工控系統(tǒng)安全培訓

伊朗核電站“震網(wǎng)”病毒事件

發(fā)生事件：2010年7月攻擊目標：伊朗核電站（物理隔離網(wǎng)絡）入侵方式：

收集核電站工作人員和其家庭成員信息針對家用電腦發(fā)起攻擊，成功控制家用電腦并感染所有接入的USB移動介質(zhì)通過U盤將病毒擺渡核電站內(nèi)部網(wǎng)絡

利用西門子的0DAY漏洞，成功控制離心機的控制系統(tǒng)，修改了離心機參數(shù)，讓其生產(chǎn)不出制造核武器的物質(zhì)，但在人工檢測顯示端正常

利用漏洞：

MS10-046、西門子SIMATICWinCC系統(tǒng)0Day漏洞

滲透手段：

U盤

損失：美國利用“震網(wǎng)”蠕蟲病毒攻擊伊朗的軸濃縮設備，造成伊朗核電站離心機損壞，推遲發(fā)電達兩年之久。

影響面：感染全球超過45000個網(wǎng)絡5烏克蘭電網(wǎng)遭受病毒攻擊事件22015年的最后一周，烏克蘭至少有三個區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導致大規(guī)模的停電12月23日，伊萬諾-弗蘭科夫斯克地區(qū)，有超過一半的家庭（約140萬人）遭受了停電的困擾。擴大影響刪除關鍵系統(tǒng)數(shù)據(jù)，監(jiān)控系統(tǒng)無法啟動洪范攻擊電網(wǎng)的客服電話，導致技術(shù)部分處于癱瘓狀態(tài)。延長供電恢復的時間整個停電事件持續(xù)了數(shù)小時之久病毒關閉生產(chǎn)控制大區(qū)的控制服務器，使得二次信息系統(tǒng)喪失對物理設備的感知和控制力，導致部分設備運行中斷而大面積停電。釣魚郵件潛伏到特地時間查找HIM設備，滲透擴散到生產(chǎn)網(wǎng)點擊office郵件感染辦公電腦執(zhí)行關機智能制造數(shù)控機床關鍵數(shù)據(jù)被竊，損失難以估量工控網(wǎng)絡安全危及國家安全高新技術(shù)黑客遠程入侵智能汽車，汽車也可能隨時遭遇恐怖襲擊工控系統(tǒng)安全電力電廠遭USB病毒攻擊，大量機密數(shù)據(jù)泄露水處理污水處理廠遭非法入侵，污水直接排入自然水系軍事代碼及武器，美國直接控制漏洞市場制藥黑客入侵藥泵，輸入致命劑量，危害人身安全冶金德國鋼廠熔爐控制系統(tǒng)受攻擊，導致熔爐無法正常關閉工業(yè)控制系統(tǒng)網(wǎng)絡威脅來源4工控設備高危漏洞工業(yè)網(wǎng)絡病毒高級持續(xù)性威脅國外設備預留后門無線技術(shù)應用風險現(xiàn)有防護手段已經(jīng)無法防御不斷升級的網(wǎng)絡攻擊5IT防火墻病毒查殺單向安全隔離“物理隔離“網(wǎng)關網(wǎng)閘工業(yè)防火墻邊界防火墻工控網(wǎng)絡APT2.0時代攻擊手段基于信息網(wǎng)絡安全的防護手段以及現(xiàn)有的工控網(wǎng)絡防護手段在APT2.0時代的攻擊前面已經(jīng)成為“皇帝的新衣”工業(yè)控制網(wǎng)絡國內(nèi)工控系統(tǒng)面臨高危風險6暴露在互聯(lián)網(wǎng)上的西門子PLC設備分布中高危數(shù)據(jù)漏洞居高不下暴露在互聯(lián)網(wǎng)上的VxWorks系統(tǒng)主機有16202個漏洞補丁不及時數(shù)據(jù)來源：CNVD2015年新增工控漏洞數(shù)據(jù)來源：CNVD2015年新增工控漏洞數(shù)據(jù)來源：匡恩網(wǎng)絡2015年統(tǒng)計數(shù)據(jù)

其中1130個運行FTP服務，占總數(shù)的70%

其中4291個運行SNMP服務，占總數(shù)的26%數(shù)據(jù)來源：匡恩網(wǎng)絡2015年統(tǒng)計數(shù)據(jù)工程控制系統(tǒng)名詞解釋

工業(yè)控制系統(tǒng)（IndustrialControlSystems簡稱：ICS）

是指由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，構(gòu)成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)。

可編程邏輯控制器（ProgrammableLogicController簡稱:PLC）

是一種可以被編程，并通過數(shù)字或模擬式輸入/輸出控制各種類型的機械或生產(chǎn)過程。

分布式控制系統(tǒng)（DistributedControlSystem簡稱：DCS）

在國內(nèi)自控行業(yè)又稱之為集散控制系統(tǒng)。是相對于集中式控制系統(tǒng)而言的一種新型計算機控制系統(tǒng)，它是在集中式控制系統(tǒng)的基礎上發(fā)展、演變而來的。

數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition簡稱：SCADA）

SCADA系統(tǒng)是以計算機為基礎的DCS與電力自動化監(jiān)控系統(tǒng)；它應用領域很廣，可以應用于電力、冶金、石油、化工、燃氣、鐵路等領域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制等諸多領域。

遠程終端單元（RemoteTerminalUnit簡稱RTU）

負責對現(xiàn)場信號、工業(yè)設備的監(jiān)測和控制。RTU（RemoteTerminalUnit）是構(gòu)成企業(yè)綜合自動化系統(tǒng)的核心裝置，通常由信號輸入/出模塊、微處理器、有線/無線通訊設備、電源及外殼等組成，由微處理器控制，并支持網(wǎng)絡系統(tǒng)。它通過自身的軟件（或智能軟件）系統(tǒng)，可理想地實現(xiàn)企業(yè)中央監(jiān)控與調(diào)度系統(tǒng)對生產(chǎn)現(xiàn)場一次儀表的遙測、遙控、遙信和遙調(diào)等功能。1工控系統(tǒng)網(wǎng)絡涵蓋范圍Level4

戰(zhàn)略決策層：商業(yè)計劃和物流管理/工程系統(tǒng)

Level3

經(jīng)營管理層：系統(tǒng)管理/監(jiān)視控制

Level2生產(chǎn)控制層：監(jiān)控功能/現(xiàn)場檢測和現(xiàn)場顯示Level1

現(xiàn)場控制層：保護和現(xiàn)場控制設備Level0

現(xiàn)場執(zhí)行層：傳感器和制動器8工控安全對抗形勢及發(fā)展工控系統(tǒng)防御必須具有全球性視角1、各國網(wǎng)軍不斷擴大，對抗升級2、明間黑客組織水平的不斷提升3、背后巨大的商業(yè)利益驅(qū)動4、針對工業(yè)控制網(wǎng)絡的恐怖襲擊國內(nèi)外工控網(wǎng)絡安全防護理念的演變歷程強調(diào)強調(diào)隔離物理隔離的變種，網(wǎng)關、網(wǎng)閘、單向隔離，隔離背后是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是針對隔離系統(tǒng)的縱深防御體系由傳統(tǒng)信息安全廠商提出的，大多數(shù)項目演變?yōu)樾畔踩a(chǎn)品的簡單堆砌，不能完全適應工業(yè)網(wǎng)絡安全的特點由工業(yè)控制系統(tǒng)內(nèi)部生長的持續(xù)性防御體系適應工業(yè)控制網(wǎng)絡的特點，通過基礎硬件創(chuàng)新來實現(xiàn)，低延時，高可靠，可定制化，持續(xù)更新，簡單化的實施和操作等以功為守的國家戰(zhàn)略以美國、以色列為代表，在國家層面注重攻擊技術(shù)的研究、實驗、突破和攻防演示實驗的建設，以攻擊技術(shù)的提高，帶動防御技術(shù)的提高，以攻擊威懾力換取安全性網(wǎng)絡安全立法頂層設計在《反恐怖主義法》和《刑法》修正案九的制修訂工作中納入網(wǎng)絡安全監(jiān)管有關規(guī)定，大力推進依法治網(wǎng)。2014年全國人大法工委組織國信辦、工信部、公安部等有關部門大力加強我國網(wǎng)絡安全立法頂層設計，開展《網(wǎng)絡安全法》制定?！毒W(wǎng)絡安全法》立法納入全國人大2015年立法年度工作計劃，7月6日，十二屆全國人大常委會第十五次會議對網(wǎng)絡安全法草案進行了分組審議，現(xiàn)面向社會公開征集意見，有望年底正式通過。網(wǎng)絡安全立法頂層設計《網(wǎng)絡安全法》（草案）重要規(guī)定：十七條國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全的等級保護制度的要求，履行下列安全保護義務。二十六條國務院通信、廣播電視、能源、交通、水利、金融等行業(yè)的主管部門和國務院其他有關部門(以下稱負責關鍵信息基礎設施安全保護工作的部門)按照國務院規(guī)定的職責，分別負責指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。三十二條關鍵信息基礎設施的運營者應當自行或者委托專業(yè)機構(gòu)對其網(wǎng)絡安全性和可能存在的風險每年至少進行一次檢測評估，并對檢測評估情況及采取的改進措施提出網(wǎng)絡安全報告，報送相關負責關鍵信息基礎設施安全保護工作的部門。二十七條建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定，持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用。四十九條因網(wǎng)絡安全事件，發(fā)生突發(fā)事件或者安全生產(chǎn)事故的，應當依照《中華人民共和國突發(fā)事件應對法》，《中華人民共和國安全生產(chǎn)法》等有關法律的規(guī)定處理。五十一條關鍵信息基礎設施的運營者不履行本法第二十七條至第三十二條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或?qū)е挛：W(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款對直接負責的主管人員處一萬元以上十萬元以下罰款。部署方式管理口工程師站操作員站應用站檢查工具檢查客戶端業(yè)務口業(yè)務口PLC重點行業(yè)、企業(yè)電力：電廠、電網(wǎng)冶金：鋼鐵、鋁業(yè)石化：石化、化工、化肥農(nóng)藥、橡膠、油漆石油：采油、輸油交通：物流、港口、軌道交通、公交市政：污水、供熱、燃氣自來水煙草：煙廠煙商重點行業(yè)、企業(yè)制造：釀酒、飲料、食品家電、汽車、造船鐵路：火車、高鐵礦山：煤礦、開采通信：電信、郵政航空：機場、航空港航空航天醫(yī)療：醫(yī)院、制藥、研究所水利：航運發(fā)電“兩化”深度融合的趨勢

決策管理層

利用數(shù)據(jù)倉庫技術(shù)整合公司全產(chǎn)業(yè)鏈的關鍵數(shù)據(jù)和生產(chǎn)經(jīng)營信息，實現(xiàn)數(shù)據(jù)挖掘、監(jiān)控分析、統(tǒng)計查詢和可視化展示，輔助高層科學決策和戰(zhàn)略管理。

經(jīng)營管理層以ERP系統(tǒng)為核心整合各專業(yè)應用系統(tǒng)和綜合管理系統(tǒng)關鍵信息，形成公司級的經(jīng)營管理信息平臺。

生產(chǎn)運行層以供應鏈管理為核心，建立一體化完整的生產(chǎn)運行管理平臺。

操作執(zhí)行層以生產(chǎn)物聯(lián)網(wǎng)系統(tǒng)為基礎，實現(xiàn)數(shù)據(jù)采集、傳輸、處理一體化，現(xiàn)場數(shù)據(jù)自動采集率大幅度提高。3ERP(EnterpriseResourcePlanning)MES(ManufacturingExecutionSystem)PCS(ProcessControlSystem)工控網(wǎng)絡與互聯(lián)網(wǎng)和辦公網(wǎng)有本質(zhì)的區(qū)別

工控網(wǎng)絡的特點決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設計的信息安全防護手段（如防火墻、病毒查殺等）無法有效地保護工控網(wǎng)絡的安全

網(wǎng)絡通訊協(xié)議不同

對系統(tǒng)穩(wěn)定性要求高系統(tǒng)運行環(huán)境不同

大量的工控系統(tǒng)采用私有協(xié)議網(wǎng)絡安全造成誤報等同于攻擊工控系統(tǒng)運行環(huán)境相對落后

更新代價高網(wǎng)絡結(jié)構(gòu)和行為穩(wěn)定性高無法像辦公網(wǎng)絡或互聯(lián)網(wǎng)那樣不同于互聯(lián)網(wǎng)和辦公網(wǎng)絡的頻繁變動通過補丁來解決安全問題

4工業(yè)控制網(wǎng)絡工程網(wǎng)絡安全體系18工程安全的多面性；動靜合一，內(nèi)外兼修動靜外內(nèi)基因性行為性結(jié)構(gòu)性本體性持續(xù)性基因安全可信硬件操作系統(tǒng)協(xié)議免疫排除惡意代碼執(zhí)行，植入完整性檢測恢復程序參數(shù)基因安全植根于工控系統(tǒng)的生命周期解決方案持續(xù)安全防護原則管理持續(xù)化防護手段安全管理安全運營

本體安全防護原則防護手段設備加固

基因全安

行為安全設備加固白名單設備安全介質(zhì)安全漏挖漏歸防護原則防護手段防護手段防護原則安全可控白名單自主可控可信計算免疫完整性監(jiān)測審計威脅評估

結(jié)安構(gòu)全防護原則防護手段設備加固區(qū)域劃分邊界防護工業(yè)控制系統(tǒng)全生命周期安全防護能力設備加固設備加固采取適合的評估手段資產(chǎn)分析流量分析威脅分析在設備接入的過程中需要向工控系統(tǒng)責任單位確認如下條件在檢查前，要求工控系統(tǒng)責任單位閱讀《現(xiàn)場接入工控系統(tǒng)安全檢查工具須知》并在《工控系統(tǒng)安全檢查入場確認表》簽字。設備的流量分析接入點一般選擇在工控系統(tǒng)信息系統(tǒng)邊界區(qū)域的交換機，請確認該接入交換機具備鏡像端口功能并要求工控系統(tǒng)責任單位配置完成設備的資產(chǎn)識別接入點原則上接入工控系統(tǒng)網(wǎng)絡，要求工控系統(tǒng)責任單位提供該工程控制網(wǎng)絡的網(wǎng)段地址和IP地址數(shù)量，并提供該網(wǎng)段的一個空閑IP地址在設備接入前請確認被接的交換機負荷小于10%對于現(xiàn)場設備存在嚴重老化（大于15年）和超期服役的情況，原則上不建議接入設備。在設備的接入過程中必須由工