培训-石油石化工业控制系统网络安全

石油石化工业控制系统网络安全介绍目录公司简介01020304工业控制网络相关概念工业控制网络安全现状工业控制网络安全标准公司介绍01公司简介匡恩网络成立于2014年5月，总部位于北京，在上海、杭州、深圳等14个城市设有多个子公司和区域中心覆盖工业控制系统全生命周期的系列产品，包括11个产品线拥有专利和著作权超过70项，超过150项知识产权注册因为专注，所以专业公司理念专注专注于解决工控系统的网络安全问题，全力打造自主、可控、安全的硬件和软件平台，提供全生命周期的安全服务解决方案。创新匡恩网络倡导基于工控网络本质需求的创新，并拥有40多项专利和大量软件著作权，不断开拓工控安全前沿技术合作匡恩网络是一个开放的平台，致力于推动工业控制与网络安全理念的整合，希望与行业合作伙伴和专家广泛合作，携手共建国家基础网络安全。网络安全情况通报平台信息报送单位网络安全公众体验展优秀展示案例中央网信办2015年智能制造专项支持工信部首批重点实验室国家242项目支持国家互联网应急中心项目支持工信部信息中心工控网络安全培训合作工信四所“工控网络安全标准验证系统”项目工信部公安部国家网络与信息安全信息通报机制技术支持单位工控网络安全通报直送单位承担保密技术任务北京市公安局“北京市网络与信息安全通报中心”技术支撑单位公安部十三五规划参与单位工业信息化产业联盟副理事长单位中国信息安全测评中心检测设备和监测审计设备合作发改委3-2EnterYourTitle政府和行业高度认可ISO9001质量管理体系认证信息安全风险评估服务资质（三级）信息系统安全集成服务资质（三级）公安部销售许可/军用销售许可证书中国网络安全产业联盟副理事长单位中关村高新技术企业2015年度中国信息安全铁路行业优秀解决方案2015年度中国信息安全自主可控优秀平台奖2015年度中国信息安全最具影响力企业奖2015创新产品奖(匡恩IAD智能保护平台)-第十三届中国自动化年度评选2015发展突破奖-第十三届中国自动化年度评选2015优秀展示方案奖-第二届国家网络安全宣传周公司资质引领工控网络安全国家标准全国工业过程测量和控制标准化技术委员会12015承担国际标准转化的任务参与集散控制系统（DCS）安全防护、管理、评估、检测等多项国家在研标准搭建攻防演示系统和检测平台243全国信息安全标准化技术委员会公安部其他行业参与工业控制领域信息安全等保标准修订工作：包括工控安全设计技术指南和测评要求2015年承担工控系统漏洞检测、监测安全、安全隔离与信息交换系统安全技术要求等三项标准项目参与编制：工控专用防火墙和审计产品安全技术要求参与军用标准工控防火墙规范制定作为主要技术单位参与《城市轨道交通工业控制系统信息安全技术要求》国家标准编制参与公安行业标准《信息安全技术工业控制安全管理平台安全技术要求》匡恩网络产品体系-软硬件产品防护产品检测产品漏洞挖掘检测平台威胁评估平台其他产品监测审计平台安全监管平台IAD智能保护平台数据采集隔离平台工控卫士U宝UBO数控审计保护平台工业以太网交换机匡恩网络产品体系-教育培训匡恩学院政府及事业单位行业企业各地经信委各测评机构各研究机构信息安全人员院校学院生产管理人员高等学校高职高专客户细分工控网络安全意识工控网络安全认证售后培训项目交付认证培训就业辅导需求分析工控网络安全意识课程的开发及交付工控网络安全认证课程的开发及交付职责定义标准课程工控网络安全认证工控网络安全基础工控网络安全技术工控网络安全防护意识工控安全项目售前及售后培训工控网络安全演练及实操推广工业控制网络安全理念、知识打造安全高效的工业控制网络环境根据不同行业、不同特点需求，开展有针对性的定制性培训

工控网络基础培训工控网络安全培训信息安全培训工控网络系统知识工控网络系统组成单元工控各系统介绍工控网络协议知识工控厂商产品知识工控网络安全事件分析工控网络安全攻击手段工控网络安全防御手段工控网络安全标准安全漏洞开发利用信息安全保障基本知识恶意代码与安全漏洞信息网络安全攻击防护信息安全管理体系信息安全标准介绍信息安全团队自动化工控仪表团队广泛联合行业合作伙伴、专家和研究机构共同打造工控网络安全知识共享平台——匡恩学院。匡恩网络产品体系-评估检测

专业的风险评估漏洞挖掘及验证安全实验室搭建高仿真对抗平台工业控制网络安全数据库工业控制网络入侵诱捕平台评估检测是通过专业的服务帮助企业及科研机构认识、研究工业控制网络的脆弱性及安全威胁，为安全防护提供依据及指导。期待与您的合作共同打造中国工业控制网络安全工业控制网络相关概念02工业控制系统概念工业控制系统（以下采用简称：IndustrialControlSystem），是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的，实现工业设施自动化运行、过程控制与监控的业务流程管控系统。对工业生产过程安全（safety）、信息安全（security）和可靠运行生产作用和影响的人员、硬件和软件的集合。工业控制系统名词解释是一种可以被编程，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程的控制器。在国内自控行业又称之为集散控制系统。是相对于集中式控制系统而言的一种新型计算机控制系统，它是在集中式控制系统的基础上发展、演变而来的。SCADA系统是以计算机为基础的DCS与电力自动化监控系统；它应用领域很广，可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。负责对现场信号、工业设备的监测和控制，是构成企业综合自动化系统的核心装置，通常由信号输入/出模块、微处理器、有线/无线通讯设备、电源及外壳等组成，由微处理器控制，并支持网络系统。它通过自身的软件(或智能软件)系统，可理想地实现企业中央监控与调度系统对生产现场一次仪表的遥测、遥控、遥信和遥调等功能。工业控制系统（IndustrialControlSystem简称：ICS）是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的，实现工业设施自动化运行、过程控制与监控的业务流程管控系统。可编程逻辑控制器（ProgrammableLogicController简称：PLC）分布式控制系统（DistributedControlSystem简称：DCS）数据采集与监视控制系统(SupervisoryControlAndDataAcquisition简称：SCADA)，远程终端单元(RemoteTerminalUnit简称RTU）工控系统网络涵盖范围战略决策层:商业计划和物流管理/

工程系统经营管理层:系统管理/监视控制生产控制层:监控功能/现场监测和现场显示现场控制层:保护和现场控制设备现场执行层:传感器和制动器公司办公网络局域网/广域网/非军事区监控网络过程控制层输入/输出网络工业控制系统web应用客户端工业控制系统商业应用客户端公司主机商用

服务器冗余

数据库服务器ICCP服务器OPC服务器信息数据库应用服务器远程接入和工程访问历史数据库监视控制显示系统实时数据库通信处理远程终端设备（RTU）分散控制器（DCS）可编程控制（PLC）温度传感器压力

传感器继电器Level4Level3Level2Level1Level0采油厂工控拓扑图工控网络与传统信息网络的区别大量的工控系统采用私有协议工控网络安全误报等同于攻击无法像办公网或互联网那样

通过补丁来解决安全问题不同于互联网和办公网的频繁变动工控系统运行环境相对落后工业控制网络1.网络通讯协议不同2.对系统稳定性要求不同3.系统运行环境不同4.更新代价高5.网络结构和行为稳定性高工业控制网络安全与传统信息网络安全要分而待之分而治之工业控制网络安全现状03伊朗核电站事故控制系统传感器、变送器、执行机构损坏离心机正常Stuxnet散布到互联网，感染计算机和U盘带有Stuxnet的U盘，插入ICS计算机，传染给控制系统网络找到西门子控制系统软件”WinCC“后，利用其漏洞，替换原有S7otbxdx.dll文件借助WinCC软件，向西门子控制器PLC注入恶意控制程序DB890PLC向离心机发送恶意控制指令，使其超速；向控制室发送欺骗性的“正常”数据乌克兰电网遭受病毒攻击事件2015年的最后一周，乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电12月23日，伊万诺-弗兰科夫斯克地区，有超过一半的家庭（约为140万人）遭受了停电的困扰整个停电事件持续了数小时之久病毒关闭生产控制大区的控制服务器，使得二次信息系统丧失对物理设备的感知和控制能力，导致部分设备运行中断而大面积停电。删除关键系统数据，监控设备无法启动洪泛攻击电网的客服电话，导致技术支持部门处于瘫痪状态延长供电恢复的时间扩大影响钓鱼邮件点击Office附件感染办公电脑查找HMI设备，渗透扩散到生产网执行关机潜伏到特定时间土耳其石油管道发生爆炸2014年12月4日土耳其境内的伊拉克向土耳其输送原油的输油管道爆炸。

为了监控从里海通向地中海的1099英里的石油管道内的每一步，这条管道内安装了探测器和摄像头，然而在爆炸将管道破坏前，却没有引发一个遇险信号。黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。通过视频网控制视频服务器控制报警管理服务器、关闭警报控制操作员站控制阀门、增加管道压力通过另一个网的视频查看到有两名黑客出现在石油管道附近造成石油管道爆炸国内石化工控安全事件“夜龙”工控蠕虫入侵了5家跨国石油天然气工控系统，窃取了投标及SCADA运作数据。2011年齐鲁石化、大庆石化ICS上位机先后感染Conficker病毒，造成控制系统服务器与控制器中断；“匡恩网络”在部分军工企业检测发现Win32.Sality病毒，在石油石化、钢铁企业检测发现Conficker病毒。某ICS供应商员工将其研发的伪造成“打印服务”的病毒植入提供给中石油华东公司的工控系统中，导致系统无法运行，而后其提出有偿修复从而进行敲诈，一年后其行为才被发现，并被追究法律责任；“火焰”病毒蔓延，主要收集伊朗石油部门的商业情况。2011年2012年2012年2015年安全事件频发2015年11月17日晚6时30分许，辽宁抚顺东洲区一化工厂发生一起爆炸起火事故。2015年11月24日晚21点03分，石家庄开发区某化工厂发生爆炸2015年8月5日下午14时40左右，江苏常州一化工厂爆炸，两个甲苯类储罐爆燃2015年7月16日7时38分，山东日照石大科技石化有限公司1000立方米液态烃球罐起火2015年4月6日18点55分左右福建古雷PX化工厂发生大爆炸2014年4月16日10时左右，江苏省南通市如皋市东陈镇双马化工有限公司爆炸8人死亡2013年12月1日18时35分，沈阳三木化工有限公司发生爆炸2人死亡2013年6月2日14时30分许，中石油大连石化分公司发生爆炸2人死亡2012年2月28日9时许，河北赵县一化工厂爆炸25死4失踪工控安全事件能源【150523】中石化华东公司SCADA系统被侵入事件【150301】某石化企业感染conficker蠕虫病毒【150402】赛门铁克发现Laziok能源行业木马程序【140701】EnergeticBear黑客组织攻击电力【160127】以色列电网遭有史以来最大规模网络攻击，电力服务器关闭【151223】乌克兰电力网络受黑客攻击【150301】中国南方某电力公司感染Welchia蠕虫病毒【140701】火电厂入侵事件冶金、军工、水利等工控网络安全危及国家安全黑客远程入侵智能汽车，汽车也可能随时”遭遇“恐怖袭击”数控机床关键数据被窃取，损失难以估量德国钢厂熔炉控制系统受攻击，导致熔炉无法正常关闭黑客入侵药泵，输出致命剂量，危害人身安全污水处理厂遭非法入侵，污水直接排入自然水系电厂遭USB病毒攻击，大量机密数据泄漏代码即武器，美国政府控制漏洞市场冶金工控网络安全智能制造卫生事业智能移动电力水处理军事工控网络安全事件发展趋势工控安全事件增长快速，且主要集中在能源行业（59%）与关键制造业（20%）工控安全事件所涉及的重要行业及分布

从图中可知能源行业相关的安全事件则高达151件，接近所有事件的三分之二。这与以电力为主的能源行业对于现实社会的重要性及其工控系统的自动化程度、信息化程度较高也有相当的关系。国内工控系统面临高危风险暴露在互联网上的西门子PLC设备分布情况中高危漏洞数量居高不下漏洞补丁不及时数据来源：CNVD2015年新增工控漏洞数据来源：匡恩网络2015年统计数据数据来源：CNVD2015年新增工控漏洞数据来源：匡恩网络2015年统计数据暴露在互联网上的VxWorks系统主机有16,202个其中11304个运行FTP服务，占总数的70%；其中4291个运行SNMP服务，占总数的26%。无补丁，32,30%有补丁，76,70%工业控制系统网络威胁来源随着“工业4.0”时代的来临和“两化融合”脚步的加快，越来越多的网络安全隐患被带入了工业控制系统工业网络病毒无线技术应用的风险高级持续性威胁（APT）外国设备后门工控设备高危漏洞工业控制网络“工业4.0”

“两化融合”五大威胁——外国设备后门供应商系统数量所占市场份额横河28531.81%霍尼韦尔24427.23%英维斯9110.16%艾默生626.92%浙大中控616.81%和利时596.58%其它9410.49%合计896100%石化行业DCS系统供应商市场份额统计国外设备在石化行业工控系统市场占有率依然很高！外国设备后门广泛存在应用于我国西气东输调度网络系统施耐德PLC被爆出存在漏洞后，施耐德推出了修复该漏洞的固件版本，版本仍存在默认密码后门，通过该后门可以进入固件根目录，能对所有文件进行上传下载，注入恶意代码上传至远程设备。外国设备后门广泛存在2015年，日本通过在其出售给中海油公司的工控设备设置后门，实时监控中海油在南海某海上钻井平台石油开采量，致使我外交处于被动地位。外国设备后门带入的威胁后门的来源外国设备大量应用为什么存在后门远程维护需求后门的威胁旁路控制拒绝服务信息泄露五大威胁——工控网络病毒随着两化融合的推进，互联网技术以其卓越的便捷性快速融入各行业，电力行业也不例外，为病毒的快速传播也建立了更多的通道。工控网络病毒发展趋势2010年Stuxnet病毒精准打击2011年Duqu病毒战术情报

收集渗透潜伏2012年Flame病毒战略情报

采集渗透潜伏2014HAVEX沙虫战略情报

采集渗透潜伏2015“方程式组织”战略情报采集渗透潜伏病毒带入的威胁Stuxnet修改西门子控制器所连接的变频器检测变频器的工作状态改变变频器的工作参数欺骗控制中心Duqu多模块组合的病毒安置后门收集工业控制系统信息模块方式实施组合式攻击Flame记录语音、屏幕截图、键盘敲击、网络数据记录Skype语音通信开启蓝牙，下载周围设备的通信录旁路控制拦截/篡改拦截/篡改信息泄露非法使用窃听病毒带入的威胁HaveX感染SCADA和工控系统中使用的工业控制软件扫描OPC服务器实现不同C&C服务器之间的通信沙虫使用windowsOLE漏洞使用OFFICE作为攻击载体“方程式”攻击工业、军事、能源、通信、金融、政府等多种病毒组合攻击破坏、网络战旁路控制信息泄露信息泄露非法使用旁路控制五大威胁——无线应用随着无线技术的发展，无线技术以其卓越的便捷性快速融入各行业，石化行业也不例外。无线监测系统、无线通讯应用层出不穷，在无线技术广泛应用的同时，也为石化系统带来被入侵以及资料窃取的风险。无线应用引入的威胁旁路控制完整性破坏违反授权信息泄露拒绝服务摄像机RTU摄像机RTU工业交换机工业交换机无线网桥无线网桥摄像机RTU摄像机RTU工业交换机工业交换机无线网桥无线网桥无线网桥无线网桥无线网桥无线网桥井口井口采油大队采油大队············10M自控10M自控10M自控10M自控服务器3X200M自控1G办公&自控采油大队采油厂1G办公&自控五大威胁——APT以Havex为代表的新一代APT攻击将工业控制网络安全的对抗带入了一个新的时代手段更隐蔽变种更多民间组织发起传播速度更快攻击范围更广针对工控网络核心功能APT2.0特点Havex攻击流程篡改供应商网站，在下载软件升级包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端OPC服务器回应数据信息黑客采集获取的数据恶意间谍代码通过OPC协议发出非法数据采集指令124将信息加密并传输到C&C

（命令与控制）网站3576通过社会工程向工程人员发送包含恶意间谍

代码的钓鱼邮件1虽然Havex现在只是在收集信息，但是它的攻击路径决定了它完全有能力对工控系统进行破坏供应商官方网站工控网络OPC客户端OPC客户端OPC服务器OPC服务器生产线PLCPLC控制网络安全2.0时代APT2.0的攻击手段更先进，更隐蔽，攻击范围更广阔控制网络APT1.0时代控制网络APT2.0时代震网病毒Duqu病毒Flame病毒2010201120122014（上）2014（下）2015Havex沙虫方程式组织控制网络安全事件数量控制网络安全事件比例现有防护手段已经无法防御不断升级的网络攻击

基于信息网络安全的防护手段以及现有的工控网络防护手段在APT2.0时代的攻击面前已经成为“皇帝的新衣”。工业控制网络IT防火墙工业防火墙病毒查杀边界防火墙单向安全隔离网关、网闸“物理隔离”工控网络APT2.0时代攻击手段工控安全对抗形势及发展1、各国网军不断扩大，对抗升级2、民间黑客组织水平的不断提升3、背后巨大的商业利益驱动4、针对工业控制网络的恐怖袭击工控系统防御必须具有全球性视角国内外工控网络安全防护理念的演变历程

强调隔离物理隔离的变种，网关、网闸、单向隔离，隔离背后是脆弱的，现代高端持续性攻击都是针对隔离系统的以美国、以色列为代表，在国家层面注重攻击技术的研究、实验、突破和攻防演示实验室的建设，以攻击技术的提高，带动防御技术的提高，以攻击威慑力，换取安全性纵深防御体系由传统信息安全厂商提出的，大多数项目演变为信息安全产品的简单堆砌，不能完全适应工业网络安全的特点有工业控制系统内部生长的持续性防御适应工业控制网络的特点，通过基础硬件创新来实现，低延时，高可靠，可定制化，持续更新，简单化的实施和操作等以攻为守的国家战略没有网络安全就没有国家安全；没有信息化就没有现代化。

——习近平工业控制网络安全标准04国外工控网络安全标准IEC62443标准IEC/TC65（工业过程测量、控制和自动化）下的网络和系统信息安全工作组WG10与国际自动化协会ISA99委员会的专家成立联合工作组，共同制定IEC62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。目标是定义一个通用的、最小要求集以达到各级SALS（SecurityAssurancesLevels，SAL）的安全保障需求。IEC62443一共分为了四个部分，第一部分是通用标准，第二部分是策略和规程，第三部分提出系统级的措施，第四部分提出组件级的措施。SP800-82《工业控制系统（ICS）安全指南》SP800-82于2010年10月发布，是NIST依据2002年《联邦信息安全管理法》、2003年国土安全总统令HSPD-7等编制而成。它遵循《OMB手册》的要求“保障机构信息系统”，为联邦机构使用，同时允许非政府组织资源使用。该指南概述了ICS和典型的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在风险和影响水平的不同，指出了保障的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。国内工控系统网络安全标准体系制定进度《工业控制网络安全风险评估规范》

GB/T26333-2010《中华人民共和国网络安全法（草案）》《工业控制系统信息安全：评估规范》

GB/T30976.1—2014《工业控制系统信息安全：验收规范》GB/T30976.2—20142012201420152016第19页《工控系统信息安全等级保护规范（草案）》网络安全立法顶层设计第十七条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务；第二十六条