2022工业控制系统的威胁与应对

工业控制系统的威胁与应对目录

CONTENTS010203安恒简介应对办法现状威胁工业控制系统安全威胁现状012003年，美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫病毒所感染，导致其安全监控系统停机近5小时2012年6月，一个名为“火焰”的电脑病毒入侵伊朗等中东国家，该病毒结构非常复杂，被称“超过已知任何一种”电脑病毒，能够收集信息情报是危险的间谍工具。已入侵多个国家和地区的大量电脑，目前还在不断变化中Stuxnet是第一个专门定向攻击真实世界中工控设施的“蠕虫”病毒，引发了人们对工控系统安全的重视。Stuxnet病毒传播途径危害：攻击伊朗核设施，使得伊朗核计划拖后两年，60%的个人电脑感染病毒；全球超过45000个网络遭受攻击；多个行业的领军企业的工控系统受此感染。2014年6月，东欧黑客团体黑客“蜻蜓组织”，利用恶意程序Havex(与震网类似)，对欧美地区的一千多家能源企业进行了攻击。已经使1000多家欧洲和北美能源公司受损。这表明随着攻击者对工控系统研究的深入，针对工控系统攻击的恶意代码也将会层出不穷，而且还可能在攻击活动的背后具有国家支持的潜在因素。2015年12月，乌克兰国家电网中被植入恶意软件“BlackEnergy”，导致大规模停电事件。恶意软件变种也参与攻击乌克兰矿业和铁路系统的活动某城市灯光秀控制系统网络安全检查近期配合相关机关工控安全专项检查情况7.21灯光秀第一次安全测试测试主控及各个节点发现了主控和节点的严重漏洞8.13灯光秀第一次安全复查针对第一次的检查结果复测及发现新的安全问题第一次的严重漏洞已修复，未发现新的漏洞（灯光秀主控端可被控制）工业控制系统安全检查

对某省内运行有工控系统的单位，如XX热电厂、XX燃气、XX机场、XX发电水库等39个重要控制系统，利用工控工具箱进行了有针对性的工控环境检查，发现问题321个。

在进行工控设备漏洞探测的过程中，发现被检查单位的PLC等下位机设备，普遍存在固件版本过低的问题，上位机也由于长久未进行系统更新导致漏洞无法得到修复，部分设备还发现存在病毒与木马。针对突出的将安全检查情况进行通报整改。近期配合相关机关工控安全专项检查情况威胁复杂度高技术含量的攻击手段不断出现事件频发漏洞类型不断增加行业影响范围大暗潮汹涌的工控系统网络安全震网病毒Duqu病毒Flame病毒Havex病毒方程式工控行业每年安全事件数量统计（数据来源：ICS-CERT)2015年各行业攻击事件统计工控行业每年新增漏洞统计（数据来源：CNVD）02工业控制系统安全威胁应对办法战略背景-国外IEC

62443标准目标是定义一个通用的、最小要求集以达到各级SALS(SecurityAssurancesLevels,SAL)的安全保障需求。IEC62443一共分为了四个部分：第一部分是通用标准,第二部分是策略和规程,第三部分提出系统级的措施,第四部分提出组件级的措施。《工业过程测量、控制自动化网络与系统信息安全》系列标准战略背景-国外SP800-82《工业控制系统(ICS)安全指南》概述了ICS和典型的系统拓扑结构,指出了对于这些系统的典型威胁和脆弱点所在,为消减相关风险提供了建议性的安全对策。同时,根据ICS的潜在风险和影响水平的不同,指出了保障的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。战略背景-国内《信息安全技术SCADA系统安全控制指南》《信息安全技术安全可控信息系统(电力系统)安全指标体系》《信息安全技术工业控制系统安全管理基本要求》《信息安全技术工业控制系统安全检查指南》《信息安全技术工业控制系统测控终端安全要求》《信息安全技术工业控制系统安全防护技术要求和测评方法》《信息安全技术工业控制系统安全分级指南》国发〔2012〕23号

明确要求:保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。战略背景-国内《关于大力推进信息化发展和切实保障信息安全的若干意见》明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。文中明确指出:“全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。”工信部[2011]451号战略背景-国内《关于加强工业控制系统信息安全管理的通知》国发〔2015〕28号两化融合是产业结构调整和升级转型的重要支撑，工控系统网络安全已经成为两化融合的重要组成部分。工控系统网络安全不仅关系到国家关键基础设施的安全和重点行业的健康可持续发展，而且影响到社会稳定和国家安全。背景-国内现状天然气调度系统架构现状供水调度系统架构现状电力调度系统架构现状→应对构建工控威胁监测与感知平台现状与受到的威胁监测与检测设备接入方式构建工控威胁监测与感知平台工控系统设备检测包括：弱点检测：对工控设备进行低风险扫描，探测脆弱点所在，挖掘潜在威胁资产探查弱点检测流量解析风险评估流量解析：深入解析工控协议流量，检测异常行为流量、进行中的入侵资产探查：探查网络环境中的工控设备，准确获取设备信息风险评估：结合权威知识库，以及等级保护合规要求，对目标工控系统进行全方位检查工控系统检测风险评估问卷自查+权威知识库结合问卷自查完成工控系统及单位的信息收集；利用数据分析生成多维度报告；摸清系统基础数据，掌握真实情况；问卷标准严格依据行业标准、国内标准、国内标准；工控系统检测资产探查资产探查+风险分析资产信息可通过自动设备识别与资产手动录入的方式相结合；对资产信息进行定向安全性分析，结合数据标准和知识库定向监察资产安全性；给出详细安全性分析：资产风险详情、评分、安全风险建议；工控系统检测弱点检测威胁分析+威胁库探测脆弱点所在，挖掘潜在威胁；制定检测任务模板，一键下发检测任务；针对检测结果全方位智能评分；系统配置各大主流工控设备厂商的设备协议；工控漏洞扫描方式网络拓扑图绘制资产发现端口服务识别探测应对工控设备的特殊性，特采用了低风险的指纹识别探测方式，并添加了对传统设备的检测方法，以适应所有设备类型。工控设备漏洞检查指纹漏洞探测工控漏洞扫描结果设备漏洞统计设备开放端口统计漏洞风险提示全面统计漏洞扫描结果，多方面进行分析。给出CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等与修复建议漏洞整改方法工控设备漏洞检查工控系统检测流量解析镜像模式+离线模式针对多种攻击手段和入侵方式，建立特征匹配库；OSI模型分析+异常行为分析+协议流量分析自定义采集时间、数据总量、指定协议；流量镜像与弱点监测同步进行，节省检查时间。OSI模型分析工控流量分析工具网络层分析链路层分析传输层分析应用层分析按层次对流量进行统计分析，包括：时间点、流速、总量、分布等，进行异常发现工控流量分析工具固件代码下载固件代码修改设备异常操作······异常行为分析按行为规则对流量进行统计分析，包括：固件代码修改与下载、设备异常操作等工控流量分析工具S7PROFINETModbusIEC104协议流量分析DNP3、Ethernet/IP、BACnet、Fox、CrimsonV3、FINS、PCWorx、ProConOs、MELSEC-Q、·······按协议对流量进行统计分析，包括：时间点、流速、总量、分布等，进行异常发现工控威胁感知平台工控漏洞扫描的对象网络连接设备（交换机、防火墙、IPS等）工业控制设备（PLC、DCS、SCADA设备等）用户信息设备（服务器、工作站等）工控漏洞扫描工具工控漏洞扫描工具首页提供用户直达工业控制系统安全检查工具箱的各个模块通过设备探测、漏洞检查、流量解析和威胁感知，构建工控系统的威胁感知平台构建工控威胁监测与感知平台03安恒简介安恒信息基本情况9周年产品线35条阿里巴巴使命级战略合作伙伴TOP500700+人·······公司简介安全保障工作安全保障单位安恒信息安全服务实力信息安全服务资质（安全工程类二级）国家最高级应急处理服务资质（一级）国家最高级应急响应支撑单位国家级（共9家）信息安全等级保护安全建设服务机构国家漏洞库技术支撑单位（一级）

国家最高级国家网络与信息安全信息通报中心技术支持单位遍布全国的本地化服务17个办事处、8个分公司WEB弱点扫描器数据库弱点扫描网站监测平台远程安全评估扫描监测类渗透测试、源代码审计移动APP评估、日志审计安全加固、安全值守安全服务雷神众测WAF、堡垒机、数据库防火墙UTM、抗DDOS、网页防篡改实时防护