工业控制系统信息安全简介

第1章工业控制系统信息安全简介 工业控制系统信息安全 第1章工业控制系统信息安全简介 1 1工业控制系统信息安全现状 威胁与趋势1 2工业控制系统信息安全定义1 3工业控制系统信息安全要求和标准体系 1 1 1工业控制系统信息安全现状 据权威工业安全事件信息库 RepositoryofIndustrialSecurityIncidents RISI 统计 截止到2011年10月 全球已发生200余起针对工业控制系统的攻击事件 据美国ICS CERT报告 2012年工控安全事件197起 2013年工控安全事件248起 其统计图如图1 1所示 图1 1ICS CERT工业控制系统信息安全事件统计图 1 1 1工业控制系统信息安全现状 1 能源行业1994年 美国亚利桑那州SaltRiverProject被黑客入侵 2000年 俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络 2001年 黑客侵入了监管加州多数电力传输系统的独立运营商 2003年 美国俄亥俄州Davis Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫所感染 导致其安全监控系统停机将近5小时 2003年 龙泉 政平 鹅城换流站控制系统发现病毒 后发现是由外国工程师在系统调试中用笔记本电脑上网所致 2007年 在美国国土安全局的 Aurora 演习中 针对电力控制系统进行渗透测试 一台发电机在其控制系统受到攻击后被物理损坏 2010年 网络超级武器 Stuxnet病毒针对性地入侵工业控制系统 严重威胁到伊朗布什尔核电站核反应堆的安全运营 2012年 美国国土安全局下属的ICS CERT称 自2011年12月以来 已发现多起试图入侵几大输气公司的黑客活动 2012年4月22日 伊朗石油部和国家石油公司内部计算机网络遭病毒攻击 为安全起见 伊朗方面暂时切断了海湾附近哈尔克岛石油设施的网络连接 1 1 1工业控制系统信息安全现状 2 水利与水处理行业2000年 一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后 远程侵入该厂的污水处理控制系统 恶意造成污水处理泵站的故障 导致超过1000m3的污水被直接排入河流 导致了严重的环境灾难 2001年 澳大利亚的一家污水处理厂由于内部工程师的多次网络入侵 该厂发生了46次控制设备功能异常事件 2005年 美国水电溢坝事件 2006年 黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施 在其系统内植入了能够影响污水操作的恶意程序 2007年 攻击者侵入加拿大的一个水利SCADA控制系统 通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机 2011年 黑客通过Internet操纵美国伊利诺伊州城市供水系统SCADA 使得其控制的供水泵遭到破坏 1 1 1工业控制系统信息安全现状 3 交通运输行业1997年 一个十几岁的少年侵入纽约NYNES系统 干扰了航空与地面通信 导致马萨诸塞州的Worcester机场关闭6个小时 2003年 CSX运输公司的计算机系统被病毒感染 导致华盛顿特区的客货运输中断 2003年 19岁的AaronCaffrey侵入Houston渡口的计算机系统 导致该系统停机 2008年 攻击者入侵波兰某城市地铁系统 通过电视遥控器改变轨道扳道器 导致四节车厢脱轨 1 1 1工业控制系统信息安全现状 4 制造行业2005年 在Zotob蠕虫安全事件中 尽管在Internet与企业网 控制网之间部署了防火墙 还是有13个美国汽车厂由于被蠕虫感染而被迫关闭 50 000生产线工人被迫停止工作 预计经济损失超过1 400 000美元 2010年我国某石化 2011年某炼油厂的某装置控制系统分别感染Conficker病毒 都造成了控制系统服务器与控制器通信不同程度地中断 2014年 某钢铁厂遭到攻击 攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转 造成重大破坏 1 1 1工业控制系统信息安全现状 5 跨行业2011年 微软警告称最新发现的Duqu病毒可从工业控制系统制造商那里收集情报数据 2012年 发现攻击多个中东国家的恶意程序Flame火焰病毒 它能收集各行业的敏感信息 1 1 2工业控制系统信息安全威胁 1 敌对因素敌对因素可以是来自内部或外部的个体 专门的组织或政府 通常采用包括黑客攻击 数据操纵 DataManipulation 间谍 Espionage 病毒 蠕虫 特洛伊木马和僵尸网络等进行攻击 黑客攻击是通过攻击自动化系统的要害或弱点 使得工业网络信息的保密性 完整性 可靠性 可控性 可用性等受到伤害 造成不可估量的损失 来自外部的攻击包括非授权访问 是指一个非授权用户的入侵 拒绝服务 DenialofService DoS 攻击 即黑客想办法让目标设备停止提供服务或资源访问 高级持续威胁 AdvancedPersistenceThreat APT 不断出现 攻击者有一个基于特定战略的缜密计划 即使他们使用的是相对简单的机制 其攻击对象是大中型企业 政府 重要机构 攻击者使用社会上的工程技术和 或招募内部人员来获取有效登录凭证 1 1 2工业控制系统信息安全威胁 2 偶然因素偶然因素可以是来自内部或外部的专业人员 运行维护人员或管理员 由于技术水平的局限性及经验的不足 这些人员可能会出现各种意想不到的操作失误 势必对系统或信息安全产生较大的影响 3 系统结构因素系统结构因素可以是来自系统设备 安装环境和运行软件 由于老化 资源不足或其他情况造成系统设备故障 安装环境失控及软件故障 对系统或信息安全产生较大的影响 4 环境因素环境因素可以是来自自然或人为灾害 非正常的自然事件 如太阳黑子等 和基础设施破坏 这些自然灾害 人为灾害 非正常的自然事件和基础设施破坏 对工业控制系统信息安全产生较大的影响 1 1 3工业控制系统信息安全趋势 1 全行业覆盖趋势目前 工业控制系统广泛应用于我国电力 冶金 安防 水利 污水处理 石油天然气 化工 交通运输 制药 以及大型制造等行业中 据不完全统计 超过80 涉及国计民生的关键基础设施是依靠工业控制系统来实现自动化作业的 工业控制系统已是国家安全战略的重要组成部分 因此 工业控制系统信息安全有全行业覆盖的趋势 2 经济越发达安全事件越多趋势国家经济越发达 工业控制系统应用越广泛 国家经济越发达 工业管理要求更高 工厂信息化建设越多 因此 工业控制系统信息安全有国家经济越发达工业控制系统安全事件就越多的趋势 1 1 3工业控制系统信息安全趋势 3 日益增多趋势新技术新应用层出不穷 云计算 移动互联网 大数据 卫星互联网等领域的新技术新应用带来了新的信息安全问题 因此 工业控制系统信息安全有日益增多的趋势 第1章工业控制系统信息安全简介 1 1工业控制系统信息安全现状 威胁与趋势1 2工业控制系统信息安全定义1 3工业控制系统信息安全要求和标准体系 1 2 1IEC对工业控制系统信息安全的定义 在IEC62443中对工业信息安全的定义 保护系统所采取的措施 由建立和维护保护系统的措施所得到的系统状态 能够免于对系统资源的非授权访问和非授权或意外的变更 破坏或者损失 基于计算机系统的能力 能够保证非授权人员和系统既无法修改软件及其数据又无法访问系统功能 却保证授权人员和系统不被阻止 防止对工业控制系统的非法或有害入侵 或者干扰其正确和计划的操作 1 2 2工业控制系统信息安全需求 1 可用性工业控制系统信息安全必须确保所有控制系统部件可用 运行正常及功能正常 工业控制系统的过程是连续的 工业过程控制系统不能接受意外中断 2 完整性工业控制系统信息安全必须确保所有控制系统信息的完整性和一致性 1 数据完整性 即未被未授权篡改或者损坏 2 系统完整性 即系统未被非法操纵 按既定的目标运行 3 保密性工业控制系统信息安全必须确保所有控制系统信息安全 配置必要的授权访问 防止工业信息盗取事件的发生 除上面3个基本需求外 工业控制系统信息安全还有其他方面的需求 这些需求将在第2章介绍 1 2 3工业控制系统信息安全与信息技术系统安全比较 图1 2工业控制系统安全与信息技术系统安全比较图 第1章工业控制系统信息安全简介 1 1工业控制系统信息安全现状 威胁与趋势1 2工业控制系统信息安全定义1 3工业控制系统信息安全要求和标准体系 1 3 1国家部委 行业通知 2011年9月 工业和信息化部发布 关于加强工业控制系统信息安全管理的通知 2011 451号 通知明确了工业控制系统信息安全管理的组织领导 技术保障 规章制度等方面的要求 并在工业控制系统的连接 组网 配置 设备选择与升级 数据 应急管理等六个方面提出了明确的具体要求 文中明确指出 全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准 明确设备安全技术要求 2012年6月28日 国务院 关于大力推进信息化发展和切实保障信息安全的若干意见 国发 2012 23号 明确要求 保障工业控制系统安全 加强核设施 航空航天 先进制造 石油石化 油气管网 电力系统 交通运输 水利枢纽 城市设施等重要领域工业控制系统 定期开展安全检查和风险评估 重点对可能危及生命和公共财产安全的工业控制系统加强监管 对重点领域使用的关键产品开展安全测评 实行安全风险和漏洞通报制度 1 3 1国家部委 行业通知 2013年8月12日 在国家发改委 关于组织实施2013年国家信息安全专项有关事项的通知 中 工控安全成为四大安全专项之一 国家在政策层面给予工控安全大力的支持 电力行业已陆续发布 电力二次系统安全防护规定 电力二次系统安全防护总体要求 等一系列文件 1 3 2国际标准体系 1 IEC ISA1 IEC62443 工业过程测量 控制和自动化网络与系统信息安全 IEC62443一共分为四个系列共13个标准 第一系列是通用标准 第二系列是策略和规程 第三系列提出系统级的措施 第四系列提出组件级的措施 在这13个标准中 其中4个标准已完成 其他9个标准在投票或制定过程中 其详细架构图如图1 3所示 1 3 2国际标准体系 图1 3IEC62443 ISA 99架构图 1 3 2国际标准体系 1 IEC ISA2 IEC62351 电力系统管理与相关信息交互数据和通信信息安全 IEC62351是IEC第57技术委员会WG15工作组为电力系统安全运行针对有关通信协议 IEC60870 5 IEC60870 6 IEC61850 IEC61970 IEC61968系列和DNP3 而开发的数据和通信安全标准 IEC62351标准的全名为电力系统管理及关联的信息交换 数据和通信安全性 PowerSystemsManagementandAssociatedInformationExchange DataandCommunicationsSecurity 它由八个部分组成 1 3 2国际标准体系 1 IEC ISA3 IEC62278 轨道交通可靠性 可用性 可维修性和安全性规范及示例 本标准定义了RAMS各要素 可靠性 可用性 可维修性和安全性 及其相互作用 规定了一个以系统生命周期及其工作为基础 用于管理RAMS的流程 使RAMS各个要素间的矛盾得以有效地控制和管理 1 3 2国际标准体系 2 ISO IECISO IEC27000 信息安全管理系统 包含了信息安保标准 由国际标准化组织 ISO 和国际电工委员会 IEC 共同颁布 ISO IEC27000 信息安保管理系统 概述和词汇 ISO IEC27001 信息安保管理系统 要求 ISO IEC27002 用于信息安保管理实践的规则 ISO IEC27003 信息安保管理系统实施指南 ISO IEC27004 信息安保管理 测量 ISO IEC27005 信息安保危险管理 ISO IEC27006 对信息安保管理系统提供审计和认证机构的要求 ISO IEC27011 基于ISO IEC27002电信组织的信息安保管理指南 ISO IEC27033 1 网络安保概述和概念 1 3 3国内标准体系 1 全国工业过程测量和控制标准化技术委员会1 GB T30976 1 2014 工控系统信息安全第1部分 评估规范 该规范规定了工业控制系统 SCADA DCS PLC PCS等 信息安全评估的目标 评估的内容 实施过程等 该规范适用于系统设计方 设备生产商 系统集成商 工程公司 用户 资产所有人 以及评估认证机构等对工业控制系统的信息安全进行评估时使用 该规范包括术语 定义和缩略语 工业控制系统信息安全概述 组织机构管理评估 系统能力 技术 评估 评估程序 工业控制系统生命周期各阶段的风险评估 以及评估报告的格式要求等内容 该规范于2015年2月1日正式实施 1 3 3国内标准体系 1 全国工业过程测量和控制标准化技术委员会2 GB T30976 2 2014 工控系统信息安全第2部分 验收规范 该规范规定了对实施安全解决方案的工业控制系统信息安全能力进行验收的验收流程 测试内容 方法及应达到的要求 这些测试是为了证明工业控制系统在增加安全解决方案后满足对安全性的要求 并且保证其主要性能指标在允许范围内 该规范的各项内容可作为实际工作中的指导 适用于各种工艺装置 工厂和控制系统 该规范包括术语和定义 概述 验收准备阶段 风险分析与处置阶段 以及能力确认阶段等内容 该规范于2015年2月1日正式实施 1 3 3国内标准体系 2 全国电力系统管理及其信息交换标准化技术委员会1 GB Z25320 1 2010 电力系统管理及其信息交换数据和通信安全第1部分 通信网络和系统安全安全问题介绍 本部分范围是电力系统控制运行的信息安全 本部分的主要目的是 为IECTC57制定的通信协议的安全 特别是IEC60870 5 IEC60870 6 IEC61850 IEC61970和IEC61968的安全 承担标准的制定 承担有关端对端安全的标准和技术报告的制定 2 GB Z25320 2 2013 电力系统管理及其信息交换数据和通信安全第2部分 术语 本部分包括了在GB Z25320中所使用的关键术语 然而并不意味这是一个由它定义的术语列表 用于计算机安全的大多数术语已由其他标准组织正式定义 因此 在这里通过对原始定义术语出处的引用 可以包括这些术语 1 3 3国内标准体系 2 全国电力系统管理及其信息交换标准化技术委员会3 GB Z25320 3 2010 电力系统管理及其信息交换数据和通信安全第3部分 通信网络和系统安全包括TCP IP的协议集 本部分规定如何为SCADA和用TCP IP作为信息传输层的远动协议 提供机密性 篡改检测和信息层面认证 4 GB Z25320 4 2010 电力系统管理及其信息交换数据和通信安全第4部分 包含MMS的协议集 为了对基于GB T16720 ISO9506 制造报文规范 ManufacturingMessageSpecification MMS 的应用进行安全防护 本部分规定了过程 协议扩充和算法 其他IECTC57标准如需要以安全的方式使用MMS 可以引用本部分作为其规范性引用文件 本部分描述了在使用GB T16720 ISO IEC9508 制造业报文规范MMS时应实现的一些强制的和可选的安全规范 1 3 3国内标准体系 2 全国电力系统管理及其信息交换标准化技术委员会5 GB Z25320 5 2013 电力系统管理及其信息交换数据和通信安全第5部分 GB T18657及其衍生标准的安全 为了对基于或衍生于IEC60870 5 GB T18657 远动没备及系统第5部分 传输规约 的所有协议的运行进行安全防护 本部分规定了所用的信息 过程和算法 根据IEC第57委员会第3工作组的指令 IEC62351的本部分仅关注应用层认证和由此认证所产生的安全防护问题 安全防护涉及的其他问题 特别是通过加密的使用来防止窃听和中间人攻击 被认为超出本部分的范围 通过本部分和其他规范一起使用 可以增加加密功能 6 GB Z25320 6 2011 电力系统管理及其信息交换数据和通信安全第6部分 IEC61850的安全 为了对基于或派生于IEC61850的所有协议的运行进行安全防护 本指导性技术文件规定了相应的信息 过程与算法 1 3 3国内标准体系 3 全国核电行业管理及其信息交换标准化技术委员会1 GB T13284 1 2008 核电厂安全系统第1部分设计准则 GB T13284 1 2008是为代替旧版本的GB T13284 1998而制定的国家标准 该标准提供了有关核电厂安全设计应遵循的准则 标准中规定了核电厂安全系统动力源 仪表和控制部分最低限度的功能和设计要求 标准适用于为防止或减轻设计基准事件后果 保护公众健康和安全所需要的系统 同样适用于保护整个核电厂安全所需的所有与安全有关的系统 构筑物及设备 标准主要引用了GB T及EJ T系列标准和准则 主要从安全系统的设计准则 安全系统准则 检测指令设备的功能和要求 执行装置的功能和设计要求及对动力源的要求这几个方面对核工厂安全系统设计规范进行了较为详细的规范 1 3 3国内标准体系 3 全国核电行业管理及其信息交换标准化技术委员会2 GB T13629 2008 核电厂安全系统中数字计算机的适用准则 GB T13629 2008准则是2008年7月2日发布的 主要针对核电厂安全系统中数字计算机适用性制定的准则 用于代替原有的GB T13629 1998 核电厂安全系统中数字计算机的适用准则 该准则主要参考IEEEStd7 4 3 2 2003 核电厂安全系统中数字计算机的使用准则 进行修改 将其中的美国标准改为相应的中国标准 标准规定了计算机用做核电厂安全系统设备时的一般原则 规范主要引用了GB T EJ T HAF及IEEE的相关标准 1 3 3国内标准体系 4 行业标准和导则1 JB T11960 2014 工业过程测量和控制安全网络和系统安全 IEC TR6