数字化油田生产信息系统-2017工业控制系统信息安全峰会ppt课件

尚文利中国科学院沈阳自动化研究所,一、工业控制系统脆弱性分析,1、工业控制系统及主要组成部分：工业控制系统（ICS-Industrialcontrolsystem）是由计算机设备与工业过程控制部件组成的自动控制系统，广泛应用于电力、能源、交通、石油石化等工业领域，是国家重要基础设施的关键组成部分，保障工控网络安全关系到国家的战略安全。工业控制系统主要包括：数据采集与监控系统（SCADA）分布式过程控制系统（DCS）可编程逻辑控制器（PLC）远程测控单元（RTU）网络电子传感/监视/控制/诊断系统等,一、工业控制系统脆弱性分析,2、工业控制系统的脆弱性：,随着信息化与网络化的发展，工业控制系统逐渐形成一个开放式的网络环境，对工业控制系统的攻击事件逐渐增多。2014年度针对关键基础设施的攻击威胁中，高级可持续性威胁APT攻击达到55%以上。2015年3月国家公开工业控制系统安全漏洞共405个。主要集中在能源、关键制造业、交通、通信、水利、核能等领域，而能源行业的安全事故则超过了一半。,2010年6月出现的Stuxnet病毒，第一个专门定向攻击真实世界的基础（能源）设施。,2014年4月，微软停止对windowxp系统提供补丁和安全更新服务，严重影响国内工控系统中运行xp的工控机。,以Havex为代表的APT攻击将工业控制网络安全的对抗带入了一个新时代。,一、工业控制系统脆弱性分析,控制系统的主要漏洞包括：通信协议漏洞两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。操作系统漏洞目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，通常现场工程师在系统开启后不会对windows平台安全任何补丁，埋下了安全隐患。,一、工业控制系统脆弱性分析,工控系统攻击事件的根本原因是系统存在安全漏洞!,应用软件漏洞由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，另外当应用软件面向网络应用时，就必须开放其应用端口，是重要的攻击途径。安全策略和管理流程漏洞追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。杀毒软件漏洞为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，病毒库也不会定期的更新。,一、工业控制系统脆弱性分析,3、工业控制系统的差异化：,一、工业控制系统脆弱性分析,一、工业控制系统脆弱性分析,4、工业控制系统的安全防护：,传统IT安全：机密性完整性可用性工控系统安全：可用性完整性机密性,二、工业控制系统信息安全业态现状,二、工业控制系统信息安全业态现状,1、安全标准与法规（国际）,二、工业控制系统信息安全业态现状,1、安全标准与法规（国际）,二、工业控制系统信息安全业态现状,1、安全标准与法规（国内）,虽然国内已经开展相关方面的标准制定，仍然缺少基于安全管理系统需求、等级保护、网络安全技术等方面的安全风险管理规范和基于安全产品测评、安全系统测评等方面的安全测试标准。,二、工业控制系统信息安全业态现状,2、安全防护技术与产品（国内与国际对比分析）,（1）OPCserver需要增加工业防火墙进行端口管理OPC通信需要开放所有端口信息，目前的IT防火墙不支持OPC协议防护。需要工业防火墙保护OPC客户端和OPC服务器之间的通信。（2）控制器和操作站之间需要增加工业防火墙进行隔离防护PLC、DCS、IED和RTU等现场设备非常脆弱，一般的病毒攻击就可能造成死机，传统防火墙不支持工业控制专有协议。,二、工业控制系统信息安全业态现状,2、安全防护技术与产品（国内与国际对比分析）,二、工业控制系统信息安全业态现状,3、脆弱性与风险评估及产品（国内与国际对比）,二、工业控制系统信息安全业态现状,3、脆弱性与风险评估及产品（国内与国际对比）,二、工业控制系统信息安全业态现状,3、脆弱性与风险评估及产品（国内与国际对比）,二、工业控制系统信息安全业态现状,3、脆弱性与风险评估及产品（国内与国际对比）,三、工业控制系统入侵检测技术,1、入侵检测技术：,入侵检测是一种主动防御安全防护技术，通过监视、分析通信行为模式，在入侵行为产生危害之前进行拦截，是对防火墙防护功能的补充。（1）误用检测根据已知类型的攻击特征，建立异常行为的知识库，对工控网络通信的异常数据进行特征匹配，以检测出系统的攻击行为。优点是误报率低，但对未知类型的攻击行为无法检测。（2）异常检测通过系统正常行为模式，建立对异常行为的检测模型。实时地获取工控网络的通信流量，并提取数据特征，对通信行为进行决策。优点是能够检测出工控系统网络新的攻击类型。,入侵检测是工业控制系统安全中的重要环节，随着工业控制系统信息化与网络化的发展，系统的安全风险和入侵威胁也不断增加，应用入侵检测系统（IDS）对网络通信行为进行提取、解析和判别，以检测出存在攻击行为，增强工控系统安全防御能力。,三、工业控制系统入侵检测技术,2、工控系统入侵检测：,入侵检测在工控网络安全中的应用,三、工业控制系统入侵检测技术,（1）工业控制系统的入侵途径,由于工控系统在网络协议、系统平台、应用软件等方面存在的脆弱性问题，攻击行为利用系统漏洞，通过适当的途径，进行攻击操作。入侵行为通过多种直接或间接,的方式接入控制系统网络。入侵接入是异常行为的攻击的前提条件，主要的途径有企业网接入、可信任第三方网络接入、Internet接入、可移动设备接入、无线通信等。,（2）工业控制系统的入侵类型,三、工业控制系统入侵检测技术,三、工业控制系统入侵检测技术,3、工业控制系统的入侵检测指标,建立有效的入侵检测系统对保障工控网络安全至关重要，入侵检测在整个控制系统网络的不同层次，具有不同等级的要求，但在系统入侵检测的应用中要满足相应的要求指标。（1）检测精度入侵检测系统要根据不同层次的实际防护技术和攻击承受能力，满足相应的检测精度要求。（2）实时性工控系统的运行是实时性的，入侵检测对异常行为分析、判别、报警处理等应满足工控系统实时性要求，保障系统稳定可靠地运行。,三、工业控制系统入侵检测技术,（1）工业控制系统的入侵检测通过分析各种系统攻击行为，提取攻击特征，利用通信数据匹配的技术可以实现对已知类型攻击行为的有效检测。,（2）对工控系统网络安全性分析，根据通信协议、异常行为模式等提取网络的通信流量，通过解析通信行为数据，建立系统的异常行为检测模型，提高系统对未知类型的攻击行为检测率。,1、工业控制系统的异常检测方法：,四、国内外研究现状与发展趋势,基于统计的方法：包括单变量或多变量模型和时间序列模型等。基于知识的方法：包括有限状态机、状态描述语言方法和规则推理等。基于机器学习的方法：又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。,在相关异常检测算法研究中，多采用不同方法相结合的策略。,2、国内外入侵检测研究：,四、国内外研究现状与发展趋势,随着工控系统信息化发展，工控系统逐渐与企业网相连接，传统的IT信息安全问题同时对工控系统安全造成严重的威胁，而IT信息安全成熟入侵检测技术不能简单地应用于工控系统网络。总体来说，国际上对工控系统安全的入侵检测研究还处于研究阶段。对工控系统入侵检测的研究主要为工业控制系统中的参数对象，如工控系统模型、工作参数、通信协议、攻击类型、行为模式、网络数据流量等，根据研究对象采用算法建立入侵检测系统模型。,工控系统入侵检测方面尚处于研究阶段，根据入侵检测中工控系统研究对象和采用的方法，在相关研究应用中有：基于工业控制网络流量的入侵检测方法该方法对工控网络产生的流量差异进行分析，然后利用相关算法建立工控网络正常流量的模型，并通过预测正常流量对异常流量进行异常检测。基于被控对象模型的入侵检测方法该方法以工控系统模型为对象，根据系统输入输出特性，建立输出的数学模型，根据系统预测输出与测量信息值比较，进行异常攻击行为的检测。,四、国内外研究现状与发展趋势,基于不完备信息的半监督K-means入侵检测方法该方法利用工业控制网络中已知类型的攻击，充分挖掘有效信息，结合半监督思想，提出不完备信息的K-means算法，以提高工业控制系统异常行为的检测率。多层次差异网络深度入侵数据挖掘的检测方法该方法研究多层次网络差异，通过采集数据和样本特征提取，利用模糊C均值聚类的方法，获取异常数据的行为模式，根据不同模式的结果进行通信行为的入侵检测。基于协议解析和通信模型的入侵检测方法该方法通过解析工控网络通信协议，并根据网络通信行为模式提取通信流量数据，利用神经网络、决策树、支持向量机等算法建立异常行为检测模型，提高异常行为检测率。,四、国内外研究现状与发展趋势,工业信息安全入侵检测研究,（1）针对Modbus/TCP的功能码序列异常检测方法以Modbus/TCP功能码序列为检测对象，将工业网络通信流量转换异常检测数据，提出了Modbus功能码模式短序列特征提取方法，建立异常流量数据的检测模型。,四、国内外研究现状与发展趋势,（2）基于单类支持向量机的入侵检测算法,利用支持向量机小样本、非线性、泛化能力强的优点，建立工业控制系统网络通信数据的分类器。选择适合于工控环境的单类支持向量机算法，以Modbus/TCP工业通信行为数据为对象，建立单类支持向量机的入侵检测系统，并采用粒子群算法（PSO）优化支持向量机参数，训练PSO-OCSVM的入侵检测模型，提高异常数据检测率。,四、国内外研究现状与发展趋势,（3）基于异常行为入侵检测模型研究通过对工业控制系统安全风险、通信协议、异常攻击数据等的分析，解析异常行为的操作模式，提出基于异常行为的通信流,量数据特征选择和构造方法，并结合支持向量机（SVM），构建工控系统仿真平台，并根据系统参数和异常行为数据，建立基于异常行为的入侵检测模型。,四、国内外研究现状与发展趋势,未来研究关注点针对工控系统入侵检测技术的研究，