功能安全与信息安全-信息安全课件

Ch7 Ch7 工业控制系统功能安全与信息安全工业控制系统功能安全与信息安全信息安全信息安全Ch7 工业控制系统功能安全与信息安全信息安全11、信息安全的概念一、信息一、信息安全安全概述概述所谓网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全，信息安全的根本目的是使一个国家的信息技术体系不受外来的威胁和侵害。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。1、信息安全的概念一、信息安全概述所谓网络信息安全就是指网22、网络信息安全的网络信息安全的特征特征网络安全的目的是保证网络数据的三个特性：可用性、完整性和保密性。具体说网络信息安全的特征可以包括以下几个方面：（1）保密性。保密性是指隐藏信息或资源，不将信息泄露给非授权的用户，只提供给授权用户使用。保密性包括信息内容的加密和隐藏数据的存在性。常用的保密技术有防侦收、防辐射、信息加密、物理保密等。（2）完整性。完整性是指数据和资源未被改变，真实可信。完整性机制分为预防机制和检测机制。常用的保障信息完整性方法有：协议、纠错编码方法、密码校验、数字签名、公证等。2、网络信息安全的特征网络安全的目的是保证网络数据的三个特3（3）可可用用性性。可可用用性性指指网网络络信信息息或或资资源源可可以以被被访访问问和和使使用用的的特特性性。网网络络信信息息系系统统最最基基本本的的功功能能是是向向用用户户提提供供服服务务，用用户户需需要要可可以以存存取取所所需需的的信信息息。可可用用性性是是网网络络安安全全服服务务的的重重要要方面，破坏系统的可用性被称为方面，破坏系统的可用性被称为拒拒绝服服务攻攻击。（4）可控性。可控性指对信息的传播及内容具有控制能力的特性。（3）可用性。可用性指网络信息或资源可以被访问和使用的特性。4（5）不可否认性。不可否认性指在网络信息交互过程中，用户不能否认曾经完成的动作。用户不能否认已经发出的信息，也不能否认曾经接到对方的信息。建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。（6）可保护性。可保护性是指保护网络的软、硬件资源不被非法占有，保护服务、资源和信息的正常传输，保护结点和用户的安全性。（5）不可否认性。不可否认性指在网络信息交互过程中，用户不能51 1）信息）信息安全的威安全的威胁3 3、信息信息安全的威胁及策略安全的威胁及策略（1）病毒。通过网络传播的计算机病毒，破坏性非常高，而且用户很难防范，是计算机系统最直接的威胁。（2）网络犯罪和黑客对网络攻击。利用计算机网络破坏计算机信息系统，传播计算机病毒、黄色淫秽图像，窃取国家秘密或企业商业机密等，其动机有些是政治原因，也有一些仅仅是为了炫耀自己的技术。（3）拒绝服务攻击。攻击服务系统，使得合法用户对信息或其他资源的合法访问被无条件地拒绝。1）信息安全的威胁3、信息安全的威胁及策略（1）病毒。通过网6（4）信息泄漏。指信息被泄漏给非授权的人。（5）非授权访问。未经系统授权的人使用网络或计算机资源。（6）窃取。非法用户通过数据窃听的手段获得敏感信息。（7）截取：非法用户首先获得信息，再将此信息发送给真实接收者。（8）伪造：将伪造的信息发送给接收者。（4）信息泄漏。指信息被泄漏给非授权的人。（5）非授权访问。7（9）篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。（10）假冒。一个实体假装成另外一个不同的实体。（11）行为否认。参与信息交换的一方，事后否认曾经发生的行为。（9）篡改：非法用户对合法用户之间的通讯信息进行修改，再发8信息安全威胁的类型：信息安全威胁的类型：u计算机系统的脆弱性；u操作系统的脆弱性；u协议安全的脆弱性；u数据库管理系统安全的脆弱性；u人为的因素。信息安全威胁的类型：计算机系统的脆弱性；9u现有网络系统和协议还是不健全、不完善、不安全的；u思想麻痹，没有清醒地意识到黑客入侵所会导致的严重后果，舍不得投入必要的人力、财力和物力来加强网络的安全性；u没有采用正确的安全策略和安全机制；u缺乏先进的网络安全技术、工具、手段和产品；u缺乏先进的灾难恢复措施和备份意识。信息信息安全事故安全事故发生的几个原因生的几个原因现有网络系统和协议还是不健全、不完善、不安全的；信息安全事故102）网）网络信息安全策略信息安全策略（1）威严的法律：安全的基石是社会法律、法规和手段，即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。（2）先进的技术：先进的技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类。选择相应的安全机制，然后集成先进的安全技术。（3）严格的管理：各网络使用机构、企业和单位应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。2）网络信息安全策略（1）威严的法律：安全的基石是社会法律、111）物理安全策略物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件设备和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种盗劫、破坏活动的发生。1）物理安全策略 物理安全策略的目的是保护12 2）访问控制策略控制策略 v入网入网访问控制；控制；v网网络的的权限控制；限控制；v目目录级安全控制；安全控制；v属性属性安全控制；安全控制；v网网络服服务器安全控制；器安全控制；v网网络检测和和锁定控制；定控制；v网网络端口和端口和结点的安全控制。点的安全控制。2）访问控制策略 入网访问控制；13 3）防火）防火墙控制控制 它是控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。3）防火墙控制 它是控制进出两个方向通信的门槛。在网络144）信息信息加密策略加密策略 信息信息加密的目的是保加密的目的是保护网内的数据、文件、口令网内的数据、文件、口令和控制信息，保和控制信息，保护网上网上传输的数据。的数据。常用常用的方法有的方法有链路加密、端到端加密和路加密、端到端加密和节点加密点加密三三种：种：u链路加密的目的是保护网络结点之间的链路信息安全；u端到端加密的目的是对源端用户到目的端用户的数据提供保护；u节点加密的目的是对源节点到目的节点之间的传输链路提供保护。4）信息加密策略 信息加密的目的是保护网内的15 5）网网络安全管理策略安全管理策略 在在网网络安全中，除了采用上述措施之外，加安全中，除了采用上述措施之外，加强网网络的安全管理，制定有关的安全管理，制定有关规章制度，章制度，对于确保网于确保网络的的安全、可靠地运行，将起到十分有效的作用。安全、可靠地运行，将起到十分有效的作用。网网络的安全管理策略包括：的安全管理策略包括：u确定安全管理的等级和安全管理的范围；u制定有关网络使用规程和人员出入机房管理制度；u制定网络系统的维护制度和应急措施等。5）网络安全管理策略 在网络安全中，除了16u安全技术u身份认证技术u访问控制技术u加密技术u防火墙技术u安全审计技术u安全管理技术网网络络信息安全的关信息安全的关键键技技术术安全技术网络信息安全的关键技术17二、工控信息安全u2010年9月24日，伊朗布什尔核电站控制系统遭受攻击，导致大量离心机损坏。u2010年出现的毒区（Duqu）和2012年出现的火焰(Flame)病毒都是针对工业控制系统的计算机病毒。信息安全界将此列为2010十大IT事件。u1982年前苏联西伯利亚天然气管道大爆炸，就是美国CIA事先在控制系统设下逻辑炸弹引起的。“从外星可见的最大非核爆炸”重大事件重大事件二、工控信息安全2010年9月24日，伊朗布什尔核电站控制系18工业控制系统信息安全事件统计发生时间发生时间攻击对象攻击对象来源来源攻击方法攻击方法系统类别系统类别1982年年西伯利亚天然气管道西伯利亚天然气管道美国中央情报局美国中央情报局木马木马SCADA系统系统1992年年雪佛龙炼油厂雪佛龙炼油厂前员工前员工病毒病毒DCS系统系统1994年年盐河项目盐河项目外部外部调制解调器调制解调器SCADA系统系统1999年年俄罗斯天然气俄罗斯天然气黑客与其内部成员黑客与其内部成员木马木马SCADA系统系统2000年年2月月马卢奇郡的水控制系统马卢奇郡的水控制系统前员工前员工伪指令伪指令DCS系统系统2000年年10月月四川二滩水力发电厂四川二滩水力发电厂外部外部伪信号伪信号DCS系统系统2001年年3月月加州电力供应系统加州电力供应系统黑客黑客蠕虫蠕虫Cal-ISO2003年年戴维斯贝斯核电站戴维斯贝斯核电站外部外部SQL SlammerDCS系统系统2003年年8月月CSX客货列车客货列车外部外部蠕虫蠕虫IT系统系统2003年年8月月通用电气能源通用电气能源外部外部软件漏洞软件漏洞Unix XA/21能源管理系统能源管理系统2003年年12月月龙泉镇坪鄂城反转变电站龙泉镇坪鄂城反转变电站外部外部蠕虫病毒蠕虫病毒SCADA系统系统2005年年8月月美国国会美国国会外部外部Zotob蠕虫蠕虫Microsoft Windows2007年年9月月交通灯交通灯黑客黑客计算机时钟计算机时钟VHDL2008年年3月月佐治亚州核电厂佐治亚州核电厂外部外部伪数据信号伪数据信号SCADA系统系统2010年年伊朗在纳坦兹核设施伊朗在纳坦兹核设施外部外部Stuxnet蠕虫蠕虫Windows系系统统的的WinCC和和PCS2010年年6月月伊朗高度安全核计划伊朗高度安全核计划外部外部空气气隙蠕虫空气气隙蠕虫串行总线，串行总线，USB设施设施2011年年全球五大能源和石油企业全球五大能源和石油企业外部外部“夜龙夜龙”SCADA系统和系统和DCS系统系统2011年年4月月美国橡树岭国家实验室美国橡树岭国家实验室外部外部可执行文件可执行文件Windows漏洞漏洞工业控制系统信息安全事件统计发生时间攻击对象来源攻击方法系统19 利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它通过移动盘进入到同其他网络物理隔离的计算机上，自动查找特定工业控制系统软件，精确了解被控物理系统参数并使用PLC rootkit修改控制系统参数并隐藏PLC变动，从而对真实物理设备和系统造成物理损害。它是第一个直接破坏现实世界中工业基础设施的恶意代码。它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。利用了微软操作系统中至少4个漏洞，其中有3个全新20Stuxnet病毒特点uStuxnet病毒是世界上首个专门针对工业控制系统（Industrial Control System，ICS）编写的破坏性病毒，又叫超级病毒。病毒有很强的目的性和指向性。特性控制系统、特定型号的变频器。u利用“摆渡”方式进行渗透和传播u利用控制系统的后门漏洞，通过操作站，进一步攻击控制器。震网病毒利用了7个不同层次的系统漏洞，包括操作系统和工控软件的漏洞。u为了抗查杀，震网病毒还利用了安全证书仿冒、Rootkit等技术精心设计了一套自保护机制。u专家认为只有强大的技术和财政支持才能开发出此病毒，被认为是“state behaviour”Stuxnet病毒特点Stuxnet病毒是世界上首个专门针对212、工控信息安全产生原因u控制系统与管理系统的集成度越来越高u控制系统由专用走向开放，大量利用现有的IT软件、硬件和通用技术u工控系统在设计时重视功能安全而忽略信息安全u控制系统存在大量漏洞，客观造成了可乘之机u控制系统的特殊要求导致IT界常用的信息安全技术不能有效用于控制系统。对于在线的控制系统很难进行安全测试和加固。u网络战争的一种形式u控制系统操作和管理不重视信息安全，这方面的经验等缺乏2、工控信息安全产生原因控制系统与管理系统的集成度越来越高223、工控信息安全与IT的比较类别类别IT系统系统ICS系统系统结构安全结构安全焦点焦点l重点是保护重点是保护IT资产、信资产、信息存储和传播息存储和传播l中央服务器需要更多保中央服务器需要更多保护护l首要目标是保护系统边际设备，如过程控首要目标是保护系统边际设备，如过程控制现场设备制现场设备l中央服务器同样需要保护中央服务器同样需要保护非预期后非预期后果果l安全解决方案都是围绕安全解决方案都是围绕典型的典型的IT系统设计的系统设计的l安全工具必须在与现场类似的安全工具必须在与现场类似的ICS系统上系统上进行严格地线下测试，确保其上线后不应进行严格地线下测试，确保其上线后不应影响正常的影响正常的ICS运作运作资源约束资源约束l系统需要有足够的资源系统需要有足够的资源来支持第三方的安全解来支持第三方的安全解决方案应用加入决方案应用加入l系统是以特定工业过程为目标设计的，没系统是以特定工业过程为目标设计的，没有足够的内存及其他计算机资源来支持增有足够的内存及其他计算机资源来支持增加的安全功能加的安全功能时间关键时间关键性作用性作用l应急事件处理不是关键应急事件处理不是关键l按等级划分的严格访问按等级划分的严格访问控制控制l对人和其他应急事件的响应非常关键对人和其他应急事件的响应非常关键lICS的访问需要严格控制，但不应阻碍和的访问需要严格控制，但不应阻碍和干扰人机交互干扰人机交互系统操作系统操作l依托典型的操作系统设依托典型的操作系统设计计l升级可以通过自动进行升级可以通过自动进行l一般使用无内置安全功能的专有操作系统一般使用无内置安全功能的专有操作系统l由于控制算法或添加、移除硬件所做的软由于控制算法或添加、移除硬件所做的软件变更一般有软件供应商进行专门处理件变更一般有软件供应商进行专门处理3、工控信息安全与IT的比较类别IT系统ICS系统结构安全焦23类别类别IT系统系统ICS系统系统通信通信l标准通信协议标准通信协议l主要是包含无线网络接入的主要是包含无线网络接入的有线网络有线网络l典型的典型的IT网络实施方法网络实施方法l很多专有和标准通信协议很多专有和标准通信协议l多种通信媒介，包括专用线和无线多种通信媒介，包括专用线和无线(无线电和无线电和卫星卫星)l网络复杂，需要具有专门知识的控制工程师网络复杂，需要具有专门知识的控制工程师软件软件变更变更管理管理l软件变更在当前完备的安全软件变更在当前完备的安全策略和过程中容易实现，变策略和过程中容易实现，变更过程通常是自动的更过程通常是自动的l需变更的软件需要完整的测试并进行增量部需变更的软件需要完整的测试并进行增量部署，以确保控制系统的完整性署，以确保控制系统的完整性l故障处理必须制定详尽的计划故障处理必须制定详尽的计划lICS可能使用厂商已经不再进行技术支持的可能使用厂商已经不再进行技术支持的操作系统操作系统管理管理支持支持l允许多种支持方式允许多种支持方式l服务支持往往仅通过单一供应商服务支持往往仅通过单一供应商生命生命周期周期l一般为一般为35年年l一般为一般为1520年年组件组件访问访问l组件通常部署在本地并易于组件通常部署在本地并易于接入访问接入访问l组件被隔离部署在远处，需要多方面的物理组件被隔离部署在远处，需要多方面的物理支持才能够访问支持才能够访问类别IT系统ICS系统通信标准通信协议很多专有和标准通信协议24工业控制系统的安全漏洞分为以下几类：u通信协议漏洞u操作系统漏洞u安全策略和管理流程漏洞u杀毒软件漏洞u应用软件漏洞4、工控安全漏洞工业控制系统的安全漏洞分为以下几类：4、工控安全漏洞25软件漏洞分析技术体系软件漏洞分析技术体系软件架构分析原理软件架构分析原理软件漏洞分析技术体系软件架构分析原理26工业控制系统分层参考模型CPS工业控制系统分层参考模型CPS27Corporate InfrastructurePlantActuatorSensorActuatorActuatorSensorSensorRTU/IEDPLCDCS NetworkSCADA MasterSCADA MasterIEC标准现场总线、无线通信基于公共网络的远距离通信专用网络通信工业以太网有线/无线通信协议物理对象/仿真对象/混合Honeywell/Emersson/ABB/Simenes总线仪表与执行器等服务器、商用机、交换机、路由器人机界面、OPC、实时数据库 路由器、防火墙等路由器、防火墙等Corporate InfrastructurePlantA28“纵深防御”策略严格遵循ANSI/ISA-99 标准，是提高工业控制系统信息安全的最佳选择。建立“纵深防御”策略的两个主要目标：（1）即使在某一点发生网络安全事故，也能保证装置或工厂的正常安全稳定运行对于现代计算机网络，病毒的急速扩散会瞬间令整个网络瘫痪，该防护目标使当工业网络的某个局部存在病毒感染或者其它不安全因素时，不会向其它设备或网络扩散，从而保证装置或工厂的安全稳定运行；（2）工厂操作人员能及时准确的确认故障点，并排除问题怎样能够及时发现网络中存在的感染及其他问题，准确找到故障的发生点，是维护控制系统信息安全的前提。5、工业控制系统“纵深防御”策略“纵深防御”策略严格遵循ANSI/ISA-99 标准，是提高29