工业控制系统信息安全防护技术ppt课件

工业控制系统信息安全防护技术 工业控制系统的脆弱性 工业控制系统信息安全需求 工业控制系统安全管控技术 工业控制系统安全产品形式 提纲 沈自所研究基础与开展工作 一 工业控制系统的脆弱性 正向复杂化 IT化和通用化趋势发展基于PC Windows的工业控制网络面临安全挑战 国外 2011年 黑客入侵数据采集与监控系统 使美国伊利诺伊州城市供水系统的供水泵遭到破坏 2011年 微软警告称最新发现的 Duqu 病毒可从工业控制系统制造商收集情报数据 2012年 两座美国电厂遭USB病毒攻击 感染了每个工厂的工控系统 可被窃取数据 2012年 发现攻击多个中东国家的恶意程序Flame火焰病毒 它能收集各行业的敏感信息 国内 我国同样遭受着工业控制系统信息安全漏洞的困扰 比如2010年齐鲁石化 2011年大庆石化炼油厂 某装置控制系统分别感染Conficker病毒 都造成控制系统服务器与控制器通讯不同程度地中断 一 工业控制系统的脆弱性 1 ICS CERT安全报告指出 近三年针对工业控制系统的安全事件呈明显上升趋势 仅2013年度 针对关键基础设施的攻击报告已达到257起 2 主要集中在能源 关键制造业 交通 通信 水利 核能等领域 而能源行业的安全事故则超过了一半 一 工业控制系统的脆弱性 归根结底就是工业控制系统的漏洞问题 截止到2013年12月底 公开的工业控制系统漏洞数总体仍呈增长趋势 一 工业控制系统的脆弱性 2010年6月出现的Stuxnet病毒 是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒 它同时利用7个最新漏洞进行攻击 这7个漏洞中 有5个是针对windows系统 2个是针对西门子SIMATICWinCC系统 一 工业控制系统的脆弱性 工业控制系统的漏洞主要包括 1 通信协议漏洞两化融合和物联网的发展使得TCP IP协议等通用协议越来越广泛的应用在工业控制网络中 随之而来的通信协议漏洞问题也日益突出 2 操作系统漏洞目前大多数工业控制系统的工程师站 操作站 HMI都是Windows平台的 通常现场工程师在系统开启后不会对windows平台安全任何补丁 埋下了安全隐患 3 应用软件漏洞由于应用软件多种多样 很难形成统一的防护规范以应对安全问题 另外当应用软件面向网络应用时 就必须开放其应用端口 是重要的攻击途径 一 工业控制系统的脆弱性 工业控制系统的漏洞主要包括 4 安全策略和管理流程漏洞追求可用性而牺牲安全性 是很多工业控制系统存在的普遍现象 缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁 5 杀毒软件漏洞为了保证工控应用软件的可用性 许多工控系统操作站通常不会安装杀毒软件 即使安装了杀毒软件 病毒库也不会定期的更新 工业控制系统的脆弱性 工业控制系统信息安全需求 工业控制系统安全管控技术 工业控制系统安全产品形式 提纲 沈自所研究基础与开展工作 二 工业控制系统的安全需求 工控系统与传统IT系统的不同 二 工业控制系统的安全需求 工控安全与传统IT安全的差异化 传统网络安全技术不适于应用到工业控制系统传统IT安全 机密性 完整性 可用性工控系统安全 可用性 完整性 机密性 二 工业控制系统的安全需求 美国国土安全部下属的ICS CERT 工业控制系统应急响应小组 及CSSP 控制系统安全项目 通过对工业控制系统软件的缺陷性分析发现 工业控制系统软件的安全脆弱性问题主要涉及错误输入验证 密码管理 越权访问 不适当的认证 系统配置等方面 工业控制系统的特点封闭性 SCADA ICS系统的设计之初安全机制不完善多样性 多种数据接口 如RJ45 RS485 RS232等 协议规约实现多样复杂性 专用的通信协议或规约 如OPC Modbus DNP3 Profibus等 不可改变性 工控系统程序升级困难 传统IT安全防护技术不适合工业控制系统 急需针对工业控制系统的安全防护技术 针对SCADA ICS系统自身脆弱性 漏洞 和通信规约的安全性 研究工业控制系统的安全防护技术 分析工业控制系统中已知的与未知的安全威胁 指导其对安全威胁进行有效的防御 二 工业控制系统的安全需求 工业控制系统的脆弱性 工业控制系统信息安全需求 工业控制系统安全管控技术 工业控制系统安全产品形式 提纲 沈自所研究基础与开展工作 保证工业控制系统安全稳定运行 工业控制系统的安全防护必须达到以下三个目标 工业控制系统防火墙技术 三 工业控制系统的安全管控技术 工业控制系统防火墙技术 防火墙是基于访问控制技术 它可以保障不同安全区域之间进行安全通信 通过设置访问控制规则 管理和控制出入不同安全区域的信息流 保障资源在合法范围内得以有效使用和管理 可以根据 白名单 或者 黑名单 的方式进行规则设置 对于 白名单 可以设置允许规则 也就是说只有符合该规则的数据流才能通过 其他的任何数据流都可以被看做攻击而过滤掉 这样就保障了资源的合法使用 而对于 黑名单 可以设置禁止规则 禁止不合法的客户端对资源的访问 三 工业控制系统的安全管控技术 工业控制系统防火墙技术 区域管控划分控制系统安全区域 对安全区域的隔离保护保护合法用户访问网络资源 控制协议深度解析解析Modbus DNP3等应用层异常数据流量对OPC端口进行动态追踪 对关键寄存器和操作进行保护 三 工业控制系统的安全管控技术 工业控制网络安全管控技术 模块划分 Modbus TCP深度防护模块 Modbus TCP协议威胁分析 开放 通俗易懂 双刃剑 易于厂商开发 也易于黑客发动攻击 任意连接到网络中的计算机都可以改变控制器的IO点数 或者寄存器数值 甚至进行复位 禁止运行 下载恶意控制逻辑操作等 Modbus TCP深度防护模块 主要功能完整性检测 阻挡不符合Modbus标准的通讯 设定允许的Modbus功能码 寄存器 线圈列表 典型应用石油 石化与天然气SCADAPLC的人机界面 编程管理站采用ModbusTCP通讯的安全仪表系统SIS Modbus TCP深度防护模块 RTU PLC1 PLC2 HMI 未获授权客户端禁止访问网络 HMI2试图对PLC2进行访问 HMI需要访问RTU和PLC1 HMI不需要访问PLC2潜在的攻击链路 消除潜藏攻击通道 问题1 HMI可以被信任吗 问题2 HMI如果被病毒渗透了 该怎么保护重要控制器 RTU PLC1 写 操作被 拦截 读 操作被 放行 非必要操作码被 拦截 访问重要寄存器 被拦截 不符合Modbus标准数据包被拦截 沈阳自动化研究所Modbus TCP深层次防护技术优势 深入工业通讯协议内部检查 提供应用层防护 安全级别高于一般防火墙 传输层 网络层 阻止病毒向重要控制器传播及扩散 Modbus TCP深度防护模块 HMI可能成为攻击的 跳板 OPC协议防护模块 OPC技术威胁性分析 OPC基于微软的DCOM技术 天然存在安全隐患 OPC不使用固定的端口 动态端口 常规的IT防火墙无法进行安全防护 OPC访问权限过于宽泛 OPC协议防护模块 OPC防护软件工作原理 只允许OPC标准格式DCE RPC访问请求只允许特定客户端与服务器之间通讯只允许客户端使用指定的端口通讯只允许TCP通讯发生在特定的OPC连接时间内典型应用 数据采集网络中信息层与控制层OPC通讯防护ESD SIS等安全仪表防护APC等先控站防护 OPC协议防护模块 OPCServer OPCClient 非法客户 端口 OPC数据请求 5555 OPC数据 放行 符合OPC标准数据 OPC数据返回 沈阳自动化研究所OPC防护技术优势 采用 动态跟踪TCP端口 连接技术 实时打开OPC所需要端口 最大程度减少攻击面 拦截 非OPC标准格式的DCE RPC的访问请求 工业控制系统的脆弱性 工业控制系统信息安全需求 工业控制系统安全管控技术 工业控制系统安全产品形式 提纲 沈自所研究基础与开展工作 以太网 中央管理控制平台 工业防火墙 OPC深度防护 方式一 平台与ICS防火墙协同防御 产品应用形式 Modbus深度防护 方式二 安全网关单独应用 Modbus深度防护 OPC深度防护 ModbusPLC 数采工作站 OPC服务器 OPC客户端 产品应用形式 工业防火墙 其他通讯协议控制器 数采工作站 产品应用形式 集团网与工隔离厂网络隔离 OPC防护DA HAD A E 先进控制站隔离 Modbus TCP通讯控制器防护 Modbus TCP通讯ESD SIS防护 工程师站隔离 重要控制器 SIS ESD系统 工程师站 OPCserver OPCserver 安全管控平台 先进控制站 双网卡Buffer机 过程控制网 厂级MES网 集团 总部网 办公计算机 厂级数据库 其他子厂接入 工业控制系统的脆弱性 工业控制系统信息安全需求 工业控制系统安全管控技术 工业控制系统安全产品形式 提纲 沈自所研究基础与开展工作 五 沈自所研究基础与开展工作 中国科学院沈阳自动化研究所 始建于1958年 国家机器人学重点实验室 国家机器人技术国家工程中心 中国科学院工业信息技术重点实验室 辽宁省先进制造技术工程中心 辽宁省网络化控制技术工程中心 辽宁省工业物联网重点实验室 完成各类科研项目1000余项 获得国家科技进步奖 中科院科技进步奖省 市地方科技成果奖200余项 主要研究方向有机器人 工业自动化和光电信息处理 在工业自动化领域 工业无线技术和现场总线技术有深厚的积累 获得国家科技进步二等奖1项 国家技术发明二等奖1项 科学院科技进步一等奖1项 五 沈自所研究基础与开展工作 在现场总线方面 沈阳自动化研究所是国内第一个开展FF现场总线技术研究 国际上第三个通过一致性测试的研究机构 制定的工业以太网标准EPA已成为国家和国际标准 五 沈自所研究基础与开展工作 沈阳自动化研究所是中国工业无线联盟的发起单位 工业无线技术国家标准制定的组长单位 十一五 863计划工业无线技术重点项目的牵头单位 在工业无线技术和现场总线技术方面有深厚的积累 发表学术论文近150余篇 出版专著1部 申请国家发明专利40余项 国际专利3项 软件著作权14项 获得国家科技进步二等奖1项 国家技术发明二等奖1项 科学院科技进步一等奖1项 2011年7月 WIA PA标准以中华人民共和国国家标准GB T26790 1 2011发布 并于2011年11月成为IEC正式国际标准 五 沈自所研究基础与开展工作 中国科学院沈阳自动化研究所是国家标准 信息安全技术 工业控制系统安全管理基本要求 标准草案的起草单位之一 面向智能无线网关 无线远程控制器 RTU 等设备 进行了基于可信加密芯片的主动安全防御技术的研究 面向石油 化工 电力 冶金 环保通等行业进行了应用 研发ICS安全管控平台和防火墙产品 防火墙支持ModbusTCP OPC DNP3协议 技术参数接收灵敏度 100dBm发射功率 19dBm机箱尺寸 430 290 158 4mm工作温度 40 85 宽幅工作电压 AC85V 265V防护等级 IP65防爆等级 ExibIICT3无线安全认证 AES128bit 科技创造未来服务体现价值 敬请批评指正 谢谢