2021工控系统信息安全建设常见陷阱与误区

工业控制系统信息安全建设常见陷阱误区TheSecurityofIndustryControlSystem工业网络发展趋势工业网络信息安全信息安全建设常见的陷阱与误区天工工控信息安全整体防护体系工业发展趋势工业互联网——未来工业发展的趋势互联化数字化智能化平民化中国制造2025互联网+

制造业、工业、金融、农业……冶金石化电力水利生物化工机械制造航空航天导航系统航海卫星定位工业领域军事领域制导系统智能家居交通管理图书管理智能办公医学生物科技其他社会生活各领域工业控制系统应用工业网络发展趋势工业网络信息安全信息安全建设常见的陷阱与误区天工工控信息安全整体防护体系两化融合-工业网络互联之担忧互联网管理网生产网两化融合背景下-工业网络信息安全RedtigerSecurity2010年研究成果，北美100多个电厂渗透测试，出现38000个安全警告与漏洞。这些漏洞从被公开到其在控制系统中被发现的平均时间间隔是331天，更糟的是有些超过了1100天之久，相当于零日漏洞之后的3年。物理安全系统隔离系统可靠性信息安全互联网WEB应用实时业务需求传统工业自动化系统现代工业自动化系统矛盾：隔离-互联办法：采用防火墙、网关风险：存在了攻击路径工业网络已成为攻击威胁目标安全设计及实践技术相对落后，漏洞多关系国计民生工业及基础设施网络犯罪攻击目标网络战军团战略打击节点例举发生的工控信息安全典型事件2000年3月，澳大利亚马卢奇污水处理厂非法入侵事件2000年10月13日，我国二滩水电站，接收到外来信号，7秒甩出89千瓦，导致川渝电网几乎瓦解。2001年10月1日，我国全国147座变电站、电厂，遭受时间逻辑炸弹病毒，故障录波器同时死机。2010年11月16日伊朗Natanz核设施受到Stuxnet病毒攻击。2014年德国的一个钢铁厂，遭受到高级持续性威胁(APT)攻击，给钢厂带来了重大破坏。2015年6月中石化“内鬼”事件，系统内部技术人员，通过提供给中石化华东公司的SCADA系统（油管监控系统）对应开发了一套病毒程序，病毒爆发导致系统无法运行。广州地铁四号线采用基于Wi-Fi技术的西门子CBTC系统，由于干扰，导致无线信号丢失，从而紧急制动频繁，经常晚点。深圳地铁龙岗线无线控制系统，于2011年在布吉附近被医院超声波设备干扰，出现紧急制动。上海地铁10号线采用卡斯柯无线CBTC系统，2011年7月28日，曾发生“开错方向”的事故，更在同年9月27日，由于信号系统出现故障，切换为人工驾驶，由于操作失误，导致列车追尾。深圳地铁蛇口线和环中线采用卡斯柯无线CBTC系统，2012年多次出现被民用Wi-Fi设备干扰，出现紧急制动。工控信息安全事件逐年上升公开的ICS漏洞数的年度变化趋势美国ICS-CERT报告，2013年工控安全漏洞上报数量187起，2014年为159起，其中所涉及的工控产品类别如图。数据来源工控网数据来源工控网国家形势和动态2011年，工信部发布《关于加强自动化系统信息安全管理的通知》（工信部协[2011]451号）2012年，《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函[2012]102号)GB/T30976.1~.2-2014《工业控制系统信息安全》GBT26333-2010《工业控制网络安全风险评估规范》国内标准(制定中……）《信息安全技术工业控制系统安全管理基本要求》《工业控制系统信息安全等级保护设计技术指南(草稿)》《工业控制系统信息安全等级保护基本要求(草稿）》《集散控制系统（DCS）安全防护标准(征求意见稿)》。。。。。。相关行业主管理单位行动工信部组织经信委对当地的工控系统单位调研检查公安和工信部对发现问题的进行通报电力行业正在计划制定标准能源局组织第二次检查能源互联网逐步试点。轨道交通正在制定相关标准行业面临安全风险-电力安全建设现状国网目前在完善智能电网调度控制系统的安全南网已在总调的二次运维系统中已建设一体化的安全管理系统系统综合采用调度数字证书和安全标签技术，实现安全授权、强制执行控制（MEC）和强制访问控制（MAC）等安全防护策略。计划构建安全免疫的智能电网调度控制系统建立可信计算密码平台，更新调度数字证书、纵向加密认证、横向隔离装置、防火墙、入侵检测系统，搭建安全仿真平台。电网面临的风险1、边界防护不足2、应用软件层面防护薄弱3、终端接入设备缺乏管控4、缺少审计监测系统

1、发电面临的风险：1、所有系统将连接在一区，无任何安全防护措施2、操作站通过U盘感染病毒，

3、安全运维审计装置缺失，4、新型智能I/O设备缺少安全防护措施行业面临安全风险-先进制造现状：数控机床部分联网，没有统一管理面临问题：

1、工控系统默认口令，密码简单，

2、操作站感染病毒

3、串网口转换，协议缺乏校验，业务指令异常无法发现。

4、机床NC文件数据传输存在安全隐患，

5、DNC服务器采用Wiondows系统安全数据库，并大量采用

FTP等服务，其操作有被渗透的风险。

6、第三方运维人员在运维设备时缺乏审计记录，存在数据泄

密或病毒侵入的威胁。行业面临的安全风险-石油石化安全建设现状以霍尼韦尔为主，也有横河、艾默生、英维思、西门子、ABB、浙江中控。所有公司都在管理网连接处放置了FW。有些公司已在边界处放了隔离、防火墙、监测等系统。有的用了工业FW。DCS系统到中控室是由机动部，运维部门为电仪公司，工控信息安全由信息科技部负责。面临的风险1、操作站通过U盘感染病毒，2、数据库未进行相应的防护措施3、未对操作站和服务器统一进行管理4、缺少审计和监测手段1、行业面临安全风险-烟草安全建设现状网络进行了一定的区域划分，部分车间办公地址和生产地址混乱与MES系统下发任务与上传任务间加了防火墙隔离物流车间有无线设备控制机器人，部分操作员站有防病毒系统，很少升级个别厂逐步开始建设生产网的信息安全面临的风险：1、操作站的终端使用U盘导致的病毒传播问题2、缺少安全运维审计和监测手段3、生产网络间通讯不清晰4、发现问题处理周期较长5、缺少无线安全防护装置1、工业网络发展趋势工业网络信息安全信息安全建设常见的陷阱与误区天工工控信息安全整体防护体系工控系统与传统IT系统的差异化对比项工业控制系统ICS传统IT信息系统建设目标利用计算机、互联网、微电子以及电气等技术，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。强调的是工业自动化过程及相关设备的智能控制、监测与管理。利用计算机、互联网技术实现数据处理与信息共享。 体系结构ICS系统主要由PLC、RTU、DCS、SCADA等工业控制设备及计算机系统组成 有计算机系统通过互联网协议组成的计算机网络操作系统广泛使用嵌入式操作系统VxWorks、uCLinux、WinCE等，并有可能是根据需要进行功能裁减或定制。通用操作系统（window、UNIX、linux等），功能相对强大。数据通讯协议专用通信协议或规约Modbus、ICCP、DNP3、OPC、其他Ethernet/IP、Profibus等等或作为TCP/IP协议的应用层使用。TCP/IP协议栈（应用层协议：HTTP、FTP、SMTP等）系统实时性系统传输、处理信息的实时性要求高、不能停机和重启恢复。实时性、同步通信，使之更易受干扰。存在信息安全漏洞。系统的实时性要求不高，信息传输允许延迟，可以停机和重启恢复。系统故障响应不可预料的中断会造成经济损失或灾难，故障必须紧急响应处理 不可预料的中断可能会造成任务损失，系统故障的处理响应级别随IT系统要求而定系统升级难度专有系统兼容性差、软硬件升级较困难，一般很少进行系统升级，如需升级可能需要整个系统升级换代采用通用系统、兼容性较好，软硬件升级较容易，且软件系统升级较频繁信息安全常见的陷阱与误区

常见陷阱与误区自满错误配置合规与安全范围与规模信息安全常见的陷阱与误区

自满在任何安全层面上都是危险的因素。网络安全专业人员需要像拳击手一样时刻要保持适当的警惕一样，同样需要假定一个类似的防御姿态。自满信息安全常见的陷阱与误区

1、脆弱性评估与零日攻击

自满我只防认识的啊！你Y歇着吧！未知为威胁脆弱评估、渗透测试应对对策：（）使用多层防御（）使用可替换的威胁检测机制（）将安全监控与分析工具的全部功能作为一个整体使用，以提供网络的态势感知，

潜在地识别可能被边界安全设备漏掉的未知威胁。信息安全常见的陷阱与误区

2、真正的安全安全是一个过程，不仅需要一个深思熟虑的信息安全实践，而且严重依赖于人为因素。自满即使最为严格的网络边界也可以被终端用户绕过去---无论是有意的、单纯的或者无知的破坏行为。如工作人员进入物理安全区并插入未授权的USBkey、智能移动设备，即使真正的隔离装置也将会被破坏。只要存在连接，无论直接还是间接，区域内就存在着可被攻击者利用的清晰且直接的攻击向量。信息安全常见的陷阱与误区

3、过于迷信物理隔离在一个开放网络协议与无线网络普天盖地的时代，依然有人因为没有连接到IT网络而错误的认为存在隔离并保护着关键工业系统。而在现实中，由于网络攻击已经超越了物理连线，在防御网络攻击时，即使是真实的隔离装置也几乎无用的。许多并没有经过专门设计来支持无线网络通信的资产具有在微处理级潜入的WIFI功能，可以从训练有素的网络恐怖分子到了解无线技术的不满人员工等攻击者所利用。此外，威胁非常有可能通用人类载体的帮助跨过隔离装置进入关键网络。自满其他未知的传输技术。。。信息安全常见的陷阱与误区

如果自满是意识层面的问题，那错误配置是实施层面的问题据研究表明，配置漏洞占工控系统漏洞利用的16%。错误配置使用默认账号密码边界控制中缺乏出站监控或策略执行重载安全策略设置了却忘记维护了信息安全常见的陷阱与误区

1、默认账号与密码错误配置攻击最初阶段都包含枚举合法系统默认账号密码使用默认账号与密码是十分常见的，不过这是非常危险的。大多数的攻击的最初阶段都包含枚举合法系统与用户身份，这是一个确定攻击可以利用的漏洞的必要过程。获得默认账户密码，系统即非常脆弱攻击者不管是外部人员还是内部人员，都可以很容易得到认证。通常系统默认的账户是为了方便初始安装与配置其他用户帐户，因此拥有管理员权限。即使系统其他时候多么安全，但此时已非常脆弱而处于风险之中简单的错误配置抵消一个特定的安全设备所有功能简单的错误配置可以抵消一个特定的安全设备所有功能（比如防火墙上采用默认密码），将整个区域暴露出来，而错误配置的主机一旦被攻破，就可以在网络上提供不受约束的渗透于传播。但值得庆幸的是，这是问题是可以被安全设备检测出来的。信息安全常见的陷阱与误区

2、出站安全与监控的缺失外部攻击为入站事件，另外也会存在内部攻击者，包括不满的员工或“受信任的”第三方。有许多破坏会导致恶意软件的感染与传播，这些恶意软件通常会试图回至一个公网IP，因此，在进、出两个方向上强制执行访问控制与流量限制是至关重要的。根据攻击的复杂性，出站连接可能隐藏的很好，但是如果防火墙与IPS策略只允许一个方向通信，那便没事。

另外监控同样重要，即使边界安全策略严格到足以拦截恶意的出站通信，但是从内部发起的通信表明你的网络内有恶意实体（用户或恶意软件），那么安全监控会向你报警，也会帮组指出攻击是从哪发起的。错误配置错误配置入站：攻击内部攻击、出站：访问员工受信任第三方黑客边界防护行为监控信息安全常见的陷阱与误区

3、执行重载为了方便工业业务运行，满足特殊业务的需求，而设置的一个故意策略，允许不是用于重要用途的数据流量通过边界防护。营销部门为了方便做金融与贸易分析，在业务网（最不安全的网络区域）可以实时获取生产一线的产品产量、品质及生产效率等实时数据信息。形成了驻留关键区域的直接攻击向量单向网关、数据二极管错误配置信息安全常见的陷阱与误区

4、遗忘--设置了去又忘记了工业网络安全策略配置完了，就万事大吉了？工业网络安全不是一个产品，不是一次性的工程，而是一个循环的处理过程。脆弱性评估安全策略调整安全策略改进安全配置锁定安全基线配置核查完成一个脆弱性评估，并且安全策略也都锁定之后，仍然还要做一些事情：

---实时监控新建立的配置，以确保没有被未知管理员、不满的内部员工或攻击者为了更深层次渗透网络，而修改防御策略；---识别并适应新的威胁类型，包括新的零日漏洞攻击、新的社会工程学计划以及由新技术带来的攻击；---增加新的安全控制，并调整现有控制的配置，使其以持续的方式确保风险最小化。错误配置信息安全常见的陷阱与误区

这是一个常见的陷阱：如在合规审计准备阶段，致力于获得必要的文件以得到“合规核对框”，而不是标准的安全目的。

合规控制是为了保证组织安全措施，以保护敏感材料、系统或服务，而制定的指导方针或规定。尽管合规控制是出于美好的意图设计出来的，但是有时他们会影响到其要尽力保证的安全过程。

合规与安全为了合规审计不是标准的安全目的信息安全常见的陷阱与误区

1、审计材料

合规与安全为合规而采集事件日志对安全不会有所帮助不能完全证明也不能驳斥持续的安全实践是好的、坏的、有效的、成功的或完整的。为满足合规，不关注安全，很容易会出问题当以提供合规证据为主要目标以满足安全次要目标来实施时，便会出问题了为了安全而进行的审计行为，才是更为安全的。应为了安全首先设计和实施安全措施，由此产生的日志与文档应满足标准和审计的需求，这样网络才会变得更加安全。信息安全常见的陷阱与误区

2、一周合规窗口

合规与安全合规审计的安全分析师，通常只是兼任。对于即将发生的审计，对于网络相关合规审计核对审查工作是很有技术含量的，大多数情况，用来执行这些大量工作的唯一可利用的技术资源是安全分析师。但这些娴熟安全专业人员通常被委以他任，将他们的注意力从实时、日常的安全操作中移开。审计完后，员工被分配到他们原来的岗位，如一切顺利，组织将保持合规知道下一次审计发生。新系统实施、新补丁更新等只有下一个审计周期才能被发现。但事实上，实施新系统、新补丁、合并、购买或减少，这些都与当前可审计合规性目标的安全策略与实践不符。这些错误将被忽视或无视，直到下一个审计周期的到来。信息安全常见的陷阱与误区

范围和规模工业网络不是孤立的系统还一个常见的错误是在尝试确保控制系统安全时认为工业网络是一个孤立的系统。尽管曾经与组织中的其他系统物理隔离，但是现在的工业与自动化系统依赖并深受许多其他系统的影响。工业网络需要动态的评估工业控制系统必须被当作动态的系统进行评估（至少为了安全目的），如果对来自外界的影响与未预见的增长没有充分的计划，即使是最完美的计划在实施后也会失败的。信息安全常见的陷阱与误区

1、工程限制的思考范围和规模安全不是限定范围和限定目标的一次性工程信息安全领域两个公理：安全是处理过程，不是产品；每个门都是后门。安全不能被视为一个具有有限范围和可限定目标的一次性工程，由于工业运行的相对静态性质，可能存在一种倾向：实施边界防御，锁定配置，然后就认为工作完成了。工业网络深受外围网络的影响工业网络保持不变，但围绕并与他交互的网络也有发展，并且往往发展较快，一些新的工具和技术，可能会以从未考虑过的方式影响着工业网络。因此，特别是在生产网与管理网单独管理的工业网络中，两个网络之间的划界点也需要不断检查。信息安全常见的陷阱与误区

2、安全控制的局限性

范围和规模对外部复杂环境的认识的局限性对于外部日益泛滥的恶意软件感染或APT高级持续攻击，没有整体的定量的认识测量的局限性对于系统随攻击事件速率增加，系统处理性能需求很难预测安全系统的局限性如特定的安全设备，如工业网关、IPS、工业协议过滤器、态势感知工具、白名单代理等等，由于其处理性能的限制、支持格式限制，