工控系统安全培训.ppt

伊朗核电站“震网”病毒事件￿￿￿￿￿￿￿￿发生事件：2010年7月￿￿￿￿攻击目标：伊朗核电站（物理隔离网络）￿￿￿￿入侵方式：￿￿￿￿￿￿收集核电站工作人员和其家庭成员信息￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿针对家用电脑发起攻击，成功控制家用电脑￿￿￿￿￿￿￿￿并感染所有接入的USB移动介质通过U盘将￿￿￿￿￿￿￿￿病毒摆渡核电站内部网络￿￿￿￿￿￿￿￿￿￿￿￿利用西门子的0DAY漏洞，成功控制离心机￿￿￿￿￿￿￿的控制系统，修改了离心机参数，让其生产￿￿￿￿￿￿￿不出制造核武器的物质，但在人工检测显示端正常￿￿￿￿￿￿￿￿￿￿￿￿￿利用漏洞：￿MS10-046、西门子SIMATIC￿WinCC系统0￿Day漏洞￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿渗透手段：￿U盘￿￿￿￿￿￿￿￿￿￿￿￿￿￿损失：美国利用“震网”蠕虫病毒攻击伊朗的轴浓缩设备，造成伊朗核￿￿￿￿￿￿￿￿￿￿￿￿￿￿电站离心机损坏，推迟发电达两年之久￿￿￿￿￿￿￿￿￿￿￿￿￿影响面：感染全球超过45000个网络5乌克兰电网遭受病毒攻击事件22015年的最后一周，乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电12月23日，伊万诺-弗兰科夫斯克地区，有超过一半的家庭（约140万人）遭受了停电的困扰。

扩大影响删除关键系统数据，监控系统无法启动洪范攻击电网的客服，导致技术部分处于瘫痪状态延长供电恢复的时间整个停电事件持续了数小时之久病毒关闭生产控制大区的控制服务器，使得二次信息系统丧失对物理设备的感知和控制力，导致部分设备运行中断而大面积停电钓鱼邮件钓鱼邮件潜伏到特潜伏到特地时间地时间查找查找HIM设备，渗设备，渗透扩散到透扩散到生产网生产网点击点击office邮邮件感染办公感染办公电脑电脑执行关机执行关机智能制造智能制造数控机床数控机床关键关键数据被窃，损数据被窃，损失难以估量失难以估量工控网络安全危及国家安全高新技术高新技术黑客远程入侵智黑客远程入侵智能汽车，能汽车，汽车汽车也也可能随时遭遇恐可能随时遭遇恐怖袭击怖袭击工控系统安全电力电力电厂电厂遭遭USB病病毒攻击，大量毒攻击，大量机密数据泄露机密数据泄露水处理水处理污水污水处理厂遭非处理厂遭非法入侵，污水直法入侵，污水直接排入自然水系接排入自然水系军事军事代码及武器，代码及武器，美美国国直接控制漏洞直接控制漏洞市场市场制药制药黑客入侵黑客入侵药泵药泵，，输入致命剂量，输入致命剂量，危害人身安全危害人身安全冶金冶金德国钢厂熔炉德国钢厂熔炉控控制系统制系统受攻击，受攻击，导致熔炉无法正导致熔炉无法正常关闭常关闭工业控制系统网络威胁来源4工控设备高危漏洞工业网络病毒高级持续性威胁国外设备预留后门无线技术应用风险现有防护手段已经无法防御不断升级的网络攻击5IT防火墙病毒查杀单向安全隔离“物理隔离“网关网闸工业防火墙边界防火墙工控网络APT2.0时代攻击手段基于信息网络安全的防护手段以及现有的工控网络防护手段在基于信息网络安全的防护手段以及现有的工控网络防护手段在APT2.0时代的攻击前面已经时代的攻击前面已经成为成为“皇帝的新衣皇帝的新衣”工业控制网络工业控制网络国内工控系统面临高危风险6暴露在互联网上的西门子暴露在互联网上的西门子PLC设备分布设备分布中高危数据漏洞居高不下中高危数据漏洞居高不下暴露在互联网上的暴露在互联网上的VxWorks系统主机有系统主机有16202个个漏洞补丁不及时漏洞补丁不及时数据来源：CNVD2015年新增工控漏洞数据来源：CNVD2015年新增工控漏洞数据来源：匡恩网络2015年统计数据 其中1130个运行FTP服务，占 总数的70% 其中4291个运行SNMP服务，占总数的26%数据来源：匡恩网络2015年统计数据工程控制系统名词解释￿￿￿￿￿￿￿工业控制系统￿（Industrial￿Control￿Systems简称：ICS）￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿是指由各种自动化控制组件以及对实时数￿￿￿￿￿￿￿据进行采集、监测的过程控制组件，构成的确保工业￿￿￿￿￿￿￿￿￿￿￿基础设施自动化运行、过程控制与监控的业务流程管控系统。

￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿可编程逻辑控制器（Programmable￿Logic￿Controller简称￿:￿PLC）￿￿￿￿￿￿￿是一种可以被编程，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程￿￿￿￿￿￿￿分布式控制系统￿（Distributed￿Control￿System简称：DCS）￿￿￿￿￿￿￿￿￿￿￿在国内自控行业又称之为集散控制系统是相对于集中式控制系统而言的一种新型￿￿￿￿￿￿￿￿￿￿计算机控制系统，它是在集中式控制系统的基础上发展、演变而来的￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿数据采集和监视控制系统（Supervisory￿Control￿And￿Data￿￿￿￿￿￿￿￿￿￿￿Acquisition简称：SCADA）￿￿￿￿￿￿￿SCADA系统是以计算机为基础的DCS与电力自动化监控系统；它应用领域很广，可以￿￿￿￿￿￿￿应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制￿￿￿￿￿￿￿￿￿等诸多领域￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿远程终端单元（Remote￿Terminal￿Unit￿简称RTU）￿￿￿￿￿￿￿负责对现场信号、工业设备的监测和控制。

RTU（RemoteTerminalUnit）是构成企业综合自动化￿￿￿￿￿￿￿￿￿￿系统的核心装置，通常由信号输入/出模块、微处理器、有线/无线通讯设备、电源及外壳等组成，由￿￿￿￿￿￿￿￿￿微处理器控制，并支持网络系统它通过自身的软件（或智能软件）系统，可理想地实现企业中央监￿￿￿￿￿￿￿￿￿￿￿控与调度系统对生产现场一次仪表的遥测、遥控、遥信和遥调等功能1工控系统网络涵盖范围￿￿Level￿4￿￿战略决策层：￿￿商业计划和物流管理/￿￿工程系统￿￿Level￿3￿￿￿￿经营管理层：￿￿￿系统管理/监视控制￿￿Level￿2￿￿￿生产控制层：￿￿监控功能/现场检测￿￿和现场显示￿￿Level￿1￿￿￿现场控制层：￿￿保护和现场控制设备￿￿Level￿0￿￿现场执行层：￿￿传感器和制动器8工控安全对抗形势及发展工控系统防御必须具有全球性视角工控系统防御必须具有全球性视角1 、各国网军不断扩大，对抗升级2、明间黑客组织水平的不断提升3、背后巨大的商业利益驱动4、针对工业控制网络的恐怖袭击￿国内外工控网络安全防护理念的演变历程强调强调隔离强调隔离物理隔离的变种，网关、网闸、单向隔离，隔离背后是脆弱的，现代高端持续性攻击都是针对隔离系统的纵深防御体系纵深防御体系由传统信息安全厂商提出的，大多数项目演变为信息安全产品的简单堆砌，不能完全适应工业网络安全的特点由工业控制系由工业控制系统内部生长的统内部生长的持续性防御体持续性防御体系系适应工业控制网络的特点，通过基础硬件创新来实现，低延时，高可靠，可定制化，持续更新，简单化的实施和操作等以功为守的国以功为守的国家战略家战略以美国、以色列为代表，在国家层面注重攻击技术的研究、实验、突破和攻防演示实验的建设，以攻击技术的提高，带动防御技术的提高，以攻击威慑力换取安全性网络安全立法顶层设计n在《反恐怖主义法》和《刑法》修正案九的制修订工作中纳入网络安全监管有关规定，大力推进依法治网。

n2014年全国人大法工委组织国信办、工信部、公安部等有关部门大力加强我国网络安全立法顶层设计，开展《网络安全法》制定n《网络安全法》立法纳入全国人大2015年立法年度工作计划，7月6日，十二届全国人大常委会第十五次会议对网络安全法草案进行了分组审议，现面向社会公开征集意见，有望年底正式通过网络安全立法顶层设计《《网络安全法网络安全法》》（草案）重要规定：（草案）重要规定：十七条十七条国家实行网络国家实行网络安全等级保护安全等级保护制度网络运网络运营者应当按照营者应当按照网络安全的等网络安全的等级保护制度的级保护制度的要求，履行下要求，履行下列安全保护义列安全保护义务二十六条二十六条国务院通信、国务院通信、广播电视、能广播电视、能源、交通、水源、交通、水利、金融等行利、金融等行业的主管部门业的主管部门和国务院其他和国务院其他有关部门有关部门(以下以下称负责关键信称负责关键信息基础设施安息基础设施安全保护工作的全保护工作的部门部门)按照国务按照国务院规定的职责，院规定的职责，分别负责指导分别负责指导和监督关键信和监督关键信息基础设施运息基础设施运行安全保护工行安全保护工作三十二条三十二条关键信息基础关键信息基础设施的运营者设施的运营者应当自行或者应当自行或者委托专业机构委托专业机构对其网络安全对其网络安全性和可能存在性和可能存在的风险的风险每年至每年至少进行一次检少进行一次检测评估测评估，，并对并对检测评估情况检测评估情况及采取的改进及采取的改进措施提出网络措施提出网络安全报告，报安全报告，报送相关负责关送相关负责关键信息基础设键信息基础设施安全保护工施安全保护工作的部门。

作的部门二十七条二十七条建设关键信息建设关键信息基础设施应当基础设施应当确保其具有支确保其具有支持业务稳定，持业务稳定，持续运行的性持续运行的性能，并保证安能，并保证安全技术措施全技术措施同同步规划、同步步规划、同步建设、同步使建设、同步使用四十九条四十九条因网络安全因网络安全事件，发生事件，发生突发事件或突发事件或者安全生产者安全生产事故的事故的，应，应当依照当依照《《中中华人民共和华人民共和国突发事件国突发事件应对法应对法》》，，《《中华人民中华人民共和国安全共和国安全生产法生产法》》等等有关法律的有关法律的规定处理规定处理五十一条五十一条关键信息基础关键信息基础设施的运营者设施的运营者不履行本法不履行本法第第二十七条至第二十七条至第三十二条规定三十二条规定的网络安全保的网络安全保护义务的，由护义务的，由有关主管部门有关主管部门责令改正，给责令改正，给予警告；拒不予警告；拒不改正或导致危改正或导致危害网络安全等害网络安全等后果的，处十后果的，处十万元以上一百万元以上一百万元以下罚款万元以下罚款对直接负责的对直接负责的主管人员主管人员处一处一万元以上十万万元以上十万元以下罚款元以下罚款。

部署方式管理口工程师站操作员站应用站检查工具检查客户端业务口业务口PLC重点行业、企业电力：电厂、电网冶金：钢铁、铝业石化：石化、化工、化肥农药、橡胶、油漆石油：采油、输油交通：物流、港口、轨道交通、公交市政：污水、供热、燃气自来水烟草：烟厂烟商重点行业、企业制造：酿酒、饮料、食品家电、汽车、造船铁路：火车、高铁矿山：煤矿、开采通信：电信、邮政航空：机场、航空港航空航天医疗：医院、制药、研究所水利：航运发电“两化”深度融合的趋势￿￿￿￿￿￿￿￿￿￿￿￿￿决策管理层￿￿￿￿￿￿￿利用数据仓库技术整合公司全产业链的关键数据￿￿￿￿￿￿￿￿￿和生产经营信息，实现数据挖掘、监控分析、统计￿￿￿￿￿￿￿￿￿查询和可视化展示，辅助高层科学决策和战略管理￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿经营管理层￿￿￿￿￿￿￿￿以ERP系统为核心整合各专业应用系统和综合管理￿￿￿￿￿￿￿￿系统关键信息，形成公司级的经营管理信息平台￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿生产运行层￿￿￿￿￿￿￿￿以供应链管理为核心，建立一体化完整的生产运行￿￿￿￿￿￿￿￿管理平台￿￿￿￿￿￿￿￿￿操作执行层￿￿￿￿￿￿￿￿以生产物联网系统为基础，实现数据采集、传输、￿￿￿￿￿￿￿￿处理一体化，现场数据自动采集率大幅度提高。

3ERP(Enterprise Resource Planning)MES(Manufacturing Execution System)PCS(Process Control System)工控网络与互联网和办公网有本质的区别￿￿￿￿￿￿￿￿￿工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段￿￿￿￿￿￿￿（如防火墙、病毒查杀等）无法有效地保护工控网络的安全￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿网络通讯协议不同￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿对系统稳定性要求高￿￿￿￿￿￿￿￿￿￿￿￿系统运行环境不同￿大量的工控系统采用私有协议￿￿￿￿￿网络安全造成误报等同于攻击￿￿￿￿工控系统运行环境相对落后￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿更新代价高￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿网络结构和行为稳定性高￿￿￿￿￿￿无法像办公网络或互联网那样￿￿￿￿￿￿￿￿￿￿￿不同于互联网和办公网络的频繁变动￿￿￿￿￿￿通过补丁来解决安全问题￿￿￿￿￿￿￿￿￿4工业控制网络工程网络安全体系18工程安全的多面性；动静合一，内外兼修动动静静外外内内基因性行为性结构性本体性持续性基因安全可信可信硬件操作系统协议免疫免疫排除恶意代码执行，植入完整性检测恢复完整性检测恢复程序参数基因安全植根于工控系统的生命周期解决方案持续安全持续安全防护原则防护原则防护原则防护原则管理持续化管理持续化防护手段防护手段防护手段防护手段安全管理安全管理安全运营安全运营 本体安全本体安全本体安全本体安全防护原则防护原则防护原则防护原则防护手段防护手段防护手段防护手段设备加固设备加固设备加固设备加固 基因基因基因基因全全全全安安安安 行为安全行为安全行为安全行为安全设备加固设备加固设备加固设备加固白名单白名单白名单白名单设备安全设备安全设备安全设备安全介质安全介质安全介质安全介质安全漏挖漏归漏挖漏归漏挖漏归漏挖漏归防护原则防护原则防护原则防护原则防护手段防护手段防护手段防护手段防护手段防护手段防护手段防护手段防护原则防护原则防护原则防护原则安全可控安全可控安全可控安全可控白名单白名单白名单白名单自主可控自主可控自主可控自主可控可信计算可信计算可信计算可信计算免疫免疫免疫免疫完整性完整性完整性完整性监测审计监测审计监测审计监测审计威胁评估威胁评估威胁评估威胁评估 结结结结安安安安构全构全构全构全防护原则防护原则防护原则防护原则防护手段防护手段防护手段防护手段设备加固设备加固设备加固设备加固区域划分区域划分区域划分区域划分边界防护边界防护边界防护边界防护工业控制系统工业控制系统全生命周期安全防护能力全生命周期安全防护能力设备加固设备加固设备加固设备加固设备加固设备加固设备加固设备加固采取适合的评估手段资产分析流量分析威胁分析在设备接入的过程中需要向工控系统责任单位确认如下条件在设备接入的过程中需要向工控系统责任单位确认如下条件在检查前，要求工控系统责任单位阅读《现场接入工控系统安全检查工具须知》并在《工控系统安全检查入场确认表》签字。

设备的流量分析接入点一般选择在工控系统信息系统边界区域的交换机，请确认该接入交换机具备镜像端口功能并要求工控系统责任单位配置完成设备的资产识别接入点原则上接入工控系统网络，要求工控系统责任单位提供该工程控制网络的网段地址和IP地址数量，并提供该网段的一个空闲IP地址在设备接入前请确认被接的交换机负荷小于10%对于现场设备存在严重老化（大于15年）和超期服役的情况，原则上不建议接入设备在设备的接入过程中必须由工控系统责任单位相关的技术人员全程陪同明确工控系统责任单位应急响应联系人在检查结束，要求工控系统责任单位在《工控系统安全检查完成确认表》上签字必须充分考虑工控系统责任单位网络架构及要求必须充分考虑工控系统责任单位网络架构及要求结构安全22Level 4： 战略决策层商业计划和物流管理 /工程系统Level 3： 经营管理层系统管理和/监控控制Level 2： 生产控制层监控功能/现场检测和现场检测Level 1： 现场控制层保护盒现场控制设备Level 0： 现场执行层传感器和制动器。