、水處理、石油、天然氣、化工、交通運輸、制造業（煙草、汽車、食品等）。基本概念二可編程邏輯控制器(PLC)；PLC單純的實現邏輯功能和控制，不提供人機界面，實現操作需借助與按鈕指示燈、HMI以及SCADA系統，PLC實現單機及簡單控制。基本概念二監控和數據采集(SCADA)系統SCADA是對分布距離遠，生產單位分散的生產系統的一種數據采集、監視和控制系統，SCADA作為生產管理級上位監控；基本概念二分布式控制系統（DCS)DCS兼具PLC和SCADA二者功能，但是基本上用在比較大的系統中和一些控制要求高的系統中，實現復雜控制；（Honeywell、和利時DCS）工業控制系統特點實時性要求高，強調實時I/O能力；可用性要求高，系統一旦上線，不能接受重新啟動之類的響應，中斷必須有計劃和提前預定時間；工控硬件要求壽命長，防電磁干擾，防爆，防塵等要求非常嚴格；特有的工業控制協議通訊協議，不同廠商控制設備采用不同通信協議，很多協議不公開；工控系統上線生產后，一般不會調整；工控系統要求封閉性比較強。工業控制系統特點傳統工控安全的管理屬于生產單位和部門；操作人員缺乏應對信息安全的警惕性和經驗；工控系統中承載著一些需要保密的工藝數據；加強工控系統的物理安全，會達到事半功倍的效果；現場設備越來越多具備無線接入功能；工控系統是國家重要的基礎設施，工控系統安全會影響到生命安全、重大財產損失以及產生環境問題。工業控制系統功能層次工業控制系統功能層次GB/T20720《企業控制系統集成》IEC62264工控系統網絡架構天然氣調度系統架構（實體模型）工業控制系統協議工業控制系統

傳統IT部分工控部分硬件平臺終端、服務器IPC、工業交換機、工業環網、PLC、RS485、RS232、CANBus現場總線系統平臺通用系統（基本上都是基于windowsXP、win7、win8、windows2003、windows2008）通用系統（基本上是基于windowsXP、win7、windows2000、windows2003）通訊協議HTTP等通用協議工業協議如：

OPC、RockwellABControlNet、RSLogixOPC\DDEGEFanucGESRTPQuickPanel數據庫關系數據庫Oracle、SQLServer實時數據庫，Rockwell-RSSQLGEFANUC-iHistorian、PHD開發環境常見開發語言和工具C、java等組態軟件RSlogix、RSlinx、WINCC、STEP7、iFIX等應用軟件IT應用系統工業制造應用系統綱要III

III工控系統介紹工控系統安全分析工控系統安全理念IV工控安全解決方案V工控安全動態Stuxnet震網病毒2010年7月震驚全球工業界——世界上首個專門針對ICS編寫的病毒；伊朗核電站Stuxnet病毒事件病毒特點：目標明確，針對特定場景結構復雜，隱藏、掩飾手段高明多種偽裝，盜用數字簽名，逃避查殺，同時利用多個0day漏洞，不惜代價；7個已知和未知漏洞，其中至少4個0day漏洞（其中五個windows系統漏洞和2個西門子SIMATICWinCC漏洞）；修改PLC的程序邏輯，造成物理過程的故障；傳播途徑：U盤、共享網絡、打印機危害攻擊伊朗核設施，使得伊朗核計劃拖后兩年，60%的個人電腦感染病毒；全球超過45000個網絡遭受攻擊；多個行業的領軍企業的工控系統受此感染。時間表2010年6月，震網病毒首次發現，并且攻擊伊朗核設備成功；2010年12月，微軟推出針對Stuxnet所利用的漏洞修復補丁；2012年7月，西門子公司宣布修復Stuxnet利用的軟件漏洞。從發現病毒，到發布修復補丁，一共兩年多時間伊朗核電站Stuxnet病毒事件伊朗核電站Stuxnet病毒事件美國《紐約時報》稱，美國和以色列情報機構合作制造出“震網”病毒。“震網”病毒結構非常復雜，計算機安全專家在對軟件進行反編譯后發現，它不可能是黑客所為，應該是一個“受國家資助的高級團隊研發的結晶”。安全傳統概念絕對的物理隔離就不會出現安全問題受影響的只是二次系統，一次設備不會受到損壞2007年，在美國國土安全局”Aurora”演習中，針對電力控制系統進行滲透測試，一臺發電機在其控制系統收到攻擊后被物理損壞2000年，俄羅斯政府聲稱黑客成功控制了世界上最大的天然氣輸送管道網絡2001年，黑客入侵了監管美國加州多數電力傳輸系統的獨立運營商2003年，美國俄亥俄州Davis-Besse的核電廠控制網絡內的一臺計算機被微軟的SQLServer蠕蟲病毒所感染，導致其安全監控系統停機近5小時2003年，中國龍泉、政平、鵝城換流站控制系統發現病毒，后發現是由外國工程師在系統調試中使用筆記本電腦所致2010年，“震網(Stuxnet)”病毒在伊朗出現2011年，沙特國家石油公司受到攻擊，超過三萬臺電腦癱瘓2012年，美國國土安全局下屬的ICS-CERT組織稱，自2011年12月以來，已發現多起試圖入侵大型輸氣公司的黑客活動2012年4月22號，伊朗石油部和國家石油公司內部電腦網絡遭受病毒攻擊，為安全起見，伊朗方面暫時切斷海灣附近哈爾克島石油設施的網絡連接工業控制系統安全事件-能源2000年，一個工程師在應聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統，惡意造成污水處理站的故障，導致超過1000立方米的污水被直接排入河流，導致嚴重的環境災難2006年，黑客從互聯網上攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統內植入了能夠影響污水處理的惡意程序，導致了嚴重的事故2007年，攻擊者侵入加拿大的一個水利SCADA控制系統，通過安裝惡意軟件破壞了用于從Sacrmento河調水的控制計算機2010.1.3112歲男孩侵入亞利桑那州的羅斯福大壩，150萬英畝的水域，可把整個鳳凰城淹掉2011年，黑客通過Internet操縱了美國伊利諾伊州城市供水系統SCADA，使得其控制的供水泵遭到破壞工業控制系統安全事件-水處理1997年，一個十幾歲的少年侵入紐約NYNES系統，干擾了航空與地面通信，導致馬薩諸塞州的Worcester機場關機6小時2003年，SCX運輸公司的計算機系統被病毒感染，導致華盛頓特區的客貨運輸中斷2003年，19歲的AaronCaffery侵入Houston渡口的計算機系統，導致該系統停機2008年，一少年攻擊了波蘭Lodz的城鐵系統，用一個電視遙控器改變軌道扳道器，導致4節車廂出軌2011年，上海地鐵因信號系統故障發生追尾事件，原因查明是系統升級過程中發生信息阻塞導致信號燈故障工業控制系統安全事件-交通2000年6月5號，江蘇省某縣供電局某220KV變電所發生了一起帶地線合閘的惡性誤操作事故，造成全所停電。當時負荷達70000KW，給該縣造成了很大的經濟損失2006年，清華同方環境有限公司在中國華能集團公司德州電廠二期3號機組脫硫裝置運行過程中，旁路門突然非受控性關閉，致使工作間內7人被埋，其中4人搶救無線死亡2007年，法國電力公司全資企業廣西來賓B電廠（2臺36萬千瓦燃煤機組）因江邊水泵房設備的控制和通訊完全中斷，造成兩臺機組停運，全廠對外停電2008年，華中（河南）電網因續電保護誤動作、安全穩定控制裝置拒動等原因引發一起重大電網事故，導致華中東部電網與川渝電網解列，華中電網與西北電網直流閉鎖、與華北電網解列2012年，亞馬遜等網站上出現了智能電表破解裝置，聲稱可以通過無線網更改智能電表讀數工業控制系統安全事件-能源1992年，一前雇員關閉了雪佛蘭位于22個州的應急報警系統，直到一次緊急事件發生以后發被發現2005年，在Zotob蠕蟲安全事件中，盡管在Internet與企業網、控制網之間都部署了防火墻，但還有13個美國汽車廠由于被蠕蟲病毒感染而被迫關閉，50,000生產線工人被迫停止工作，預計經濟損失超過1,400,000美元2011年，美國某大型藥廠被黑客侵入并悄悄更改了生產物料配比，導致幾個批次的藥品出現不良反應，給藥廠造成巨大損失工業控制系統安全事件-制造工業控制系統安全事件入侵者通過現場無線網絡，入侵工控生產過程控制系統，控制產品生產溫度，改變產品生產質量。工控系統安全事件入侵者在郵件中植入木馬，控制辦公終端，進一步滲透到SCADA系統，從工程師服務獲取生產工藝數據。某制造行業工控安全事件移動存儲設備的隨意接入，把病毒代入工控系統。移動筆記本在沒有準入控制和身份認證的情況下接入工控網絡，把病毒帶入到工控系統。維護工控系統疏忽導致網線插錯，造成工控網形成網絡風暴，造成生產停車。固定IP地址與DHCP共存造成的IP地址沖突，影響生產作業。硬件設備丟失問題。某石化行業工控安全事件2009.6.儲控中心電腦感染蠕蟲死機；2009.10.芳烴裝置控制系統感染病毒運行異常；2010.5.上層網絡感染病毒故障；2009-2010.操作站頻繁死機；雖未發生嚴重事故，但還是耗費了大量的人力、物力和精力去處理安全事件，給安全生產帶來很大隱患!工控系統的脆弱性工業控制應用系統幾乎是傳統IT信息系統的拷貝，但安全防護遠遠落后于傳統IT系統的安全防護。工控系統大量采用IT通用軟硬件，如PC服務器和終端產品、操作系統和數據庫系統；由于工控系統兼容性的問題，系統補丁和殺毒軟件的安全措施不到位，使系統的脆弱性得以放大！工控系統的脆弱性工控軟件與通信協議不健壯相對于傳統IT軟件，工業控制系統組態軟件、PLC嵌入式系統等在設計過程中主要考慮可用性，實時性、對安全性考慮不足；工控系統通信協議缺乏授權和加密、缺乏對用戶身份的鑒別和認證等安全機制。工控系統的脆弱性工業控制系統安全不僅使用一個技術問題，更是一個管理問題，需要完善的工業控制系統安全政策、標準、制度和安全意識來支撐。相對信息系統用戶來說，工控系統用戶安全意識更加薄弱！大多數的漏洞在工控系統上存在的時間超過3年一年左右，這些漏洞就已經存在于開源的黑客入侵工具MetasploitSCADAmodule工控系統的脆弱性網絡安全風險急速增加2012年美國ICS蜜罐實驗模擬了一個連接在Internet上的ICS18小時內發生第一次深度攻擊28天內發生39次深度攻擊美國DHS的統計，41%記錄在案的針對關鍵基礎設施的攻擊是針對能源相關行業石油及天然氣行業電力基礎設施攻擊已經蔓延到關鍵基礎設施的各個部門Sources–DHS,NSSLabs,TrendMicro針對關鍵基礎設施的網絡攻擊常常成為新聞頭條Sources–WallStreetjournal,WiredMagazine工控系統面臨的威脅臺灣ICST在幾個月時間，通過檢測31廠家的67個產品，挖掘出50個可以被利用的漏洞。從2007年起，每年的黑客大會都有關于工控系統安全的報告。美國ICS-CERT報告，2012年工控安全事件197起，2013上半年工控安全事件206起。排在前三位的行業分別是：能源、關鍵制造業、交通。工控系統面臨的威脅分析來自于經營管理網與互聯網的威脅“兩化”融合，信息化帶動了工業化，工業化促進了信息化。產生了新型工業化，同時是也把傳統IT風險延伸到了工控系統使工控系統面臨來自經營管理網和互聯網的威脅；工控系統面臨的威脅分析來自于工控系統內網的威脅：操作系統漏洞已知與無法修復的尷尬！病毒木馬橫行與無法殺毒的尷尬！非工控應用軟件的存在，帶來的未知風險！移動介質的隨意使用帶來的風險！移動筆記本隨意接入帶來的風險！工業無線網絡邊界的不可見與非法接入的不可控風險！安全標準與動態2014.1.12美國白宮發布《網絡安全框架》2013.5美國商務部NIST更新《工業控制系統安全指南》版本r1，2014年第一季度將推出第二版本國際電工委員會制定IEC62443(ISA99)工控安全標準。安全標準與動態2011-2013連續三年被發改委納入國家信息安全專項2013.12.26國家標準批準公布《工業以太網交換機技術規范》2012年6月，《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號）中明確：保障工業控制系統安全。2011年9月，工業和信息化部發布《關于加強工業控制系統信息安全管理的通知》（451號文）工控安全動態工信部安全協調司趙澤良司長在RSA中國2011大會上強調“工業控制系統安全工作也到了非加強不可的時候了！”2014年02月27日中央網絡安全和信息化領導小組成立；2014年3月6日上海市正式發布了《上海市網絡與信息安全事件專項應急預案》。綱要III

III工控系統介紹工控系統安全分析工控系統安全理念IV工控安全解決方案V工控安全動態工控系統安全-白名單工控PC、服務器的進程、服務操作員站、工程師站、HMI、WEB服務器、數據庫服務器；工控系統訪問控制列表IT防火墻、工業交換機、工業防火墻等；工控系統資產能夠實時識別非法設備進入工控系統。工控系統安全-層次化“層次化”根據工控系統功能的不同，對工控系統進行縱向分層、橫向分域，域分等級，目的是進行安全隔離防護。針對工控系統的特點，我們提出了“三層架構，二層發防護”的方案。工控系統安全-邊緣化“邊緣化”從工控系統演變過程可以看到，工控系統最初是獨立的自動控制系統，但隨著信息化的發展，以及智能控制的要求，不斷的引入IT技術、互聯網技術，從而使工控系統不再獨立。工控系統安全，需要加強工控系統周邊信息化系統的安全。例如：SCADA、MES、ERP安全。工控系統安全-透明化“透明化”工控系統安全采取的技術措施、管理措施，不能夠降低系統使用者的易用性，安全措施對使用者來說是透明的；工控系統安全解決方案，不能夠降低系統的可用性、盡可能避免系統的延時（如果有延時，必須在可接受的范圍之內）。綱要III

III工控系統介紹工控系統安全分析工控系統安全理念IV工控安全解決方案V工控安全動態工控系統安全解決方案思路基于工控系統安全防護理念，從四個維度，解決工控系統安全問題。工控系統安全防護縱向分層：三層架構，二層防護。經營管理層、生產控制層、過程控制層。橫向分域：不同的車間、不同的生產線進行邏輯隔離。分層分域的目的就是進行安全隔離防護。GB/T20720-1企業控制系統集成工控系統安全防護經營管理層與生產控制層之間的防護工控系統安全防護生產控制層與生產過程層之間的防護工控系統安全加固經營管理層-系統安全加固對ERP、MIS等與生產控制層交互的終端、服務器以及交換設備進行安全加固。生產控制層-系統安全加固對SCADA、MES系統中工控計算機（IPC）、服務器進行白名單式安全加固，同時對工業交換機進行加固。生產過程層-系統安全加固對PLC、RTU等進行安全加固。工控系統安全監控工控系統的可用性監控工控系統安全監控工控系統網絡行為監控準確呈現安全事件工控系統安全監控工控系統指令監控工控系統安全解決方案整體框架解決方案解決的主要問題工控機（IPC）操作系統的加固（進程、服務白名單）工控機（IPC）外設管理，如USB接口，光驅，網卡，串口。工控機（IPC）強口令認證。工控系統與管理系統的安全隔離控制。工控系統的無線安全接入。工控系統遠程安全接入。工控系統的設備準入控制。工控系統的可用性、異常事件以及流量監控。工控系統病毒的查殺。解決方案煙草企業工控信息安全解決方案石化企業工控信息安全解決方案軍工企業工控信息安全解決方案鋼鐵制造工控信息安全解決方案電力系統工控信息安全解決方案煤礦企業工控信息安全解決方案綱要III

III工控系統介紹工控系統安全分析工控系統安全理念IV工控安全解決方案V工控安全動態西門子安全解決方案專業安全咨詢安全策略流程安全PC、PLC、NET西門子安全解決方案物理安全安全策略與流程網絡分區與邊界防護安全的單元間通信系統加固與補丁管理惡意軟件的監測與防護訪問控制與賬號管理日志與審計施耐德工控安全解決方案設備系統管理邁克菲嵌入式控制解決方案（McAfeeEmbeddedControl），完整性控制解決方案（McAfeeIntegrityControl）以及應用性控制解決方案（McAfeeApplicationControl）加強關鍵基礎設施環境的安全性、可用性和可靠性。其他廠家（2012年10月，國際工控巨頭霍尼韋爾聯合全球終端安全廠家Bit9開展工控終端安全產品的研發）其他廠家青島海天煒業GuardIFW2400（Tofino多芬諾）和利時、力控華康、珠海鴻瑞、中科網威綠盟——《2013工業控制系統及其安全性研究報告》啟明星辰工控系統安全動態ADLab針對工控系統的信息安全，重點開展三個方面的研究工作。與國家有關部門開展了多個工控安全課題的研究。已有工控主機惡意代碼檢測工具、基于Fuzzing技術檢測工具，今年推出工控漏掃產品啟明星辰工控安全動態啟明星辰工控安全動態參與工控系統安全標準的編制工作啟明星辰工控安全動態在“首屆工業控制系統安全峰會”上，啟明星辰提出工控系統安全的整體解決方案，受到了工控界的關注。啟明星辰發表的“工業控制系統安全體系架構與管理平臺”論文成為2012年工控安全最熱門的文章。啟明星辰工控安全動態啟明星辰在2011年提出工控終端安全是工控系統安全防護的重點，并開始相關產品的研發。啟明星辰工控安全動態公司第一個工控系統安全項目已經中標，以項目帶產品，因此也產生了以下工控產品：工業控制終端安全管理系統；工控系統無線安全產品；工控系統OPC網閘；ProFiNet邏輯隔離型安全裝置；Modbus/TCP物理隔離型安全裝置；工業控制安全審計系統；工業控制入侵檢測系統；工業控制統一安全管理平臺。拓展模式參與行業工控系統安全課題研究項目參與國家工控系統安全產品課題研究項目參與國家工控系統安全標準制定工作參與行業控制系統安全試點項目參與行業工控系統安全課題研究項目拓展對象

各省級經信委，電力、石油、石化、煙草、汽車制造、交通（尤其是地鐵）等具有創新意識的單位。拓展內容

針對經信委，開展具有通用性工控系統安全技術課題研究，比如：工控系統安全管理平臺、工控系統IPC終端管理、工控系統安全網關、工控系統無線安全設備、工控系統入侵檢測系統等課題的開展。針對行業，開展具有行業特點的課題，如XXX行業工控系統安全可行性研究、XXX安全技術在XXX企業工控領域可用性探討等。參與行業工控系統安全課題研究項目拓展方法

各省、直轄市經信委具有開展工控