第1章工业控制系统信息安全简介

第1章工业控制系统信息安全简介第一页，共35页。第1章工业控制系统信息安全简介1.1工业控制系统信息安全现状、威胁与趋势1.2工业控制系统信息安全定义1.3工业控制系统信息安全要求和标准体系第二页，共35页。1.1.1工业控制系统信息安全现状

据权威工业安全事件信息库（RepositoryofIndustrialSecurityIncidents，RISI）统计，截止到2011年10月，全球已发生200余起针对工业控制系统的攻击事件。据美国ICS-CERT报告，2012年工控安全事件197起，2013年工控安全事件248起，其统计图如图1-1所示。图1-1ICS-CERT工业控制系统信息安全事件统计图第三页，共35页。1.1.1工业控制系统信息安全现状1．能源行业1994年，美国亚利桑那州SaltRiverProject被黑客入侵。2000年，俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络。2001年，黑客侵入了监管加州多数电力传输系统的独立运营商。2003年，美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫所感染，导致其安全监控系统停机将近5小时。2003年，龙泉、政平、鹅城换流站控制系统发现病毒，后发现是由外国工程师在系统调试中用笔记本电脑上网所致。2007年，在美国国土安全局的“Aurora”演习中，针对电力控制系统进行渗透测试，一台发电机在其控制系统受到攻击后被物理损坏。2010年，“网络超级武器”Stuxnet病毒针对性地入侵工业控制系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营。2012年，美国国土安全局下属的ICS-CERT称，自2011年12月以来，已发现多起试图入侵几大输气公司的黑客活动。2012年4月22日，伊朗石油部和国家石油公司内部计算机网络遭病毒攻击，为安全起见，伊朗方面暂时切断了海湾附近哈尔克岛石油设施的网络连接。第四页，共35页。1.1.1工业控制系统信息安全现状2．水利与水处理行业2000年，一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后，远程侵入该厂的污水处理控制系统，恶意造成污水处理泵站的故障，导致超过1000m3的污水被直接排入河流，导致了严重的环境灾难。2001年，澳大利亚的一家污水处理厂由于内部工程师的多次网络入侵，该厂发生了46次控制设备功能异常事件。2005年，美国水电溢坝事件。2006年，黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施，在其系统内植入了能够影响污水操作的恶意程序。2007年，攻击者侵入加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。2011年，黑客通过Internet操纵美国伊利诺伊州城市供水系统SCADA，使得其控制的供水泵遭到破坏。第五页，共35页。1.1.1工业控制系统信息安全现状3．交通运输行业1997年，一个十几岁的少年侵入纽约NYNES系统，干扰了航空与地面通信，导致马萨诸塞州的Worcester机场关闭6个小时。2003年，CSX运输公司的计算机系统被病毒感染，导致华盛顿特区的客货运输中断。2003年，19岁的AaronCaffrey侵入Houston渡口的计算机系统，导致该系统停机。2008年，攻击者入侵波兰某城市地铁系统，通过电视遥控器改变轨道扳道器，导致四节车厢脱轨。第六页，共35页。1.1.1工业控制系统信息安全现状4．制造行业2005年，在Zotob蠕虫安全事件中，尽管在Internet与企业网、控制网之间部署了防火墙，还是有13个美国汽车厂由于被蠕虫感染而被迫关闭，50，000生产线工人被迫停止工作，预计经济损失超过1，400，000美元。2010年我国某石化、2011年某炼油厂的某装置控制系统分别感染Conficker病毒，都造成了控制系统服务器与控制器通信不同程度地中断。2014年，某钢铁厂遭到攻击，攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转，造成重大破坏。第七页，共35页。1.1.1工业控制系统信息安全现状5．跨行业2011年，微软警告称最新发现的Duqu病毒可从工业控制系统制造商那里收集情报数据。2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息。第八页，共35页。1.1.2工业控制系统信息安全威胁1．敌对因素敌对因素可以是来自内部或外部的个体、专门的组织或政府，通常采用包括黑客攻击、数据操纵（DataManipulation）、间谍（Espionage）、病毒、蠕虫、特洛伊木马和僵尸网络等进行攻击。

黑客攻击是通过攻击自动化系统的要害或弱点，使得工业网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成不可估量的损失。

来自外部的攻击包括非授权访问，是指一个非授权用户的入侵；拒绝服务（DenialofService，DoS）攻击，即黑客想办法让目标设备停止提供服务或资源访问。

高级持续威胁（AdvancedPersistenceThreat，APT）不断出现。攻击者有一个基于特定战略的缜密计划，即使他们使用的是相对简单的机制。其攻击对象是大中型企业、政府、重要机构。攻击者使用社会上的工程技术和/或招募内部人员来获取有效登录凭证。第九页，共35页。1.1.2工业控制系统信息安全威胁2．偶然因素偶然因素可以是来自内部或外部的专业人员、运行维护人员或管理员。由于技术水平的局限性及经验的不足，这些人员可能会出现各种意想不到的操作失误，势必对系统或信息安全产生较大的影响。3．系统结构因素系统结构因素可以是来自系统设备、安装环境和运行软件。由于老化、资源不足或其他情况造成系统设备故障、安装环境失控及软件故障，对系统或信息安全产生较大的影响。4．环境因素环境因素可以是来自自然或人为灾害、非正常的自然事件（如太阳黑子等）和基础设施破坏。这些自然灾害、人为灾害、非正常的自然事件和基础设施破坏，对工业控制系统信息安全产生较大的影响。第十页，共35页。1.1.3工业控制系统信息安全趋势1．全行业覆盖趋势目前，工业控制系统广泛应用于我国电力、冶金、安防、水利、污水处理、石油天然气、化工、交通运输、制药，以及大型制造等行业中，据不完全统计，超过80%涉及国计民生的关键基础设施是依靠工业控制系统来实现自动化作业的，工业控制系统已是国家安全战略的重要组成部分。因此，工业控制系统信息安全有全行业覆盖的趋势。2．经济越发达安全事件越多趋势国家经济越发达，工业控制系统应用越广泛；国家经济越发达，工业管理要求更高，工厂信息化建设越多。因此，工业控制系统信息安全有国家经济越发达工业控制系统安全事件就越多的趋势。第十一页，共35页。1.1.3工业控制系统信息安全趋势3．日益增多趋势新技术新应用层出不穷，云计算、移动互联网、大数据、卫星互联网等领域的新技术新应用带来了新的信息安全问题。因此，工业控制系统信息安全有日益增多的趋势。第十二页，共35页。第1章工业控制系统信息安全简介1.1工业控制系统信息安全现状、威胁与趋势1.2工业控制系统信息安全定义1.3工业控制系统信息安全要求和标准体系第十三页，共35页。1.2.1IEC对工业控制系统信息安全的定义在IEC62443中对工业信息安全的定义：①保护系统所采取的措施；②由建立和维护保护系统的措施所得到的系统状态；③能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；④基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据又无法访问系统功能，却保证授权人员和系统不被阻止；⑤防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。第十四页，共35页。1.2.2工业控制系统信息安全需求1．可用性工业控制系统信息安全必须确保所有控制系统部件可用，运行正常及功能正常。工业控制系统的过程是连续的，工业过程控制系统不能接受意外中断。2．完整性工业控制系统信息安全必须确保所有控制系统信息的完整性和一致性。（1）数据完整性，即未被未授权篡改或者损坏。（2）系统完整性，即系统未被非法操纵，按既定的目标运行。3．保密性工业控制系统信息安全必须确保所有控制系统信息安全，配置必要的授权访问，防止工业信息盗取事件的发生。除上面3个基本需求外，工业控制系统信息安全还有其他方面的需求，这些需求将在第2章介绍。第十五页，共35页。1.2.3工业控制系统信息安全与

信息技术系统安全比较图1-2工业控制系统安全与信息技术系统安全比较图第十六页，共35页。第1章工业控制系统信息安全简介1.1工业控制系统信息安全现状、威胁与趋势1.2工业控制系统信息安全定义1.3工业控制系统信息安全要求和标准体系第十七页，共35页。1.3.1国家部委、行业通知2011年9月，工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》（[2011]451号），通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。文中明确指出：“全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。”2012年6月28日，国务院《关于大力推进信息化发展和切实保障信息安全的若干意见（国发〔2012〕23号）》明确要求：保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。第十八页，共35页。1.3.1国家部委、行业通知2013年8月12日，在国家发改委《关于组织实施2013年国家信息安全专项有关事项的通知》中，工控安全成为四大安全专项之一，国家在政策层面给予工控安全大力的支持。

电力行业已陆续发布《电力二次系统安全防护规定》、《电力二次系统安全防护总体要求》等一系列文件。第十九页，共35页。1.3.2国际标准体系1．IEC/ISA1）IEC62443《工业过程测量、控制和自动化网络与系统信息安全》IEC62443一共分为四个系列共13个标准，第一系列是通用标准，第二系列是策略和规程，第三系列提出系统级的措施，第四系列提出组件级的措施。在这13个标准中，其中4个标准已完成，其他9个标准在投票或制定过程中，其详细架构图如图1-3所示。第二十页，共35页。1.3.2国际标准体系图1-3IEC62443/ISA-99架构图第二十一页，共35页。1.3.2国际标准体系1．IEC/ISA2）IEC62351《电力系统管理与相关信息交互数据和通信信息安全》IEC62351是IEC第57技术委员会WG15工作组为电力系统安全运行针对有关通信协议（IEC60870-5、IEC60870-6、IEC61850、IEC61970、IEC61968系列和DNP3）而开发的数据和通信安全标准。IEC62351标准的全名为电力系统管理及关联的信息交换-数据和通信安全性（PowerSystemsManagementandAssociatedInformationExchange-DataandCommunicationsSecurity），它由八个部分组成。第二十二页，共35页。1.3.2国际标准体系1．IEC/ISA3）IEC62278《轨道交通可靠性、可用性、可维修性和安全性规范及示例》本标准定义了RAMS各要素（可靠性、可用性、可维修性和安全性）及其相互作用，规定了一个以系统生命周期及其工作为基础、用于管理RAMS的流程，使RAMS各个要素间的矛盾得以有效地控制和管理。第二十三页，共35页。1.3.2国际标准体系2．ISO/IECISO/IEC27000《信息安全管理系统》包含了信息安保标准，由国际标准化组织（ISO）和国际电工委员会（IEC）共同颁布。ISO/IEC27000—信息安保管理系统-概述和词汇。ISO/IEC27001—信息安保管理系统-要求。ISO/IEC27002—用于信息安保管理实践的规则。ISO/IEC27003—信息安保管理系统实施指南。ISO/IEC27004—信息安保管理-测量。ISO/IEC27005—信息安保危险管理。ISO/IEC27006—对信息安保管理系统提供审计和认证机构的要求。ISO/IEC27011—基于ISO/IEC27002电信组织的信息安保管理指南。ISO/IEC27033-1—网络安保概述和概念。第二十四页，共35页。1.3.3国内标准体系1．全国工业过程测量和控制标准化技术委员会1）GB/T30976.1-2014《工控系统信息安全第1部分：评估规范》该规范规定了工业控制系统（SCADA、DCS、PLC、PCS等）信息安全评估的目标、评估的内容、实施过程等。该规范适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人，以及评估认证机构等对工业控制系统的信息安全进行评估时使用。该规范包括术语、定义和缩略语，工业控制系统信息安全概述，组织机构管理评估，系统能力（技术）评估，评估程序，工业控制系统生命周期各阶段的风险评估，以及评估报告的格式要求等内容。该规范于2015年2月1日正式实施。第二十五页，共35页。1.3.3国内标准体系1．全国工业过程测量和控制标准化技术委员会2）GB/T30976.2-2014《工控系统信息安全第2部分：验收规范》该规范规定了对实施安全解决方案的工业控制系统信息安全能力进行验收的验收流程、测试内容、方法及应达到的要求。这些测试是为了证明工业控制系统在增加安全解决方案后满足对安全性的要求，并且保证其主要性能指标在允许范围内。该规范的各项内容可作为实际工作中的指导，适用于各种工艺装置、工厂和控制系统。该规范包括术语和定义、概述、验收准备阶段、风险分析与处置阶段，以及能力确认阶段等内容。该规范于2015年2月1日正式实施。第二十六页，共35页。1.3.3国内标准体系2．全国电力系统管理及其信息交换标准化技术委员会1）GB/Z25320.1-2010《电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍》本部分范围是电力系统控制运行的信息安全。本部分的主要目的是“为IECTC57制定的通信协议的安全,特别是IEC60870-5、IEC60870-6、IEC61850、IEC61970和IEC61968的安全,承担标准的制定；承担有关端对端安全的标准和技术报告的制定”。2）GB/Z25320.2-2013《电力系统管理及其信息交换数据和通信安全第2部分：术语》本部分包括了在GB/Z25320中所使用的关键术语，然而并不意味这是一个由它定义的术语列表。用于计算机安全的大多数术语已由其他标准组织正式定义，因此，在这里通过对原始定义术语出处的引用，可以包括这些术语。第二十七页，共35页。1.3.3国内标准体系2．全国电力系统管理及其信息交换标准化技术委员会3）GB/Z25320.3-2010《电力系统管理及其信息交换数据和通信安全第3部分：通信网络和系统安全包括TCP/IP的协议集》本部分规定如何为SCADA和用TCP/IP作为信息传输层的远动协议，提供机密性、篡改检测和信息层面认证。4）GB/Z25320.4-2010《电力系统管理及其信息交换数据和通信安全第4部分：包含MMS的协议集》为了对基于GB/T16720（ISO9506）制造报文规范（ManufacturingMessageSpecification，MMS）的应用进行安全防护，本部分规定了过程、协议扩充和算法。其他IECTC57标准如需要以安全的方式使用MMS，可以引用本部分作为其规范性引用文件。本部分描述了在使用GB/T16720（ISO/IEC9508）制造业报文规范MMS时应实现的一些强制的和可选的安全规范。第二十八页，共35页。1.3.3国内标准体系2．全国电力系统管理及其信息交换标准化技术委员会5）GB/Z25320.5-2013《电力系统管理及其信息交换数据和通信安全第5部分：GB/T18657及其衍生标准的安全》为了对基于或衍生于IEC60870-5（GB/T18657《远动没备及系统第5部分：传输规约》）的所有协议的运行进行安全防护，本部分规定了所用的信息、过程和算法。根据IEC第57委员会第3工作组的指令，IEC62351的本部分仅关注应用层认证和由此认证所产生的安全防护问题。安全防护涉及的其他问题，特别是通过加密的使用来防止窃听和中间人攻击，被认为超出本部分的范围。通过本部分和其他规范一起使用，可以增加加密功能。6）GB/Z25320.6-2011《电力系统管理及其信息交换数据和通信安全第6部分：IEC61850的安全》为了对基于或派生于IEC61850的所有协议的运行进行安全防护，本指导性技术文件规定了相应的信息、过程与算法。第二十九页，共35页。1.3.3国内标准体系3．全国核电行业管理及其信息交换标准化技术委员会1）GB/T13284.1-2008《核电厂安全系统第1部分设计准则》GB/T13284.1-2008是为代替旧版本的GB/T13284-1998而制定的国家标准，该标准提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求，标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的系统。同样适用于保护整个核电厂安全所需的所有与安全有关的系统、构筑物及设备。标准主要引用了GB/T及EJ/T系列标准和准则，主要从安全系统的设计准则、安全系统准则、检测指令设备的功能和要求、执行装置的功能和设计要求及对动力源的要求这几个方面对核工厂安全系统设计规范进行了较为详细的规范。第三十页，共35页。1.3.3国内标准体系3．全国核电行业管理及其信息交换标准化技术委员会2）GB/T13629-2008《核电厂安全系统中数字计算机的适用准则》GB/T13629-2008准则是2008年7月2日发布的，主要针对核电厂安全系统中数字计算机适用性制定的准则，用于代替原有的GB/T13629-1998《核电厂安全系统中数字计算机的适用准则》。该准则主要参考IEEEStd7-4.3.2-2003《核电厂安全系统中数字计算机的使用准则》进行修改，将其中的美国标准改为相应的中国标准。标准规定了计算机用做核电厂安全系统设备时的一般原则，规范主要引用了GB/T、EJ/T、HAF及IEEE的相关标准。第三十一页，共35页。1.3.3国内标准体系4．行业标准和导则1）JB/T11960-2014《工业过程测量和控制安全网络和系统安全》（IEC/