工业控制系统信息安全防护技术-2017工业控制系统信息安全

ShenyangInstituteofAutomation,ChineseAcademyofScience.*工业控制系统信息安全防护技术中国科学院沈阳自动化研究所中科院网络与控制系统重点实验室2014.11.05ShenyangInstituteofAutomation,ChineseAcademyofScience.2工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提纲沈自所研究基础与开展工作ShenyangInstituteofAutomation,ChineseAcademyofScience.3一、工业控制系统的脆弱性正向复杂化、IT化和通用化趋势发展基于PC+Windows的工业控制网络面临安全挑战国外：2011年，黑客入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏；2011年，微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据；2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据；2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息。国内：我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度地中断。ShenyangInstituteofAutomation,ChineseAcademyofScience.4一、工业控制系统的脆弱性1、ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势，仅2013年度，针对关键基础设施的攻击报告已达到257起。”2、主要集中在能源、关键制造业、交通、通信、水利、核能等领域，而能源行业的安全事故则超过了一半。ShenyangInstituteofAutomation,ChineseAcademyofScience.5一、工业控制系统的脆弱性归根结底就是工业控制系统的漏洞问题，截止到2013年12月底，公开的工业控制系统漏洞数总体仍呈增长趋势。ShenyangInstituteofAutomation,ChineseAcademyofScience.6一、工业控制系统的脆弱性2010年6月出现的Stuxnet病毒，是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒，它同时利用7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATICWinCC系统。ShenyangInstituteofAutomation,ChineseAcademyofScience.7一、工业控制系统的脆弱性工业控制系统的漏洞主要包括：（1）通信协议漏洞两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。（2）操作系统漏洞目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，通常现场工程师在系统开启后不会对windows平台安全任何补丁，埋下了安全隐患。（3）应用软件漏洞由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，另外当应用软件面向网络应用时，就必须开放其应用端口，是重要的攻击途径。ShenyangInstituteofAutomation,ChineseAcademyofScience.8一、工业控制系统的脆弱性工业控制系统的漏洞主要包括：（4）安全策略和管理流程漏洞追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。（5）杀毒软件漏洞为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，病毒库也不会定期的更新。ShenyangInstituteofAutomation,ChineseAcademyofScience.9工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提纲沈自所研究基础与开展工作ShenyangInstituteofAutomation,ChineseAcademyofScience.10二、工业控制系统的安全需求工控系统与传统IT系统的不同对比项工业控制系统ICS传统IT系统体系结构主要由传感器、PLC、RTU、DCS、SCADA等设备及系统组成通过互联网协议组成的计算机网络操作系统广泛使用嵌入式系统VxWorks、uCLinux、winCE等，并根据功能及需求进行裁剪与定制通用操作系统如windows、linux、UNIX等，功能强大数据交换协议专用的通信协议或规约（OPC、ModbusTCP、DNP3等），一般直接使用或作为TCP/IP的应用层TCP/IP协议栈系统实时性实时性要求高，不能停机或重启实时性要求不高，允许传输延迟，可停机或重启系统升级兼容性差、软硬件升级困难兼容性好、软件升级频繁ShenyangInstituteofAutomation,ChineseAcademyofScience.11二、工业控制系统的安全需求工控安全与传统IT安全的差异化传统网络安全技术不适于应用到工业控制系统传统IT安全：机密性完整性可用性工控系统安全：可用性完整性机密性方式防火墙入侵检测漏洞扫描传统IT网络工业控制网络TCP/IP协议存在误报率实时的补丁修复专有协议格式不允许存在误报补丁修复困难传统IT系统：机密性工业测控系统：可用性设计初衷ShenyangInstituteofAutomation,ChineseAcademyofScience.12二、工业控制系统的安全需求美国国土安全部下属的ICS-CERT（工业控制系统应急响应小组）及CSSP（控制系统安全项目）通过对工业控制系统软件的缺陷性分析发现，工业控制系统软件的安全脆弱性问题主要涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面。ShenyangInstituteofAutomation,ChineseAcademyofScience.13工业控制系统的特点封闭性：SCADA、ICS系统的设计之初安全机制不完善多样性：多种数据接口（如RJ45、RS485、RS232等）,协议规约实现多样复杂性：专用的通信协议或规约（如OPC、Modbus、DNP3、Profibus等）不可改变性：工控系统程序升级困难！传统IT安全防护技术不适合工业控制系统急需针对工业控制系统的安全防护技术：针对SCADA、ICS系统自身脆弱性（漏洞）和通信规约的安全性，研究工业控制系统的安全防护技术，分析工业控制系统中已知的与未知的安全威胁，指导其对安全威胁进行有效的防御。二、工业控制系统的安全需求ShenyangInstituteofAutomation,ChineseAcademyofScience.14工业控制系统的脆弱性工业控制系统信息安全需求工业控制系统安全管控技术工业控制系统安全产品形式提纲沈自所研究基础与开展工作ShenyangInstituteofAutomation,ChineseAcademyofScience.15保证工业控制系统安全稳定运行，工业控制系统的安全防护必须达到以下三个目标：目标主要内容通信可控能够直观观察、监控、管理通信中数据。仅保证工业控制专有协议数据通过即可，其他通信一律禁止。区域隔离为防止局部控制网络问题扩散导致全局瘫痪，在关键数据通道上部署网络隔离。报警追踪及时发现网络中感染或其他问题，准确找出故障点。通过对报警事件进行记录，为故障分析提供依据。工业控制系统防火墙技术三、工业控制系统的安全管控技术ShenyangInstituteofAutomation,ChineseAcademyofScience.16工业控制系统防火墙技术防火墙是基于访问控制技术，它可以保障不同安全区域之间进行安全通信，通过设置访问控制规则，管理和控制出入不同安全区域的信息流，保障资源在合法范围内得以有效使用和管理。可以根据“白名单”或者“黑名单”的方式进行规则设置。对于“白名单”，可以设置允许规则，也就是说只有符合该规则的数据流才能通过，其他的任何数据流都可以被看做攻击而过滤掉，这样就保障了资源的合法使用；而对于“黑名单”，可以设置禁止规则，禁止不合法的客户端对资源的访问。正常流正常流异常流黑名单白名单三、工业控制系统的安全管控技术ShenyangInstituteofAutomation,ChineseAcademyofScience.17工业控制系统防火墙技术区域管控•划分控制系统安全区域，对安全区域的隔离保护•保护合法用户访问网络资源控制协议深度解析•解析Modbus、DNP3等应用层异常数据流量•对OPC端口进行动态追踪，对关键寄存器和操作进行保护数据捕获控制系统通信数据协议分析应用层深度分析访问控制规则策略正常数据放行动态链表调整报警日志数据库日志发送检测发现异常阻断通信白名单DNP3默认值规则链表Modbus……OPC动态端口匹配动作……匹配动作匹配动作功能码、寄存器匹配动作生成功能码、寄存器三、工业控制系统的安全管控技术ShenyangInstituteofAutomation,ChineseAcademyofScience.18工业控制网络安全管控技术模块划分：模块功能中央管控平台组态、配置分布在网络中的工业防火墙，下载与修改安全策略；收集并存储各个工业防火墙上传的报警和日志数据，为安全审计，异常事件关联分析提供依据；实时显示网络中流量情况、攻击行为。工业防火墙根据所建立的“区域”与“管道”模型，部署在关键数据通路上，对不同“区域”之间的数据流进行访问控制，对工业通信协议进行深度过滤检查，对违反安全规则的网络行为进行实时报警，并且将异常事件上传至异常事件数据库。ShenyangInstituteofAutomation,ChineseAcademyofScience.19Modbus/TCP深度防护模块Modbus/TCP协议威胁分析：开放、通俗易懂（双刃剑—易于厂商开发，也易于黑客发动攻击）任意连接到网络中的计算机都可以改变控制器的IO点数，或者寄存器数值。甚至进行复位、禁止运行、下载恶意控制逻辑操作等。ShenyangInstituteofAutomation,ChineseAcademyofScience.20Modbus/TCP深度防护模块主要功能•完整性检测，阻挡不符合Modbus标准的通讯。•设定允许的Modbus功能码、寄存器、线圈列表。典型应用•石油、石化与天然气SCADA•PLC的人机界面/编程管理站•采用ModbusTCP通讯的安全仪表系统SISShenyangInstituteofAutomation,ChineseAcademyofScience.21Modbus/TCP深度防护模块RTUPLC1PLC2HMI未获授权客户端禁止访问网络HMI2试图对PLC2进行访问HMI需要访问RTU和PLC1HMI不需要访问PLC2潜在的攻击链路消除潜藏攻击通道！问题1：HMI可以被信任吗？问题2：HMI如果被病毒渗透了，该怎么保护重要控制器？ShenyangInstituteofAutomation,ChineseAcademyofScience.22RTUPLC1“写”操作被“拦截”“读”操作被“放行”非必要操作码被“拦截”访问重要寄存器“被拦截”不符合Modbus标准数据包被拦截沈阳自动化研究所Modbus/TCP深层次防护技术优势•深入工业通讯协议内部检查，提供应用层防护，安全级别高于一般防火墙（传输层、网络层）•阻止病毒向重要控制器传播及扩散Modbus/TCP深度防护模块HMI可能成为攻击的“跳板”！ShenyangInstituteofAutomation,ChineseAcademyofScience.23OPC协议防护模块OPC技术威胁性分析