Tofino多芬诺工业网络安全防护

Tofino多芬诺工业网络安全防护第一页，共61页。多芬诺工业安全公司多芬诺安全公司是世界领先的工业安全产品制造商，提供切实有效的工业网络安全和DCS（PLC、SCADA)安全产品，产品经过CE、MUSIC等认证。我们的旗舰产品，多芬诺™工业安全解决方案，是一个独特的硬件和软件安全系统，可以保护您的工业控制系统不会遭到攻击与破坏。促进对安全区的设备实施共同的安全要求（区级安全™）。

多芬诺的用户都是一些大的石油和天然气,核电厂,水厂,化工,医药,公用事业,以及制造商等。产品被横河电机、Invensys等系统生产商应用OEM合作伙伴有以下公司:第二页，共61页。Whoturnedoutthelights?(谁敲响了警钟？）Makingthecaseforindustrialsecurity

（工业网络安全案例举例）Pluggingtheholes

（让我们把窟窿堵上）Securitystrategiesforcontrolsystems

（工业控制系统安全策略）议程第三页，共61页。误区一、ControlSystemsaren’tVulnerabletoHackersorViruses

（控制系统对黑客或病毒来说不是那么脆弱）误区二、NothingMuchHaschanged(soweareSafe)

（目前为止没有什么事情发生，所以我们是安全的）误区三、TheSCADASystemisSafeBecauseWeDon’tConnecttotheInternet

（我们的控制系统没连因特网，所以控制系统很安全）误区四、HackersDon’tUnderstandSCADA/PLC/DCS

（黑客不懂SCADA/PLC/DCS）工业控制网络安全误区第四页，共61页。事实真的是这样吗？第五页，共61页。2005年8月13日美国的佳士拿汽车工厂被一个简单的电脑病毒关闭了。尽管公司网络与互联网之间已安装了专业防火墙，病毒依然能进入了工厂的控制系统（可能是通过一台笔记本电脑）。一旦进入了控制系统,病毒就能够在几秒钟之内从一个車间感染到另一个車间。大约50,000流水线工人因此要暫停工作在这期间。该事故的原因是什么？就是一个叫Zotob的蠕虫病毒经过第二通道进入了网络。估计损失影响为1,400万美元。佳士拿汽车工厂事件-多个地点受影响误区一：控制系统对黑客或病毒来说不是那么脆弱第六页，共61页。2006年8月因反应堆在‘高功率、低流量条件’的危险情况下,

BrownsFerry核电厂所有人员不得不全部撤离。控制循环水系统的冗余驱动器失效了，原因是控制网络上“过量交通”的缘故。可能是两种不同供应商的控制产品产生了通讯过荷现像。该事故的原因是什么？不当和过度的交通在控制网络上。核电厂因此停机2天,估计损失的费用约60万美元。

美国BrownsFerry核工厂的“安全”事件:误区一：控制系统对黑客或病毒来说不是那么脆弱第七页，共61页。水处理入侵,Harrisburg,PA2006年10月一部被感染的笔记本电脑(维修用的),黑客入侵了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。被攻破的笔记本电脑是通过互联网，然后与一个VPN连接作为切入点用来安装病毒和间谍软件在这工厂SCADA系统的PC里。虽然进攻目标似乎並没有在水的质量上，但此事如果没有被发现的话，恶意软件随时可以干扰了工厂的业务。误区一：控制系统对黑客或病毒来说不是那么脆弱第八页，共61页。误区二：目前为止没有什么事情发生，所以我们是安全的第九页，共61页。2001年之前特点敌对事件为主要原因:不合适的雇用活动不满意的雇用员工偶然事件误区二：目前为止没有什么事情发生，所以我们是安全的第十页，共61页。2001年之后特点分析：大部分为外部攻击:系统突破病毒/特洛伊/蠕虫拒绝服务（DOS)阴谋破坏误区二：目前为止没有什么事情发生，所以我们是安全的第十一页，共61页。误区三：我们的控制系统没连因特网，所以控制系统很安全第十二页，共61页。连接到WANS和MES直接从因特网被信任的第三方连接到PC网的笔记本电脑误区三：我们的控制系统没连因特网，所以控制系统很安全第十三页，共61页。通过对37个来自金融、能源、电信、多媒体、自动化和安全公司的防火墙的调查：大约80%的防火墙允许内部规则的任意服务和不安全的登录，这是一个重大错误防火墙组态错误定量研究AvishaiWool，IEEEComputerMagazineIEEEComputerSociety,June2004误区三：我们的控制系统没连因特网，所以控制系统很安全第十四页，共61页。误区四：黑客不懂SCADA/PLC/DCSBrum2600BlackhatConference:“事情开始变得有趣了…讨论议题就像是讨论‘用玻璃杯装着的水是多么的安全’，英国水资源管理部门讨论一次用无线电射频系统来控制的系统故障分析，这种系统可以被滥用、擅自试用和轻易地破坏”Source:TheRegister,October20,2003第十五页，共61页。Talk#16:SCADA系统暴露出很多问题，在这些系统或者子系统上的信息攻击可以通过远程登录或者同时多重登录实现，本议题侧重于今天日益增多的SCADA系统的结构和攻击分析及一般的SCADA通讯协议分析Source:Toorcon2005Website误区四：黑客不懂SCADA/PLC/DCS第十六页，共61页。大型自动化软件如被黑客掌握后果不堪设想2008-06-1810:33作者：kaduo来源：赛迪网[摘要]在CST首次告知自家自动化系统CitectSCADA软件安全漏洞五个月之后，悉雅特公司（CitectPty）于上周就发布了该安全漏洞的补丁程序。据国外媒体报道，总部位于美国波士顿的核心安全技术公司CST(CoreSecurityTechnologiesInc)安全技术研究人员于当地时间本周三严正表示，互联网攻击者可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天然气管道以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。发现大型工程自动化软件安全漏洞的CST安全专家们在发表相应的安全咨询之前曾向美联社(TheAssociatedPress)详细描述过该问题，他们表示，幸好目前依然没有证据表明有任何人发现或者利用这些安全漏洞。在CST首次告知自家自动化系统CitectSCADA软件安全漏洞五个月之后，悉雅特公司（CitectPty）于上周就发布了该安全漏洞的补丁程序。但是这种安全漏洞也会出现在其他的监控软件或者类似于CitectSCADA系统的软件之上。此外是不是所有的Citect的客户都安装了这个安全补丁尚且不得而知。据了解，SCADA系统的远程控制终端计算机可以控制诸如供水管阀门、烘干设备器材甚至核电站的安全系统等大型工程化设备。使用SCADA系统的客户有智利的天然气管道公司、澳大利亚的铜矿和博茨瓦纳的钻石矿公司、德国的制药工厂、美国路易斯安州那和北卡罗莱纳州的污水处理厂等。如果能够利用该系统的安全漏洞获取设备的控制权，先决条件是被攻击系统网络必须是和互联网处于连接状态。尽管有原则上来说工程系统的网络是不允许连接互联网，但是还是不排除原则松懈的可能，比如控制中心计算机与接驳有路由器的电脑连接。安全专家指出尽管可能性不大，但是黑客一旦控制该系统，就意味着可能利用被感染的控制中心系统切断整个城市的供电系统，恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的工程系统内部网络接入到互联网当中，这种可能就越来越大。

CST首席技术官IvanArce在接受外没采访时称，“这并不是一个复杂的技术问题，如果我们发现这个并不是特别严重的问题，别人就会很轻易地解决这个安全隐患。”悉雅特在其官方声明中强调了CST关于让客户将其自家的SCADA系统与互联网彻底隔离或者使用足够安全的防火墙以及其他能够确保阻止系统与外界网络通信的技术。专家指出悉雅特软件产品的安全漏洞是一种很常规的安全隐患类型，通常被称作“缓冲区溢出”（bufferoverflow）即黑客通过向控制终端发送过多的数据包来获取控制权。当前工业网络安全形势更加严峻第十七页，共61页。SaltRiverProjectSCADAHack(2010.1.3112岁男孩侵入亚利桑那州的罗斯福大坝，150万英亩的水域，可把整个凤凰城淹掉，）MaroochyShireSewageSpill

（Maroochy郡水污染，数百万升污水直接流入公园）SoftwareFlawMakesMAWaterUndrinkableTrojan/KeyloggeronOntarioWaterSCADASystemVirusesFoundonAuzzieSCADALaptopsAudit/BlasterCausesWaterSCADACrashDoSattackonwatersystemviaKoreantelecomPenetrationofCaliforniairrigationdistrictwastewatertreatmentplantSCADA.SCADAsystemtaggedwithmessage,"IenterinyourserverlikeyouinIraq."当前工业网络安全形势更加严峻（水处理）第十八页，共61页。ElectronicSabotageofVenezuelaOilOperationsCIATrojanCausesSiberianGasPipelineExplosionAnti-VirusSoftwarePreventsBoilerSafetyShutdownSlammerInfectedLaptopShutsDownDCS

（笔记本感染蠕虫王病毒导致DCS停车）VirusInfectionofOperatorTrainingSimulatorElectronicSabotageofGasProcessingPlantSlammerImpactsOffshorePlatformsSQLSlammerImpactsDrillSiteCodeRedWormDefacesAutomationWebPagesPenetrationTestLocks-UpGasSCADASystemContractorLaptopInfectsControlSystem当前工业网络安全形势更加严峻（石油化工）第十九页，共61页。IPAddressChangeShutsDownChemicalPlant（IP地址改变导致化工厂停车）HackerChangesChemicalPlantSetPointsviaModem（黑客通过Modem改变设定值）NachiWormonAdvancedProcessControlServers（先控服务器上的Nachi蠕虫）SCADAAttackonPlantofChemicalCompanyContractorAccidentallyConnectstoRemotePLC(承包商意外连接到远程PLC上）SasserCausesLossofViewinChemicalPlantInfectedNewHMIInfectsChemicalPlantDCS（被病毒感染的HMI进而影响到化工厂的DCS)BlasterWormInfectsChemicalPlant当前工业网络安全形势更加严峻（化工）第二十页，共61页。SlammerInfectsControlCentralLANviaVPNSlammerCausesLossofCommstoSubstationsSlammerInfectsOhioNuclearPlantSPDSIranianHackersAttempttoDisruptIsraelPowerSystemUtilitySCADASystemAttackedInthe2003attack,asoftwareviruscalledtheSlammerworm,whichtargetsMicrosoftSQLservers,penetratedtheDavis-BessenuclearplantinOhio.ItdidsofirstthroughtheunsecurednetworkofaDavis-Bessecontractor,thenhitchedaridealongaT1high-speedphonelinebetweenthatnetworkandDavis-Besse’scorporatenetwork,fromwhereitentereditsplantnetworkanddisabledasafetymonitoringsystemforfivehours.当前工业网络安全形势更加严峻（电力）第二十一页，共61页。这些事件有什么共同点？‘软'目标:大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的I/O功用为主，而並不提供加强的网络连接安全防护功能。多个网络端口切入点:在多个网络安全事件中,事由都源于对多个网络端口进入点疏于防护。USB钥匙，维修连接，笔记本电脑等。疏露的网络分割设计:许多控制网络都是“敞开的”，不同的子系统之间都没有有效的隔离,尤其是基于OPC、MODBUS等通讯的工业控制网络。问题因此通过网络迅速蔓延。第二十二页，共61页。‘软'目标:RTU，PLC或DCS系统都是非常容易受到攻击的对象。一般的黑客初学者都容易获取入侵的工具。我们要如何保护这些控制系统呢？欧洲粒子物理研究所对控制系统的测试结果饼图第二十三页，共61页。安全堡垒的模型:工业安全的一个普遍的解决方案，就-是在企业与控制系统之间安装单一的防火墙。采用独一网络端口方式，这称为堡垒模型。其他堡垒模型的例子如：中国的长城欧洲的马其诺防线第二十四页，共61页。坏人如何成功入侵...透过企业广域网和商用网络，比如MES或ERP直接从万维网进入受信任的第三方受感染的筆记本电脑连接到这个电脑网络上。第二十五页，共61页。为什么要多芬诺™?传统的防火墙并非专为控制系统或工业环境而设计的，特别是通过的OPC进行通讯时，很容易把一切工厂设备和系统都暴露在黑客威嚇之下。每年，从网络攻击事件和主要基础设施的被破坏,损失高达数十亿美元。多芬诺™为你提供贴身制定的防火墙,提供对设备的保护区-区级安全™.安全保护超越一般传统的防火墙。第二十六页，共61页。ANSI/ISA-99:將控制系统划分在新ANSI/ISA-99安全标准的核心理念是“区域和渠道”采用同一水平的分割控制系统内部的通讯水平。根据控制功能将网络分层或区域。多分区隔有助于提供“纵深防御”。第二十七页，共61页。ANSI/ISA-99:区域的连接区域之间的连接被称为管道，这些必须要有安全管制:进入区域的管制采用抵御拒绝服务（DoS）防范攻击或恶意软件的转移。屏蔽其他网络系统保护网络流量的完整性和保密性。重要的是要了解和管理好系统的所有区域之间的管道，而不只是注意明显的管道。第二十八页，共61页。安全区的定义:“安全区：歸类逻辑资产或实物资产，有着共同的安全要求”[ANSI/ISA-99.01.01–2007-3.2.116]每个区域有一个明确的边界（或逻辑或物理），这是边界之间的包含和排除要素。HMIZonePLCZone第二十九页，共61页。管道一个渠道是对两个地区之间的数据流路径。可以提供安全防护功能，允许不同的区域进行安全的通信。任何区域之间的通信必须有一个渠道。HMIZonePLCZone渠道第三十页，共61页。采用区域及管道来保护网络

每一个服务管道，防火墙只允许正确设备操作所必需的通信。HMIZonePLCZoneFirewall第三十一页，共61页。区域的设计：以一座炼油厂为例第三十二页，共61页。区域的划分:第三十三页，共61页。管道的设定:第三十四页，共61页。主要的Tofino™组件Tofino™SecurityAppliance(TSA)

多芬诺™安全设备模块

(TSA)Tofino™LoadableSecurityModules(LSM)

多芬诺™可装载安全软插件(LSM):Tofino™CentralManagementPlatform(CMP)

多芬诺™中央管理平台(CMP)第三十五页，共61页。Tofino

结構第三十六页，共61页。多芬诺安全设备模块(LSA)：区级安全第三十七页，共61页。TSA-100硬件规格：外形类似普通的I/O模块和隔离器温度-40°C到+70°C双电源输入2路,开关量输入二区保护,具备FM和ATEX认证MUSIC安全认证DIN导轨安装以太网端口双电源9-32VDC2路开关量输入

安全USB端口第三十八页，共61页。TSA-220硬件规格：

外形类似普通的I/O模块和隔离器温度0°C到60°C双电源输入12-60VDC继电器开关输出铜和/或光纤网络接口MUSIC安全认证DIN导轨安装双电源输入12-60VDC继电器开关输出安全USB端口铜和/或光纤网络接口

第三十九页，共61页。零配置安装模式，安装简便快捷现场技术人员只需要做的：连接防火墙到导轨上连接电源插入网络电缆离开…多芬诺™在启动过程上对网络系统是完全透明的第二层（以太网）桥接指在网络架构上无需更改或现有设备无需作地址的处理，对现有系统无任何影响。第四十页，共61页。TofinoSA本身可设置为无IP地址正在申请专利技术的无IP地址设定，方便安装，并且使黑客几乎不可能发现并进行攻击，从而避免了本身受攻击的可能避免网络风暴

通过对通讯流量的监测，一旦发生网络风暴，马上采取措施，避免风暴影响到控制层，可以有效防止DoS攻击多芬诺另外的更强大功能第四十一页，共61页。多芬诺™可装载安全软插件(LSM):LSM是软件插件，提供诸如以下安全服务：防火墙稳固资产管理内容检测VPN加密每个LSM插件是可下载到多芬诺™安全设备模块(TSA)里，使它能够提供可定制的安全功能，这取决于控制系统的要求。第四十二页，共61页。在一个工作站上组态,管理和监测所有多芬诺™安全设备模块(TSA)内置的网络编辑器可让你快速的组态你的控制网络视觉拖放的编辑器,让你快捷制定网络安全规则与配置方便友好的通讯规则制定随时的监视和攻击查询，故障排查多芬诺™中央管理平台（CMP）：集中式安全管理第四十三页，共61页。多芬诺™中央管理平台（CMP）：操作简单方便地在整个系统里找寻多芬诺™安全设备模块(TSA)、控制器和个人电脑。网络地图可通过拖放模块、通讯協议等来制定你的网络规则。测试部署监控和管理第四十四页，共61页。多芬诺™中央管理平台（CMP）：第四十五页，共61页。多芬诺™安全资产管理(SAM):追踪和保护网络设备任何网络设备不需要中断或停止的情况下查找位于无息资产过程中的网络设备。规则辅助生成向导,指导用户方便快捷地从“封锁交通”的报告中创建防火墙的规则。新发现的设备也成为一个安全报警传送到多芬诺管理平台（CMP）。备有ANSI/ISA-99和自然环境研究理事会目前的标准和详细的库存清单。第四十六页，共61页。控制器模板预定义超过25个预定义的控制器模板定义通讯协议在必要时,可制定特殊规则以堵塞漏洞。在网络编辑器里,可采用拖放手段操作。每个新版本都自动更新第四十七页，共61页。控制工程师可制定通讯规则。自动阻止并报告任何流量不匹配您的规则。简单的规则定义可使用图形拖放来编辑。多芬诺™LSM内的防火墙:工业网络的通讯管制警察第四十八页，共61页。直观的规则编辑器预配置能够阻止已知设备的缺陷在全球范围内控制特定类型的通信创建一个设备列表给可以“交连”受保护的设备，并选择协议第四十九页，共61页。控制通信协议:多芬诺™过滤器支持的主要控制协议：MODBUS/TCPOPCEthernet/IP(Rockwell)GE-FanucHoneywellYokogawaEmersonMitsubishiPI还有更多！（超过50种）含有内建的协议向导,能很容易地添加新的协议。第五十页，共61页。控制工程师可定义允许的Modbus指令，寄存器和线圈名单列表。自动阻止并报告任何流量不匹配您的规则。协议要通过'完整性检查',这可阻挡任何不符合Modbus标准的通信。多芬诺™ModbusTCP执行机构:

Modbus协议的内容督察第五十一页，共61页。多芬诺™ModbusTCP协议执行机構例如：2台HMI对PLC的访问人机界面＃1容许具有完全的读/写访问人机界面＃2只容许读访问所有非必要功能码都被封锁第五十二页，共61页。多芬诺™OPC协议执行机構针对COM/DCOM的端口不固定问题，动态地为OPCServer和OPCClient开通相应的端口，只有指定的Server和Client之间可建立连接,支持

OPCDA,HDA,orA&E。