工业控制系统信息安全优秀解决方案

微型PLC
小型PLC
中型PLC
大型PLC
工业控制系统关键设备的发展
单片机 arm主板
工控机
可信计算机
笔记本
IPAD
手机
操作系统
工业控制系统关键设备的发展
组态软件
PLC编程软 件
计算机 硬件 系统(主板)
建立 可信链
计算机 软件系统 运行时
标识平台 身份
保护 密钥
可信计算机
可信密码模块 嵌入
解决当前核 心安全问题
控制系统依附于人的天性。严格的边界防御 可能被一个好奇的操作员\USB驱动器以及糟 糕的安全意识所绕过
PLC与RTU不是运行在现代的操 作系统之上，没有漏洞
PLC可以并且已经成为恶意软件感染的目标
因为工业控制系统不易获取，所 以针对他们制造有效攻击是不可 能的
针对工业控制系统的攻击动机、意图以及资 源都是存在的。
RE1：所有用户不能执行未授权的功能：例如工程师，操 作员等具有不同的权限（每个人都要有）
RE2：可以预先配置角色或有用户配置角色 1、浏览；2、操作员；3、控制应用工程师；4、控制系统 管理员； 5、操作主管。6、仪表技术员。
RE3：主管越权： 在生产出现重要事项的时候，控制系统支持双授权。
36
目录
是网络战中的“战术原子弹”而非 “弓箭”
Stuxnet利用漏洞来感染和 传播，他首先寻找西门子公 司的WICC和PCS7程序，通 过总线PROFIBUS注入木马， 使用默认SQL证书入侵PLC， 然后寻找变频器控制自动化 设备，搞破坏
16
认识观念被颠覆
以前的认识
从STUXNET学到的教训
控制系统可以与其他网络有效隔 离、消除网络事故风险
通讯
标准 通讯协议 主要是有线网络，本地的无 线功能 典型的IT网络
专用的和标准的通讯协议 使用多种类型的传输介质，包括专 用的有线和无线，网络是复杂的， 需要控制工程师的专业知识
32
IT 与 ICS 的区别
分类
IT系统
ICS工业控制系统
变更管理
在具有好的安全策略和程 序时，软件变更可以及时 应用，往往自动升级
信息安全规划，并得到最高管理者的认可； b) 工业控制系统规划中，是否明确该系统开发的组织机构、业务
变更的管理、开发优先级； c) 工业控制系统规划中，是否描述所有与该系统信息安全相关的
运行环境，包括物理和人员的安全配置，以及明确相关法规、 组织机构信息安全策略、专门技术和知识等。
在标准的 4.5：工业控制系统安全评估的内容概述中 4.5.3与其他安全措施的关联中 也得到说明
信息安全、物理安全和功能安全可能是密切相关的，在某种情况下其他 安全的措施有可能为信息安全提供独立保护，而附加的信息安全措施也可能 破坏其他安全措施的完整性。因此在具体风险评估的活动中，应考虑三者潜 在的相互作用及其影响后果
29
IT 与 ICS 的区别
分类 IT系统
ICS工业控制系统
性能需 求
非实时 响应必须是一致的 要求高吞吐量 高延迟和抖动是可以接受的
实时 及时响应 适度的吞吐量是可以接收的 高延迟和抖动是不能接受的
可用性 需求
重新启动的响应是可以接受的
可用性的缺陷是往往可以容忍 的
重新启动之类的响应可能是不能接受的 有些系统可能是需要冗余的 中断必须有计划和提前预定的时间 部署前需要详尽的测试
软件变更必须进行彻底的测试，以递增 的方式部署到整个系统，以确保系统的 完整性，ICS的中断必须有计划，并提前 预定时间。
管理支持 允许多元化的支持模型 服务支持通常是依赖单一的供应商
设备寿命 3-5年
15-20年
设备访问
设备通常在本地，可以方 设备大多是隔离的，远程的需要大量的
便的访问
人力物力才能获得对其的访问
28
ICS 与 IT
起初，ICS与IT系统并无相似之处，随着ICS采用广泛使用 的、低成本的互联网协议（IP）设备取代专有的解决方案，以 促进企业连接和远程访问能力，并正在使用行业标准的计算机、 操作系统（OS）和网络协议进行设计和实施，它们已经开始 类似于IT系统了。但是，ICS有许多区别于传统IT系统的特点， 包括不同的风险和优先级别。
统、以太网 工业控制系统由封闭性向开放性演进 互联网、物联网技术发展，工业化与信息化融合，有线
网络与无线网络融合 工业控制系统有硬件到软件演进： 机械化、电气化、自动化、智能化
希 按照我们的 望 意愿执行
担 心
不执行
害 乱执行
7
怕
断路器
工业控制系统关键设备的发展
智能断路器
软启动
变频器
① 缺乏认证 ② 没有加密 ③ 没有消息检验 ④ 没有广播抑制 ⑤ 可编程性
21
22
MODBUS通讯解决方案
解决方案
建立明确的分区
01 02
创建白名单
ห้องสมุดไป่ตู้
03 04
使用Modbus签名机制 05
建立标准的合法行为 对Modbus会话进行校验
Modbus TCP通讯安全解决方案
区域可信网关
23
24
解决方案
2优秀解决方案（一） 风险评估--全生命周期风险管理
2015-9-10
电话:400-0351-150
网址:www.sxkeda.3c7om
风险评估--全生命周期风险管理
规划阶段
设计阶段
废弃阶段 运维阶段
实施阶段
38
风险评估--全生命周期风险管理
全生命周期风险管理
信息系统在安全设计的策略上应根据生命周期的各个阶段的特点有所 侧重的进行。
管理需 求
数据的保密性和完整性是重要 的，临时停机不是一个最主要 的风险
主要的风险影响是操作业务的 延迟
人身安全是最重要的，其次是过程保护
容错是必不可少的，即使瞬间的停车也 是无法接受的
主要的风险影响是环境的破坏、生命、
设备、财产损失
30
IT 与 ICS 的区别
分类
IT系统
ICS工业控制系统
未预期的 安全解决方案围绕典型的 安全工具必须先测试，以确保他们不会
4
常用的工业控制系统
监控和数据采集系统(SCADA)
工
业
控
制
• 分布式控制系统（DCS)
系
统
可编程逻辑控制器（PLC)
WINCC step7 S7-300 变频器 组态王 IFX RTU
5
工控网络的演变
不断演变的结果
6
工业控制系统的安全需求
工业控制系统由专用性向通用性演进 大量采用IT通用软件和硬件：如PC操作系统、数据库系
优优秀秀解解决决方方案案（（四四））--------------------------纵纵深深防防御御
01 02 03 04 05
2
目录
1工业控制系统信息安全需求
2015-9-10
电话:400-0351-150
网址:www.sxkeda.c3om
3
前言
随着计算机和网络技术的发展，信息化与工业化深度融合以及物 联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用 硬件和通用软件。网络化又将嵌入式技术、工业控制网络互联、无线 技术等技术融合进来，从而拓展了工业控制的发展空间，带来新的发 展机遇，同时也带来了工业控制系统的信息安全等问题。
有防火墙和入侵检测与防御系统 就已经足够了
使用多重漏洞来部署的针对性攻击，意味着 “黑名单”点防御不再够用，要考虑将“白 名单”防御作为全面防御未知攻击的手段
17
要阻挡一名黑客，你要向黑客一样的思考
Stuxnet一个用于网络战的新武器
典型工业网络协议
世界范围内的过程控制系统（DCS/PLC/PCS等）及SCADA系统 广泛采用信息技术， TCP/IP、现场总线技术、OPC等技术的应用使 工业设备接口越来越开放，减弱了控制系统及SCADA系统等与外界的 隔离。导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散， 直接影响了工业稳定生产 。
解决方案
煤炭自动化系统常用的环形网络
OPC
OPC（用于过程控制的OLE）被广泛应用在控制系统中，用于提供 不同供应商的设备和软件之间的互操作性。
OPC协议基于微软的DCOM协议，DCOM协议是在网络安全问题 被广泛认识之前设计的。因此，这些协议给那些希望能确保控制系统安 全性和可靠性的工程师带来了极大的挑战。
可信链
抵御病 毒攻击
BIOS 自检
主引导区 OS装载器 OS内核 可信
加电
服务 及可
认证控制模块 可信密码模块
密码处理模块
信应 用
模块内产生一对密钥
权威签发数字证书
识别假 表征平台可信身份 冒平台
保护数据的密钥密封在密码模块内
盗取密钥不可行; 受保护数据拷不走;
手机
手机在方便人们交流沟通的同 时也变成--------新的攻击工具
33
看不见的变化 其中隐含着很大的风险
如果开发环境与运行环境在一台计算环境，可能引起非故意的信息更改34
看不见的变化 其中隐含着很大的风险
不符合标准
根据标准：5.6.1.4 开发、测试、运行设施应分离
不符合标准
运行环境
运行环境 开发环境
开发环境
35
使用 控 制
SR2.1授权的执行：不能执行未授权的功能
工业控制系统信息安全 优秀解决方案
1
目录
工工业业控控制制系系统统信信息息安安全全需需求求 优优秀秀解解决决方方案案（（一一）） 风风险险评评估估------全全生生命命周周期期风风险险管管理理
优优秀秀解解决决方方案案（（二二））--------------------------数数据据加加密密 优优秀秀解解决决方方案案（（三三）） ----------------工工控控信信息息安安全全科科学学管管理理
后果
IT系统进行设计
影响ICS的正常运行
时间紧迫 的交互
紧急交互不太重要 可以根据必要的安全程度 实施严格限制的访问控制
对人和其他紧急交互的响应是关键，应 严格控制对ICS的访问，但是不能妨碍 或干扰人机交互
操作系统
系统被设计为使用典型的 操作系统，采用自动部署 工具使得升级非常简单
可能是专用操作系统，往往没有内置的 安全功能，软件变更必须小心进行，通 常是由软件供应商操作，专用的额控制 算法可能还要修改配套的相关硬件31
例如：在在工业网络的漏洞扫描时：快速联系的主动扫描可能会导致工业网 络的崩溃，这和工业网络协议对延迟及延迟变化（抖动）是敏感的因素相关
14
认识观念被颠覆
我本人从事 工业自动化控制系统 工作 二十多 年，对于工业自动化控制系统的信息安全的认识也经历 了观念的几次转变
不可能
有可能
很可能
15
Stuxnet一个用于网络战的新武器
11
12
工业控制系统的特点
封闭性：现在运行中的ICS系统的设计之初安全机制不完善 多样性： 多种数据接口(如：RJ45\RS485\RS232等）协议规约多样 复杂性： 专用的通讯协议或规约（如OPC、MODBUS 、Profibus等 不可改变性：工控系统程序升级困难
13
工业控制系统的特点
在规划阶段，确定系统的安全目标 在设计阶段，确定系统的安全功能 在实施阶段，确定系统的安全目标达成与否 在运维阶段，确定安全措施的有效性，确保安全目标得以实现 在废弃阶段，把废弃资产对系统、机构、人员的安全影响程度降为0
39
风险评估--全生命周期风险管理
一、规划阶段的风险评估
识别系统的业务战略，确定系统的安全目标： 评估要点：3/5 a) 是否依据相关规则，建立了与业务战略相一致的工业控制系统
IT 与 ICS 的区别
分类
IT系统
ICS工业控制系统
体系架构
首先焦点是保护IT资产，以 及这些资产上存储和相互传
安全焦点 输的信息
中央服务器是保护的重点
首先保护的重要的关联大型与重要 设备
中央服务器也很重要。
资源限制
系统被指定足够的资源来支 持附加的第三方应用程序
系统资源是根据控制需求定制的， 可能没有足够的内存和计算资源支 持附加的安全功能
19
典型工业网络协议
工业网络协议是一种实时通讯协议、实现工业控制系统的系统、接口与 设备之间的互联。如：Modbus OPC等
Modbus ：历史悠久、被广泛使用、改进发展成为集中不同的衍生变种
MODBUS协议工作机理
20
工业网络协议
MODBUS安全问题
1、MODBUS RTU：支持在串行总线上二进制传输 2、MODBUS ASCII：支持在串行总线上 ASCII传输 3、MODBUS TCP:用于现代IP网络上的MODBUS衍生变化 4、MODBUS PLS：通过使用互联总线来扩展MODBUS通讯 范围的衍生变化。
OPC客户端
OPC服务器
数据源
建立连接
请求 [OPC 对象]
响应 [OPC 对象值]
与设备通过 本地协议通信
27
OPC安全问题
OPC KD 安全软插件可以动态跟踪OPC服务器分配的OPC数据 连接的端口号。最低限度的打开通讯所需的防火墙的端口，允许数据 连接通过，同时关闭所有未使用的端口。因此，OPC KD软插件能够 对使用OPC协议的系统提供有效 的防火墙保护。OPC数据连接将 畅通无阻地通过安全模块（SA） ，而任何异常通讯和恶意通讯都 将被阻挡