纵深防御信息安全

西门子（中国）有限公司2013年11月Page1西门子（中国）有限公司2013年11月Page2信息安全的新战场－工业基础设施与传统的IT信息安全不同，工业基础设施中关键ICS系统的安全事件会导致：§系统性能下降，影响系统可用性§关键控制数据被篡改或丧失§失去控制§环境灾难§人员伤亡§公司声誉受损§危及公众生活及国家安全§破坏基础设施§严重的经济损失等工业基础设施构成了我国国民经济、现代社会以及国家安全的重要基础，而工业基础设施的核心是其工业控制系统（ICS）西门子（中国）有限公司2013年11月Page3工业信息安全变得日益重要§在所有网络层次上的横向与垂直集成§将自动化网络与IT网络相连，以及为实现远程维护与Internet连接§越来越多采用开放标准以及基于PC的系统§各种潜在的安全威胁日益增长§未授权人员的非法访问§间谍活动、非法操纵控制数据§由于恶意软件导致的数据丢失、损坏等等越来越多的安全事件揭示出自动化工厂存在安全脆弱性！导致自动化工厂脆弱性的主要趋势：西门子（中国）有限公司2013年11月Page4工业信息安全事件（1）：能源1994年，美国亚利桑那州SaltRiverProject(SRP)被黑客入侵2000年，俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络（属于GAzprom公司）2001年，黑客侵入了监管加州多数电力传输系统的独立运营商2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫所感染，导致其安全监控系统停机将近5小时2003年，在美国、加拿大（东海岸）大停电后的事故调查中，发现很多电力控制都感染了Blaster蠕虫。2003年，龙泉、政平、鹅城换流站控制系统发现病毒，后发现时由外国工程师在系统调试中用笔记本电脑上网所致。2007年，在美国国土安全局的“Aurora”演习中，针对电力控制系统进行渗透测试，一台发电机在其控制系统受到攻击后被物理损坏（video）西门子（中国）有限公司2013年11月Page5工业信息安全事件（2）：能源2010年，“震网（Stuxnet）”病毒出现2012年，美国国土安全局下属的ICS-CERT称，自2011年12月以来，已发现多起试图入侵几大输气公司的黑客活动2012年4月22日，伊朗石油部和国家石油公司内部电脑网络遭病毒攻击，为安全起见，伊朗方面暂时切断海湾附近哈尔克岛石油设施的网络连接。西门子（中国）有限公司2013年11月Page6工业信息安全事件（3）：水利与水处理2000年，VitekBoden在应聘澳大利亚的一家污水处理厂被多次拒绝后，远程侵入该厂的污水处理控制系统，恶意造成污水处理泵站的故障，导致超过1000立方米的污水被直接排入河流，导致严重的环境灾难2000年，一个布里斯班的黑客利用无线电通讯系统导致污水溢出到阳光海岸2006年，黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施，在其系统内植入了能够影响污水操作的恶意程序。2007年，攻击者侵入加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机2011年，黑客通过Internet操纵美国伊利诺伊州城市供水系统SCADA，使得其控制的供水泵遭到破坏。西门子（中国）有限公司2013年11月Page7工业信息安全事件（4）：交通1997年，一个十几岁的少年侵入（纽约）NYNES系统，干扰了航空与地面通信，导致马萨诸塞州的Worcester机场关闭6个小时2003年，CSX运输公司的计算机系统被病毒感染，导致华盛顿特区的客货运输中断2003年，19岁的AaronCaffrey侵入Houston渡口的计算机系统，导致该系统停机。2008年，一少年攻击了波兰Lodz的城铁系统，用一个电视遥控器改变轨道扳道器，导致4节车厢出轨西门子（中国）有限公司2013年11月Page8工业信息安全事件（5）：制造1992年，一前雇员关闭了雪佛龙在22个州的应急警报系统，直到一次紧急事件发生之后才被发现2005年，在Zotob蠕虫安全事件中，尽管在Internet与企业网、控制网之间部署了防火墙，还是有13个美国汽车厂由于被蠕虫感染而被迫关闭，50,000生产线工人被迫停止工作，预计经济损失超过1,400,000美元西门子（中国）有限公司2013年11月Page9工业信息安全事件：统计数据（1）工业信息安全事故数据库：事故数量IndustrialSecurityIncidentDatabase(ISID)西门子（中国）有限公司2013年11月Page10工业信息安全事件：统计数据（2）事故来源：网络安全事故报告显示，从2001年开始，事故数量和类型发生了重大的变化2001年之前Adultorothers7%Internal15%External26%Accidental52%Adultorothers5%Internal4%External60%Accidental31%2001年之后西门子（中国）有限公司2013年11月Page11工信部：关于加强工业控制系统信息安全管理的通知2011年，工业与信息化部发布“关于加强工业控制系统信息安全管理的通知”，明确了重点领域工业控制系统信息安全管理要求，并强调了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则§断开工控系统与公共网络间的不必要的连接§对必要的连接，部署防火墙等进行防护，并定期评估§严格控制移动存储介质§慎重选择工业控制系统设备§加强对技术服务的信息安全管理§密切关注产品漏洞和补丁发布§同步规划、同步建设、同步运行安全防护措施§采取VPN、数据加密等措施，保护工控远程通信§对无线组网采取严格的身份认证、安全监测等防护措施§对国家基础数据以及其他重要敏感数据，采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护§建立安全配置与审计制度§严格账户管理，合理分类设置账户权限§严格口令管理§定期对账户、口令、端口、服务等进行检查§制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，采取必要的容灾备份措施（一）连接管理要求（二）组网管理要求（三）配置管理要求（四）设备选择与升级管理要求（五）数据管理要求（六）应急管理要求西门子（中国）有限公司2013年11月Page12工业控制系统典型应用IndustrialEthernetPrimaryI/OServerSCADA2HMISecondaryI/OServerPlantExtensionEngineerStationMaintainStationEngineerStationSCADA1OPCServerHistorianServerDBServerApplicationServerOperationStationEngineerStationOPCClientNetworkPrinterToOfficeNetDistributedI/ORFIDPLCPLCSwitchRobotControlSwitchControlCellControlCellRemoteMaintainHMIHMIDrivesPLCSwitchControlCellHMIWebCamDrivesMotionControl西门子（中国）有限公司2013年11月Page13系统脆弱性（1）缺乏清晰的网络边界（2）域间缺乏边界访问控制（3）域间通信缺乏防护（4）缺乏对恶意程序的防护（5）缺乏严格的账号管理（6）对恶意操作缺乏控制西门子（中国）有限公司2013年11月Page14潜在的安全威胁（1）未经授权的访问（2）恶意代码的攻击（3）拒绝服务攻击（4）针对控制/组态通信的攻击（5）恶意操作西门子（中国）有限公司2013年11月Page15工业信息安全关键需求实现安全域的划分与隔离，网络接口遵从清晰的安全规范实现对ICS通信的可感知与可控制保护ICS控制级，防御安全攻击部署集成安全措施的保护基于PC的控制系统开展工业安全风险评估，建设全面的信息安全管理西门子工业安全理念涉及上述5个关键需求领域，覆盖了工业自动化控制系统的所有级别工业信息安全关键需求西门子（中国）有限公司2013年11月Page16基于纵深防御理念的安全工控系统物理安全§控制对工厂与设备的物理访问策略与流程§安全管理流程§安全操作指南§业务连续性管理&灾难恢复安全单元&非军事区DMZ§基于网络分区的安全架构防火墙与VPN§将防火墙作为对安全单元的唯一访问点系统加固§将默认系统配置提升为安全配置用户账户管理§管理操作员及用户的权限补丁管理恶意软件的检测与防护§反病毒、白名单PotentialThreatDCS将“纵深防御”引入工业控制系统的信息安全解决方案：在外部世界的威胁和工控网络之间建立尽可能多层次的防护。通过部署多层次的、具有不同针对性的安全措施，保护关键的工业自动化控制过程与应用的安全西门子（中国）有限公司2013年11月Page17西门子工业安全解决方案（1）物理环境安全（2）安全策略与流程（3）划分安全单元与DMZ（4）部署防火墙与VPN（5）进行系统加固（6）管理用户账号（7）部署补丁管理（8）检测与防护恶意软件PROFINETDistributedI/ORFIDPLCPLCSwitchRobotControlSwitchPrimaryI/OServerControlCellControlCellSCADA2HMIHMIHMIDrivesPLCSwitchControlCellHMISecondaryI/OServerWebCamDrivesMotionControlPlantExtensionEngineerStationMaintainStationEngineerStationSCADA1OPCServerHistorianServerDBServerwsusServerOperationStationOPCClientNetworkPrinterToOfficeNetSCALANCESSCALANCESSCALANCESSCALANCESJANUSJANUS西门子（中国）有限公司2013年11月Page18SIEMENS工业信息安全解决方案：分层视图西门子工业信息安全解决方案贯彻了纵深防御的安全理念，致力于降低客户系统的安全风险工业安全服务§专业的安全咨询信息安全服务§安全策略与流程产品&系统§安全的PC、控制器与网络工业安全服务信息安全服务产品&系统西门子（中国）有限公司2013年11月Page19SIEMENS工业信息安全解决方案：Portfolio组件风险评估与安全管理咨询认证与访问控制补丁与配置管理工控协议安全网关防火墙、VPN防病毒与软件白名单安全事件监控与管理打包的安全解决方案安全加固、监控、优化服务工业信息安全服务提供建议与实施支持模块化的解决方案可管理的服务西门子（中国）有限公司2013年11月Page20工业信息安全：安全咨询（1）启动差距分析符合性控制计划PPM安全管理体系èèèè通过ISF/ISO27001管理体系差距评估，为企业梳理管理流程、完善制度西门子（中国）有限公司2013年11月Page21工业信息安全：安全咨询（2）评估分为管理评估和系统能力（技术）评估§管理评估宜对照风险接受准则和组织机构相关目标，识别、量化并区分风险的优先次序工业控制系统信息安全评估规范&验收规范评估列表&等级映射示例西门子（中国）有限公司2013年11月Page22工业信息安全培训培训形式包括专家面授、安全课件、演示和操作平台等§网络与信息安全概述§密码学与PKI/CA§Windows安全§UnixLinux安全§防火墙产品及技术§VPN产品及技术§IDS&IPS及技术§计算机病毒防护§网络服务安全§黑客攻防§业务持续性及灾备§数据安全IT基础设施安全§工业安全标准体系§工业安全前沿技术§工业安全威胁及防护§工业安全（国际）最佳实践工业