工控安全：瓷器店里捉老鼠 ——浅谈工控网络攻与防 浅谈工控网络攻与防 谢丰 博士，研究员 博士 研究员 中国信息安全测评中心 fengxie@126.com 目录 一、工控安全：从功能安全到信息安全 二、工控入侵：新特点，新变化 三、工控防护：旧瓶新酒，理念革新 一、工控安全：从功能安全 工控安全：从功能安全 到信息安全 工业控制系统 – 离散控制系统DCS、可编程逻辑控制器PLC、远程终端单元 离散控制系统DCS 可编程逻辑控制器PLC 远程终端单元 RTU、智能电子设备IED、数据采集系统SCADA… – 超过80%的涉及国计民生的关键基础设施依靠工业控制系统来 实现自动化作业，是关键基础设施的“大脑”和“中枢神 经” 石化 电力 交通 核能 水利 制造 典型工控网络架构 IT 网 络 4:企业系统层—IT系统ERP 3:运行管理层—生产调度MES 工 业 控 制 网 络 2:监视控制层—上位机HMI 1:本地控制层—PLC等 1:本地控制层 PLC等 0:过程层—现场仪器仪表 从功能安全到信息安全 二者有交集，但有本质上的差别 功能安全Safety 功能安全 威胁源：系统自身的、偶然的 威胁，比如硬件随机失效 威胁， 硬件随机失效 威胁后果：人身伤亡、系统损 失、环境破坏（HSE） 故障导致安全原则 安全完整性等级 信息安全Security 威胁主体：人（黑客、恐怖组 织、国家政府） 威胁后果：不仅是HSE，还考虑 系统可用性、信息泄露、公司声誉 等 漏洞是核心环节 二、工控入侵：新特点， 二 工控入侵：新特点 新变化 工控入侵技术不断变化 两化深度融合，以及中国制造2025、工业4.0提出，网络威胁 开始蔓延至工控 领域 直接影响工业安全 国家安全 开始蔓延至工控、领域，直接影响工业安全、国家安全 2010年震网病毒利用 0-day漏洞，绕过物理 漏洞 绕过物理 隔离防护，篡改工艺 参数破坏离心机 2014 年 利 用 水 坑 攻 击感染Havex病毒， 通 过 OPC Server 获 取生产数据 影响上 取生产数据，影响上 千家能源企业， 8000个能源系统 2010-2011 齐 鲁 石 化、大庆石化等多地 感 染 Conficker 蠕 虫，导致控制器通信 中断 2015年黑色能量病毒攻 击乌克兰电力系统 远程 击乌克兰电力系统，远程 关闭断路器并删除系统以 迟滞恢复，导致大停电 2014年通过钓鱼攻击，从 互联网渗透到德国某钢厂 的工控网，直接影响炼钢 炉 2016 年 PLC Blaster 工 控 蠕 虫 （ 未 来 的 病 毒？） 2015年 美国官方宣布 ISIS恐怖组织试图攻击 美国一处电力网络公 司，未成功。 变化与特点 • 网络攻击已经从影响虚拟资产演变到破坏物理世界。 • 通用化、软硬结合、互联互通的技术变化直接带来基础设施 攻击面的增大 通过互联网渗透到工控已成为 种重要途 攻击面的增大，通过互联网渗透到工控已成为一种重要途 径。任何工控系统都可能成为目标。 • 传统病毒与工控病毒相互交织。 • 以计算机为跳板的攻击在未来可能发展到直接攻击控制系 统。 • 从利用未公开漏洞高难度攻击方式延伸到常规手段组合式攻 击，甚至绕过工控底层知识的壁垒。 工控探测活动日渐增多 2016年7月，卡巴斯基声称通 过全网扫描，全球170个国家 有188,019工控主机与ICS设备 相连 92%存在脆弱性容易被 相连，92%存在脆弱性容易被 利用 国外对工 控系统的 探测 卡巴斯基公布的联网工控设备漏洞 世界工控联网情况 端口 工控 102 Siemens 502 Modbus 789 Red Lion 1911 Tridum Fox 2404 IEC 104 44818 EtherNet/IP 常见 工控 探测 端口 工控安全漏洞有了新的特点 工控漏洞是网络入侵的首选突破点 • 危害影响 – 从信息网络的影响扩大到物理过程 – 几乎都为中高危，且高危占工控漏 洞总数近一半 • 漏洞价值评价 – 拒绝服务型漏洞不再是“鸡肋”， 可利用性不再是漏洞挖掘与利用的 唯 目标 唯一目标 • 漏洞发现 – 图形组态软件、编程软件、下位 机、工控协议… – 硬件设备漏洞占比逐年增大 – 发现预警难度大：硬件获取难（价 格昂贵 购买困难） 故障调试难 格昂贵、购买困难）、故障调试难 （嵌入式）、设备类型多、私有协 议多、软件公开资料少 • 漏洞修补 – 先天不足，不易修补 – 实时修补难 2008-2015年工控软硬件漏洞数量对比 200 180 160 140 120 100 80 60 40 20 0 2008 2009 2010 2011 2012 2013 2014 2015 软件 4 23 24 141 161 98 91 80 硬件 0 1 2 4 14 30 29 48 攻击无孔不入  互联网  企业办公网络  虚拟专网  拨号连接  “可信”的第 三方连接(远程 诊断和维护)  无线网络  现场设备  U盘摆渡 三、工控防护：旧瓶新 三 工控防护：旧瓶新 酒 理念革新 酒，理念革新 由于信息安全从来都不是工控系统的设计目标，因 此工控系统基本上没有任何防护 产品设计 • 几乎所有工控产品都没 有安全机制，无鉴别、 无加密、无审计 技术措施 • 工控系统没有防护措施，系统 工控系统没有防护措施 系统 处于“裸奔”状态，其最重要 的防护就是封闭，一旦能够接 触 就能很轻易的攻击 触，就能很轻易的攻击 运行管理 • 职责不清晰，人员安全意识薄弱， security经常属于“三不管地带”，未 纳入生产安全范畴 • 上线前未检测，上线后未评估 主要技术风险 •恶意代码无防护 恶意代码无防护 •网络连接无隔离 •系统漏洞难修补 •工控网络无监控 •远程通信无保护 工控系统的特殊性导致大量现有信息安全措施无法直接应 用，绝不能简单地将已有技术照搬到工控系统中 IT系统需求 系统 工控系统需求 控系统需求 高吞吐量 高实时性 标准统一的通信 协议 设备部署在本 地，易于访问 设备生命周期为 3~5年 IT系统 VS 工控系统 高可靠性，系统 高可靠性 系统 不允许重启 人和控制过程安 全 通信协议多种多 样 设备不易访问 设备生命周期为 15~20年 机密性 机密性 完整性 完整性 可用性 可用性 工控安全防护的困难 • 实时性高，可靠性高，绝不能影响 工控生产运行（雷区） • 核心设备极其脆弱 • 基本属于“交钥匙”工程，毫无安 全意识 不懂安全技术 全意识，不懂安全技术 研发不易开展 用户不敢尝试 措施难以执行 • 研究测试环境投入大，研发难度大 研究测试环境投入大 研发难度大 工控系统信息安全如同瓷器店里捉老鼠。瓷器很 脆弱 我们既要能抓住老鼠 又不能毁坏瓷器 脆弱，我们既要能抓住老鼠，又不能毁坏瓷器。 工控安全需要理念革新 • 依据工控系统特点，形成工控安全技术 依据工控系统特点 形成工控安全技术 – 工控网络通信行为固定、流量规律性强、联网设 备变动小，容易建立工控网络安全基线 – 整体封闭，系统难以升级，杀毒也难以升级 整体封闭 系统难以升级 杀毒也难以升级 – 应用程序单一 应用程序单 – 运维人员不懂安全 坚持管理+技术的信息安全传统套路 坚持管理 技术的信息安全传统套路 • 管理上，形成工控信息安全管理体系 管理上 形成工控信息安全管理体系 – 建立工控安全组织管理机构 • 明确“由谁管” – 制定并落实工控安全管理制度 • U盘管控、运维管控… – 开展工控安全意识与技能培训 • 跨领域 跨领域培训 训 可借鉴大量已有标准规 范 、 最 佳 实 践 ， 如 IEC 62443 、 GB/T 30976 、 美 国 管 道 SCADA 安 全 、 21步提高工控安全最佳 实践等等 • 技术上， 技术上，“旧瓶新酒”，形成“纵 旧瓶新酒 ，形成 纵 深防御”安全防护体系 组件加固 监测预警 边界防护