1、工业控制系统信息安全技术工业控制系统信息安全技术信息安全新挑战、新方向信息安全新挑战、新方向2010年年9月月24日,伊朗布什尔核电站的工业日,伊朗布什尔核电站的工业控制系统遭到震网控制系统遭到震网(Stuxnet)病毒攻击,导病毒攻击,导致其核设施不能正常运行致其核设施不能正常运行 据媒体报道,可能是负责建设布什尔核电据媒体报道,可能是负责建设布什尔核电站的俄罗斯工程技术人员所使用的站的俄罗斯工程技术人员所使用的U盘感染盘感染了震网病毒,通过了震网病毒,通过“摆渡摆渡”方式,把震网方式,把震网病毒传播到工业控制网络,使工业控制网病毒传播到工业控制网络,使工业控制网络遭受到恶意攻击络遭受到恶意
2、攻击 震网病毒事件震网病毒事件与传统病毒相比,震网病毒是一种直接破与传统病毒相比,震网病毒是一种直接破坏工业基础设施的恶意代码,被认为是全坏工业基础设施的恶意代码,被认为是全球首个投入实战的网络战武器球首个投入实战的网络战武器信息安全界将震网病毒攻击伊朗核设施事信息安全界将震网病毒攻击伊朗核设施事件列为件列为2010年十大年十大IT事件之一事件之一 2011年出现的毒区年出现的毒区(Duqu)病毒和病毒和2012年出年出现的火焰现的火焰(Flame)病毒等都是专门攻击工业病毒等都是专门攻击工业控制系统控制系统(ICS)的计算机病毒的计算机病毒 震网病毒事件震网病毒事件病毒攻击具有很强的目的性和
3、指向性病毒攻击具有很强的目的性和指向性 震网病毒虽然能够像传统蠕虫病毒一样在互联网震网病毒虽然能够像传统蠕虫病毒一样在互联网上进行传播,但并不是以获取用户数据或牟利为上进行传播,但并不是以获取用户数据或牟利为目的,其最终攻击目标是重要工业基础设施工目的,其最终攻击目标是重要工业基础设施工业控制系统业控制系统通过修改系统的数据采集、监测、调度等命令逻通过修改系统的数据采集、监测、调度等命令逻辑,造成系统的采集数据错误,命令调度混乱,辑,造成系统的采集数据错误,命令调度混乱,甚至完全操纵控制系统的指控逻辑,按攻击者的甚至完全操纵控制系统的指控逻辑,按攻击者的意图对工业生产实施直接破坏意图对工业生产
4、实施直接破坏 震网病毒特点震网病毒特点漏洞利用多样化和攻击技术复杂化漏洞利用多样化和攻击技术复杂化 震网病毒从感染、传播到攻击,综合利用了震网病毒从感染、传播到攻击,综合利用了7个个不同层次的系统漏洞,涉及不同层次的系统漏洞,涉及Windows等通用系统等通用系统和工控专用系统的开发技术和漏洞利用技术,需和工控专用系统的开发技术和漏洞利用技术,需要精通和掌握多种编程语言和高级编程技巧要精通和掌握多种编程语言和高级编程技巧为了抗查杀,震网病毒还利用安全证书仿冒、为了抗查杀,震网病毒还利用安全证书仿冒、Rootkit等技术精心设计了一套自保护机制等技术精心设计了一套自保护机制国外信息安全专家称,震
5、网病毒具备相当的高端国外信息安全专家称,震网病毒具备相当的高端性,其背后有强大的技术支撑和财政支持性,其背后有强大的技术支撑和财政支持 震网病毒特点震网病毒特点基于基于“摆渡摆渡”的渗透攻击技术的渗透攻击技术 在一般情况下,工业控制所在的内部网是与互联在一般情况下,工业控制所在的内部网是与互联网物理网物理/逻辑隔离的,为了能够渗透到内部网,逻辑隔离的,为了能够渗透到内部网,震网病毒设计了一套比较完善的传播策略和攻击震网病毒设计了一套比较完善的传播策略和攻击流程,可通过流程,可通过U盘盘“摆渡摆渡”到内部网进行传播到内部网进行传播震网病毒震网病毒“摆渡摆渡”到内部网并激活后,利用某些到内部网并激
6、活后,利用某些版本工业控制系统软件漏洞,实施对特定版本工业控制系统软件漏洞,实施对特定PLC设设备进行攻击,其最终攻击目标是备进行攻击,其最终攻击目标是PLC,这也是震,这也是震网病毒区别于其它传统病毒的主要特点网病毒区别于其它传统病毒的主要特点震网病毒特点震网病毒特点震网病毒给工业控制系统信息安全敲响了震网病毒给工业控制系统信息安全敲响了警钟,网络攻击正在从开放的互联网向封警钟,网络攻击正在从开放的互联网向封闭的工业控制网蔓延闭的工业控制网蔓延 据权威工业安全事件信息库据权威工业安全事件信息库(RISI)统计,截统计,截止到止到2011年年10月,全球已发生了月,全球已发生了200余起针余起
7、针对工业控制系统的攻击事件对工业控制系统的攻击事件2001年后,随着通用开发标准与互联网技年后,随着通用开发标准与互联网技术的广泛使用,针对工业控制系统的攻击术的广泛使用,针对工业控制系统的攻击行为也出现大幅度增长行为也出现大幅度增长 震网病毒警示震网病毒警示近年来针对工业控制系统入侵事件有:近年来针对工业控制系统入侵事件有: 2007年攻击者入侵加拿大一个水利控制系统,破年攻击者入侵加拿大一个水利控制系统,破坏了用于取水调度的控制计算机坏了用于取水调度的控制计算机2008年攻击者入侵波兰某城市地铁系统,通过电年攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,导致四节车厢脱轨视遥控
8、器改变轨道扳道器,导致四节车厢脱轨2010年震网病毒入侵伊朗布什尔核电站的年震网病毒入侵伊朗布什尔核电站的ICS 系系统,严重威胁到核反应堆的安全运营统,严重威胁到核反应堆的安全运营2011年黑客入侵美国伊利诺伊州城市供水系统,年黑客入侵美国伊利诺伊州城市供水系统,使其供水泵遭到破坏使其供水泵遭到破坏震网病毒警示震网病毒警示震网病毒给工业控制系统安全带来严重的震网病毒给工业控制系统安全带来严重的危害,同时也敲响了警钟,引起了世界主危害,同时也敲响了警钟,引起了世界主要工业国家的高度重视要工业国家的高度重视我国工业和信息化部于我国工业和信息化部于2011年年9月发布了月发布了关于加强工业控制系统
9、信息安全管理的通关于加强工业控制系统信息安全管理的通知知(工信部协工信部协2011451号号),要求各级政,要求各级政府和国有大型企业切实加强工业控制系统府和国有大型企业切实加强工业控制系统信息安全防护和管理信息安全防护和管理 震网病毒警示震网病毒警示工业控制系统是一个国家重要基础设施,涉工业控制系统是一个国家重要基础设施,涉及核设施、钢铁、有色、化工、石油石化、及核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航及城市供保护、铁路、城市轨道交通、民航及城市供水供气供热等诸多国计民生领域水供气供热等诸多
10、国计民生领域随着计算机和网络技术的发展,特别是信息随着计算机和网络技术的发展,特别是信息化与工业化深度融合及物联网的快速发展,化与工业化深度融合及物联网的快速发展,工业控制系统正在面临病毒、木马攻击的威工业控制系统正在面临病毒、木马攻击的威胁,信息安全问题日益突出胁,信息安全问题日益突出安全风险分析安全风险分析工业控制系统主要由各种自动化控制组件工业控制系统主要由各种自动化控制组件和实时数据采集、监测的过程控制组件共和实时数据采集、监测的过程控制组件共同构成,主要的组件有:同构成,主要的组件有:数据采集与监控系统数据采集与监控系统(SCADA)分布式控制系统分布式控制系统(DCS)可编程逻辑控
11、制器可编程逻辑控制器(PLC)远程终端远程终端(RTU)智能电子设备智能电子设备(IED)确保各组件通信的接口技术等确保各组件通信的接口技术等 安全风险分析安全风险分析工业控制系统主要存在三类安全风险工业控制系统主要存在三类安全风险 :1. 工业控制系统无防护带来的风险工业控制系统无防护带来的风险出于工业控制软件与操作系统补丁兼容性考虑,出于工业控制软件与操作系统补丁兼容性考虑,工控系统开机后一般不会对工控系统开机后一般不会对Windows操作系统打操作系统打补丁,导致系统带着漏洞运行补丁,导致系统带着漏洞运行 出于工业控制软件与杀毒软件兼容性考虑,工控出于工业控制软件与杀毒软件兼容性考虑,工
12、控系统通常不安装杀毒软件,给病毒与恶意代码的系统通常不安装杀毒软件,给病毒与恶意代码的传播和攻击留下了可乘之机传播和攻击留下了可乘之机安全风险分析安全风险分析工业控制系统中的管理终端一般没有采取措施对工业控制系统中的管理终端一般没有采取措施对移动移动U盘和光盘使用进行有效的管理,导致移动盘和光盘使用进行有效的管理,导致移动介质的滥用而引发的安全事件时有发生介质的滥用而引发的安全事件时有发生 在工业控制系统维护时,通常需要接入笔记本电在工业控制系统维护时,通常需要接入笔记本电脑。由于对接入的笔记本电脑缺乏有效的安全监脑。由于对接入的笔记本电脑缺乏有效的安全监管,给工业控制系统带来很大的安全风险管
13、,给工业控制系统带来很大的安全风险 由于对工业控制系统的操作行为缺乏有效的安全由于对工业控制系统的操作行为缺乏有效的安全监管和审计,异常操作行为会给工业控制系统带监管和审计,异常操作行为会给工业控制系统带来很大的安全风险来很大的安全风险 安全风险分析安全风险分析2. “两化融合两化融合”给工业控制系统带来的风险给工业控制系统带来的风险最初的工业控制网络与企业管理信息网络是物理最初的工业控制网络与企业管理信息网络是物理隔离的。随着工业化和信息化深度融合,越来越隔离的。随着工业化和信息化深度融合,越来越多的工业控制网络通过逻辑隔离方式,实现与企多的工业控制网络通过逻辑隔离方式,实现与企业管理信息网
14、络的互联互通业管理信息网络的互联互通企业为了实现管理与控制的一体化,提高企业信企业为了实现管理与控制的一体化,提高企业信息化和综合自动化水平,引入了制造执行系统息化和综合自动化水平,引入了制造执行系统(MES),实现两个网络之间的数据交换,实现两个网络之间的数据交换导致来自互联网的外部攻击可能通过企业管理网导致来自互联网的外部攻击可能通过企业管理网络渗透到工业控制网络,形成很大的安全威胁络渗透到工业控制网络,形成很大的安全威胁安全风险分析安全风险分析3. 工控系统采用通用软硬件带来的风险工控系统采用通用软硬件带来的风险工业控制系统越来越多地采用开放的工业标准来工业控制系统越来越多地采用开放的工
15、业标准来实现工业控制系统的集成,包括工业以太网、基实现工业控制系统的集成,包括工业以太网、基于于TCP/IP协议的协议的OPC (Object Linking and Embedding for Process Control) 技术等技术等在系统中大量使用了通用的在系统中大量使用了通用的PC服务器终端产品服务器终端产品以及通用的操作系统、数据库系统等以及通用的操作系统、数据库系统等这种开放性结构很容易遭到来自企业管理信息网这种开放性结构很容易遭到来自企业管理信息网或互联网的病毒、木马、黑客的攻击或互联网的病毒、木马、黑客的攻击安全风险分析安全风险分析工业控制系统三层架构工业控制系统三层架构美
16、国早在美国早在20年前就开始在政策层面上关注工年前就开始在政策层面上关注工业控制系统信息安全问题业控制系统信息安全问题近几年美国政府发布了一系列关于关键基础近几年美国政府发布了一系列关于关键基础设施保护和工业控制系统信息安全方面的国设施保护和工业控制系统信息安全方面的国家法规战略以及国家级专项计划:家法规战略以及国家级专项计划: 2002年美国国家研究理事会将年美国国家研究理事会将“控制系统攻击控制系统攻击”作为需要作为需要“紧急关注紧急关注”的事项的事项 2004年美国政府问责署发布年美国政府问责署发布“防护控制系统的挑防护控制系统的挑战和工作战和工作”报告报告国内外技术现状国内外技术现状2
17、006年发布年发布“能源行业防护控制系统路线图能源行业防护控制系统路线图”2009年发布年发布“国家基础设施保护计划国家基础设施保护计划(NIPP)”2011年发布年发布“实现能源供应系统信息安全路线图实现能源供应系统信息安全路线图”美国能源部发布美国能源部发布“国家国家SCADA测试床计划测试床计划(NSTB)”美 国 国 土 安 全 部 发 布美 国 国 土 安 全 部 发 布 “ 控 制 系 统 安 全 计 划控 制 系 统 安 全 计 划(CSSP)”国内外技术现状国内外技术现状与美国相比,欧洲各国在关键基础设施保护与美国相比,欧洲各国在关键基础设施保护和工业控制系统信息安全工作起步较
18、晚,但和工业控制系统信息安全工作起步较晚,但已开展了一系列的大型专项计划:已开展了一系列的大型专项计划: 2004年至年至2010年欧共体委员会发布一系列关于关年欧共体委员会发布一系列关于关键基础设施保护的报告键基础设施保护的报告2011年年12月欧洲网络和信息安全局发布月欧洲网络和信息安全局发布“保护工保护工业控制系统业控制系统”系列报告,全面总结当前工业控制系列报告,全面总结当前工业控制系统信息安全现状系统信息安全现状 国内外技术现状国内外技术现状美国、英国、法国、德国、荷兰、瑞典等国美国、英国、法国、德国、荷兰、瑞典等国家非常重视工业控制系统信息安全标准化工家非常重视工业控制系统信息安全
19、标准化工作,在标准法规方面已出台了从国家法规标作,在标准法规方面已出台了从国家法规标准到行业规范指南等一系列规范性文件准到行业规范指南等一系列规范性文件国际电工委员会国际电工委员会(IEC)等国际组织也制定了等国际组织也制定了工业控制系统信息安全相关的国际标准工业控制系统信息安全相关的国际标准 石油天然气、电力及核设施等行业的国际行石油天然气、电力及核设施等行业的国际行业协会及组织在工业控制系统信息安全方面业协会及组织在工业控制系统信息安全方面开展了大量的工作开展了大量的工作 国内外技术现状国内外技术现状我国工业控制系统信息安全工作处于起步阶我国工业控制系统信息安全工作处于起步阶段,过去只强调
20、系统可靠性而忽视安全性,段,过去只强调系统可靠性而忽视安全性,震网病毒及危害性引起了国家的高度重视震网病毒及危害性引起了国家的高度重视2011年年9月工信部发布月工信部发布“关于加强工业控制关于加强工业控制系统信息安全管理的通知系统信息安全管理的通知”2012年年6月国务院发布月国务院发布“关于大力推进信息关于大力推进信息化发展和切实保障信息安全的若干意见化发展和切实保障信息安全的若干意见”国内外技术现状国内外技术现状全国工业过程测量和控制标准化技术委员会全国工业过程测量和控制标准化技术委员会联合全国信息安全标准化技术委员会,组织联合全国信息安全标准化技术委员会,组织起草了起草了“工业控制系统
21、信息安全工业控制系统信息安全”系列国家系列国家标准草案,提交标准化技术委员会征求意见标准草案,提交标准化技术委员会征求意见电力行业的工业控制系统信息安全工作起步电力行业的工业控制系统信息安全工作起步较早,较早,在防护方案、行业标准、测评体系以在防护方案、行业标准、测评体系以及管理制度等方面做了大量工作及管理制度等方面做了大量工作石油石化等能源行业开始启动工业控制系统石油石化等能源行业开始启动工业控制系统信息安全工作,而其它行业则未见报道信息安全工作,而其它行业则未见报道国内外技术现状国内外技术现状总体上,我国工业控制系统信息安全工作起总体上,我国工业控制系统信息安全工作起步晚,普遍存在安全意识
22、薄弱、管理制定不步晚,普遍存在安全意识薄弱、管理制定不健全、标准规范不完善、技术储备不足、安健全、标准规范不完善、技术储备不足、安全产品缺乏、防护措施不到位等问题全产品缺乏、防护措施不到位等问题由于工业控制系统的特殊性,现有的信息安由于工业控制系统的特殊性,现有的信息安全技术及产品并不能直接用于工业控制系统全技术及产品并不能直接用于工业控制系统中,必须针对工业控制系统的特点,研制适中,必须针对工业控制系统的特点,研制适用的信息安全技术及产品用的信息安全技术及产品 国内外技术现状国内外技术现状国内外技术现状国内外技术现状目前我国工业控制系统中使用的高端工控产目前我国工业控制系统中使用的高端工控产
23、品品90%以上是国外公司产品,如西门子、施以上是国外公司产品,如西门子、施耐德电气、霍尼韦尔、耐德电气、霍尼韦尔、ABB等公司的产品等公司的产品对于工业控制系统信息安全产品,如果继续对于工业控制系统信息安全产品,如果继续让国外产品垄断,一旦发生不期望事件,其让国外产品垄断,一旦发生不期望事件,其后果是非常严重的后果是非常严重的信息安全产品的国产化是国家长期坚持的信信息安全产品的国产化是国家长期坚持的信息安全政策,在工业控制领域也不例外息安全政策,在工业控制领域也不例外工控信息安全内涵工控信息安全内涵工业控制系统信息安全风险评估工业控制系统信息安全风险评估威胁标识、漏洞管理、影响评估威胁标识、漏
24、洞管理、影响评估 、风险控制、风险控制工业控制系统信息安全保障体系工业控制系统信息安全保障体系安全隔离、边界防护、入侵检测、安全审计安全隔离、边界防护、入侵检测、安全审计工业控制系统信息安全测评方法工业控制系统信息安全测评方法产品认证、产品认证、 系统测评、测评方法、适用标准系统测评、测评方法、适用标准工业控制系统信息安全监管技术工业控制系统信息安全监管技术行为监管、行为监管、 事件监管、资产监管、应急响应事件监管、资产监管、应急响应研究热点问题研究热点问题工业控制系统模拟仿真测试床工业控制系统模拟仿真测试床 工业控制系统是生产运行系统,采用漏洞扫描工业控制系统是生产运行系统,采用漏洞扫描、渗
25、透测试、渗透测试等传统的安全测试方法等传统的安全测试方法会对系统运行会对系统运行产生影响。因此,工业控制系统安全测试必须在产生影响。因此,工业控制系统安全测试必须在复制或备份系统上开展,建复制或备份系统上开展,建设工业控制系统模拟设工业控制系统模拟仿真测试床是必要的,主要测试床方案有:仿真测试床是必要的,主要测试床方案有:基于复制方式的测试床方案:基于复制方式的测试床方案:采用与现实世界完采用与现实世界完全相同的设备来构建大型测试床,投资巨大,是全相同的设备来构建大型测试床,投资巨大,是国家级工业控制系统信息安全综合研究的大型靶国家级工业控制系统信息安全综合研究的大型靶场,如美国能源部的国家场
26、,如美国能源部的国家SCADA测试床计划测试床计划关键技术及难点关键技术及难点基于复制和模拟结合的测试床方案:基于复制和模拟结合的测试床方案:采用真实设采用真实设备构建典型的生产控制环境,使用了实时数字仿备构建典型的生产控制环境,使用了实时数字仿真器模拟生产控制过程,此类测试床综合考虑了真器模拟生产控制过程,此类测试床综合考虑了成本、研究目的和内容之间的均衡,是当前工业成本、研究目的和内容之间的均衡,是当前工业控制系统模拟仿真测试床控制系统模拟仿真测试床以仿真为主的测试床方案:以仿真为主的测试床方案:在信息空间和物理空在信息空间和物理空间均使用仿真技术,包括物理过程仿真器、网络间均使用仿真技术
27、,包括物理过程仿真器、网络仿真器和攻击仿真等,为工业控制系统及攻击测仿真器和攻击仿真等,为工业控制系统及攻击测试建模提供了一种低成本的方法,由于缺乏与实试建模提供了一种低成本的方法,由于缺乏与实际设备交互的真实性,此方法多用于学术研究际设备交互的真实性,此方法多用于学术研究关键技术及难点关键技术及难点工业控制系统信息安全防护和测评体系工业控制系统信息安全防护和测评体系 对信息系统安全实行等级保护是国家信息安全政对信息系统安全实行等级保护是国家信息安全政策,并颁布了系列国家标准,包括定级、设计、策,并颁布了系列国家标准,包括定级、设计、实施、测评等环节的基本要求和指南实施、测评等环节的基本要求和
28、指南工业控制系统信息安全也应实行等级保护政策,工业控制系统信息安全也应实行等级保护政策,基于行业基于行业/系统重要性不同来分级系统重要性不同来分级现行的等级保护标准并不适合,需要制定针对工现行的等级保护标准并不适合,需要制定针对工业控制系统信息安全的等级保护标准业控制系统信息安全的等级保护标准通过实施等级保护政策和标准,建立规范化的工通过实施等级保护政策和标准,建立规范化的工业控制系统信息安全防护和测评体系业控制系统信息安全防护和测评体系关键技术及难点关键技术及难点工业控制系统信息安全防护体系:工业控制系统信息安全防护体系:v物理安全:物理安全:环境安全、设施安全、运行安全环境安全、设施安全、
29、运行安全v网络安全:网络安全:无线链路、低速链路、开放环境无线链路、低速链路、开放环境v主机安全:主机安全:防病毒、打补丁、行为监管、兼容性防病毒、打补丁、行为监管、兼容性v应用安全:应用安全:身份鉴别、访问控制、安全审计身份鉴别、访问控制、安全审计v数据安全:数据安全:可用性、完整性、保密性、数据备份可用性、完整性、保密性、数据备份v运行安全:运行安全:资产管理、运维管理、应急响应资产管理、运维管理、应急响应v管理措施:管理措施:与技术并重;管理机构、人员、制度与技术并重;管理机构、人员、制度v制度保障:制度保障:强制强制/自主;设计、实施、测评、审批自主;设计、实施、测评、审批 技术难点问
30、题技术难点问题2012年,国家发改委发布年,国家发改委发布“信息化领域创新信息化领域创新能力建设专项能力建设专项”,提出建设工业控制系统安,提出建设工业控制系统安全技术国家工程实验室全技术国家工程实验室国家发改委国家发改委2011年和年和2012年发布的信息安全年发布的信息安全专项中,都将工业控制系统信息安全作为重专项中,都将工业控制系统信息安全作为重点支持的项目,包括:点支持的项目,包括:面向工业控制系统的脆弱性分析与风险评估面向工业控制系统的脆弱性分析与风险评估适用于工业控制系统的防火墙适用于工业控制系统的防火墙面向工业控制系统的异常行为审计产品面向工业控制系统的异常行为审计产品工业控制网络安全管控平台工业控制网络安全管控平台国家重点支持领域国家重点支持领域美国美国工业控制系统安全指南工业控制系统安全指南中中提出的工业控制系统纵深防护体系架构提出的工业控制系统纵深防护体系架构演讲完毕,谢谢观看!