工业控制网络安全
第1章 緒論
1.1 工業控制系統與工業控制網絡概述
工業控制系統(Industrial Control System, ICS)是指由計算機與工業過程控制部件組成的自動控制系統,它由控制器、傳感器、傳送器、執行器和輸入/輸出接口等部分組成。這些組成部分通過工業通信線路,按照一定的通信協議進行連接,形成一個具有自動控制能力的工業生產制造或加工系統。控制系統的結構從最初的CCS(計算機集中控制系統),到第二代的DCS(分布式控制系統),發展到現在流行的FCS(現場總線控制系統)。
圖1-1 通用工業企業功能單元和資產組件映射模型
●企業資源層主要通過ERP系統為企業決策層及員工提供決策運行手段。該層次應重點保護與企業資源相關的財務管理、資產管理、人力管理等系統的軟件和數據資產不被惡意竊取,硬件設施不遭到惡意破壞。
●生產管理層主要通過MES為企業提供包括制造數據管理、計劃排程管理、生產調度管理等管理模塊。該層次應重點保護與生產制造相關的倉儲管理、先進控制、工藝管理等系統的軟件和數據資產不被惡意竊取,硬件設施不遭到惡意破壞。
●過程監控層主要通過分布式SCADA系統采集和監控生產過程參數,并利用HMI系統實現人機交互。該層次應重點保護各個操作員站、工程師站、OPC服務器等物理資產不被惡意破壞,同時應保護運行在這些設備上的軟件和數據資產,如組態信息、監控軟件、控制程序/工藝配方等不被惡意篡改或竊取。
●現場控制層主要通過PLC、DCS控制單元和RTU等進行生產過程的控制。該層次應重點保護各類控制器、控制單元、記錄裝置等不被惡意破壞或操控,同時應保護控制單元內的控制程序或組態信息不被惡意篡改。
●現場設備層主要通過傳感器對實際生產過程的數據進行采集,同時,利用執行器對生產過程進行操作。該層次應重點保護各類變送器、執行機構、保護裝置等不被惡意破壞。
工業控制網絡就是工業控制系統中的網絡部分,是一種把工廠中各個生產流程和自動化控制系統通過各種通信設備組織起來的通信網絡。工業控制系統包括工業控制網絡和所有的工業生產設備,而工業控制網絡只側重工業控制系統中組成通信網絡的元素,包括通信節點(包括上位機、控制器等)、通信網絡(包括現場總線、以太網以及各類無線通信網絡等)、通信協議(包括Modbus、Profibus等)。
1.2 工業控制系統常用術語
ICS(Industry Control System,工業控制系統)也稱工業自動化與控制系統,是由計算機設備與工業過程控制部件組成的自動控制系統。廣泛應用于電力、燃氣、交通運輸、建筑、化工、制造業等行業。
SCADA(Supervisory Control And Data Acquisition,數據采集與監視控制系統),可應用于電力、化工、冶金、燃氣、石油、鐵路等諸多領域的數據采集與監視控制以及過程控制等方面。
PLC(Programmable Logic Controller,可編程邏輯控制器)是一種采用一類可編程的存儲器,用于其內部存儲程序,執行邏輯運算、順序控制、定時、計數與算術操作等面向用戶的指令,并通過數字或模擬式輸入/輸出控制各種類型的機械或生產過程。
CISO(Chief Information Security Officer,首席信息安全官)也稱為IT安全主管、安全行政官等,主要負責對機構內的信息安全進行評估、管理和實現。
HMI(Human Machine Interface,人機界面)又稱用戶界面或使用者界面,是系統和用戶之間進行交互和信息交換的媒介。它將信息的內部形式和人類可以接受的形式互相轉換,凡參與人機信息交流的領域都存在著人機界面。
DCS(Distributed Control System,分布式控制系統)是一個由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統,綜合了計算機、通信、顯示和控制等4C技術,其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態方便。
APT(Advanced Persistent Threat,高級持續性威脅)是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式,APT攻擊的原理相對于其他攻擊形式更為高級和先進,其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞,利用這些漏洞組建攻擊者所需的網絡,并利用0day漏洞進行攻擊。
NASA(National Aeronautics and Space Administration,美國國家航天局)是美國聯邦政府的一個行政性科研機構,負責制定、實施美國的民用太空計劃與開展航空科學暨太空科學的研究。
PID(Proportion Integral Derivative,比例-積分-微分)控制是一個在工業控制應用中常見的反饋回路部件。比例控制是PID控制的基礎,積分控制可消除穩態誤差,微分控制可加快大慣性系統響應速度以及減弱超調趨勢。
CII(Critical Information Infrastructure,關鍵信息基礎設施)是保障電力、電信、金融、國家機關等國家重要領域基礎設施正常運作的信息網絡。
信息安全(Information Security)是指能夠免于非授權訪問和非授權或意外的變更、破壞或者損失的系統資源的狀態。基于計算機系統的能力,能夠提供充分的把握使非授權人員和系統既無法修改軟件及其數據,也無法訪問系統功能,且保證授權人員和系統不被阻止;防止對工業自動化和控制系統的非法或有害的入侵,或者干擾其正確和計劃的操作。不法分子通過對生產過程中關鍵信息和指標的篡改、誤發等造成生產安全風險的行為屬于信息安全范疇。
第2章 工業控制系統基礎
2.1 數據采集與監視控制系統
SCADA系統主要用于控制分散設備。
SCADA系統是工業控制網絡調度自動化系統的基礎和核心。SCADA負責采集和處理工控系統運行中的各種實時和非實時數據,是工業控制網絡調度中心各種應用軟件的主要數據來源。SCADA系統包括實時數據采集、數據通信、SCADA系統支撐平臺、前置子系統、后臺子系統等。
SCADA后臺子系統的主要功能有數據處理和控制調節、歷史數據存儲、與其他子系統的計算機通信和人機界面交互等。
2.2 分布式控制系統
DCS是一個由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統,綜合了計算機(Computer)、通信(Communication)、終端顯示(CRT)和控制(Control)技術而發展起來的新型控制系統。其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態方便。
DCS是以微處理器和網絡為基礎的集中分散型控制系統。它包括操作員站、工程師站、監控計算機、現場控制站、數據采集站、通信系統
(1)高可靠性
(2)開放性
(3)靈活性
(4)易于維護
(5)協調性
(6)控制功能齊全
2.3 工業控制系統中的常用控制器
控制器(Controller)是指按照預定順序通過改變主電路或控制電路的接線和改變電路中電阻值來控制電動機的啟動、調速、制動和反向的主令裝置,是發布命令的“決策機構”,完成協調和指揮整個計算機系統的操作。
在工業控制系統中,常見的控制器有可編程邏輯控制器(PLC)、可編程自動化控制器(PAC)、遠程終端單元(RTU)等
PLC控制系統主要有以下6個特點:
1)通信性和靈活性強,應用廣泛。
2)可靠性高,抗干擾的能力極強。
3)產品系列化、規模化,功能完備,性能優良。
4)編制程序簡單、容易。
5)設計、安裝、調試周期短,擴充容易。
6)體積小、重量輕,維護方便。
應用領域
(1)開關量邏輯控制
(2)運動控制
(3)過程控制
(4)數據處理
(5)通信
編程自動化控制器(PAC)的定義為:由一個輕便的控制引擎支持,且對多種應用使用同一種開發工具。
PAC定義了幾種特征和性能:
1)多領域的功能,包括邏輯控制、運動控制、過程控制和人機界面。
2)一個滿足多領域自動化系統設計和集成的通用開發平臺。
3)允許OEM(Original Equipment Manufacturer,原始設備制造商)和最終用戶在統一平臺上部署多個控制應用。
4)有利于開放、模塊化控制架構來適應高度分布性自動化工廠環境。
5)對于網絡協議、語言等,使用既定事實標準來保證多供應商網絡的數據交換[7]。
遠程終端單元(Remote Terminal Unit, RTU)是安裝在遠程現場的電子設備,用來對遠程現場的傳感器和設備狀態進行監視和控制,負責對現場信號、工業設備的監測和控制,獲得設備數據,并將數據傳給SCADA系統的調度中心[10]。
RTU具有以下4個特點:
1)通信距離較長。
2)用于各種惡劣的工業現場。
3)模塊結構化設計,便于擴展。
4)在具有遙信、遙測、遙控、遙調領域的水利、電力調度、市政調度等行業廣泛使用。
它主要有遙信、遙測、遙控和遙調4個功能。
第3章 工業控制網絡安全威脅
3.1 工業控制網絡常見的安全威脅
APT攻擊的主要特征是攻擊持續性、信息收集廣泛性、針對性、終端性、滲透性、潛伏控制性、隱蔽性與未知性,
APT攻擊包含5個階段,分別為情報收集、突破防線、建立據點、隱秘橫向滲透和完成任務
3.2 工業控制系統脆弱性分析
可能因不安全的串口連接(如缺乏連接認證)或缺乏有效的配置核查,而造成PLC設備運行參數被篡改
安全威脅
1)不安全的移動維護設備
2)監控網絡與RTU/PLC之間不安全的無線通信,可能被利用以攻擊工業控制系統。
現場總線協議在設計時大多沒有考慮安全因素,缺少認證、授權和加密機制,數據與控制系統以明文方式傳遞,工業以太網協議也只是對控制協議進行簡單封裝
第4章 SCADA系統安全分析
4.1 SCADA系統安全概述
SCADA系統主要由現場網絡(Field Network)、控制網絡(Control Network)和通信網絡(Communication Network)三部分組成
4.2 SCADA系統安全的關鍵技術
1.安全域劃分
安全域指同一網絡系統內,根據信息屬性、使用主體、安全目標劃分,具有相同或相似的安全保護需求和安全防護策略,相互信任、相關關聯、相互作用的網絡區域。
利用功能組識別的安全域劃分技術,基于網絡連接、控制回路、監控系統、控制流程、控制數據存儲、關聯通信、遠程訪問、用戶和角色、通信協議、重要級別等,識別SCADA系統中直接參與或者負責特定功能的功能組
2.安全域邊界防護
在安全域之間部署防火墻、路由器、入侵檢測、隔離網閘等設備,實現網絡隔離和邊界安全防護。
防火墻是實現區域隔離和邊界防護的主要安全設備,包括網絡層數據過濾、基于狀態的數據過濾、基于端口和協議的數據過濾和應用層數據過濾等幾種類型,主要可以實現如下功能。
3.防火墻部署方案
1.SCADA系統入侵檢測技術分類
一個典型的入侵檢測系統從功能上可以由感應器(Sensor)、分析器(Analyzer)和管理器(Manager)三部分組成
2.SCADA系統入侵檢測技術
1.SCADA安全通信
SCADA系統的網絡通信容易受到數據竊取、數據篡改、數據注入、中間人、重放、拒絕服務等攻擊。
針對控制系統可能面臨的攻擊,研究人員基于安全的密碼算法設計提出了各種數據安全傳輸方案,以提供端到端認證、數據完整性驗證、機密性保護等功能
4.3 SCADA系統安全測試平臺
SCADA系統安全測試平臺實例——HoneyNet
第5章 工業控制網絡通信協議的安全性分析
5.1 Modbus協議
1.Modbus協議設計的固有問題
(1)缺乏認證
(2)缺乏授權
(3)缺乏加密
2.Modbus協議實現產生的問題
(2)緩沖區溢出漏洞
(3)功能碼濫用
(2)異常行為檢測
(3)安全審計
(4)使用網絡安全設備
5.2 DNP3協議
5.3 IEC系列協議
5.4 OPC協議
第6章 工業控制網絡漏洞分析
6.1 工業控制網絡安全漏洞分析技術
工控系統漏洞檢測的關鍵技術
(1)構建工控系統漏洞庫
(2)基于工業漏洞庫的漏洞檢測技術
Fuzzing技術
1)基于生成的Fuzzing算法。
2)基于突變的Fuzzing算法
6.2 上位機漏洞分析
(1)緩沖區溢出漏洞
(2)字符串溢出漏洞
(3)指針相關漏洞
(4)內存管理錯誤引發漏洞
(5)整數類溢出漏洞
1.上位機系統dll劫持漏洞分析
2.上位機組件ActiveX控件漏洞分析
3.上位機組件服務類漏洞分析
6.3 下位機漏洞分析
1.未授權訪問
2.通信協議的脆弱性
3.Web用戶接口漏洞
4.后門賬號
6.4 工控網絡設備漏洞分析
(1)SQL注入漏洞
(2)跨站腳本漏洞
(3)文件包含漏洞
(4)命令執行漏洞
(5)信息泄露漏洞
XSS漏洞原理
XSS又叫CSS(Cross Site Script,跨站腳本攻擊),它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼,而程序對于用戶輸入內容未過濾,當用戶瀏覽該頁時,嵌入Web里面的腳本代碼會被執行,從而達到惡意攻擊用戶的特殊目的。
跨站腳本攻擊的危害包括竊取Cookie、放蠕蟲、網站釣魚等。
跨站腳本攻擊的分類主要有存儲型XSS、反射型XSS、DOM型XSS等。
第7章 工業控制網絡安全防護技術
7.1 工業控制網絡安全設備的引入和使用方法
1.工控網絡邊界安全防護
2.區域邊界安全防護
1)工業防火墻:工業防火墻建立在深度數據包解析和開放式特征匹配之上,支持工控網絡協議,可適用于DCS、SCADA等控制系統,不僅具備多種工控網絡協議數據的檢查、過濾、報警、阻斷功能,同時擁有基于工業漏洞庫的黑名單入侵防御功能、基于機器智能學習引擎的白名單主動防御功能以及大規模分布式實時網絡部署和更新等功能。
2)安全監測平臺:安全監測平臺是一種實時監控和告警系統,通過監控關鍵設備和安全產品的日志和監控信息,快速進行安全事件的反饋和報警。
3)安全審計平臺:安全審計平臺是一種將工業控制系統環境中相關軟硬件系統和其他安全設備的信息進行長時間記錄存儲,以供后續審計、分析、取證時使用的系統,一般都會有獨立的數據庫存儲系統配套使用。
3.區域內部安全防護
7.2 對工業控制網絡安全威脅的防護方法
蜜罐的核心技術主要包括三部分:數據捕獲技術、數據控制技術以及數據分析技術。
●數據捕獲技術:數據捕獲就是在入侵者無察覺的情況下,完整地記錄所有進入蜜罐系統的連接行為及其活動。捕獲到的數據日志是數據分析的主要來源,通過對捕獲到的日志進行分析,發現入侵者的攻擊方法、攻擊目的、攻擊技術和所使用的攻擊工具。一般來說,收集蜜罐系統日志有兩種方式,即基于主機的信息收集方式和基于網絡的信息收集方式。
●數據分析技術:數據分析就是把蜜罐系統所捕獲到的數據記錄進行分析處理,提取入侵規則,從中分析是否有新的入侵特征。數據分析包括網絡協議分析、網絡行為分析和攻擊特征分析等。對入侵數據的分析主要是為了找出所收集的數據哪些具有攻擊行為特征,哪些是正常數據流。分析的主要目的有兩個:一個是分析攻擊者在蜜罐系統中的活動、關鍵行為、使用工具、攻擊目的以及提取攻擊特征;另一個是對攻擊者的行為建立數據統計模型,看其是否具有攻擊特征,若有則發出預警,保護其他正常網絡避免受到相同攻擊。
總結
- 上一篇: 漫谈工业软件(4)-关于开源工业控制软件
- 下一篇: NB-IoT无线通信模块与Lora无线通