工业控制系统安全现状及安全策略分析_魏钦志
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如今,在同一个网络上,无需任何接口就可以有机 地融合信息技术与自动化已成为现实。
2.3 国产化程度
随着工业控制系统、网络、协议的不断发展和升级, 不同厂商对于以太网技术也在加速推广 ,而国内 80%以 上的控制系统由国外品牌和厂商所占据,核心的技术和 元件均掌握在他人手里, 这给国内的工业网络安全形 势,造成了极大的威胁和隐患。
1 引言
“两化” 融合的推进和以太网技术在工业控制系统 中的大量应用,引发的病毒和木马对工业控制系统的攻 击事件频发,直接影响公共基础设施的安全,其造成的 损失可能非常巨大,甚至不可估量。 而在工业控制系统 中,工控网络管理和维护存在着特殊性,不同设备厂家 使用不同的通信协议 / 规约,不同的行业对系统网络层 次设计要求也各不相同, 直接导致商用 IT 网络的安全 技术无法适应工业控制系统。
3 工控安全与通用 IT 安全的区别
3.1 协议区别
比如 OPC,因为其基于 DCOM 技术,在进行数据通 讯时, 为了响应请求, 操作系统就会为开放从 1024 到 5000 动态端口使用, 所以 IT 部门在使用普通商用防火 墙时根本没有任何意义。 对于一般防火墙更无法进行剖 析,而使 OPC 客户端可以轻易对 OPC 服务 器 数 据 项 进 行读写,一旦黑客对客户端电脑取得控制权,控制系统 就面临很大风险。
2.4 软、硬件的漏洞
国 家 信 息 安 全 漏 洞 共 享 平 台 (China National Vulnerability Database, 简 称 CNVD), 在 2011 年 CNVD 收 录 了 100 余 个对 我 国 影 响 广 泛 的 工 业 控 制 系 统 软 件 安全漏洞,较 2010 年大幅增长近 10 倍,涉及西门子 、北 京三维力控和北京亚控等国内外知名工业控制系统制 造商的产品。 相关企业虽然积极配合 CNCERT 处理了 安全漏洞,但这些漏洞可能被黑客或恶意软件利用。
ICS 论坛 · 策略探讨 · Strategies Discussed
工业控制系统安全现状及安全策略分析
魏钦志 (北京力控华康科技有限公司 北京 100193)
【 摘 要 】“两化”融合的推进和以太网技术在工业控制系统中的广泛应用,使得工业控制系统及 SCADA 系统等不 再与外界隔离,引发了一系列病毒和木马攻击工业控制系统攻击事件,直接影响到公共基础设施的安全,为工业生 产运行和国家经济安全带来重大的安全隐患,本文将从工业控制的角度,分析工业控制系统安全的特殊性,并针对 工业控制系统安全提出相应的防护策略。 【 关键词 】工业控制系统;基础设施安全;安全隔离网关;边界防护
“白名单”安全机制是一种安全管理规范,不仅应用 于防火墙软件的设置规则,也是在实际管理中要遵循的 原则,例如在对设备和计算机进行实际操作时,需要使 用指定的笔记本、U 盘等, 管理人员只信任可识别的身 份,未经授权的行为将被拒绝。
·24· 2013 年 2 月· www.infosting.org
ÁÂÃÄÅICS论坛·策略探讨·Strategies Discussed
* 独立的运算单元和存储单元, 各自运行独立的操 作系统和应用系统;
* 安全隔离区采用私有加密的数据交互技术, 数据 交换不依靠 TCP/IP 协议;
* 工业通信协议,OPC/MODBUS/60870-5-104/ 等; * 与信息层上传数据时,可实现断线缓存、续传; * 实时数据交换,延时时间小于 1ms; * 访问控制; * 身份认证; * 安全审计与日志管理。
特点
商用网络 / 办公网 控制网络
络
应用领域
极其广泛
工业领域,
SCADA
开放性
完全开放,互联网 相对封闭
设备更新
频繁
不频繁
系统更新
频繁
不频繁
数据机密性要求 高
一般
持续可靠性要求 一般
非常高
对待病毒
允许
不允许
应用数据
复杂
特定
应用协议
HTTP、SMTP、 OPC、MODBUS、
FTP、SQL…… DNP3……
由于早期的工业控制都是相对独立的网络环境,在 产品设计和网络部署时, 只考虑了功能性和稳定性,对 安全没有考虑。 经过测试,很多支持以太网的控制器都 存在比较严重的漏洞和安全隐患。
2.5 病毒攻击的发展
国外典型工业控制系统入侵事件。 * 2007 年, 攻击者入侵加拿大的一个水利 SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控
Industrial Control System Security Situation and Safety Strategy Analysis
Wei Qin-zhi (Beijing ForceControl-Huacon Technology Co.,Ltd Beijing 100193)
【 Abstract 】Merge together with informatization and industrialisation and the widely application of ethernet technology in industrial control system, make the wide application of industrial control system and SCADA system is no longer with the outside isolation, causing a series of virus and Trojan attacks against industrial control system, directly affects the safety of the public infrastructure, industrial production operation and the safety of the state economy brings great potential safety hazard. This paper from the point of view of industrial control, this paper analyzes the particularity of the industrial control systemsecurity, and in the light of industrial control systemsecurity put forward the corresponding protection strategy. 【 Keywords】industrial control network; the security of public infrastructure; isolation gateway; boundary protection
成本及损失
影响办公,降低工 影 响 控 制 和 生
作效率
产,成本极高
图 1 成本对照图
隔离单元通过总线技术建立安全通道以安全地实现快 速数据交换。 网络物理隔离提供的应用专门针对控制网 络的安全防护,因此它只提供控制网络常用通信功能如 OPC、Modbus 等 ,而 不 提 供 通 用 互 联 网 功 能 ,因 此 更 适 合于控制网络与办公网络,以及控制网络各独立子系统 之间的隔离。 其主要特点有几种:
网络包中应用层数据进行深层检查,因此,商用防火墙
有一定的局限性,无法满足工业网络的要求。 因此,自动
化行业内迫切需要一款专用于工业网络的工业防火墙,
可以针对工业通信协议进行有效的过滤检查,以保证工
Leabharlann Baidu
业控制系统的运行安全。
4.4 漏洞扫描
图 2 白名单原理
工 信 部 在 发 布 “451”号 文 以 后 ,开 展 了 全 国 各 地 的
黑客可以很轻松的获得系统所开放的端口, 获取 / 伪装管理员身份,对系统进行恶意破坏,影响企业的正 常生产运营。
3.2 成本及影响对照(如图 1 所示)
4 工控安全防御方法建议
4.1 白名单机制
白名单主动防御技术是通过提前计划好的协议规 则来限制网络数据的交换,在控制网到信息网之间进行 动态行为判断。 通过对约定协议的特征分析和端口限制 的方法,从根源上节制未知恶意软件的运行和传播。
2.2 以太网及协议的普及
目前, 市场上具有以太网接口和 TCP/IP 协议的工 控设备很多。 以太网技术的高速发展及它的 80%的市场 占有率和现场总线的明显缺陷,促使工控领域的各大厂 商纷纷研发出适合自己工控产品且兼容性强的工业以 太网。 其中,应用较为广泛的工业以太网之一是德国西 门子公司研发的 PROFINET 工业以太网。
2 国内工控安全现状
2.1 信息化建设的趋势
过 去 10 年 间 , 世 界 范 围 内 的 过 程 控 制 系 统 (DCS/PLC/PCS/RTU 等) 及 SCADA 系统广泛采用信息
技术,Windows、Ethernet、 现场总线技术、OPC 等技术的 应用使工业设备接口越来越开放,企业信息化让控制系 统及 SCADA 系统等不再与外界隔离 。 但是 ,越 来 越多 的案例表明,来自商业网络、因特网、移动 U 盘、维修人 员笔记本电脑接入以及其它因素导致的网络安全问题 正逐渐在控制系统及 SCADA 系统中扩散 ,直接 影 响了 工业稳定生产及人身安全,对基础设备造成破坏。
4.3 工业协议深度解析
商用防火墙是根据办公网络安全要求设计的一种
防火墙,它可以对办公网络中传输使用的大部分通用网
络 协 议 (如 http、ftp 等 )进 行 完全 包 过 滤 ,能 给 办 公 网 络
提供有效的保护。 但是,对于工业网络上使用的工业通 信协议(如 Modbus、OPC 等应用层协议)的网络包,商用 防火墙只能做网络层和传输层的浅层包过滤,它无法对
* 2011 年,Stuxnet 变种 Duqu, 有关“Duqu”病毒的消 息 是 在 10 月 出 现 的 。 “Duqu”病 毒 似 乎 专 为 收 集 数 据 而来,其目的是使未来发动网络袭击变得更加容易。 这 种新病毒的目的不是破坏工业控制系统,而是获得远距 离的进入能力。
* 2012 年,肆虐中东的计算机病毒“火焰”日前现身 美国网络空间,甚至攻破了微软公司的安全系统。
信息安全与技术 ·2013 年 2 月 ·23·
Strategies Discussed · 策略探讨 · ICS 论坛
施耐德电气公司推出了一系列完整 、 以 TCP/IP 以 太网为基础、对用户高度友好的服务,专门用于工业控 制领域。 自 1979 年以来, Modbus 就已成为工业领域串 行链路协议方面的事实标准。 它已经在数以百万计的自 动化设备中作为通信协议得到了应用 。 Modbus 已经得 到了国际标准 IEC 61158 的认可,同时也成为了“中国国 家标准”。 通过 Modbus 消息可以在 TCP/IP 以太网和互 联网上交换自动化数据,以及其它各种应用( 文件交换、 网页、电子邮件等等)。
工控系统安全调研活动,对文中所涉及到的各行业发放
4.2 物理隔离
了调查问卷。 在实际工作中,我们了解到,各地工信部、
目前,在国内工控领域应用比较多的是通用网闸产 品和工业安全隔离网关产品,用于工控企业控制网和办 公网的物理隔离和边界防护。 由于国内重要控制系统有 超过 80%的系统都使用的是国外产品和技术,这些技术 和产品的漏洞不可控,将给控制系统留下巨大的安全隐 患。 而国内通用 IT 网络与工业控制网络存在巨大差异, 通 用 IT 的 安 全 解 决 方 案 无 法 真 正 满 足 工 控 领 域 的 需 求,工业控制系统的安全威胁,一触即发。
制计算机。 * 2008 年, 攻击者入侵波兰某城市的地铁系统 ,通
过电视遥控器改变轨道扳道器,导致 4 节车厢脱轨。 * 2010 年,“网络超级武器”Stuxnet 病毒通过针对性
的入侵 ICS 系统,严重威胁到伊朗布什尔核电站核反应 堆的安全运营。
* 2011 年 , 黑 客 通 过 入 侵 数 据 采 集 与 监 控 系 统 SCADA, 使得美国伊利诺伊州城市供水系 统的 供 水 泵 遭到破坏。
2.3 国产化程度
随着工业控制系统、网络、协议的不断发展和升级, 不同厂商对于以太网技术也在加速推广 ,而国内 80%以 上的控制系统由国外品牌和厂商所占据,核心的技术和 元件均掌握在他人手里, 这给国内的工业网络安全形 势,造成了极大的威胁和隐患。
1 引言
“两化” 融合的推进和以太网技术在工业控制系统 中的大量应用,引发的病毒和木马对工业控制系统的攻 击事件频发,直接影响公共基础设施的安全,其造成的 损失可能非常巨大,甚至不可估量。 而在工业控制系统 中,工控网络管理和维护存在着特殊性,不同设备厂家 使用不同的通信协议 / 规约,不同的行业对系统网络层 次设计要求也各不相同, 直接导致商用 IT 网络的安全 技术无法适应工业控制系统。
3 工控安全与通用 IT 安全的区别
3.1 协议区别
比如 OPC,因为其基于 DCOM 技术,在进行数据通 讯时, 为了响应请求, 操作系统就会为开放从 1024 到 5000 动态端口使用, 所以 IT 部门在使用普通商用防火 墙时根本没有任何意义。 对于一般防火墙更无法进行剖 析,而使 OPC 客户端可以轻易对 OPC 服务 器 数 据 项 进 行读写,一旦黑客对客户端电脑取得控制权,控制系统 就面临很大风险。
2.4 软、硬件的漏洞
国 家 信 息 安 全 漏 洞 共 享 平 台 (China National Vulnerability Database, 简 称 CNVD), 在 2011 年 CNVD 收 录 了 100 余 个对 我 国 影 响 广 泛 的 工 业 控 制 系 统 软 件 安全漏洞,较 2010 年大幅增长近 10 倍,涉及西门子 、北 京三维力控和北京亚控等国内外知名工业控制系统制 造商的产品。 相关企业虽然积极配合 CNCERT 处理了 安全漏洞,但这些漏洞可能被黑客或恶意软件利用。
ICS 论坛 · 策略探讨 · Strategies Discussed
工业控制系统安全现状及安全策略分析
魏钦志 (北京力控华康科技有限公司 北京 100193)
【 摘 要 】“两化”融合的推进和以太网技术在工业控制系统中的广泛应用,使得工业控制系统及 SCADA 系统等不 再与外界隔离,引发了一系列病毒和木马攻击工业控制系统攻击事件,直接影响到公共基础设施的安全,为工业生 产运行和国家经济安全带来重大的安全隐患,本文将从工业控制的角度,分析工业控制系统安全的特殊性,并针对 工业控制系统安全提出相应的防护策略。 【 关键词 】工业控制系统;基础设施安全;安全隔离网关;边界防护
“白名单”安全机制是一种安全管理规范,不仅应用 于防火墙软件的设置规则,也是在实际管理中要遵循的 原则,例如在对设备和计算机进行实际操作时,需要使 用指定的笔记本、U 盘等, 管理人员只信任可识别的身 份,未经授权的行为将被拒绝。
·24· 2013 年 2 月· www.infosting.org
ÁÂÃÄÅICS论坛·策略探讨·Strategies Discussed
* 独立的运算单元和存储单元, 各自运行独立的操 作系统和应用系统;
* 安全隔离区采用私有加密的数据交互技术, 数据 交换不依靠 TCP/IP 协议;
* 工业通信协议,OPC/MODBUS/60870-5-104/ 等; * 与信息层上传数据时,可实现断线缓存、续传; * 实时数据交换,延时时间小于 1ms; * 访问控制; * 身份认证; * 安全审计与日志管理。
特点
商用网络 / 办公网 控制网络
络
应用领域
极其广泛
工业领域,
SCADA
开放性
完全开放,互联网 相对封闭
设备更新
频繁
不频繁
系统更新
频繁
不频繁
数据机密性要求 高
一般
持续可靠性要求 一般
非常高
对待病毒
允许
不允许
应用数据
复杂
特定
应用协议
HTTP、SMTP、 OPC、MODBUS、
FTP、SQL…… DNP3……
由于早期的工业控制都是相对独立的网络环境,在 产品设计和网络部署时, 只考虑了功能性和稳定性,对 安全没有考虑。 经过测试,很多支持以太网的控制器都 存在比较严重的漏洞和安全隐患。
2.5 病毒攻击的发展
国外典型工业控制系统入侵事件。 * 2007 年, 攻击者入侵加拿大的一个水利 SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控
Industrial Control System Security Situation and Safety Strategy Analysis
Wei Qin-zhi (Beijing ForceControl-Huacon Technology Co.,Ltd Beijing 100193)
【 Abstract 】Merge together with informatization and industrialisation and the widely application of ethernet technology in industrial control system, make the wide application of industrial control system and SCADA system is no longer with the outside isolation, causing a series of virus and Trojan attacks against industrial control system, directly affects the safety of the public infrastructure, industrial production operation and the safety of the state economy brings great potential safety hazard. This paper from the point of view of industrial control, this paper analyzes the particularity of the industrial control systemsecurity, and in the light of industrial control systemsecurity put forward the corresponding protection strategy. 【 Keywords】industrial control network; the security of public infrastructure; isolation gateway; boundary protection
成本及损失
影响办公,降低工 影 响 控 制 和 生
作效率
产,成本极高
图 1 成本对照图
隔离单元通过总线技术建立安全通道以安全地实现快 速数据交换。 网络物理隔离提供的应用专门针对控制网 络的安全防护,因此它只提供控制网络常用通信功能如 OPC、Modbus 等 ,而 不 提 供 通 用 互 联 网 功 能 ,因 此 更 适 合于控制网络与办公网络,以及控制网络各独立子系统 之间的隔离。 其主要特点有几种:
网络包中应用层数据进行深层检查,因此,商用防火墙
有一定的局限性,无法满足工业网络的要求。 因此,自动
化行业内迫切需要一款专用于工业网络的工业防火墙,
可以针对工业通信协议进行有效的过滤检查,以保证工
Leabharlann Baidu
业控制系统的运行安全。
4.4 漏洞扫描
图 2 白名单原理
工 信 部 在 发 布 “451”号 文 以 后 ,开 展 了 全 国 各 地 的
黑客可以很轻松的获得系统所开放的端口, 获取 / 伪装管理员身份,对系统进行恶意破坏,影响企业的正 常生产运营。
3.2 成本及影响对照(如图 1 所示)
4 工控安全防御方法建议
4.1 白名单机制
白名单主动防御技术是通过提前计划好的协议规 则来限制网络数据的交换,在控制网到信息网之间进行 动态行为判断。 通过对约定协议的特征分析和端口限制 的方法,从根源上节制未知恶意软件的运行和传播。
2.2 以太网及协议的普及
目前, 市场上具有以太网接口和 TCP/IP 协议的工 控设备很多。 以太网技术的高速发展及它的 80%的市场 占有率和现场总线的明显缺陷,促使工控领域的各大厂 商纷纷研发出适合自己工控产品且兼容性强的工业以 太网。 其中,应用较为广泛的工业以太网之一是德国西 门子公司研发的 PROFINET 工业以太网。
2 国内工控安全现状
2.1 信息化建设的趋势
过 去 10 年 间 , 世 界 范 围 内 的 过 程 控 制 系 统 (DCS/PLC/PCS/RTU 等) 及 SCADA 系统广泛采用信息
技术,Windows、Ethernet、 现场总线技术、OPC 等技术的 应用使工业设备接口越来越开放,企业信息化让控制系 统及 SCADA 系统等不再与外界隔离 。 但是 ,越 来 越多 的案例表明,来自商业网络、因特网、移动 U 盘、维修人 员笔记本电脑接入以及其它因素导致的网络安全问题 正逐渐在控制系统及 SCADA 系统中扩散 ,直接 影 响了 工业稳定生产及人身安全,对基础设备造成破坏。
4.3 工业协议深度解析
商用防火墙是根据办公网络安全要求设计的一种
防火墙,它可以对办公网络中传输使用的大部分通用网
络 协 议 (如 http、ftp 等 )进 行 完全 包 过 滤 ,能 给 办 公 网 络
提供有效的保护。 但是,对于工业网络上使用的工业通 信协议(如 Modbus、OPC 等应用层协议)的网络包,商用 防火墙只能做网络层和传输层的浅层包过滤,它无法对
* 2011 年,Stuxnet 变种 Duqu, 有关“Duqu”病毒的消 息 是 在 10 月 出 现 的 。 “Duqu”病 毒 似 乎 专 为 收 集 数 据 而来,其目的是使未来发动网络袭击变得更加容易。 这 种新病毒的目的不是破坏工业控制系统,而是获得远距 离的进入能力。
* 2012 年,肆虐中东的计算机病毒“火焰”日前现身 美国网络空间,甚至攻破了微软公司的安全系统。
信息安全与技术 ·2013 年 2 月 ·23·
Strategies Discussed · 策略探讨 · ICS 论坛
施耐德电气公司推出了一系列完整 、 以 TCP/IP 以 太网为基础、对用户高度友好的服务,专门用于工业控 制领域。 自 1979 年以来, Modbus 就已成为工业领域串 行链路协议方面的事实标准。 它已经在数以百万计的自 动化设备中作为通信协议得到了应用 。 Modbus 已经得 到了国际标准 IEC 61158 的认可,同时也成为了“中国国 家标准”。 通过 Modbus 消息可以在 TCP/IP 以太网和互 联网上交换自动化数据,以及其它各种应用( 文件交换、 网页、电子邮件等等)。
工控系统安全调研活动,对文中所涉及到的各行业发放
4.2 物理隔离
了调查问卷。 在实际工作中,我们了解到,各地工信部、
目前,在国内工控领域应用比较多的是通用网闸产 品和工业安全隔离网关产品,用于工控企业控制网和办 公网的物理隔离和边界防护。 由于国内重要控制系统有 超过 80%的系统都使用的是国外产品和技术,这些技术 和产品的漏洞不可控,将给控制系统留下巨大的安全隐 患。 而国内通用 IT 网络与工业控制网络存在巨大差异, 通 用 IT 的 安 全 解 决 方 案 无 法 真 正 满 足 工 控 领 域 的 需 求,工业控制系统的安全威胁,一触即发。
制计算机。 * 2008 年, 攻击者入侵波兰某城市的地铁系统 ,通
过电视遥控器改变轨道扳道器,导致 4 节车厢脱轨。 * 2010 年,“网络超级武器”Stuxnet 病毒通过针对性
的入侵 ICS 系统,严重威胁到伊朗布什尔核电站核反应 堆的安全运营。
* 2011 年 , 黑 客 通 过 入 侵 数 据 采 集 与 监 控 系 统 SCADA, 使得美国伊利诺伊州城市供水系 统的 供 水 泵 遭到破坏。