工业控制系统安全

SIEMENSCorporate Technology工业基础设施信息安全西门子中国研究院信息安全部Prof. Dr.唐文Copyright Siemens Ltd. China, Cooperate Technology 2011. All rights reserved.SIEMENSPage 3Dr. Wen TangIT-Security, CT ChinaSIEMENS内容信息安全的新战场-工业基础设施工业基础设施安全分析Siemens Answers四 总结Page 4Dr. Wen TangIT-Security, CT ChinaSIEMENS工业自动化技术工业自动化系统构成了工业基础设施的核心工业自动化是在产品制造与服务提供中 采用控制系统与信息技术。目前，工业 自动化在世界经济与日常生活中起到了 越来越重要的作用。目前，工业自动化控制系统的作用已经 远远超出了传统的制造领域，例如曾非常普遍的接线员被电话交换机所 替代现在，借助于自动化系统能够更快速、 更精准地执行筛选试验与实验分析等 操作自动应答系统大大减少了客户亲自到 银行取款与办理业务的需要信息安全的新战场-工业基础设施工业基础设施构成了我国国民经济、现代 社会以及国家安全的重要基础与传统的IT信息安全不同，工业基础设施中 关键ICS系统的安全事件会导致：系统性能下降，影响系统可用性关键控制数据被篡改或丧失失去控制环境灾难人员伤亡公司声誉受损危及公众生活及国家安全破坏基础设施严重的经济损失等Page 8Dr. Wen TangIT-Security, CT ChinaSIEMENS工业基础设施面临安全威胁工业信息安全就是要为制造工厂与 自动化系统提供安全防护目前，工业基础设施面临的安全威胁 包括：窃取数据、配方等破坏制造工厂由于病毒、恶意软件等导致的工厂停产操纵数据或应用软件对系统功能的未经授权的访问近年来，各种安全事件已经充分说明 当前工业自动化控制系统存在着安全 脆弱性工业信息安全事件(1)-能源 1994年,美国亚利桑那州Salt River Project (SRP)被黑客 入侵 2000年，俄罗斯政府声称黑客成功控制了世界上最大的天 然气输送管道网络(属于GAzprom公司) 2001年，黑客侵入了监管加州多数电力传输系统的独立运 营商 2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的 一台计算机被微软的SQL Server蠕虫所感染，导致其安全 监控系统停机将近5小时 2003年，龙泉、政平、鹅城换流站控制系统发现病毒，外 国工程师在系统调试中用笔记本电脑上网所致。 2008年，黑客劫持了南美洲某国的电网控制系统，敲诈该 国政府，在遭到拒绝后，攻击并导致电力中断几分钟 2008年，在美国国土安全局的一次针对电力系统的渗透测 试中，一台发电机在其控制系统收到攻击后菠物理损坏(video )工业信息安全事件（2） 水利与水处理 2000年，一个工程师在应聘澳大利亚的一家污水处理厂被 多次拒绝后，远程侵入该厂的污水处理控制系统，恶意造 成污水处理泵站的故障，导致超过1000立方米的污水被直 接排入河流，导致严重的环境灾难 2006年，黑客从Internet攻破了美国哈里斯堡的一家污水处 理厂的采全措施，在其系统内植入了能够影响污水操作的 恶意程序。 2007年，攻击者侵入加拿大的一个水利SCADA控制系统， 通过安装恶意软件破坏了用于控制从Sacrmento河调水的 控制计算机。工业信息安全事件（3） 交通-1997年，一个十几岁的少年侵入（纽约）NYNES系统， 干扰了航空与地面通信，导致马萨诸塞州的Worcester机场 关闭6个小时 2003年，CSX运输公司的计算机系统被病毒感染，导致华 盛顿特区的客货运输中断 2003年，19岁的Aaron Caffrey侵入Houston渡口的计算机 系统，导致该系统停机2008年，一少年攻击了波兰Lodz的城铁系统，用一个电 视遥控器改变轨道扳道器，导致4节车厢出轨Page 13Dr. Wen TangIT-Security, CT ChinaSIEMENS工业信息安全事件（4 ） 制造行业-1992年，一前雇员关闭了雪佛龙位于22个州的应急警报系 统，直到一次紧急事件发生之后才被发现 2005年，在Zotob蠕虫安全事件中，尽管在Internet与企业网.控制网之间部署了防火墙，还是有13个美国汽车厂 由于被蠕虫感染而被迫关闭，50,000生产线工人被迫停止 工作，预计经济损失超过1,400,000美元在2005年的InfraGard大会上，BCIT科学家Eric Byres声称 在用普通的扫描器扫描某著名品牌PLC时导致其崩溃Page 14Dr. Wen TangIT-Security, CT ChinaSIEMENSCase Study: Stuxnet “震网，1分析过程客户信息收集与解决措施发布Q07.15.西门子收到首个Stuxnet扌艮告，并立即启动 Industry TaskForce10000被感染的安装SIMATIC的PC数24形响的西门子合法渠道客户数0SIEMENSSIEMENSStuxnet攻击目标: WinCC服务器Page 11Source: SCiddeutsche Zeitung Online, 22.9.2010Cyberkrieg: Sabotageziel IranEin hochkomplexes Schadprogramm infiziert Computer in Industrianlagen weltweit Nun iiuBem Experten oinen brisanten Verdacht; Solltn Irans Atomanlagen sabotiert werden?IT-Security, CT China*) BSI: Bundesamt furSicherheit in der Informationstechnik Dr. Wen TangSIEMENSDr. Wen TangIT-Security, CT ChinaSIEMENSStuxnet 概述Stuxnet编译模块传播病毒载体传播目标选择感染基于手工.人工可移动USB设备U盘被感染的SIMAIC Step7项目文件负载：木马试图下载PLC代 码模块Windows PC支撑功能驻留伪装隐藏与C&C服务器通讯基于局域网的匿名网络Windows共享功能P2P协议WinCC SQL数据库S7-DOS（通讯层）病毒负载由木马打包貝篡改PLC 417 3152的代码下就代码模块PLC代码模块Source: CERT. Dr. Heiko PatzlaffPage 12Dr. Wen TangIT-Security, CT ChinaSIEMENS示例：具备安全防范机制的工业控制网络布局Stuxnet 9 标： WinCC服务器Stuxnet:成功篡改PLC代码的条件10.01.2011 /12:00 progress of analysisActive MC7 Code100%Payload-DLL100%Page 22Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENSCPU 315成功篡改的必要条件40%ofMC7 CodeCPU 417纽态CPU （ SDBO, SDB4, SDB7存在于加载内存中）60% of MC7 Code inactivePage #Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENSs7blk_write hook（）（下载程序块） SZL 0x111 包含“6ES7 417字符串 无法从CPU读取SDB7无法从CPU读取SDB00B1存在且可以从CPU读取0B1尚未被感染无法从CPU读取（第二次尝试）1. DB8061 is In2. successful u| change, dow activation ofSDB7 Is unchai DB8061 is chaTyp OB, DB, FC Oder FBi udi is avaJiaDie in ur2. OB1 not manipulated3. Upload of SDB7 suca4. Exception In DLL: manipulation Is canc without conditionsISDBO1. Upload of SDBO successful2. Manipulation-Check of SDBO (pwfield)3. Abort, because CPU is not manipulated up to nowSDB7无条件的取消篡改流1不能篡改CPU 417的用户代码1.SZL0X111 包含 “6ES7 315-2” 字符串2. CCRtsLoader.exe处于运彳亍状态 （说明WinCC已启动） 3计时19分钟后，触发篡改操作4. CPU中存在OB1程序模块5. 最少有一台CP342-5被组态为Central Rack6. 我少有一台CP卡的工作模式为DP-Slave,其余CP卡的 工作模式为DP-Master7. 扫描所有类型为2000的SDB模块，查找slave ident lumbers 为 0x7050或0x9500 的 模块B.最少找到33个满足要求的模块（也就是我少需要有34个DP-Slaves）9. CPU中存在名字为“DP RECV“的FC2程序決10.检查CPU中MC7-blocks木马的数字完全不受约束篡改CPU 315-2的用户代码|调用s7blk_write_hook（）（下载程序块）|321_型1亍包昏盼17”字符串Page 23Dr. Wen TangIT-Security, CT ChinaSIEMENSStuxnet分析-加载动态链接库Page 24Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENS16个回调函数：(s7db_open, s7blk_read,.)被动侦察Passive reconnaissance隐藏恶意代码块隐藏篡改过程|40% Code 丽勿时长为5秒的线程：实现状态机协调运行在PLC上的恶意代码状态机不活跃S7-315-2S7-417Page 25Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 26Dr. Wen TangIT-Security, CT ChinaSIEMENSStuxnet分析-破坏操作感染线程运行在Step7 DLL 中，并上传MC7恶意代码到 其他相邻PLC上IWinCC服务器5MC7状态机篡改控制 频率转换器的代码Q|DB890PLC中的状态机通过DB890数据模块与Step7 DLL通讯315-2 PLC运行在315PLC上的MC7恶意代码实现状态 机WinCC 客户端WinCC客户端控制线程里的状态机通过恢 复预先记录的频率值来隐藏 自己的篡改操作在一个时长为5秒的控制线程里 状态机负责同步相邻PLC的操作3DB890315-2 PLCPage 27Dr. Wen TangIT-Security, CT ChinaSIEMENS注：1. Page 28Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 29Dr. Wen TangIT-Security, CT ChinaSIEMENS内容信息安全的新战场-工业基础设施工业基础设施安全分析Siemens Answers总结Page 30Dr. Wen TangIT-Security, CT ChinaSIEMENS从而，越来越多的工业控制网络正由封闭、私 有转向开放、互联工业基础设施领域面临全新的安全挑战新技术越来越多的基础设施工业领域开始采用最 新的IT技术将TCP/IP作为网络基础设施，将工业控制协 议迁移到应用层提供各种无线网络广泛采用标准的商用操作系统、设备、中间 件与各种应用新安全挑战在享受IT技术带来的益处的同时，针对工业控 制网络的安全威胁也在与日俱增设备/软件/应用的互联使得攻击能够很容易地 借助于TCP/IP网扩展到其他系统应用层安全成为了 ICS系统的关键传统的IT安全解决方案不足以应对工业基础 设施领域的全新安全需求Page 32Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 33Dr. Wen TangIT-Security, CT ChinaSIEMENS工业控制系统(Industrial Control System)Industrial Control SystemSCADADCS应用删删ICS的特点特定的控制应用：集散 控制、过程控制、监控 与采集等通信Modbus特有的控制协议：OPC, Modbus,Prof i Net/ ProfiBus, MMS, DNP3,等等设备特有的现场设备：PLC,RTU, IED,等等Page 34Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 35Dr. Wen TangIT-Security, CT ChinaSIEMENS安全解决方案应当充分考虑工业应 用场景的特点工业安全vs. IT安全必须优先保障24/7/365的可用性 不间断的可操作性，并确保系统可 访问系统性能防止误操作与蓄意破坏保护专有技术系统与数据的完整性数据的实时传输对工厂全生命周期的支持安全日志与变更管理ICS的安全脆弱性：策略与流程缺乏ICS的安全策略缺乏ICS的安全培训与意识培养缺乏安全架构与设计缺乏根据安全策略制定的，正规、可备 案的安全流程缺乏ICS设备安全部署的实施指南缺乏ICS的安全审计缺乏针对ICS的业务连续性与灾难恢复计 划缺乏针对ICS配置变更管理工业信息安全是一个复杂的系统工程，不仅涉及到技术、产品、系统，更 取决于企业的安全管理的水平Case Study: USB and SurfingDHCP Remote OPCWEB Video OfficeDNS Maintain Client Client Client PCData Maintain Engineer WinCC Historian StationStationStationSupervisoryStationsInternetRedundant SIEM Control ServerU 亠Mobile Eng.PrimaryStation Control ServerS7-400缺乏根据安全策略制定的，正规、可备案的 安全流程移动存储设备安全使用流程与规章制度互联网安全访问流程与规章制度缺乏人事安全策略与流程人事（招聘、离职）安全流程与规章制度ICS的安全脆弱性：平台（1 ）ics平台的脆弱性平台配置的脆弱性-对已知的OS、软件漏洞未提供相应补丁-OS与应用补丁缺乏维护 OS与应用补丁未经过彻底的测试-采用了默认配置-关键配置未备份数据未受保护地存储在移动设备中缺乏充分的口令策略，没有采用口令， 口令泄露，或者口令易猜测-采用不充分的访问控制平台硬件的脆弱性安全变更的测试不充分口关键系统缺乏物理防护-未授权的人员能够物理访问设备-对ICS组建的不安全的远程访问采用双网络接口卡连接多个网络-未备案的资产-无线与电磁干扰缺乏备份电源缺乏环境控制口关键组建缺乏备份长期以来，信息安全不是工业控制系统的主要设计目标ICS的安全脆弱性：平台（2）ics平台的脆弱性平台软件的脆弱性缓冲区溢出-已安装的安全功能未被默认启用-拒绝服务攻击（DoS ）-对未定义/定义不清/非法的输入处理不当-OPC依赖于RPC与DCOM-采用不安全的ICS协议-采用明文-启用不需要的服务采用其资料能够公开获得的私有软件针对配置与编程软件缺乏有效的认证与 访问控制未安装入侵检测与防护软件未维护安全日志未检测到安全事件恶意软件的脆弱性-未安装恶意软件防护程序恶意软件防护软件及其病毒库未更新恶意软件防护系统未充分测试长期以来，信息安全不是工业控制系统的主要设计目标Case Study: Virus/Mal-ware, Patch ManagementPrinter0ASAPiDHCP Remote OPC WEB Video Office DNS Maintain Client Client Client PCData Maintain Engineer Historian Station StationWinCC StationSupervisory OPC Stations ServerWEB AppInternetRedundant SIEM Control ServerMobile Eng.PrimaryStation Control Server缺乏病毒及恶意代码的防护机制未安装病毒防护软件及恶意代码防护程序没有及时更祈病毒库以及恶意代码库病毒及恶意代码防护系统未得到充分测试缺乏操作系统等软件补丁的管理机制没有获得针对已知的操作系统或软件漏洞的 补丁或者更新缺乏对系统补丁或者软件更新的有效管理系统补丁或者软件更新未得到彻底测试S7-400ICS的安全脆弱性：网络（1）ICS网络的脆弱性网络配置的脆弱性有缺陷的网络安全架构未部署数据流控制-安全设备配置不当网络设备的配置未存储或备份口令在传输过程中未加密-网络设备采用永久性的口令-采用的访问控制不充分网络硬件的脆弱性网络设备的物理防护不充分未保护的物理端口-丧失环境控制-非关键人员能够访问设备或网络连接-关键网络缺乏冗余备份网络边界的脆弱性未定义安全边界-未部署防火墙或配置不当H用控制网络传输非控制流量控制相关的服务未部署在控制网络内工业控制网络越来越多得采用开放、互联技术，使得安全攻击成为可能ICS的安全脆弱性：网络（2）ICS网络的脆弱性网络监控与日志的脆弱性防火墙、路由器日志记录不充分 ics网络缺乏安全监控无线连接的脆弱性-客户端与AP之间的认证不充分-客户端与AP之间的网络通信的脆弱性未标识出关键的监控与控制路径以明文方式采用标准的或文档公开的通 信协议-用户、数据与设备的认证是非标准的， 或不存在通信缺乏完整性检查工业控制网络越来越多得采用开放、互联技术，使得安全攻击成为可能Page 47Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 48Dr. Wen TangIT-Security, CT ChinaSIEMENSCase Study: Wireless AccessInternetPrinter SAPDHCP Remote OPCWEB Video OfficeDNS Maintain Client Client Client PCData MaintainEngineerWinCCSupervisoryOPCWEBHistorian StationStationStation StationsServerServerServer早皐皐沁mi. 多RedundantSIEMControl Server1/麵盘S7-400ET200-N O1 Mobile Eng.PrimaryStation Control ServerscalanceGi rW780 s7-3oii-| S7-300 Motion Control 側1 |1|U1|LANCE proFINET 1000M Industrial Ethernet SCALA)客户端与AP之间的认证不充分无任何认证机制使用脆弱的认证机制，如WEP,容易被黑 客破解而入侵网络客户端与AP之间的数据缺乏保护无任何数据加密机制使用脆弱的数据加密机制，如TKIP,容易 被黑客破解而监听、篡改数据Page 49Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 50Dr. Wen TangIT-Security, CT ChinaSIEMENS内容信息安全的新战场-工业基础设施工业基础设施安全分析Siemens Answers总结Page 51Dr. Wen TangIT-Security, CT ChinaSIEMENSPlant securityPlant IT securityAccess protection工业安全：基本的工业安全防护层次工厂安全对未经授权的人员阻止其访问物理上防止对关键部件的访问工厂IT安全采用防火墙等技术对办公网与自动化控 制网络之间的接口进行控制进一步对自动化控制网络进行分区与隔 离部署反病毒措施，并在软件中采用白名 单机制定义维护与更新的流程访问控制对自动化控制设备与网络操作员进行认 证在自动化控制组件中集成访问控制机制工业场景下的安全解决方案必须考虑所有层次的安全防护Page 53Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 54Dr. Wen TangIT-Security, CT ChinaSIEMENS工业信息安全关键需求开展工业安全风险评估，建设全面的信息 安全管理工业信息安全关键需求Plant securityPC的Plant IT securityAccess pTotetticni安全实现ICS信的与关键需求域,工业实现安全域的划分与隔离，网络接口遵从 清晰的安全规范安全 的ICSPage 55Dr. Wen TangIT-Security, CT ChinaSIEMENS防护自动化单元0=自动化单元之间的安全通信工业安全：确保高效生产.满足安全需求对不同的防护层次，才艮据全面的安 全方案，采取系统的安全措施工业安全的重要安全措施是对工业 网络进行隔离，创建安全自动化单 元，并限制单元之间的通信同一安全自动化单元内的组件间的 开放通信是由当前技术现状与标准 所决定的（例如，常见的基于OPC 的生产）Page 58Dr. Wen TangIT-Security, CT ChinaSIEMENSSIEMENS愿景：工业网络纵深防雀卩Office Zone DM NosMonitor S Mg mi ZonePrinter SAPInternetSIEMWinCC Stationledundant Control ServerLANCE PROFINET 1000M Industrial Ethernet SCALAMPrimarilControl ServerMaintainEngineerStationStationSupervisory Mobile Eng StationsStation _23rrDHCP Remote OPC WEB Video OfficeDNS Maintain Client Client Client PC Laptop33Data HistorianOPC ServerOAijzi Hii5:皋阜皐皐星WEB ServerApp ServerI Control CellConiro 一 Zone风险评估与工业自动化控制安全管理咨询第一道防线第三方商用（IT）防火墙； 第二道防线抵御多种威胁的联合安全网关第三道防线工业PC的安全防护，如病毒扫描 、配置安全、RBAC等第四道防线现场设备的近身防护，例如SCALANCE S. CP Advanced第五道防线安全可靠的现场设备简易的配置与无堆透明的部署全面的防护与持续改进的管理安全事故和亭件监测SEMSIEMENSPage 61Dr. Wen TangIT-Security, CT ChinaSIEMENS内容信息安全的新战场-工业基础设施工业基础设施安全分析Siemens Answers总结Page 62Dr. Wen TangIT-Security, CT ChinaSIEMENS工业信息安全随着越来越多的安全事件的发生，我国的工业基础设施面临着 前所未有的安全挑战工业信息安全工业信息安全不是一个单纯的技术问题，而是一个从意识培养 开始，涉及到管理、流程、架构、技术、产品等各方面的系统 工程目前，部署纵深防御是工业领域应对安全挑战的现实方法工业信息安全是一个动态过程，需要在整个工业基础设施生命 周期的各个阶段中持续实施，不断改进 西门子向客户提供全面的工业信息安全支持，包括产品、系统、 解决方案，以及专业的咨询服务工业信息安全在西门子中国研究院Page 65Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENS开始研发工业安全测评系统StyxITS对我国电力、水利、 交通等行业的安全需求、 研究现状、国际标准等 进行了系统的调研Styx被用于改进西门子工 业产品的安全质量ISBC、Janus相继研制 成功Page #Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENS200520062007200820092010Page #Dr. Wen TangIT-Security, CT ChinaSIEMENSPage #Dr. Wen TangIT-Security, CT ChinaSIEMENS西门子中国研究院(CT)开始开展工 业信息安全研究ITS设立工业安全 实验室，制定研究 路线图Styx研制成功，开展工业 西门在开始向全球的工 安全服务与安全解决方案 业行业用户提供安全解 的研究工作 决方案Page 66Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 67Dr. Wen TangIT-Security, CT ChinaSIEMENS工业安全实验室CT China获得安全证书与资质信息安全服务资质恶意软件控制产品销售资质 反网络病毒联盟Industry Security Lab检测安全问题，提高西门子产品安全品质Styx _ Security Testing System for Protocol XExpert KnowledgeTestingToolboxMethodology & Process开展针对中国本地需求的创新研发实验、演示与培训Contwh& 曲,ApplicationsIndustry InfrastructureMiddlewareSQLServerAdmin Utosl4w|IIIHIll如ware Platform NW、勰1Analysis ModulejTraffic CipimEngifw|2 厂 1| HTDW怕护 |阿伽 OlPCDWCPage 68Dr. Wen TangIT-Security, CT ChinaSIEMENSPage 69Dr. Wen TangIT-Security, CT ChinaSIEMENSQ&A谢谢!SIEMENSCorporate Tech no logy IT SecurityPhone:(+86)-10 6476 6526唐文Fax :(+86)-10 6476 4814Mobile:(+86)1391 011 5182E-Mail:wen.ta ngsieme Page 70Dr. Wen TangIT-Security, CT China