02 工业控制系统网络安全形势及政策标准_第1页
02 工业控制系统网络安全形势及政策标准_第2页
02 工业控制系统网络安全形势及政策标准_第3页
02 工业控制系统网络安全形势及政策标准_第4页
02 工业控制系统网络安全形势及政策标准_第5页
已阅读5页,还剩45页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

工控安全形势及政策标准工业控制系统网络安全形势01目录CONTENTS国内工控安全政策及标准02棱镜门自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。我叫爱德华·斯诺登,29岁,我曾经在美国中央情报局担任过技术助理职位。”电脑没有连接互联网的条件下,神不知鬼不觉地对其保持监控能力、盗取其资料甚至对其发送恶意软件进行网络攻击。量子计划斯诺登棱镜工业控制网络工业网络

病毒“工业4.0”“两化融合”工控设备高危漏洞无线技术应用的风险外国设备

后门高级持续性威胁(APT)工业控制系统网络威胁来源工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段(如防火墙、病毒查杀等)无法有效地保护工控网络的安全网络通讯协议不同大量的工控系统采用

私有协议对系统稳定性要求高网络安全造成误报

等同于攻击更新代价高无法像办公网或互联网那样通过

补丁来解决安全问题网络结构和行为稳定性高不同于互联网和办公网的

频繁变动系统运行环境不同工控系统运行环境

相对落后工业控制网络工控网络与互联网和办公网有本质的区别自2010年伊朗“震网”事件后,CNVD每年收录的工控漏洞数量始终处于高位,2014年共收录工控漏洞147个(包含自主挖掘零日漏洞12个),其中高危漏洞有74个,占比在50%以上军工企业工控行业漏洞最为相关的厂商包括:Siemens、HAAS、FANUC、DMG…2013年7月,CNVD建立起基于重点行业的子漏洞库,目前包括:政府部门、基础电信运营商、工控行业客户等。工控系统安全漏洞不断受到关注。工业控制网络漏洞始终处在高位,涉及多个工控厂商2014年新增漏洞所涉及的工控产品分类分析Stuxnet病毒Stuxnet病毒攻击过程示意控制系统传感器、变送器、执行机构企业管理网生产控制网现场控制网互联网损坏离心机正常Stuxnet散布到互联网,感染计算机和U盘带有Stuxnet的U盘,插入ICS计算机,传染给控制系统网络找到西门子控制系统软件”WinCC“后,利用其漏洞,替换原有S7otbxdx.dll文件借助WinCC软件,向西门子控制器PLC注入恶意控制程序DB890PLC向离心机发送恶意控制指令,使其超速;向控制室发送欺骗性的“正常”数据其他伊朗公司中间目标伊朗核电站步骤1:利用技术和管理漏洞,多重摆渡渗透,突破传统物理隔离步骤2:利用系统漏洞,长期潜伏伪装、有条件时激活步骤3:充分利用漏洞,实现复杂分步攻击.利用漏洞渗透破防长期潜伏远程激活明确目标精准攻击“震网病毒”的技术特点利用包括MS10-046、MS10-061、MS08-067等7个最新漏洞进行攻击。其中,有5个是针对windows系统,2个是针对西门子SIMATICWinCE系统。前三个是“0day漏洞”漏洞利用2.打印机后台程序服务漏洞(MS10-061)1.快捷方式文件解析漏洞(MS10-046)3.尚未公开的一个提升权限(Epos)漏洞4.微软发现的另一个与Epos类似的提权漏洞5.RPC远程执行漏洞(MS08-067)6.SiemensSIMATICWinCE默认密码安全绕过“震网事件”之漏洞利用2014年新增漏洞的威胁分类及占比分析五大威胁——外国设备后门2013年底-2014年初,某军工企业在广州采购了大批的高端数控机床运到兰州,到兰州开机后却无法运行,被锁住了,企业在与广州的代理厂商沟通后,代理厂商质疑的机床采购地点在广州,操作使用地点在兰州,需要报备申请才可以使用。后门的来源外国设备大量应用为什么存在后门远程维护需求后门的威胁旁路控制拒绝服务信息泄露外国设备后门带入的威胁随着两化融合的推进,互联网技术以其卓越的便捷性快速融入各行业,为病毒的快速传播也建立了更多的通道。五大威胁——工控网络病毒现在已经有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了Havex。我们怀疑还会有更多类似的情况,但是尚未确定。这三家公司都是开发面向工业的设备和软件,这些公司的总部分别位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件。利用系统漏洞,直接将恶意代码植入包含恶意代码的钓鱼邮件在被入侵厂商的主站上,向用户提供包含恶意代码的升级软件包病毒传播途径HAVEX病毒安全研究人员发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,这种恶意软件已被用在很多针对国家基础设施的网络攻击中。

就像著名的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、

使核电站过载、甚至有能力关闭一个地区和国家的电网。???篡改供应商网站,在下载软件升级包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端OPC服务器回应数据信息黑客采集获取的数据恶意间谍代码通过OPC协议发出非法数据采集指令124将信息加密并传输到C&C

(命令与控制)网站3576通过社会工程向工程人员发送包含恶意间谍

代码的钓鱼邮件1虽然Havex现在只是在收集信息,但是它的攻击路径决定了它完全有能力对工控系统进行破坏Havex攻击路径概述供应商官方网站工控网络OPC客户端OPC客户端OPC服务器OPC服务器生产线PLCPLCStuxnet修改西门子控制器所连接的变频器检测变频器的工作状态改变变频器的工作参数欺骗控制中心Duqu多模块组合的病毒安置后门收集工业控制系统信息模块方式实施组合式攻击Flame记录语音、屏幕截图、键盘敲击、网络数据记录Skype语音通信开启蓝牙,下载周围设备的通信录旁路控制拦截/篡改拦截/篡改信息泄露非法使用窃听病毒带入的威胁HaveX感染SCADA和工控系统中使用的工业控制软件扫描OPC服务器实现不同C&C服务器之间的通信沙虫使用windowsOLE漏洞使用OFFICE作为攻击载体“方程式”攻击工业、军事、能源、通信、金融、政府等多种病毒组合攻击破坏、网络战旁路控制信息泄露信息泄露非法使用旁路控制病毒带入的威胁随着无线技术的发展,无线技术以其卓越的便捷性快速融入各行业,军工行业也不例外。某些重要军工企业单位依赖国外维护人员在维护DMG,通过维护人员平板直接连接数控机床进行调试,不需要物理链路直连,采用无线模块在近距离连接直接调试。五大威胁——无线应用无线应用引入的威胁数控机床采用通信模块是发展的趋势,而在德国在2013年汉诺威工业博览会上由德国“工业4.0小组”提出了工业4.0的概念,也就是在2014年后,德国的高端机床配置无线通信模块(2014);旁路控制完整性破坏违反授权信息泄露拒绝服务

27-数控网络无线入侵部分智能手机通过数据线连接计算机后,能作为移动存储介质被计算机识别到,因此智能手机也能够当作U盘进行数据的传输、存储,另外人员的安全意识的不足或者误操作而导致病毒/木马通过智能手机的存储介质进行传播及数据窃取。工控安全事件—制造业美国13家汽车厂感染蠕虫病毒被迫关闭2015年,美国13家汽车厂感染蠕虫病毒被迫关闭,在Zotob蠕虫感染安全事件中,尽管在互联网与企业网、控制网之间部署了防火墙,但还是有13家美国汽车厂由于蠕虫感染5万名生产线工人被迫停止工作,经济损失超过140万美元。法国雪铁龙前员工报复关闭应急警报系统1992年,法国雪铁龙前员工报复关闭了22个州应急警报系统,直到一次紧急事件发生之后才被发现。高端设备爆出安全事件此进口高端空气压缩机及中央空调系统在国内的部署极为广泛,某企业现场测试发现其内置GSM通信模块,通过数据通道与其国外公司总部直接进行连接,可远程开关机及采集运行数据等,形成非常严重的非法外联途径。某进口高端空气压缩机及中央空调系统存在严重非法外联行为以Havex为代表的新一代APT攻击将工业控制网络安全的对抗带入了一个新的时代201020112012工控网络安全APT1.0时代工控网络安全APT2.0时代震网病毒Duqu病毒Flame病毒2014上半年Havex201020112012201339140197256被攻击行业比例统计工控网络安全事件数量统计石化23%电力20%水利17%核工业17%交通13%制造10%2014下半年沙虫病毒2015方程式组织工业控制网络安全的对抗已经进入APT2.0时代面对APT2.0时代的威胁,我们必须打造针对工控网络的新一代防御体系手段更隐蔽变种更多由民间组织发起传播速度更快针对工控网络核心功能加密传输利用多种C&C服务器作为中转站通过合法指令窃取非法数据发现版本已经超过88种更多的版本和变种正在出现传播手段不可预测传播途径不可控更容易被恐怖分子获得和利用全球存在传播介质背后有巨大的利益驱动传播中迅速变种2013年Havex攻击领域主要为国防、航空行业2014年Havex主要攻击领域已经转向能源行业此病毒正表现出向其它行业蔓延的强烈趋势攻击手段以工控网络固有特性为出发点针对工控网络安全保护缺陷、盲点而设计更贴近工控网络的核心业务

本质和协议APT2.0

攻击攻击范围更广以Havex为代表的APT2.0时代攻击的特点工控安全事件增长快速,且主要集中在能源行业(59%)与关键制造业(20%)工控网络安全事件发展趋势

从图中可知关键制造行业事件达到50件,占了所有事件的1/5,仅次于关系国计民生的能源行业。工控安全事件所涉及的重要行业及分布黑客远程入侵智能汽车,汽车也可能随时”遭遇“恐怖袭击”数控机床关键数据被窃取,损失难以估量德国钢厂熔炉控制系统受攻击,导致熔炉无法正常关闭黑客入侵药泵,输出致命剂量,危害人身安全污水处理厂遭非法入侵,污水直接排入自然水系电厂遭USB病毒攻击,大量机密数据泄漏代码即武器,美国政府控制漏洞市场冶金工控网络安全智能制造卫生事业智能移动智能电网水处理军事工控网络安全危及国家安全数据来源:2014年互联网网络安全报告工控系统已经成为当今网络部队、黑客、民间组织、极端势力等网络精准打击和数据窃取的重要目标工控系统成为被攻击的重要目标暴露在外的工控网络系统始终处于高位的高危漏洞收录日益增多的工控网络攻击事件成为主要被攻击对象的

重点行业(能源、关键制造行业等)工

控网

络基于信息网络安全的防护手段以及现有的工控网络防护手段在APT2.0时代的攻击面前已经成为“皇帝的新衣”。工业控制网络IT防火墙工业防火墙病毒查杀边界防火墙单向安全隔离网关、网闸“物理隔离”工控网络APT2.0时代攻击手段现有防护手段已经无法防御不断升级的网络攻击物理隔离的变种,网关、网闸、单向隔离,隔离背后是脆弱的,现代高端持续性攻击都是针对隔离系统的强调隔离由传统信息安全厂商提出的,大多数项目演变为信息安全产品的简单堆砌,不能完全适应工业网络安全的特点纵深防御体系由工业控制系统内部

生长的持续性防御体系

适应工业控制网络的特点,通过基础硬件创新来实现,低延时,高可靠,可定制化,持续更新,简单化的实施和操作等以攻为守的国家战略以美国、以色列为代表,在国家层面注重攻击技术的研究、实验、突破和攻防演示实验室的建设,以攻击技术的提高,带动防御技术的提高,以攻击威慑力,换取安全性国内外工控网络安全防护理念的演变历程战略决策层:商业计划和物流管理/

工程系统经营管理层:系统管理/监视控制生产控制层:监控功能/现场监测和现场显示现场控制层:保护和现场控制设备现场执行层:传感器和制动器公司办公网络局域网/广域网/非军事区监控网络过程控制层输入/输出网络工业控制系统web应用客户端工业控制系统商业应用客户端公司主机商用

服务器冗余

数据库服务器ICCP服务器OPC服务器信息数据库应用服务器远程接入和工程访问历史数据库监视控制显示系统实时数据库通信处理远程终端设备(IED)分散控制器(DCS)可编程控制器(PLC)温度传感器压力

传感器继电器Level4Level3Level2Level1Level0工业控制网络安全风险1、各国网军不断扩大,对抗升级2、民间黑客组织水平的不断提升3、背后巨大的商业利益驱动4、针对工业控制网络的恐怖袭击工控安全对抗形势及发展工控系统防御必须具有全球性视角经济安全问题引起生产质量、产量的下降,间接影响经济的正常运行;泄漏企业商业秘密公共安全问题引发严重的生产设施损害、环境灾难、人员伤害,

可与常规武器的损害相提并论国家安全问题泄漏国家战略产业、设施、物资的布局、生产、储备等秘密;工业控制系统的安全后果工业控制系统网络安全形势01目录CONTENTS国内工控安全政策及标准02没有网络安全就没有国家安全;没有信息化就没有现代化。

——习近平决策管理层利用数据仓库技术整合公司全产业链的关键数据和生产经营信息,实现数据挖掘、监控分析、统计查询和可视化展示,辅助高层科学决策和战略管理。经营管理层以ERP系统为核心整合各专业应用系统和综合管理系统关键信息,形成公司级的经营管理信息平台。生产运行层以供应链管理为核心,建立一体化完整的生产运行管理平台。操作执行层以生产物联网系统为基础,实现数据采集、传输、处理一体化,现场数据自动采集率大幅提高。ERP(EnterpriseResourcePlanning)PCS(ProcessControlSystem)MES(ManufacturingExecutionSystem)“两化”深度融合的趋势《关于加强工业控制系统信息安全管理

的通知》(451号)《工业控制网络安全风险评估规范》

GB/T26333-2010《中华人民共和国网络安全法(草案)》《工业控制系统信息

安全:评估规范》GB/T30976.1—2014《工业控制系统信息

安全:验收规范》GB/T30976.2—20142010201220142015工控系统网络安全国家政策趋势《工业控制系统信息安全-第1部分:评估规范》范围本部分规定了工业控制系统(SCADA、DCS,PLC,PCS等)信息安全评估的目标、评估的内容、实施过程等。本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用。规范性引用文件GB/T22081-2008信息技术安全技术信息安全管理实用规则(ISO/IEC27002:2005,IDT)IEC62443-3-3-2013工业过程测量和控制安全-网络和系统安全第3-3系统安全要求和安全等级(SL)《工业控制系统信息安全-第2部分:验收规范》本部分规定了对工业控制系统的信息安全解决方案的安全性进行验收的流程、测试内容、方法及应达到的要求。该方案可以通过增加设备或系统提高其安全性。本部分的各项内容可作为实际工作中的指导,适用于石油、化工、电力、核设施、交通、冶金、水处理、生产制造等行业使用的控制系统和设备。2014年2月27日,

中央网络安全和信息化领导小组宣告成立国家信息安全组织完成顶层设计副组长:李克强组长:习近平副组长:刘云山中央网络安全和信息化领导小组主要任务和意义:多头监管的时代

已经结束统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题;研究制定网络安全和信息化发展战略、宏观规划和重大政策;推动国家网络安全和信息化法治的建设;国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。中央网信办领导

小组将着眼国家

安全和长远发展第十七条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务;第二十六条国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门(以下称负责关键信息基础设施安全保护工作的部门)按照国务院规定的职责,分别负责指导和监督关键信息基础设施运行安全保护工作。第二十七条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。第三十二条关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。第四十九条因网络安全事件,发生突发事件或者安全生产事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律的规定处;第五一条关键信息基础设施的运营者不履行本法第二十七条至第二十九条、第三十二条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。在《反恐怖主义法》和《刑法》修正案九的制修订工作中纳入网络安全监管有关规定,大力推进依法

治网。2014年全国人大法工委组织国信办、工信部、公安部等有关部门大力加强我国网络安全立法顶层设计,开展《网络安全法》制定。《网络安全法》立法纳入全国人大2015年立法年度工作计划,7月6日,十二届全国人大常委会第十五次会议对网络安全法草案进行了分组审议,现面向社会公开征集意见,有望年底正式通过。《网络安全法》(草案)重要规定:网络安全立法顶层设计《网络安全法》(草案)从立法上的角度已经确定实施信息安全等级保护的法律地位,公安部门以后的执法力度将不断加强;等级保护将得到进一步完善:一、工作思路调整将传统的等级保护工作对象由信息、信息系统以及产品和事件延伸到对行业主管部门、系统运营使用单位网络安全工作的管理,对有关行业、部门、人员、网络设施、数据等对象进行全面管理,进一步明确有关部门的网络安全保护职责和要求,强化公安机关对网络安全重点单位的安全监管。二、健全完善制度体系在等级保护定级、备案、等级测评、安全建设整改和自查检查五项基本工作,进一步健全完善等级保护制度体系。将网络安全涉及到的安全审查、检测评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等相关工作要求全部纳入等级保护工作制度,并统称为网络安全等级保护制度。三、加强关键基础设施保护近年来,美国等发达国家在保护本国关键信息基础设施方面作了大量工作,借鉴其关键信息基础设施保护立法、组织机构和队伍建设、工作机制和防护策略等方面的先进经验和成熟做法,加强国家关键信息基础设施保护。信息系统等级保护细则将出台,执行将更坚决信息系统等级保护制度将更完善,并强调对基础设施的防护一、健全完善制度体系在等级保护定级、备案、等级测评、安全建设整改和自查检查五项基本工作,进一步健全完善等级保护制度体系。将网络安全涉及到的安全审查、检测评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等相关工作要求全部纳入等级保护工作制度,并统称为网络安全等级保护制度。二、加强关键基础设施保护近年来,美国等发达国家在保护本国关键信息基础设施方面作了大量工作,借鉴其关键信息基础设施保护立法、组织机构和队伍建设、工作机制和防护策略等方面的先进经验和成熟做法,加强国家关键信息基础设施保护。信息系统等级保护基本工作内容定级备案整改验收测评自查和检查运营单位自主测评机构协助其他的单位实施(根据整改的要求来定)运营单位自主定级测评机构协助测评机构实施运营使用单位配合测评机构实施运营使用单位配合运营单位自主备案测评机构协助运营单位自查行业主管单位定期检查公安机关定期检查物理安全网络安全主机安全数据安全对机房分区域管理,出入由专用设施进行控制,具备监控、防盗报警设施具备防雷设施,自动检测火灾、水灾发生并报警,有适当的灭火设备具备接地、防静电地板等防静电措施和自动调控温湿度的设施配备不间断电源和备份供电系统,设备的电磁屏蔽进行安全域划分,边界处具备防火墙、恶意代码防护、边界完整性保护、入侵检测等控制措施对网络设备运行、网络流量等基本情况进行记录、分析,并形成报表,保护

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论