工控网络安全知识
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图8 工业控制系统信息安全风险途径
5 工控系统信息安全防护建设
5.1 工控安全防护建设参考标准
(1)以451号文为基准。 (2)参考国际国内标准。 (3)结合行业生产特点。 5.2 工控安全防护体系建设思路 工控安全防护思路依据“垂直分层、横向分区、边界防护 、 内部监测 ”的总体策略。把工控系统分区、分域,进行边界防 护,内部监控。 5.3 融合秩序的工控系统信息安全产品体系 在工业控制领域,整个流程秩序是非常严谨的,因此启明星 辰在考虑研发安全产品时,结合了工业控制系统特点,目前包括 以下几大支柱产品。 (1)旁路检测 旁路检测包括工控异常监测系统和工控网络流秩序分析 诊断。 工控异常监测系统:除了发现传统的网络入侵、病毒等特征 之外,针对工控系统自身业务指令的异常,以及协议所固有的一 些脆弱性,可以被利用的攻击方式等,将这些规则整理到系统中 进行监测。 工控网络流秩序分析诊断:主要针对工业控制网络内部,梳 理每个设备之间的交互信息数据流特点,通过学习整理,了解通 常是以多少屏和多少M的流量来发送信息,据此发现数据流是否 出现异常。如果有积塞则展示出来。另一种情况是,在一应用场 景会发现经常有向国外某个IP发送信息的情况,通过协助用户方 查询,发现原来是在开发系统时引用了一个插件的问题。类似以 上情况均可以通过网络流量的分析展示出来。 (2)串联防护 串联防护产品包括工业防火墙和工业网闸,主要应用在两 网之间的隔离防护。其中工业网闸是结合工业现场情况,支持 OPC。工业防火墙,除了做IP端口方面的访问控制,具体的操作 指令和功能码都需要做细粒度的控制。 (3)操作站管理 操作站管理包括操作站安全管理系统和防病毒系统。 (4)现场防护 现场防护包括工控运维审计系统和WIFI入侵检测与防护 设备。 以上这些设备的监控数据均在工业控制系统信息安全管理系 统中统一进行展现和管理,能够统一地呈现工控系统的安全风险 情况。数据的导入方式也可以是多种多样的。
3 工业控制系统Baidu Nhomakorabea临的脆弱性示例
3.1 工业控制系统产品漏洞 工业控制系统产品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难,漏洞不 能得到及时修补。 3.2 Modbus自身协议缺陷 不单是Modbus,像IEC104,PROFINET等主流的工控协议, 都存在一些通用问题。为了追求实用性和时效性,牺牲了很多安
图1 公开的ICS漏洞数的年度变化趋势 图2为各行业发生的工控信息安全事件占比情况,涉及我国 关键的国计民生行业。
图2 各行业发生的工控信息安全事件占比 图3为2011~2014年公开漏洞涉及的主要工业控制系统厂商。 其中,以西门子、施耐德电气等为代表的工业设备在我国各工业 领域被广泛使用,对其安全防护不容忽视。
名单中
拒绝 记录目志
拒绝 记录目志
图6 先进制造工控系统结构图 4.3 工控系统面临的信息安全风险-电网和发电 4.3.1 电网安全建设现状 (1)当前正探索智能变电站的信息安全防护。 (2)建立可信计算密码平台,更新调度数字证书、纵向加 密认证、横向隔离装置、防火墙、入侵检测系统,搭建安全仿真
平台。 (3)智能变电站技术、分布式能源智能大电网,不仅有监
其他, 27%
西门子, 28%
艾默生, 3% 德国3S, 3%
亚控科技, 4% 英维思, 5% 罗克韦尔, 5%
施耐德, 10%
研华科 通用电 技, 8% 气, 7%
图3 公开漏洞涉及的主要工业控制系统厂商
图4 工控系统漏洞占比情况
2 工控系统信息安全特点
(1)工业控制系统固有漏洞 • 各大厂商工控产品都或多或少存在着漏洞,工业领域存 在着软、硬件的更新、升级、换代困难等问题。 • 工业控制系统协议在设计之初就缺乏安全性考虑,存在 明文设计、缺乏认证、功能码滥用等安全威胁。 • 缺乏完善信息安全管理规定,存在U盘管理、误操作、 恶意操作等安全威胁。 (2)工业控制系统建设周期长 一般一个大型工业项目建设周期长达5~10年,一套工业系统 建设调试到稳定需要的周期很长,无法频繁升级。 (3)各种其他原因 两化融合使得工控系统面临着更多传统IT网络的威胁。
(6)第三方运维人员在运维设备时缺乏审计记录,存在数 据泄密或病毒侵入的威胁。
CAM软件 NCBAS客户端
NCBAS数据库 DNC-MAX
数控机床
NC程序
程序添加
程序审批
发送程序
编程员
DNC服务器
发送指令
CNC安全防护 工人
通过并转发
操作行为记录
接受数据包
否 检查数据 是
格式及数据中
是否含有
病毒?
判断协议、 端口、IP地址 等是否在白
图5 石化行业的工控系统结构图
客户端连接获取任何数据。 (4)工程师站权限非常大,有些是通用的工程师站,只要
接入生产网络,就可以对控制系统进行运维。 (5)多余的网络端口未封闭,工控网络互连时缺乏安全边
界控制。 (6)外部运维操作无审计监管措施。 4.2 工控系统面临的信息安全风险-先进制造 (1)某些工控系统的默认口令问题,如SUNRISE,
工控系统信息安全-自动化博览2016/5
1 工控系统信息安全形势
据权威工业安全事件信息库RISI统计,截止到2016年初,全 球已发生300余起针对工业控制系统的攻击事件。如图1所示。
图4为工控系统漏洞占比情况,SCADA/HMI系统漏洞占比超 过40%,PLC漏洞接近30%,DCS及OPC漏洞占到将近10%。
4 工控系统面临的信息安全问题
4.1 工控系统面临的信息安全问题-石化行业 (1)操作站、工程师站、服务器采用通用Windows系统,基 本不更新补丁。 (2)DCS在与操作站、工程师站系统通信时,基本不使用 身份认证、规则检查、加密传输、完整性检查等信息安全措施。 (3)生产执行层的MES服务器和监督控制层的OPC服务器 之间缺少对OPC端口的动态识别,OPC服务器可以允许任何OPC
视,还有控制。用电信息在互联网上传输,需要加密;用户的智 能电器暴露在电力系统中,可能受到攻击。
(4)安全区II的电厂和省调之间采用IEC104规约,框架确 定,但是存在协议格式在实际应用中出现混乱的问题。
4.3.2 发电(水电或者火电)面临的风险 (1)所有发电控制系统连接在一区,无任何安全防护措施。 (2)随着发电全厂一体化建设的推进,因联通导致的风险 越来越大。 (3)操作站采用通用操作系统,未安装补丁,会感染病毒。 (4)OPC问题一样突出。 (5)远程运维问题依然存在,安全运维审计装置缺失。 4.4 工业控制系统信息安全风险途径 通过以上分析,会发现像先进制造、发电、石油石化等行 业,信息安全风险基本上是通过几个典型的端口进入工控系统。 (1)“两网连接”带来的风险。生产网与办公网相连,虽 然控制系统是一个个单独的系统,但是要建立全厂一体化控制, 主控制系统和辅助控制系统全部连接到一个网络中,由于网络互 连带来的风险非常显著。 (2)通过操作站带来的风险。如安装软件、U盘的使用,人 为的某些误操作,都是通过操作站和工程师站端口进来的。如工 程师站经常会被值班人员随意操作,出现参数被误修的情况。 (3)现场与远程运维带来的风险。 (4)工业无线带来的风险。这种风险在轨道交通行业中非 常明显。
防火墙 先进控制 仓储管理 MES系统
企业管理网 历史数据库
监控中心
生产管理网 实时数据库
生产监控网
OPC 服务器
工程师站 操作员站 工程师站 操作员站
OPC 服务器
OPC 服务器
工程师站 操作员站
生产控制网
生产控制网
生产控制网
炉区 控制系统
生产控制网
分离压缩 控制系统
生产控制网
分离压缩 控制系统
生产控制网
CUSTOMER,EVENING。 (2)通过操作站感染病毒。 (3)串口网口转换,定制协议过于简单,缺乏校验,串口
传输环境的风险。业务指令异常无法发现。 (4)数据传输,NC代码等文件传输存在安全隐患。 (5)DNC服务器等与办公网放在一起,都是Windows系统安
装的传统数据库,大量使用FTP等进行数据交互,操作有被渗透 的可能。
全性,因此会导致黑客的攻击。 3.3 OPC协议自身的脆弱性 OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制
造领域。OPC协议在为大家带来便利的同时,存在着非常大的安 全隐患。首先,OPC协议架构基于Windows平台,Windows系统所 具有的漏洞和缺陷在OPC部属环境下依然存在。并且,为了实现 信息交互的便捷性,所有的Client端使用相同的用户名和密码来读 取OPC server所采集的数据。另外,只要Client端连接,所有的数 据都会公布出去,极易造成信息的泄露。更有甚者,在某些不太 规范的部属环境下,OPC server一方面是为现场所采集的实时数 据提供展示,另一方面又为MES层提供数据。相当于MES和现场 数据共用一个OPC数据库,MES一旦被攻击,就会导致OPC的某 个参数被修改,致使现场操作也会随之变动。
5 工控系统信息安全防护建设
5.1 工控安全防护建设参考标准
(1)以451号文为基准。 (2)参考国际国内标准。 (3)结合行业生产特点。 5.2 工控安全防护体系建设思路 工控安全防护思路依据“垂直分层、横向分区、边界防护 、 内部监测 ”的总体策略。把工控系统分区、分域,进行边界防 护,内部监控。 5.3 融合秩序的工控系统信息安全产品体系 在工业控制领域,整个流程秩序是非常严谨的,因此启明星 辰在考虑研发安全产品时,结合了工业控制系统特点,目前包括 以下几大支柱产品。 (1)旁路检测 旁路检测包括工控异常监测系统和工控网络流秩序分析 诊断。 工控异常监测系统:除了发现传统的网络入侵、病毒等特征 之外,针对工控系统自身业务指令的异常,以及协议所固有的一 些脆弱性,可以被利用的攻击方式等,将这些规则整理到系统中 进行监测。 工控网络流秩序分析诊断:主要针对工业控制网络内部,梳 理每个设备之间的交互信息数据流特点,通过学习整理,了解通 常是以多少屏和多少M的流量来发送信息,据此发现数据流是否 出现异常。如果有积塞则展示出来。另一种情况是,在一应用场 景会发现经常有向国外某个IP发送信息的情况,通过协助用户方 查询,发现原来是在开发系统时引用了一个插件的问题。类似以 上情况均可以通过网络流量的分析展示出来。 (2)串联防护 串联防护产品包括工业防火墙和工业网闸,主要应用在两 网之间的隔离防护。其中工业网闸是结合工业现场情况,支持 OPC。工业防火墙,除了做IP端口方面的访问控制,具体的操作 指令和功能码都需要做细粒度的控制。 (3)操作站管理 操作站管理包括操作站安全管理系统和防病毒系统。 (4)现场防护 现场防护包括工控运维审计系统和WIFI入侵检测与防护 设备。 以上这些设备的监控数据均在工业控制系统信息安全管理系 统中统一进行展现和管理,能够统一地呈现工控系统的安全风险 情况。数据的导入方式也可以是多种多样的。
3 工业控制系统Baidu Nhomakorabea临的脆弱性示例
3.1 工业控制系统产品漏洞 工业控制系统产品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难,漏洞不 能得到及时修补。 3.2 Modbus自身协议缺陷 不单是Modbus,像IEC104,PROFINET等主流的工控协议, 都存在一些通用问题。为了追求实用性和时效性,牺牲了很多安
图1 公开的ICS漏洞数的年度变化趋势 图2为各行业发生的工控信息安全事件占比情况,涉及我国 关键的国计民生行业。
图2 各行业发生的工控信息安全事件占比 图3为2011~2014年公开漏洞涉及的主要工业控制系统厂商。 其中,以西门子、施耐德电气等为代表的工业设备在我国各工业 领域被广泛使用,对其安全防护不容忽视。
名单中
拒绝 记录目志
拒绝 记录目志
图6 先进制造工控系统结构图 4.3 工控系统面临的信息安全风险-电网和发电 4.3.1 电网安全建设现状 (1)当前正探索智能变电站的信息安全防护。 (2)建立可信计算密码平台,更新调度数字证书、纵向加 密认证、横向隔离装置、防火墙、入侵检测系统,搭建安全仿真
平台。 (3)智能变电站技术、分布式能源智能大电网,不仅有监
其他, 27%
西门子, 28%
艾默生, 3% 德国3S, 3%
亚控科技, 4% 英维思, 5% 罗克韦尔, 5%
施耐德, 10%
研华科 通用电 技, 8% 气, 7%
图3 公开漏洞涉及的主要工业控制系统厂商
图4 工控系统漏洞占比情况
2 工控系统信息安全特点
(1)工业控制系统固有漏洞 • 各大厂商工控产品都或多或少存在着漏洞,工业领域存 在着软、硬件的更新、升级、换代困难等问题。 • 工业控制系统协议在设计之初就缺乏安全性考虑,存在 明文设计、缺乏认证、功能码滥用等安全威胁。 • 缺乏完善信息安全管理规定,存在U盘管理、误操作、 恶意操作等安全威胁。 (2)工业控制系统建设周期长 一般一个大型工业项目建设周期长达5~10年,一套工业系统 建设调试到稳定需要的周期很长,无法频繁升级。 (3)各种其他原因 两化融合使得工控系统面临着更多传统IT网络的威胁。
(6)第三方运维人员在运维设备时缺乏审计记录,存在数 据泄密或病毒侵入的威胁。
CAM软件 NCBAS客户端
NCBAS数据库 DNC-MAX
数控机床
NC程序
程序添加
程序审批
发送程序
编程员
DNC服务器
发送指令
CNC安全防护 工人
通过并转发
操作行为记录
接受数据包
否 检查数据 是
格式及数据中
是否含有
病毒?
判断协议、 端口、IP地址 等是否在白
图5 石化行业的工控系统结构图
客户端连接获取任何数据。 (4)工程师站权限非常大,有些是通用的工程师站,只要
接入生产网络,就可以对控制系统进行运维。 (5)多余的网络端口未封闭,工控网络互连时缺乏安全边
界控制。 (6)外部运维操作无审计监管措施。 4.2 工控系统面临的信息安全风险-先进制造 (1)某些工控系统的默认口令问题,如SUNRISE,
工控系统信息安全-自动化博览2016/5
1 工控系统信息安全形势
据权威工业安全事件信息库RISI统计,截止到2016年初,全 球已发生300余起针对工业控制系统的攻击事件。如图1所示。
图4为工控系统漏洞占比情况,SCADA/HMI系统漏洞占比超 过40%,PLC漏洞接近30%,DCS及OPC漏洞占到将近10%。
4 工控系统面临的信息安全问题
4.1 工控系统面临的信息安全问题-石化行业 (1)操作站、工程师站、服务器采用通用Windows系统,基 本不更新补丁。 (2)DCS在与操作站、工程师站系统通信时,基本不使用 身份认证、规则检查、加密传输、完整性检查等信息安全措施。 (3)生产执行层的MES服务器和监督控制层的OPC服务器 之间缺少对OPC端口的动态识别,OPC服务器可以允许任何OPC
视,还有控制。用电信息在互联网上传输,需要加密;用户的智 能电器暴露在电力系统中,可能受到攻击。
(4)安全区II的电厂和省调之间采用IEC104规约,框架确 定,但是存在协议格式在实际应用中出现混乱的问题。
4.3.2 发电(水电或者火电)面临的风险 (1)所有发电控制系统连接在一区,无任何安全防护措施。 (2)随着发电全厂一体化建设的推进,因联通导致的风险 越来越大。 (3)操作站采用通用操作系统,未安装补丁,会感染病毒。 (4)OPC问题一样突出。 (5)远程运维问题依然存在,安全运维审计装置缺失。 4.4 工业控制系统信息安全风险途径 通过以上分析,会发现像先进制造、发电、石油石化等行 业,信息安全风险基本上是通过几个典型的端口进入工控系统。 (1)“两网连接”带来的风险。生产网与办公网相连,虽 然控制系统是一个个单独的系统,但是要建立全厂一体化控制, 主控制系统和辅助控制系统全部连接到一个网络中,由于网络互 连带来的风险非常显著。 (2)通过操作站带来的风险。如安装软件、U盘的使用,人 为的某些误操作,都是通过操作站和工程师站端口进来的。如工 程师站经常会被值班人员随意操作,出现参数被误修的情况。 (3)现场与远程运维带来的风险。 (4)工业无线带来的风险。这种风险在轨道交通行业中非 常明显。
防火墙 先进控制 仓储管理 MES系统
企业管理网 历史数据库
监控中心
生产管理网 实时数据库
生产监控网
OPC 服务器
工程师站 操作员站 工程师站 操作员站
OPC 服务器
OPC 服务器
工程师站 操作员站
生产控制网
生产控制网
生产控制网
炉区 控制系统
生产控制网
分离压缩 控制系统
生产控制网
分离压缩 控制系统
生产控制网
CUSTOMER,EVENING。 (2)通过操作站感染病毒。 (3)串口网口转换,定制协议过于简单,缺乏校验,串口
传输环境的风险。业务指令异常无法发现。 (4)数据传输,NC代码等文件传输存在安全隐患。 (5)DNC服务器等与办公网放在一起,都是Windows系统安
装的传统数据库,大量使用FTP等进行数据交互,操作有被渗透 的可能。
全性,因此会导致黑客的攻击。 3.3 OPC协议自身的脆弱性 OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制
造领域。OPC协议在为大家带来便利的同时,存在着非常大的安 全隐患。首先,OPC协议架构基于Windows平台,Windows系统所 具有的漏洞和缺陷在OPC部属环境下依然存在。并且,为了实现 信息交互的便捷性,所有的Client端使用相同的用户名和密码来读 取OPC server所采集的数据。另外,只要Client端连接,所有的数 据都会公布出去,极易造成信息的泄露。更有甚者,在某些不太 规范的部属环境下,OPC server一方面是为现场所采集的实时数 据提供展示,另一方面又为MES层提供数据。相当于MES和现场 数据共用一个OPC数据库,MES一旦被攻击,就会导致OPC的某 个参数被修改,致使现场操作也会随之变动。