PPT版工业控制系统安全防护技术

工业控制系统信息安全防护技术智能工业控制网络安全专家目

录工控事件攻击技术概述0102 工控系统安全技术03工控系统防护体系思考04结束语智能工业控制网络安全专家2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。HAVEX病毒篡改供应商网站，在下载软件升级包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端据12恶意间谍代码通过OPC协议发出非法数4 采集指令OPC服务器回应数据信息将信息加密并传输到C&C（命令与控制）网站357黑客采集获取的数据61通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件智能工业控制网络安全专家供应商官方网站工控网络OPC客户端OPC客户端OPC服务器OPC服务器生产线PLCPLCHAVEX病毒攻击路径概述有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包智能工业控制网络安全专家利用系统漏洞，直接将恶意代码植入包含恶意代码的钓鱼邮件Havex

传播途径通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源Havex通过调用IOPCServerList和IOPCServerList2

DCOM接口来枚举目标机器上的OPC服务随后Havex可以连接到OPC服务器，通过调用IOPCBrowse

DCOM接口获取敏感信息智能工业控制网络安全专家Havex

深度解析方程式组织曝光—2015年信息安全界最重大的新闻智能工业控制网络安全专家智能工业控制网络安全方程式潜伏二十年，肆虐全球从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万受害者。专家方程式的攻击目标：以工业控制设施为主它所瞄准的不是个人用户，或普通的商业用户，而是一个国家的关键设施、经济命脉。智能工业控制网络安全专家接打击军事设施。它的目的不是普通

多种证据显示，病毒的窃取信息、

“方程式”跟美经济诈骗，而是破

国国家安全局、坏工业生产，制造

以色列情报机社会混乱，乃至直

构、以及英国军方具有密切的联系。结论：“方程式”是一种主要以工业控制网络为目标的病毒武器。方程式的攻击目标：以美国敌国为主欧洲、北美、日本

、澳洲等地区是世界上经济最发达地区，拥有最多的计算机和最高的互联网普及率，从概率上而言，这些国家感染病毒的几率应该也是最高的。但实际上，他们的感染率却是最低的。感染“方程式”最多的国家，除了俄罗斯和中国以外，伊朗、巴基斯坦、阿富汗、叙利亚等国，都是比较落后的国家，计算机和互联网的使用率都很低。凡是美国和它的盟国，感染率都很低，凡是美国的敌国或美国蓄意打压的国家，病毒感染率都名列前茅。智能工业控制网络安全专家智能工业控制网络安全知己知彼：方程式的工具组件“

程式组织”

发展了极为强大的“

军火库”

，

恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny、Gray

Fish等。专家智能工业控制网络安全专家知己知彼：方程式的硬盘感染能力“方程式”可以对数十种常见品牌的硬盘固件进行重新编程的。包括三星、西数、希捷、迈拓、东芝以及日立等公司。这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。是首个已知的能够直接感染硬盘的恶意软件。方程式特别强化了其驻留硬盘的能力，躲过杀毒软件、操作系统重装、乃至硬盘格式化。络安全专家知己知彼：方程式的隔绝网络感染能力病毒会通过网络，感染某台能够上网的电脑A。14隔离网络在工控中应用广泛，

“方程式”病毒特别擅长攻击隔离网络，并在隔离网络和互联网之间传送信息。步骤如下：57当电脑A插入某个U盘时，这个U盘也会被感染。当被隔离的电脑B需要拷贝文件，插入被感染的U盘时，电脑B被感染。病毒会从电脑B以及跟它联网的其他设备中收集信息，保存到U盘上。当这个U盘又被拿出去，接到电脑A上时，前面收集到的信息，则会通过网络传回病毒的服务器。6 服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息，发出进一步的命令，存储在U盘之中。当U盘再次插入电脑B，则那些命令将会自动执行，执行更有针对性的窃取和破坏行为。智能工业控制网智能工业控制网络安全专家沙虫攻击概述

沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误，影响几乎所有的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序，造成任意代码执行，从而让黑客完全控制被攻击的电脑。

在针对能源企业的事件中，攻击者通过沙虫攻击入侵了目标主机后使用了GECimplicity

HMI软件的一个安全漏洞进一步控制了现场的HMI主机，植入木马用于窃取数据或进行其他工作。智能工业控制网络安全专家沙虫攻击概述通过分析恶意的工程文件（poc）的16进制数据流能够发现恶意嵌入的命令，当用户打开该工程文件时，就会执行恶意嵌入的命令，打开如下的工程文件会在用户界面弹出一个计算器。智能工业控制网络安全专家沙虫攻击概述该攻击主要利用了GE

Cimplicity

HMI软件的一个安全隐患，当打开攻击者恶意构造的.cim或者.bcl文件时将允许在用户HMI主机上执行任意代码以及安装木马文件。

cim

或者.bcl文件是Cimplicity的工程文件，一个典型的Cimplicity工程显示如下沙虫攻击概述攻击者在成功利用沙虫病毒成功植入了恶意构造的CIM工程文件，该工程文件植入了特定的攻击指令。通过执行上述指令，攻击者下载了恶意程序并伪装成GE

Cim软件进程进行隐藏。至此攻击者已经植入了复数的木马并成功控制了目标主机。智能工业控制网络安全专家沙虫攻击流程利用漏洞安装木马木马下载GE

恶意工程文件用户打开恶意文件执行恶意代码进一步攻击工控环境智能工业控制网络安全专家通过引入PLC蠕虫，PLC成为了攻击源，而不只是攻击目标。受感染的PLC可能通过工控组件提供商或者在组件传输过程中被掺入其中而进入到工控系统中。蠕虫之后便可以在工控网络内部进行扩散，且不需要任何标准电脑和服务器。因此它不会被任何杀毒软件做侦测到。最新工控攻击技术：PLC蠕虫智能工业控制网络安全专家最新工控攻击技术：PLC

Rootkit阿巴斯和哈舍米实现了基于可加载内核模块

(LKM)的rootkit

。这种方式可绕过现有基于主机的入侵检测和用于嵌入式系统的控制流完整性工具，比如AutoscopyJr和Doppelganger。智能工业控制网络安全专家控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍边界攻击智能工业控制网络安全专损坏家传感器、变送器、执行机构控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍介质攻击智能工业控制网络安全专损坏家传感器、变送器、执行机构控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍内部人员（误操作）攻击智能工业控制网络安全专损坏家传感器、变送器、执行机构控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍智能设备引入攻击智能工业控制网络安全专损坏家传感器、变送器、执行机构目

录工控事件攻击技术概述0102 工控系统安全防护技术03工控系统防护体系思考工控系统安全解决方案0405智能工业控制网络安全专家结束语工业控制系统安全防护技术工业防火墙工业防火墙技术是防范工控网络攻击最常用的技术手段，通过在工控网络和信息网络（或互联网）之间设置中间防护系统，形成一个安全屏障，将工控网络和信息网络分割开。智能工业控制网络安全专家工业控制系统安全防护技术工业防火墙功能：支持多种工业控制协议支持OPC协议支持指令集的白名单控制支持阈值的控制日志记录及使用统计其它安全机制下一代智能防火墙功能：工业协议智能建模深度解析智能配置访问控制规则隐形防攻击工控防火墙下一代智能工控防火墙智能工业控制网络安全专家工业控制系统安全防护技术抓包分析技术抓包分析技术是从微观上保证网络安全的技术手段，通过捕获网络中传输的数据包并对数据包进行统计和分析，可以从中了解协议的实现情况、是否存在网络攻击等，为制定安全策略及进行安全审计提供直接的依据。抓包分析技术是实现工业防火墙、工控审计系统、工业协议防护等防护技术和策略的基础。工控审计系统智能工业控制网络安全专家工业控制系统安全防护技术智能工业控制网络安全专家工控漏洞扫描技术传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞，提前采取补救措施，从而预防网络安全事故的发生。网络安全漏洞挖掘技术通常包括漏洞扫描和模拟攻击两种。漏洞扫描：通过与目标主机TCP/IP端口建立连接并请求某些服务（如FTP，HTTP等），记录目标主机的应答，从而收集目标系统的安全漏洞信息。模拟攻击：通过模拟攻击的方法，如：IP欺骗、缓冲区溢出、DOS攻击等方法对目标系统可能存在的已知安全漏洞进行逐项检查，从而发现系统的安全漏洞所在。工业控制系统安全防护技术工控漏洞扫描过程：首先进行端口扫描，获取目标工控设备、工控软件等指纹信息；通过获取的指纹信息识别目标系统的种类、型号或版本等，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查询相关安全漏洞。规则匹配库扫描客户端模块系统漏洞库5漏洞数据扫描引擎模块2扫描方法3

扫描网络4

主机响应1

扫描命令6

扫描结果智能工业控制网络安全专家输入输入输出输出模糊测试固件分析智能工业控制网络安全专家工业控制系统安全防护技术工控漏洞fuzzing测试：正常报文模板智能工业控制网络安全专家变形算法记录入库等待分析发送报文对比特征模型确认潜在漏洞变形后报文集工业控制系统安全防护技术智能工业控制网络安全专家工业控制系统安全防护技术被检测设备客户端测试数据监视数据工控漏洞发现与挖掘系统监视数据点对点测试被检测设备被检测设备控制系统测试数据监视数据正常数据包监视数据工控漏洞发现与挖掘系统桥接/online测试客户端工业控制系统安全防护技术网络隔离技术网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术相对于防火墙技术的优势在于：防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。网络隔离技术可以解决以下问题：操作系统漏洞TCP/IP

漏洞应用协议漏洞链路连接漏洞安全策略漏洞文件带有病毒/恶意代码等。工控安全隔离网关智能工业控制网络安全专家工业控制系统安全防护技术单向导入技术单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件架构设计使数据仅能从外网主机（非信任端）传输至内网主机（信任端），中间没有任何形式的反馈信号，所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。智能工业控制网络安全专家工业控制系统安全防护技术白名单技术运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模型，进而构筑工业控制系统的可靠运行环境。只有可信任的 设备，才允许接入控制网络；只有可信任的 命令，才能在网络上传输；只有可信任的 软件，才能在主机上执行。工控主机防护系统工控防火墙智能工业控制网络安全专家目

录工控事件攻击技术概述0102 工控系统安全防护技术03工控系统防护体系思考工控系统安全解决方案0405智能工业控制网络安全专家结束语工业控制系统安全的现实我们面临的尴尬工业控制设备是个“黑盒”是否存在后门？是否存在漏洞？是否存在无线发射装置？是否存在网络探测或窃密行为？我们怎么办？现阶段无法彻底解决。充分考虑这个前提。尽可能将风险控制在最小范围。尽可能将损失降到最低。智能工业控制网络安全专家工业控制系统信息安全技术防护体系思考智能工业控制网络安全专家网络专用：工业控制系统应当使用专用的网络设备独立组网，专网专用。在物理层面上实现与互联网及外部公共信息网的安全隔离；安全分区：根据工业控制系统业务的重要性、功能等因素可分为若干个安全区域，各安全区采取措施相互隔离；环境可靠：应从工控系统设备准入、网络通信、主机程序等方面构建白名单可靠运行环境；纵深防御：建立多层次、多手段的技术安全防护体系；综合审计：建立多综合立体审计体系，包括设备接入审计、网络审计、应用审计及外部维修接入设备审计等；动态监控：通过实时数据搜集大数据分析，实时动态发现工业控制系统网络中的风险并及时预警。智能工业控制网络安全专家工业控制系统信息安全技术防护体系思考安全分区的目的：将设备、端口、服务甚至是用户隔离至功能组中，建立安全分区；通过隔离将每个分区的攻击面最小化，从而可以使用各类安全产品和技术对每个功能组进行保护，使其成为安全区域；如：基于核监管委员会RG.5.71准则的5层区域系统。智能工业控制网络安全专家工业控制系统安全分区识别功能组建立安全区域的第一步是识别所有的功能组，以确定每隔区域的组成及其边界所在。功能组直接参与或负责特定的功能。识别功能组时，需要对资产、系统、用户、协议和其他元素进行评估。尝试对两个元素进行分离，比如资产中分离出协议，如果能够分离且不影响其主要功能，那么他们就属于不同功能组。需要考虑的功能组包括：控制回路、监控系统、控制流程、控制数据存储、用户群体及协议等。智能工业控制网络安全专家工业控制系统安全分区工业控制系统安全分区基于控制回路建立功能组控制回路由负责特定自动化过程的设备组成。在大多数情况下，控制回路由PLC和所有相关的输入、输出设备组成。如果LED是直接输入或输出的控制逻辑，这些设备与控制器属于同一功能组；反之，则属于不同组智能工业控制网络安全专家工业控制系统安全分区基于监控系统建立功能组控制回路也被连接到某种监控上，通常是一个HMI，它负责自动化过程的配置、监控和管理。因为HMI所负责的器件包括PLC，这两个设备都属于到一个共同的功能组。然而，HMI不直接负责连接到PLC的IED，所以IED不和HMI在一个功能组。智能工业控制网络安全专家工业控制系统安全分区基于控制过程建立功能组如果主控制器或主终端单元（MTU）是用来管理多个人机界面HMI，由MTU负责一个较大的控制过程，那么MTU和这些HMI属于构成另一个功能组，该设备MTU代表了另一种功能组的根，而MTU功能的实现往往需要Historian和ICCPServer，所以这两个设备也被包括此功能组。智能工业控制网络安全专家工业控制系统安全分区基于控制数据存储建立功能组许多工业自动化和控制系统装置生成的数据，反映了当前的配置，一个进程的状态，报警，和其他信息。这个历史数据记录系统可以连接到贯穿于整个控制系统的网络所有设备。智能工业控制网络安全专家工业控制系统安全分区基于用户角色建立功能组对于人机交互，如果操作者访问HMI以调整过程，定义哪个用户可以合法与哪台设备进行通信也十分重要。具有特定HMI访问权限的员工，可能对其他系统实施破坏。把用户和他们应当使用的设备放在一个功能组，这种类型的活动就能够被检测和阻止。智能工业控制网络安全专家智能工业控工业控制系统安全分区重叠功能组许多设备支持多种协议、应用程序、服务和其他特质，导致在多个重叠的功能组。制网络安全专家工业控制系统安全分区智能工业控制网络安全专家识别安全区域理想情况下：各功能组与他所有组都有一个明确的分界，并且确保每个分区都采用了独特的安全防护设备。通常情况：部分功能组重叠，可使用组间功能共享来简化功能组，从而有效地把重叠功能组合结合成一个独立的、更大的区域。把许多的功能组提炼成一些可管理的组的过程，最终会产生一些边界、用户、设备和协议均已清楚定义的安全区域。确定区域的重要等级：待评估的功能组是否包含网络资产是否执行关键功能待评估的资产是否包含访问网络资产的协议是否包含访问网络资产的管理员用户是否支持关键系统、服务或网络是否控制或运行关键系统、服务或网络是否控制访问关键系统服务或网络是否评估额外资产非关键区域关键区域是是是是是是是否否否否否否否否是工业控制系统安全分区智能工业控制网络安全专家安全隔离和边界防护区域的重要程度决定了所需要的安全防护强度安全网关、网闸、数据二极管（单向网闸）工业防火墙防火墙三层交换机ACL工业控制系统安全分区智能工业控制网络安全专家设备白环境建立可信设备白名单；只有可信任的设备才能接入控制网络。网络白环境入侵检测系统的原理采用“黑名单”机制，规则库滞后、误报率较高等问题较为突出。可信的通信才能够正常通信；可信的数据才能正常流转。主机白环境建立进程、服务、端口、软件等白名单；只有可信的软件才能正常运行。智能工业控制网络安全专家建立可靠的工业控制系统环境智能工业控制网络安全专家壹贰主机设备主机主机设备网络工业控制系统数据流分析软件服务业司建立可靠的工业控制系统环境建立尽可能多层次的防护策略；不依赖于某一种技术的防护策略，如恶意代码防护，可部署网络恶意检测、主机恶意代码检测