从物联网看工控系统的安全

《从物联网看工控系统的安全》由会员分享，可在线阅读，更多相关《从物联网看工控系统的安全（77页珍藏版）》请在装配图网上搜索。

1、从物联网看工控系统的安全申倉糾学沱 信息工程研究所INSTITUTE OF INFORMATION ENGINEERING.CAS物联网安全技术此栄市录皮宾脸宦报告人：斡硼氏时间：30(4刊良大纲安全是loT应用前提工控系统是loT典型应用工控系统通信协议安全工控系统的攻击模式工控系统的防护体系思考孙利民物联网安全实验室孙利民物联网安全实验室 Stuxnet震网病毒 2010年，伊朗布什尔核电站发现遭受震网 病毒攻击截止20行年，已经感染了全球超过45000 个网络，成为世界首个网络“超级武器”Davis-Besse核电站事件 2003年1月,美国俄亥俄州Davis-Besse核电站 和其它电

2、力设备受到SQL Slammer蠕虫病毒攻 击网络数据传输量剧增，导致该核电站计算机处 理速度变缓、安全参数显示系统和过程控制计 算机连续数小时无法工作Duqu病毒 Duqu病毒最早出现在20门年9月，市专门针对工 业控制系统开发的病毒，U标主要是伊朗、英国 和美国，控制中心在印度，专为收集数据而来， 其U的是使未来发动网络袭击变得更加容易 Havex病毒 2014年6月，安全厂商F-Secure首先发现Havex病 毒，ICSCERT发布安全通告，该病毒主要攻击目 标以能源行业为主（水电大坝、核电站.电网） Havex被编写来感染SCADA和工控系统中使用的 工业控制软件，这种木马可能有能力

3、禁用水电大 坝、使核电站过载、甚至可以做到按一下键盘就 能关闭一个国家的电网近来被用于从事工业间谍活动，主要攻击对象是 欧洲的许多使用和开发工业应用程序和机械设备 的公司主要攻击目标以能源行业为主盐湖工程事件 1994年，美国.亚利桑那州风凰城的主要供水源 以及电源发电系统盐湖工程SRP的控制网络遭 到攻击A黑客使用拨号调制解调器，就能够进入的计费 信息，从而渗透到监视风凰城地区运河水位的 控制服务器直接经济损失$40.000.控制系统无法正常工 作孙利民物联网安全实验室美国伊利诺伊州供水系统受损 20行年月，美国伊利诺伊州一家水厂 的监控及数据采集系统（SCADA）因遭 到黑客攻击，其中一个

4、水泵被频密开关导 致停止运转美国国土安全部门和联邦调查局调查指出 U前许多控制重要行业的工业SCADA系 统存在脆弱性，具有很大的安全隐患澳大利亚污水 2001年,一个澳大利亚SCADA系统软件开发前雇 员46次非法入侵了SCADA系统，控制了昆士兰 州徳的一家污水处理厂，非法改变排污泵站的电 力驱动装置参数,导致超过1000立方米的污水被 直接倾泻到河流和公园,导致严重的环境灾难美国水库失灵 2005年美国密执安那州的Taum Sauk水库抽水 蓄能电站的上库堆石坝，因发电自动控制的水位 计缺少定期维护和再校准，逐渐产生严重误差，加 上坝体结构施工不良等因素，导致库水超抽漫顶 而溃决，倾泻了

5、40亿加仑的水资源手机控制飞机 2013年，荷兰阿姆斯特丹(Hack In The Box Security Conference HUB)黑客安全 大会,黑客Hugo Teso展示用安卓手机劫 持飞机 Worcester机场关闭事件 1997年少年黑客入侵Bell Atlantic公司的计算机系统时关闭了机场通信系统，干扰了航空与地面通信，导致马萨诸塞州的Worcester机场关闭6个小时波兰城市轨道交通脱轨事件 2008年，一少年攻击了波兰Lodz的城铁系 统，通过电视遥控器改变轨道扳道器，导 致四节车厢脱轨工控安全事件统计引起各国政府的重视孙利民物联网安全实验室对物理世界的攻击日益增多对

6、资源环境、基础设施、生命财产造成巨大威胁!A从2010财年至2013财年，美SICS-CERT累计响 应了超过600起工业控制系统信息安全事件工控安全事件统计引起各国政府的重视孙利民物联网安全实验室工控安全事件统计引起各国政府的重视孙利民物联网安全实验室期刊和会议学术界越来越关注工控安全孙利民物联网安全实验室期刊 IEEE Transactions on Industrial Infomiatics(TH)关注匸业控制系统的效能、町靠性和安全性等。典型论文：2013年Review of secu门ty issues in industrial networks。IEEE Transaction

7、s on Smart GrM (TSG)内容涵盖典型工业控制系统智能电网的安全问题。典型论文：2011 年Integrity data attacks in povzer market operations。IEEE Transactions on Automatic Control(TAC)研究各种自动控制系统，包括工控系统及其安全性。 肌型论文：2014年On the peifonnance analysis of resilient netvzorked control systems under replay attacks。A会议大纲安全是loT应用前提工控系统是loT典型应用-从S

8、T看工控系统的特点与挑战工控系统通信协议安全工控系统的攻击模式工控系统的防护体系思考孙利民物联网安全实验室物联网的基本特征孙利民物联网安全实验室大量感/部件部署在物理环境中，与物理环境实时交互，影响或改变物理环境/系统的状态 “人、机、物”三元融合“人、机、物”三元融合：未来物联网将人员、设备与物理环境融合成为一体物联网的基本特征第一，更透彻的感应/控制第二，更全面的互联互通第三，更深入的智能洞察物联网的实质物理空间与信息空间深度融合工控系统是物联网的典型应用孙利民物联网安全实验室SCADAliK务器历史数抵库HMI智慧工厂、宰 总MTU历史记录全球规划 分散制造 知识共享 远程可视化现场设备

9、现场设希现场设涪外部-物理分布部署在多个区域需要更多互联互通内部-智慧工厂感知、决策、控制采用开放标准工控系统的特点孙利民物联网安全实验室工控系统的特点孙利民物联网安全实验室ICS对比点工业控制系统IT信息系统安全目标可信的物理世界的感知 可靠的物理世界的反馈控制可信信息获取、处理与存储实时性自治决策型系统，对控制事件处理需实 时响应允许一定程度上的网络延迟和阻塞生命周期部署和开发周期长，更新换代的速度慢系统发展更迭速度快连续性一旦上线，不允许中断，否则将影响业 务进程，适成生命财产的损失：系统在 更新时需临时停运允许重启和宕机。补丁可随时、自动完成通信协议有大量专用和私有协议，适用于多种应

10、用需求采用统一的TCP/IP协议资源限制前端设备嵌入物理环境，资源有限有足够的资源进行安全策略的部署与物理世界进行实时交互 IT信息传输的通用平台工控系统安全的挑战人机物三元融合孙利民物联网安全实验室工控系统安全面临的挑战工控系统安全的挑战人机物三元融合孙利民物联网安全实验室工控系统安全的挑战人机物三元融合孙利民物联网安全实验室有利面 具体挑战性具体工控系统安全的挑战人机物三元融合孙利民物联网安全实验室部署人员可用性要求严苛系统复杂多样更新维护困难操作行为固定操作 操作对象固定操作流程明确 拓扑结构固定服务、端口基本不变无线接入固定、少操作人员固定操作人员数量有限不允许突发性重启，宕机发生对系

11、统响应能力要求严格设备种类繁多设备协议繁多，私有通信方式灵活系统生命周期长，老旧系统维护缺系统更新容易影响系统稳定性工控系统安全的挑战人机物三元融合孙利民物联网安全实验室大纲安全是loT应用前提工控系统是loT应用工控系统协议安全分析-工控系统通信协议的安全分析-工控系统通信协议的演进工控系统的攻击模式工控系统的防护体系思考孙利民物联网安全实验室工业控制系统架构孙利民物联网安全实验室监管 网络SCADA 厉史记录 历史数据库其他设施系统主终It单元MTUMTU远程终元RTUMTU工业以太网历史记录业务网路 www、Email、业务服务监控网路 SCADA、历史记录、历史数据库控制系统 HMI（

12、人机接口）PLC或RTU及IED的 操作控制面板 IED（智能监测单元）传感器、电动机、 变电器、泵等现场设备 PLC（可编程逻辑控制器）用于多输 入/多输出应用，控制实时过程RTU（远程终端单元）监控现场参数， 将数据传回中央监控站工业控制协议-Modbus孙利民物联网安全实验室工业控制协议-Modbus孙利民物联网安全实验室 1979年由施耐德电气子公司设计应用层协议，基于请求/应答方式适用范围 HMI与PLC之间主PLC与从设备（PLC、HMk驱动器、传感器、I/O设备）安全问题与建议安全问题根源I安全问题举例缺乏认证仅需要使用一个合法的Modbus地tl闲合 法的功能码即可以建立一个M

13、odbus会话缺乏授权没有基于角色的访问控制机制,任意用户可以执行任意的功能缺乏加密地如口命令明文传输，易被捕获解忻业务网络监管网络WWW E-mail 业务服务SCADA历史记录历史数据库现场系统历史记录ED PLC安全建议|控制 HMI增加必要的认证.授权和加密功能,考糜使用白名单机制工业控制协议DNP3孙利民物联网安全实验室工业控制协议DNP3孙利民物联网安全实验室适用范围主控站和从设备、“子站”及RTU与IED之间非正常轮询周期时响应，将报警事件通知主站具有可靠性 CRC校验（单帧中最多可包含高达仃个CRC） 链路层确认机制（可选）安全问题与建议安全问题根源安全问题举例缺乏认证攻击者使

14、用走义好的功能码和数降型可非常 容易itZ命缺乏授权没有使用基于角色的访问控制机制缺乏加密地竝口命令明文传输,易被捕获解析协议复杂性相对于Modbus的请求晌应模式f DNP3增加了 主动上报模式的同时，壻加了出顼漏洞的可肯毛业务网络WWW E OPC使用微软DCOM通信API,减少驱动程序需求 OPC以客户端/服务器模式工作通过远程过程调用(RPC)方式向服务器提供必要参数 OPC在工业网络的许多领域都有应用历史记录数据库转移数据 HMI内部的数据采集及监控等等安全问题与建议业务LAN监管网络控制系统WWW Enail业务 1务SCADA历史记录人史数更库现场系统RTUWTUIED/PLCI

15、ED/PLCOPC眼务器历史记录工控系统通信协议的演逬互联互通带来开放协议不安全协议T衍生安全变种封闭系统：专网专用T开放系统：互 联互通通信协议安全的局限系统更新、漏洞修补困难工控系统庞大，存在漏洞在所难免纵深防护搭建分层立体防护架构，采用纵深防 御和安全分区策略，对分区进行全面 安全加固孙利民物联网安全实验室大纲安全是loT应用前提工控系统是loT应用工控系统协议安全分析工控系统攻击模式-常规的攻击模式-工控设备搜索工控系统防护体系思考孙利民物联网安全实验室工控系统攻击模式孙利民物联网安全实验室口踩点/侦查工控资产类型、转换时间安排表、系统额外的接入点口扫描/搜索通过常用端口和服务识别工控

16、设备枚举 HMI用户、ICCP服务器证书、历史数据库认证扰乱通过防火墙上开发端口的恶意扫描引起包泛洪欺骗合法通信，汪入异常流量，造成DoS攻击渗透震网病毒：目标HMI-目标PLC-以特定参数运行的1ED控制在系统上成功安装和执行恶意代码（僵尸网络、Rootkit、 無内存病毒），从而长久控制系统例子：Havex病毒攻击模式孙利民物联网安全实验室例子：Havex病毒攻击模式孙利民物联网安全实验室传播模式：社工、水坑恶意软件mbcheck. dll恶意软件会扫描本地网络中 那些会对OPC请求，做出响 应的设备收集设备的操作系统信息，窃取存储在Web浏览器的密码使用自定义协议实现不同C&C 服务器之

17、间的通信社工攻击模式 “利用社工手段向目 标用户发送包含悲意 间谍软件的钓鱼邮件II水坑攻击模式3）悲意间课代码吕动 安装到OPC客户竦2）目标用户下裁被篡 改的软件篡改供应商网站. 在提供的下载软件中 包含悲意问谍软件OPC0ESS 区4）悲意间谍代码逼过 OPC协议发岀数据采 集指令的数据2011孩发现主要攻击目标以能源行业为主T底PLCOPC服务器区6）将信息加密井传輸 到命令与控制网站5） OPCflg务器回应 数据信息Project SHINE-T控系统的设备搜索孙利民物联网安全实验室2013年，美国ICS-CERT的一份报告指出：在 2012年4月开始的一项研究工作(Project

18、 SHINE) 中,通过使用简单的工具和技术(例如Shodan), 可以发现大量工业设备和控制系统直接暴露在互 联网上。经过ICS-CERT的鉴别和筛选，确认在美 国本土，约有7200台与关键控制系统相连的系统 可以在互联网上直接被访问到，美国本土之外被 暴露的工控系统，涉及100多个国家和地区。这些 系统的安全措施很脆弱，很容易成为对控制系统 进行入侵的切入点。大纲安全是loT应用前提工控系统是loT应用工控系统协议安全分析 工控系统攻击模式工控系统防护体系-纵深防护-异常检测与蜜罐系统-补丁管理系统思考孙利民物联网安全实验室基于安全区域的纵深防护建立安全区域确定区域边界，保证区域间连接少，

19、邻域少 确定域中设备，权限用户和协议、端口、服务不同地域使用VPN ,加密网关，专用光纟千电缆通信区域边界安全防护防火墙、IDS/IPS、数据二极管（单向）流量策略（IP、端口、功能代码）内容检查（恶意代码检测）A蜜罐系统区域内部安全防护|访问控制（用户身份认证）a基于主机的防火墙和入侵检测系统當反恶意软件，程序白名单狙-孙利民物联网安全实验室孙利民物联网安全实验室业务LAN监管网络SCADA历史记录历史数据库控制系统历史记录现场A系统RTUIED/PLC异常检测孙利民物联网安全实验室检测基准基准违背已定义策略：通信模式，用户访问，运行控制的规则超出已知的正常值：历史数据的平均值，周期统计规律

20、部署位置：安全区域边界或区域内部主机步骤：数据收集、分析、报警异常检测工控网络攻击的直观表现网络流量:流量超过预期地增长或咸少，流量来自非预期区域用户活动：未授权用户登录，非正常时间登录，非法授权控制行为：功能代码可写，PLC梯形逻辑改变事件统计:安全设备事件数量激增，关键事件数激增白名单技术异常检测的具体实施方式若行为不在防火墙或IDS的白名 单中，则拒绝执行下一步操作针对不同的区域，不同位置（区域边界，区域内部）建立 完备（行为涵盖网络流量、用 户活动、过程控制行为等）、 详细的白名单是减少系统入侵 误报率的途径。种类描述用户白名单 记录了授权用户被目录服务、身份认证管理（IAM ）系统

21、使用资产白名单应用程序白名单记录了系统网络资产清单通过网络扫描获得外部设备通过wifi接入现场网络会被检测和 记录明确定义程序的合法行为基于windows勺HM啲程序白名单允许必 要系统、网络服务的最小集合，并规范在 町U和PLC上执行的命令和操作异常关联与智能推理孙利民物联网安全实验室异常关联与智能推理孙利民物联网安全实验室原理结合白名单和逻辑整里,动态调整黑名单,阻止新威胁步骤异常检测识别违背策略的行为，产生报警多点雪艮和事件分析，确定行为本质和威胁程度警告或更新安全策略，阻止新威胁实例.1 MTU应用程序白名单團艮：未授权的应用企图执Q对系统范围内的其他行为进行检查W其他地方程序，无意访

22、问MTUI存在恶意控制PLC行为通过脚本，服务动态更新防火墙、IDS的黑名单配置其他设施决策业务LAN监管网络控制 HMI 系统佩WWWE-mail务册务SCADA历史记录历史數盘库I历史记录IED/PLCL 现场系统RTUIED/PLC蜜罐的部署防火墙外、防护埴内.DMZ区InternetModbus-ControlSystem NctwodcExternal IP MimicXmg Control System；URemoteManagemenDNP3-蜜罐的用途降低真实设备受到攻击的可能性I收冀攵击数据，进行分析，找到针对工控的攻击模式蜜罐分类低交互：仅模拟OS和网络服务，易部署且风险小

23、，但收 集的信息有限 Cisco SCADA HoneyNet等高交互：采用真实系统搭建，具有良好诱疽性的蜜罐欺骗 环境，给攻击方充分的交互程度 SCADA Honeywalk Conpot漏洞与补丁管理补丁管理系统 HMLbWindows操作系统的更新调整配置修改防火墙或IPS策略，修改路由器访问列 表限制访问移除软件/设备 若HMLtfl勺Microsoft Internet信息服务(HS )存缶同，由于在监管、控制网络中 不允许该服务，停止服务。隔离系统若HMLL核心OPC服务存在漏洞，需将OPC 连接的系统划分到一个区域,隔离该区域。补丁管理系统风险补丁分发前和过程中容易损坏补丁管理系

24、统容易被破坏从而影响后疑卜丁补丁管理系统被当做攻击向量用于入侵系统补丁管理系统可以用来识别系统，为攻击获 取情报位置开放互联网和业务网络中的安全区域监管和控制网络中的物理隔离区域流程验证完整性:由于补丁存在风险，需进行完 整性检验功能测试：确保新的补丁和配置不会影响系 统和应用软件的正常功能存档：将补丁归档到只读媒体,防止后续感 染和控制孙利民物联网安全实验室大纲工控特点及安全挑战工控系统架构和协议工控系统的脆弱性工控系统的防护体系 思考孙利民物联网安全实验室思考1如何构建自主可控的工控系统孙利民物联网安全实验室自主可控的工控系统国产PLC品牌所占据市场份额比例较小7.辞；也由芮亲丹谗生E件荒

25、术川公GJF发，妙心妙件产码创于20勺吳前霖3d级莎共件思考1如何构建自主可控的工控系统孙利民物联网安全实验室中国PLC市场的综合年增长率预计将达到14.1% , 95%处的PLC产品来自国外公司 国产DCS系统在重大工程项目领域的突破， 打破了原有的市场格局，标志看将与国外 DCS系统进行平等的竞争。国产SCADA产品正在迎头追赶国内品牌由士合祈农艸枝歩和舉公Q开发，JS公氏曼由4石渝人庆石化处厂出熨圖呦2HmibuiWeu由ttt“科枝，:附仃ECH）开乩冗馳密性h比而市城主SSHMlTECHKlR用3峻口由北克色圮长锹科E初吉可开& 产跆1妙事幵怡咎阪4三细力皿由北京三僉力怪目好日开发，

26、枝心悄戸砂卿和992才附志王心g*： Qlt；r-该公可阪立干W97年八991年别阀dl1购年雄岀珂心王1阪 不衣市畅上厂泛椎厂幻时佑祐.53、5口皿.56低丰可年诵量那0.宓窖以上总国产代恂H场中市场占祈宇看一&6.MCGS=由彳谅&仑速老自诸化S2枠科巒育用仝口只左牙力色用氏读入复和X宓.*耳中衣入酝W丽场是花通用修 BMUt开&期1皿師坊上主中硏凤讯）PIT垓术住当代自动代工卷血目申占有王事堆植.进入201舛之合EWR动化产业拔範不断畀总PU? 币场爭相丟市通砂咒札杓音技目TT牺的经济形处分析.舸韓迎来一个PLC帀场;6連愴总的时期.在W1 Rr/enue2010 RevenueX (1

27、W.1WW11 M4rljH Sqre2010 Marten SMre:mmnr卢930380368$12 24%12.34%銃m盹7708307 23%1013%1164%Hcradl8608037 50%1132%11 22*；A0Bdio7706 m10 66lOfiMtEmorton8307609.21%10 92%1066%aocon8507旳16 44%11 18%10.24%问皿7307102 82$9昭996%YWWS5905506 46*K7 62毎7.71%Zhtfen2702S08 00%355%3.51%Meso3002OT20 00%3 93帑3.31%GE ir/u

28、a160150667%2 11%2 10%如33090103-10 00%1 181900uni)辛辛那提隔常场中第一台可编程逻埸整别陆 的第一条生产找，（PLC） Modicon 084,1870年1969 年思考3 如何验证和评估工控系统的安全孙利民物联网安全实验室如何验证和评估工控系统的安全如何构建开放式高效的验证平台如何测试、评估工控系统的安全如何自动分析工控系统的脆弱性如何实现大范围的工控设备扫描如何实现被动式的漏洞扫扌苗工控系统安全的验证平台系统复制实物仿真半实物仿真软件仿真美国爱达荷国家实验室INL/NSTB使用商业产品和 设备构建的大型电力SCADA系统环境 加拿大英属哥伦比亚理工学院和美国密西西比州 立大学的SCAD A测试平台Iowa State University (ISU)的PowerCyber测试床美国亚利桑那大学的TASSCS; RMIT University的 SCADA系统；GIT&MSU的ICS虚拟试验平台框架宰厨糾学d之 信息工程研究所INSTITUTE OF INFORMATION ENGINEERING.CAS