工控系統(tǒng)安全培訓(xùn)

伊朗核電站“震網(wǎng)”病毒事件

發(fā)生事件：2010年7月攻擊目標(biāo)：伊朗核電站（物理隔離網(wǎng)絡(luò)）入侵方式：

收集核電站工作人員和其家庭成員信息針對家用電腦發(fā)起攻擊，成功控制家用電腦并感染所有接入的USB移動介質(zhì)通過U盤將病毒擺渡核電站內(nèi)部網(wǎng)絡(luò)

利用西門子的0DAY漏洞，成功控制離心機的控制系統(tǒng)，修改了離心機參數(shù)，讓其生產(chǎn)不出制造核武器的物質(zhì)，但在人工檢測顯示端正常

利用漏洞：

MS10-046、西門子SIMATICWinCC系統(tǒng)0Day漏洞

滲透手段：

U盤

損失：美國利用“震網(wǎng)”蠕蟲病毒攻擊伊朗的軸濃縮設(shè)備，造成伊朗核電站離心機損壞，推遲發(fā)電達(dá)兩年之久。

影響面：感染全球超過45000個網(wǎng)絡(luò)5烏克蘭電網(wǎng)遭受病毒攻擊事件22015年的最后一周，烏克蘭至少有三個區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導(dǎo)致大規(guī)模的停電12月23日，伊萬諾-弗蘭科夫斯克地區(qū)，有超過一半的家庭（約140萬人）遭受了停電的困擾。擴大影響刪除關(guān)鍵系統(tǒng)數(shù)據(jù)，監(jiān)控系統(tǒng)無法啟動洪范攻擊電網(wǎng)的客服電話，導(dǎo)致技術(shù)部分處于癱瘓狀態(tài)。延長供電恢復(fù)的時間整個停電事件持續(xù)了數(shù)小時之久病毒關(guān)閉生產(chǎn)控制大區(qū)的控制服務(wù)器，使得二次信息系統(tǒng)喪失對物理設(shè)備的感知和控制力，導(dǎo)致部分設(shè)備運行中斷而大面積停電。釣魚郵件潛伏到特地時間查找HIM設(shè)備，滲透擴散到生產(chǎn)網(wǎng)點擊office郵件感染辦公電腦執(zhí)行關(guān)機智能制造數(shù)控機床關(guān)鍵數(shù)據(jù)被竊，損失難以估量工控網(wǎng)絡(luò)安全危及國家安全高新技術(shù)黑客遠(yuǎn)程入侵智能汽車，汽車也可能隨時遭遇恐怖襲擊工控系統(tǒng)安全電力電廠遭USB病毒攻擊，大量機密數(shù)據(jù)泄露水處理污水處理廠遭非法入侵，污水直接排入自然水系軍事代碼及武器，美國直接控制漏洞市場制藥黑客入侵藥泵，輸入致命劑量，危害人身安全冶金德國鋼廠熔爐控制系統(tǒng)受攻擊，導(dǎo)致熔爐無法正常關(guān)閉工業(yè)控制系統(tǒng)網(wǎng)絡(luò)威脅來源4工控設(shè)備高危漏洞工業(yè)網(wǎng)絡(luò)病毒高級持續(xù)性威脅國外設(shè)備預(yù)留后門無線技術(shù)應(yīng)用風(fēng)險現(xiàn)有防護手段已經(jīng)無法防御不斷升級的網(wǎng)絡(luò)攻擊5IT防火墻病毒查殺單向安全隔離“物理隔離“網(wǎng)關(guān)網(wǎng)閘工業(yè)防火墻邊界防火墻工控網(wǎng)絡(luò)APT2.0時代攻擊手段基于信息網(wǎng)絡(luò)安全的防護手段以及現(xiàn)有的工控網(wǎng)絡(luò)防護手段在APT2.0時代的攻擊前面已經(jīng)成為“皇帝的新衣”工業(yè)控制網(wǎng)絡(luò)國內(nèi)工控系統(tǒng)面臨高危風(fēng)險6暴露在互聯(lián)網(wǎng)上的西門子PLC設(shè)備分布中高危數(shù)據(jù)漏洞居高不下暴露在互聯(lián)網(wǎng)上的VxWorks系統(tǒng)主機有16202個漏洞補丁不及時數(shù)據(jù)來源：CNVD2015年新增工控漏洞數(shù)據(jù)來源：CNVD2015年新增工控漏洞數(shù)據(jù)來源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計數(shù)據(jù)

其中1130個運行FTP服務(wù)，占總數(shù)的70%

其中4291個運行SNMP服務(wù)，占總數(shù)的26%數(shù)據(jù)來源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計數(shù)據(jù)工程控制系統(tǒng)名詞解釋

工業(yè)控制系統(tǒng)（IndustrialControlSystems簡稱：ICS）

是指由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。

可編程邏輯控制器（ProgrammableLogicController簡稱:PLC）

是一種可以被編程，并通過數(shù)字或模擬式輸入/輸出控制各種類型的機械或生產(chǎn)過程。

分布式控制系統(tǒng)（DistributedControlSystem簡稱：DCS）

在國內(nèi)自控行業(yè)又稱之為集散控制系統(tǒng)。是相對于集中式控制系統(tǒng)而言的一種新型計算機控制系統(tǒng)，它是在集中式控制系統(tǒng)的基礎(chǔ)上發(fā)展、演變而來的。

數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition簡稱：SCADA）

SCADA系統(tǒng)是以計算機為基礎(chǔ)的DCS與電力自動化監(jiān)控系統(tǒng)；它應(yīng)用領(lǐng)域很廣，可以應(yīng)用于電力、冶金、石油、化工、燃?xì)?、鐵路等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制等諸多領(lǐng)域。

遠(yuǎn)程終端單元（RemoteTerminalUnit簡稱RTU）

負(fù)責(zé)對現(xiàn)場信號、工業(yè)設(shè)備的監(jiān)測和控制。RTU（RemoteTerminalUnit）是構(gòu)成企業(yè)綜合自動化系統(tǒng)的核心裝置，通常由信號輸入/出模塊、微處理器、有線/無線通訊設(shè)備、電源及外殼等組成，由微處理器控制，并支持網(wǎng)絡(luò)系統(tǒng)。它通過自身的軟件（或智能軟件）系統(tǒng)，可理想地實現(xiàn)企業(yè)中央監(jiān)控與調(diào)度系統(tǒng)對生產(chǎn)現(xiàn)場一次儀表的遙測、遙控、遙信和遙調(diào)等功能。1工控系統(tǒng)網(wǎng)絡(luò)涵蓋范圍Level4

戰(zhàn)略決策層：商業(yè)計劃和物流管理/工程系統(tǒng)

Level3

經(jīng)營管理層：系統(tǒng)管理/監(jiān)視控制

Level2生產(chǎn)控制層：監(jiān)控功能/現(xiàn)場檢測和現(xiàn)場顯示Level1

現(xiàn)場控制層：保護和現(xiàn)場控制設(shè)備Level0

現(xiàn)場執(zhí)行層：傳感器和制動器8工控安全對抗形勢及發(fā)展工控系統(tǒng)防御必須具有全球性視角1、各國網(wǎng)軍不斷擴大，對抗升級2、明間黑客組織水平的不斷提升3、背后巨大的商業(yè)利益驅(qū)動4、針對工業(yè)控制網(wǎng)絡(luò)的恐怖襲擊國內(nèi)外工控網(wǎng)絡(luò)安全防護理念的演變歷程強調(diào)強調(diào)隔離物理隔離的變種，網(wǎng)關(guān)、網(wǎng)閘、單向隔離，隔離背后是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是針對隔離系統(tǒng)的縱深防御體系由傳統(tǒng)信息安全廠商提出的，大多數(shù)項目演變?yōu)樾畔踩a(chǎn)品的簡單堆砌，不能完全適應(yīng)工業(yè)網(wǎng)絡(luò)安全的特點由工業(yè)控制系統(tǒng)內(nèi)部生長的持續(xù)性防御體系適應(yīng)工業(yè)控制網(wǎng)絡(luò)的特點，通過基礎(chǔ)硬件創(chuàng)新來實現(xiàn)，低延時，高可靠，可定制化，持續(xù)更新，簡單化的實施和操作等以功為守的國家戰(zhàn)略以美國、以色列為代表，在國家層面注重攻擊技術(shù)的研究、實驗、突破和攻防演示實驗的建設(shè)，以攻擊技術(shù)的提高，帶動防御技術(shù)的提高，以攻擊威懾力換取安全性網(wǎng)絡(luò)安全立法頂層設(shè)計在《反恐怖主義法》和《刑法》修正案九的制修訂工作中納入網(wǎng)絡(luò)安全監(jiān)管有關(guān)規(guī)定，大力推進(jìn)依法治網(wǎng)。2014年全國人大法工委組織國信辦、工信部、公安部等有關(guān)部門大力加強我國網(wǎng)絡(luò)安全立法頂層設(shè)計，開展《網(wǎng)絡(luò)安全法》制定?！毒W(wǎng)絡(luò)安全法》立法納入全國人大2015年立法年度工作計劃，7月6日，十二屆全國人大常委會第十五次會議對網(wǎng)絡(luò)安全法草案進(jìn)行了分組審議，現(xiàn)面向社會公開征集意見，有望年底正式通過。網(wǎng)絡(luò)安全立法頂層設(shè)計《網(wǎng)絡(luò)安全法》（草案）重要規(guī)定：十七條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全的等級保護制度的要求，履行下列安全保護義務(wù)。二十六條國務(wù)院通信、廣播電視、能源、交通、水利、金融等行業(yè)的主管部門和國務(wù)院其他有關(guān)部門(以下稱負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門)按照國務(wù)院規(guī)定的職責(zé)，分別負(fù)責(zé)指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運行安全保護工作。三十二條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托專業(yè)機構(gòu)對其網(wǎng)絡(luò)安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并對檢測評估情況及采取的改進(jìn)措施提出網(wǎng)絡(luò)安全報告，報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。二十七條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定，持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。四十九條因網(wǎng)絡(luò)安全事件，發(fā)生突發(fā)事件或者安全生產(chǎn)事故的，應(yīng)當(dāng)依照《中華人民共和國突發(fā)事件應(yīng)對法》，《中華人民共和國安全生產(chǎn)法》等有關(guān)法律的規(guī)定處理。五十一條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第二十七條至第三十二條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。部署方式管理口工程師站操作員站應(yīng)用站檢查工具檢查客戶端業(yè)務(wù)口業(yè)務(wù)口PLC重點行業(yè)、企業(yè)電力：電廠、電網(wǎng)冶金：鋼鐵、鋁業(yè)石化：石化、化工、化肥農(nóng)藥、橡膠、油漆石油：采油、輸油交通：物流、港口、軌道交通、公交市政：污水、供熱、燃?xì)庾詠硭疅煵荩簾煆S煙商重點行業(yè)、企業(yè)制造：釀酒、飲料、食品家電、汽車、造船鐵路：火車、高鐵礦山：煤礦、開采通信：電信、郵政航空：機場、航空港航空航天醫(yī)療：醫(yī)院、制藥、研究所水利：航運發(fā)電“兩化”深度融合的趨勢

決策管理層

利用數(shù)據(jù)倉庫技術(shù)整合公司全產(chǎn)業(yè)鏈的關(guān)鍵數(shù)據(jù)和生產(chǎn)經(jīng)營信息，實現(xiàn)數(shù)據(jù)挖掘、監(jiān)控分析、統(tǒng)計查詢和可視化展示，輔助高層科學(xué)決策和戰(zhàn)略管理。

經(jīng)營管理層以ERP系統(tǒng)為核心整合各專業(yè)應(yīng)用系統(tǒng)和綜合管理系統(tǒng)關(guān)鍵信息，形成公司級的經(jīng)營管理信息平臺。

生產(chǎn)運行層以供應(yīng)鏈管理為核心，建立一體化完整的生產(chǎn)運行管理平臺。

操作執(zhí)行層以生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)為基礎(chǔ)，實現(xiàn)數(shù)據(jù)采集、傳輸、處理一體化，現(xiàn)場數(shù)據(jù)自動采集率大幅度提高。3ERP(EnterpriseResourcePlanning)MES(ManufacturingExecutionSystem)PCS(ProcessControlSystem)工控網(wǎng)絡(luò)與互聯(lián)網(wǎng)和辦公網(wǎng)有本質(zhì)的區(qū)別

工控網(wǎng)絡(luò)的特點決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設(shè)計的信息安全防護手段（如防火墻、病毒查殺等）無法有效地保護工控網(wǎng)絡(luò)的安全

網(wǎng)絡(luò)通訊協(xié)議不同

對系統(tǒng)穩(wěn)定性要求高系統(tǒng)運行環(huán)境不同

大量的工控系統(tǒng)采用私有協(xié)議網(wǎng)絡(luò)安全造成誤報等同于攻擊工控系統(tǒng)運行環(huán)境相對落后

更新代價高網(wǎng)絡(luò)結(jié)構(gòu)和行為穩(wěn)定性高無法像辦公網(wǎng)絡(luò)或互聯(lián)網(wǎng)那樣不同于互聯(lián)網(wǎng)和辦公網(wǎng)絡(luò)的頻繁變動通過補丁來解決安全問題

4工業(yè)控制網(wǎng)絡(luò)工程網(wǎng)絡(luò)安全體系18工程安全的多面性；動靜合一，內(nèi)外兼修動靜外內(nèi)基因性行為性結(jié)構(gòu)性本體性持續(xù)性基因安全可信硬件操作系統(tǒng)協(xié)議免疫排除惡意代碼執(zhí)行，植入完整性檢測恢復(fù)程序參數(shù)基因安全植根于工控系統(tǒng)的生命周期解決方案持續(xù)安全防護原則管理持續(xù)化防護手段安全管理安全運營

本體安全防護原則防護手段設(shè)備加固

基因全安

行為安全設(shè)備加固白名單設(shè)備安全介質(zhì)安全漏挖漏歸防護原則防護手段防護手段防護原則安全可控白名單自主可控可信計算免疫完整性監(jiān)測審計威脅評估

結(jié)安構(gòu)全防護原則防護手段設(shè)備加固區(qū)域劃分邊界防護工業(yè)控制系統(tǒng)全生命周期安全防護能力設(shè)備加固設(shè)備加固采取適合的評估手段資產(chǎn)分析流量分析威脅分析在設(shè)備接入的過程中需要向工控系統(tǒng)責(zé)任單位確認(rèn)如下條件在檢查前，要求工控系統(tǒng)責(zé)任單位閱讀《現(xiàn)場接入工控系統(tǒng)安全檢查工具須知》并在《工控系統(tǒng)安全檢查入場確認(rèn)表》簽字。設(shè)備的流量分析接入點一般選擇在工控系統(tǒng)信息系統(tǒng)邊界區(qū)域的交換機，請確認(rèn)該接入交換機具備鏡像端口功能并要求工控系統(tǒng)責(zé)任單位配置完成設(shè)備的資產(chǎn)識別接入點原則上接入工控系統(tǒng)網(wǎng)絡(luò)，要求工控系統(tǒng)責(zé)任單位提供該工程控制網(wǎng)絡(luò)的網(wǎng)段地址和IP地址數(shù)量，并提供該網(wǎng)段的一個空閑IP地址在設(shè)備接入前請確認(rèn)被接的交換機負(fù)荷小于10%對于現(xiàn)場設(shè)備存在嚴(yán)重老化（大于15年）和超期服役的情況，原則上不建議接入設(shè)備。在設(shè)備的接入過程中必須由工