2024年-pmscada安全案例和国内外研究现状学习课件

时间/年被攻击对象所属工业领域系统被攻击类型1992立陶宛Inalina核电站核工业1992雪福来报警系统制造业1994盐河工程能源SCADA系统1997纽约航空管理交通运输SCADA系统2000俄国天然气能源DCS系统2001加州电力传输电力SCADA系统2001澳洲污水处理厂水力SCADA系统2003换流站控制系统能源DCS系统2003CSX运输公司交通运输SCADA系统2003休斯顿渡口交通运输SCADA系统2003美国核电站核工业、电力DCS系统2005索科水库水力SCADA系统2005Zotob蠕虫安全事件汽车制造业DCS系统2005PLC控制器2006哈里斯堡污水处理厂水力SCADA系统2006美国BrowFerry核电站核工业、电力DCS系统2007加拿大水利系统水力SCADA系统2008南美电网系统电力SCADA系统2008美国电厂电力SCADA系统2008波士顿城市铁路交通运输SCADA系统2010震网病毒事件各个领域DCS系统2011石油化工能源、石化DCS系统1

事件详述能源、石油化工控制系统安全事件1994年，美国的亚利桑那州的盐河工程就被黑客成功入侵。2000年，黑客在加斯普罗姆(Gazprom)公司(俄罗斯国营天然气工业股

份公司)内部人员的帮助下突破了该公司的安全防护网络，通过

木马程序修改了底层控制指令，致使该公司的天然气流量输出一

度控制在外部用户手中，对企业和国家造成了巨大的经济损失。2001年，黑客侵入了监管加州多数电力传输系统的独立运营商计算机控

制系统。2003年，中国某换流站控制系统发现病毒，系为外国工程师在系统调试

中使用工作笔记本电脑上网所致。2008年，黑客入侵并劫持了南美洲某国的电网控制系统，敲诈该国政府，

在遭到拒绝后，攻击了电力传输系统，导致长时间的电力中断。2008年，在美国国土安全局的一次针对电力系统的渗透测试中，一台发

电机组在其控制系统遭到攻击后发生物理损害。22024/5/13水利控制系统安全事件2001年，澳大利亚昆士兰Maroochy污水处理厂由于内部工程师

的多次网络入侵(攻击SCADA系统)，该厂发生了46次不

明原因的控制

设备功能异常事件，导致数百万公升的污

水进入了地区供水系统。2005年，由于控制系统漏洞，导致位于路易斯安那州索克水库上

的水量监控数据与远程监控站获得的数据不符，致使意外

排放出10亿加仑的水。2006年10月，一部被感染的笔记本电脑(维修用的)，让黑客入侵了

美国宾夕法尼亚州哈里斯堡污水处理厂的计算机系统。被

感染的笔记本是通过互联网安装了病毒和间谍软件。这一

入侵攻击，致使该地区农作物的灌溉大受影响。2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过

安装恶意软件破坏了用于控制萨克拉门托河河水调度的控

制计算机系统。32024/5/13核工业控制系统安全事件1992年2月，立陶宛Inalina核电站的计算机中心员工因对管理当局不满，故意

在电厂控制程序内植入恶意程序(逻辑炸弹)，使控制系统功能异常。2003年，美国俄亥俄州的戴维斯-贝斯(DavisBesse)核电站进行维修时，

由于施工商在进行常规维护时自行搭接对外连接线路以方便工程师在厂

外进行维护工作，结果当私人电脑接入核电站网络时，将电脑上携带的 SQLServer蠕虫病毒传入核电站网络，致使核电站的控制网络全面瘫

痪，系统停机将近5小时。2006年8月，美国BrownsFerry核电站因其控制网络上的通信信息过载，导致控

制水循环系统的驱动器失效，使反应堆处于“高功率、低流量”的危险

状态，核电站工作人员不得不全部撤离，直接经济损失数百万美元。2010年6月，德国安全专家发现可攻击工业控制系统的震网病毒，截止9月底，

该病毒感染了全球超过45000个网络，其中伊朗最为严重，直接造成其

核电站推迟发电。震网病毒专门针对西门子公司的SIMATICWinCC监控

与数据采集(SCADA)系统进行攻击，通过直接篡改PLC控制代码实施。

而SIMATICWinCC监控与数据采集(SCADA)系统在中国的多个重要行业

应用广泛，如钢铁、电力、能源、化工等行业。42024/5/13交通控制系统安全事件1997年，一个十几岁的少年侵入纽约航空管理系统(NYNES)，干扰了航空与地面

通信，导致马赛诸

塞州的伍斯特(Worcester)机场被迫关闭6小时。2003年，CSX运输公司的计算机系统因为外接移动设备感染病毒，导致华盛顿特

区的客货运输中断。2003年，19岁的AaronCaffrey侵入休斯顿渡口的计算机控制系统，导致该系统

全面停机。2008年，一少年攻击了波兰罗兹(LodZ)市的城市铁路系统，用一个电视遥控器

改变了轨道扳道器的运行，导致4节车厢脱轨。制造业安全事件1992年，前雇员入侵雪弗莱报警控制系统，通过修改程序参数，关闭了该公司

位于22个州的应急警报系统，并直到一次紧急事件发生之后才被发现。2005年，在Zotob蠕虫安全事件中，尽管在因特网与企业网、控制系统网络之间

部署了防火墙，但还是有13个美国汽车厂(尤其是佳士拿汽车工厂)由

于被蠕虫感染被迫关闭，50000名生产工人被迫停止工作，直接经济损

失超过140万美元。52024/5/13工业控制系统和SCADA系统的信息安全漏洞和脆弱性分析平台配置的脆弱性：–对已知的OS、软件漏洞未提供相应补丁–OS与应用补丁缺乏维护–OS与应用补丁采用了默认配置，未经过彻底的测试–关键配置未备份–数据未受保护地存储在移动设备中–缺乏充分的口令策略，没有采用口令–口令泄露或者口令容易被猜中–缺乏备份电源–使用不充分的访问控制。62024/5/13平台硬件的脆弱性：–安全变更的测试不充分–关键系统缺乏物理防护–未授权的人员能够物理访问–对工控系统ICS设立不安全的进程访问–采用双网络接口卡连接多个网络–物理资产未经备案–缺乏备份电源，缺乏环境控制–关键配置缺乏备份72024/5/13平台软件的脆弱性：–缓冲区溢出–已安装的安全功能未被默认启用–对未定义/定义不清/非法的输入处理不当–采用不安全的ICS协议–采用明文–采用其资料能够公开获得的私有软件–缺乏针对配置与编程软件的有效认证与访问控制–未安装入侵检测与防护软件–未维护安全日志–发生安全事件而检测不到82024/5/13缺乏病毒及恶意代码的防护机制–未安装病毒防护软件及恶意代码防护程序–没有及时更新病毒库以及恶意代码库–病毒及恶意代码防护系统没有得到充分测试缺乏操作系统等软件补丁的管理机制–没有针对已知的操作系统戒软件漏洞的补丁或者更新–缺乏对系统补丁或者软件更新的有效管理–系统补丁戒者软件更新未得到彻底测试安全隐患–缺乏对用户身的鉴别，缺乏对路由协议的鉴别认证，TCP/UDP自身缺陷–操作系统安全漏洞–应用软件安全漏洞对于控制网络系统，由亍安全漏洞可能带来的直接安全隐患有：–入侵–进行拒绝服务的攻击–病毒与恶意代码92024/5/13国内外控制系统信息安全研究现状1999年911事件后，关键基础设施的安全成为各国关注的重点。首先是美国：在2002年収表的《国土安全国家战略》中，将保护控制系统基础设施安全列入重要的工作内容；2003年又把控制系统安全纳入《网络空间国家安全战略》；国土安全部（DHS）设立了专门的国家实验室，通过与多个自动化厂商合作，建立模拟环境，开展相关的研究。近些年来，随着对工业控制系统安全威胁的认识日益加深，国际上，紧接着国内，先后加强了ICS/SCADA及关键基础设施安全防护的研究。各国际标准化组织、各国陆续推出了一些标准、规范，以及信息安全建议和指南。美国ISA学会从2007年起制定了工业自动化系统和控制系统信息安全的系列标准ISA99，包括工业自动化及控制系统的总体信息安全要求、安全规范要求、系统级技术要求和组件级技术要求等。IEEE于07年颁布发电站网络安全能力的标准，2010年颁布针对发电站串行链路网络安全的加密协议的试用标准。美国燃气协会AGA制定了其12号标准《SCADA通信的加密保护》，推荐了为应付网络突发事件的SCADA通信安全的设计方法。美国石油协会制定了其1164号标准《输油管道SCADA的安全》，指导输油和输气管道系统的操作人员管理SCADA系统的完整性和安全性。美国国土安全部DHS和世界多家知名工业控制领域企业开展合作，建立“工业控制系统安全评估实验室”，并启动了“控制系统安全计划(CSSP)”，目标是通过国家、地方政府，协调工业控制系统的操作者和供应商，减少关键设施和资源部门的ICS/SCADA系统的安全风险，将工业控制系统安全提高到了国家安全层面。工业控制系统网络应急响应小组ICS-CRET作为CSSP的支持单位帮助发布了《CSSP的推荐实践》。2008年，美国商务部制定《工业控制系统安全的指导书》(GuidetoIndustrialControlSystemsSecurity)，监管工业控制产品(SCADA、DCS、PLC等)的安全性。美国国家标准与技术研究院（NIST）制定的《工业控制系统信息安全指南》（GuidetoIndustrialContyrolSystemSecurity）于2011年6月正式颁布。102024/5/13我国的GB17859-1999标准，标准规定了计算机信息系统安全保护能力的五个等级，即：①第一级:用户自主保护级②第二级:系统审计保护级③第三级:安全标记保护级④第四级:结构化保护级⑤第五级:访问验证保护级美国ISA最先开发了针对内部网络分隔的工业自动化系统和控制系统信息安全的系列标准ISA99，得到IEC的全面接受，等同制定了IEC62443。在这个标准的信息安全模型中，导入了区域（Zone）和信息通道（Conduits）的概念，用作分隔和隔离控制系统中各种各样的子系统。我国的ICS/SCADA系统的信息安全标准正在积极制定过程中，基本等同采用IEC62443。112024/5/13ISA99/IEC62443的信息安全模型所谓区域就是共享公共信息安全要求的逻辑或物理资产设备的集合。所谓信息通道就是两个区域之间信息传输的路径。信息通道为不同区域间的安全通信提供信息安全的功能。122024/5/13ISA99/IEC62443的信息安全保证等级IEC61508规定了功能安全的安全完整性等级SIL，它们可以定量加以认证。信息安全同样也规定了信息安全的保证等级SAL（SecurityAssuranceLevel），但在目前尚未找到定量描述方法之前，它们只能是定性的，分为低、中、高三个等级。为了在信息安全生命周期的不同阶段都能使用SAL的概念，规定了4种类型：目标（Target）SAL设计（Design）SAL达到（Achieve）SAL能力（Capacity)SAL每种类型的SAL还分为SAL1（偶然入侵予以防范）、SAL2（用简单方法防范入侵）、SAL3（用复杂方法防范入侵）和SAL4（用复杂方法且借助其他资源防范入侵）132024/5/13常用方案1主动隔离式解决方案主动隔离式解决方案的设计思想来源于IEC62442标准中“区域”和“管道”的概念，即相同功能和安全要求的设备放在同一区域内，区域间通信靠专有管道执行，通过对管道的管理来阻挡非法通信，保护网络区域及其中的设备。其典型代表是ByresSecurity公司推出的Tofino工控系统信息安全解决方案。Tofino解决方案由硬件隔离模块、功能软插件和中央管理平台组成，硬件隔离模块应用于受保护区域或设备的边界;功能软插件对经过硬件模块的通信进行合法性过滤;中央管理平台实现对安全模块的配置和组态，并提供报警的显示、存储和分析。该方案最大的特点是基于白名单原理，能够深入到协议和控制器模型的层次对网络进行交通管制。此外，非IP的管理模式使安全设备本身不易被攻击，同时其报警平台让管理者对控制网络的信息安全状况有直观的了解，这些都增加了它的市场吸引力。由于工控系统应用环境的特殊性，该方案对安全组件的可靠性要求比较高。因为所有的网络威胁最后都要经由通信来实现，而工控系统具有物理结构和通信模式相对固定的特点，所以主动隔离式是一种比较有效的解决方案，可以根据实际要求对工控系统进行灵活的信息安全防护。应用这种方案的关键是防护等级和安全区域的确定，需要寻求一个防护深度和成本的折中。142024/5/132被动检测式解决方案被动检测式解决方案延续了IT系统的网络安全防护策略。由于0C系统具有结构、程序、通信多变的特点，所以除了身份认证、数据加密等技术以外，多采用病毒查杀、入侵检测等黑名单匹配的方式确定非法身份，通过多层次的部署来加强网络信息安全。其典型代表是美国IndustrialDefender公司的工控系统信息安全解决方案。IndustrialDefender解决方案主要面向安全要求较高的电力行业推出，包括统一威胁管理（UTM）主机入侵防护、网络入侵检测、访问管理、网关和安全事件管理等部分。其中，统一威胁管理构成了安全防御的第1道防线，集成了防火墙、防毒墙、入侵防御、远程访问身份验证和虚拟专用网络（VPN）技术;主机入侵防护自动拦截所有未经授权的应用程序;网络入侵检测被动检测控制网络安全边界内所有的网络流量，能够检测到来自内部或外部的可疑活动;访问管理和IP网关保证了授权的远程访问和设备子站的安全接入;安全事件管理对网络中的安全事件进行集中监视和管理。该方案中的主机入侵防护系统基于白名单技术，确保得到授权的应用程序才能在工作站和客户端上运行，与耗费资源的黑名单技术相比，这是一个适用于工控环境的重要优点;网络入侵检测系统也集成了对某些工控协议的监视功能。该方案的缺点是部署和应用比较复杂。被动检测式解决方案的主要硬件设备均部署于原有系统之外，且主机入侵防护功能