面向工业控制系统可信处理技术-网络版课件

1、面向工业控制系统可信处理技术网络版课件面向工业控制系统可信处理技术网络版课件内容提要三工控可信处理技术四前期研究一工业控制系统安全现状二需求分析内容提要三工控可信处理技术四前期研究一工业控制系统安全现状二近几年的ICS-CERT的安全报告指出：从2011年起，针对工业控制系统的安全事件总体呈明显上升趋势，能源行业（石化、电力等）的安全事件占最高比例；2014年度针对关键基础设施的攻击威胁中，高级可持续性威胁APT攻击达到55%以上。我国工业控制系统面临的安全形势严峻：2014对我国影响较大的工控系统漏洞就达到133个。2015年3月国家公开工业控制系统安全漏洞共405个。一、工业控制系统安全现

2、状近几年的ICS-CERT的安全报告指出：一、工业控制系统安全伊朗政府宣布布什尔核电站员工电脑感染Stuxnet病毒，严重威胁核反应堆安全运营美国电厂工控系统遭USB病毒攻击201220132014中国某大型冶金厂车间控制系统发现病毒，因员工在某工作站私自安装娱乐软件带入在控制网扩散20102011微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据20152014年，巴西SCADA曝严重拒绝服务漏洞2015年12月乌克兰电力系统被植入恶意软件，导致发电站意外关闭我国石化行业同样遭受着信息安全漏洞的困扰，比如2010年我国某石化、2011年某炼油厂，某装置控制系统分别感染Co

3、nficker病毒，都造成控制系统服务器与控制器通讯不同程度地中断。2012年，伊朗石油部和国家石油公司内部电脑网络遭病毒攻击，为安全起见，伊朗方面暂时切断海湾附近哈尔克岛石油设施的网络连接。2012年，美国Chevron、Baker Hughes、ConocoPhillips和Marathon等四家石油公司相继声明曾受到专用于攻击伊朗核设施的震网病毒攻击。2015年6月中石化“内鬼”事件，某公司两名员工针对提供给中石化华东公司的SCADA系统（油管监控系统），开发了一套病毒程序，病毒爆发导致系统无法运行，企图通过提供修复程序索要酬金。32%分布在能源领域（2014年）一、工业控制系统安全现状

4、4美国电厂工控系统遭USB病毒攻击201220132014中国一、工业控制系统安全现状一、工业控制系统安全现状像癌症一样传播：世界首个PLC病毒问世（2016年05月08日报道）这是世界上首个真正意义上的工控蠕虫病毒，它能够对关键基础设施产生灾难性的后果，通过制造指数级增长的攻击，而且难以检测和制止。所幸的是，它现在还只是个POC（概念验证）。一、工业控制系统安全现状像癌症一样传播：世界首个PLC病毒问世（2016年05月08两位研究人员制作了一个仿真电厂构造演示蠕虫的攻击过程。随着蠕虫在PLC之间的跳跃，LED灯在150毫秒的最大时间周期内闪烁后熄灭。更加可怕的是，这种蠕虫攻击还可以被PLC

5、产生的电波频率和振幅所掩盖。攻击者可以通过石油管道入侵远程站，判断正常的频率模式，然后使用高频率组件重复这些电波，以掩盖攻击破坏行为。使用西门子S7控制器和一个电动机演示了攻击过程，但他同时强调这个漏洞并非S7本身的问题，而是归究于整个系统架构的设计。应对这种攻击，需要替换S7中的硬件，以能够检测到更高的频率，并且在执动器(actuator)和PLC周围安装低通滤波器。虽然与软件没有关联，但针对硬件本身的攻击趋势不容忽视！一、工业控制系统安全现状两位研究人员制作了一个仿真电厂构造演示蠕虫的攻击过程。随着蠕二、需求分析2013年9月，国家能源局发布关于开展电力工控PLC设备信息安全隐患排查及漏洞

6、整改工作的通知标志着国家开始重视工业终端设备的安全问题。1、工业终端是工业控制系统的核心装置二、需求分析2013年9月，国家能源局发布关于开展电力工控Internet PLC PLC现场控制层监督控制层工程师站操作员站历史库生产管理层MES 运营管理层ERP6.工业以太网8.异常处理不足OPC SERVER123 123 1232.弱口令 PLC456 4562.弱口令4.通信机制缺少安全考虑5.只记录正常操作日志1.工业网络与传统IT网之间缺乏有效隔离3.缺乏统一的安全管控机制7.缺乏认证机制二、需求分析Internet PLC 二、需求分析2、工控安全技术目前工控安全技术主要是面向网络的安

7、全防护技术工业防火墙的纵深防御技术病毒入侵监测的异常检测技术隔离网闸的数据摆渡技术漏洞测试仪的漏洞扫描技术二、需求分析2、工控安全技术目前工控安全技术主要是面向网络的二、需求分析3、工控安全技术局限性现有的工控安全防护技术都有一定的局限性，如防火墙、病毒入侵监测、漏洞扫描等，不能解决工业控制系统的所有安全问题，需要新型安全技术！二、需求分析3、工控安全技术局限性现有的工控安全防护技术都有二、需求分析4、终端层主动防御技术从工业终端角度，基于可信计算，以可信处理器来增强自身的防护能力，构建安全的运行环境，保障工业控制系统的安全。二、需求分析4、终端层主动防御技术从工业终端角度，基于可信计三、工控

8、可信处理技术可信根 IT领域：安全芯片工控领域：没有成熟的产品应用TEE可信执行环境安全区域设计，位于主处理器中，确保敏感数据存储、处理及保护于一个可信环境中1、可信计算技术三、工控可信处理技术可信根 1、可信计算技术三、工控可信处理技术面向工业控制的工业级可信处理器（TPU，Trusted Processing Unit），为智能制造行业工控设备与系统定制可信解决方案。可信处理器软硬件三、工控可信处理技术面向工业控制的工业级可信处理器（TPU，三、工控可信处理技术针对不同的智能制造领域下的应用场景，可灵活配置的芯片体系架构；32位处理器，可以提供最优的性能，最低的功耗和最高效的存储器利用存储

9、器保护单元（MPU）是可信处理器的一项重要组件，它可以实施对存储器（主要是内存和外设寄存器）的保护，从而使软件更加健壮和可靠。可重构的处理器体系架构三、工控可信处理技术针对不同的智能制造领域下的应用场景，可灵三、工控可信处理技术对称算法AES：实现128 - 256位加解密运算；DES / 3DES：支持ECB等多种模式。非对称算法RSA：实现192 - 2048位的模乘和模幂等运算。杂凑算法支持多种密码算法的工作模式加解密及认证算法研究 集成多种高速硬件加密算法模块，算法步骤完全由专有模块实现，数据流加密速度快。三、工控可信处理技术对称算法加解密及认证算法研究 三、工控可信处理技术全硬件实现

10、加解密及认证功能对比ApplicationDLL securityhigher layer securityTI-CC2420IEEE std 802.15.4 - 2003CCM (+ sw)CCM (+ sw)TI-CC2430IEEE std 802.15.4 - 2003block cipher mode (+ sw)block cipher mode (+ sw)TI-CC2520IEEE std 802.15.4 - 2006CCM* (+ security instructions)CCM* (+ security instructions)TI-CC253xIEEE std 8

11、02.15.4 - 2006block cipher mode (+ sw)block cipher mode (+ sw)UBEC-US2400IEEE std 802.15.4 - 2006CCM* (+ sw)CCM* (+ sw)DN-LTC5800IEC 62591CCM* (?)CCM* (+ sw)WIAIEC 62601CCM*CCM* (+ sw)l(a) = 50, l(m) = 69, M = 8TI-CC2420222 usWIA37.2 u - 73.3 us，性能提升 66.9 - 83.2%性能对比三、工控可信处理技术全硬件实现加解密及认证功能对比Appl三、工控

12、可信处理技术一款可信处理器的原型芯片集成32位ARM 内核受MPU保护的超级用户可编程存储区，提供灵活的访问控制通信接口：UART，SPI，I2C硬件实现多种加解密及认证算法对称算法：非对称算法：杂凑算法支持多种密码算法的工作模式。安全可重构功能套件，支持可信度量、身份认证、数据加/解密、数字签名、密钥管理等5种以上，并实现多选项配置可重构三、工控可信处理技术一款可信处理器的原型芯片可信PLC三、工控可信处理技术+可信RTU可信DCS可信PLC三、工控可信处理技术+可信RTU可信DCS四、前期研究中国科学院沈阳自动化研究所科学院EDA中心理事单位Synopsys、Cadence、MentorA

13、RM公司 Silicon PartnerARM7、Cortex M3TSMC 0.18um ULL POP PMKSMIC 0.13um ULL POP PMK台湾达盛电子802.15.4 2.4G RF IP核四、前期研究中国科学院沈阳自动化研究所四、前期研究科技成果现场总线通信协议栈软件（FF、ProfibusPA）现场总线通信控制器专用芯片（HT1200M、FBC0409）工业实时以太网通信协议（EPA、PowerLink）获奖现场总线系统芯片设计与产业化，获“国家高技术产业化示范工程”奖励IEC61158标准现场总线通讯控制器集成电路研制，获“沈阳市科技”一等奖流程工业控制网络通信芯片

14、及应用系统开发，获“辽宁省科学技术发明”一等奖流程工业现场总线核心芯片、互操作技术 集成控制系统开发，获“国家科技进步”二等奖四、前期研究科技成果技术参数接收灵敏度：-100dBm发射功率：19dBm机箱尺寸：430290158.4mm工作温度：-40+85宽幅工作电压：AC85V265V防护等级：IP65防爆等级：Ex ib IIC T3无线安全认证：AES 128bit四、前期研究智能无线网关、无线远程控制器（RTU）、智能无线适配器、无线手持调试仪等设备，可信加密芯片模块开发。WIA-PA无线温度、压力变送器WIA-PA智能无线网关技术参数接收灵敏度：-100dBm发射功率：19dBm四、前期研究 WIASoC2400工业级加密芯片。四、前期研究 WIASoC2400四、前期研究海1块四、前期研究海1块中科工业防火墙：通过ModbusTcp，对从无线网关采集的数据进行实时监测，对报警及消息日志进行历史存储石油行业解决方案1中科工业防火墙：石油行业解决方案1石油行业解决方案2管理与控制平台：对整个工业控制网络进行实时监控，对报警及消息日志进行历史存储中科工业防火墙：Modbus协议深度解析，保护控制器，阻止对控制器的任何非法访问及控制中科工业防火墙：OPC协议深度解析，动态开放端口，