• 官方微信

    CA800二维码微平台 大视野

  • 工控头条

    CA800二维码工控头条App

当前位置:自动化网>自动化新闻>行业资讯>透过震网病毒看工业控制系统安全

透过震网病毒看工业控制系统安全

发布时间:2012-10-19 来源:中国自动化网 类型:行业资讯 人浏览
关键字:

工业控制系统

导  读:

在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。

在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。但随着无线网络嗅探变得轻而易举,你是否考虑过网络环境是否安全?

伊朗布舍尔核电站的遭遇为我们敲响警钟,黑客攻击正在从开放的互联网向封闭的工控网蔓延,黑客动机从技术展示到利益获取再到如今的高端性攻击。因此,在关系到国计民生与国家安全的重大项目中,对国外品牌的选择需要更加谨慎,并对中国自主研发的产品有足够的重视。目前,许多国家对引进国外产品带来的国家安全隐患都十分重视。在同类项目中,可以分别采用不同的品牌、不同的技术,把鸡蛋放在不同的篮子里,以分散风险。应该在一定程度上,采取多种品牌、多种技术的策略,权衡项目成本与项目安全,使二者达到最大程度的优化与平衡。

据权威工业安全事件信息库RISI统计,截止到2011年10 月,全球已发生200 余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全的需求变得更加迫切。

近年来典型工业控制系统入侵事件:

2005年,美国水电溢坝事件;

2007年,攻击者入侵加拿大的一个水利SCADA 控制系统,破坏了用于取水调度的控制计算机;

2008年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,导致四节车厢脱轨;

2010年,“网络超级武器”Stuxnet 病毒针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;

2011年,黑客通过入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏。

工业控制系统(ICS)概述

工业控制系统(ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括SCADA、DCS、PLCRTU、IED以及接口技术等。

对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础,其中核心组件就是数据采集与监视控制系统(SCADA),典型的SCADA系统由以下组件构成:

目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。

一次典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算、HMI执行信息交互、远程诊断与维护工具,确保出现异常操作时进行诊断和恢复。

随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,通过各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散。其风险主要来源于:

ICS风险的主要根源

漏洞隐蔽性和严重性;采用专用的硬件、软件和通信协议。

安全重视不够、连接无序、数据保护和应急管理不足;设计上考虑到封闭性、主要以传统安全为主。

默认配置、连接、组网、采购升级无序;主要基于工业应用的场景和执行效率。

工控平台的脆弱性

平台本身的安全漏洞问题;

杀毒软件安装及升级更新问题;

大量默认配置和默认口令;

专用平台和通用平台漏洞。

工控网络的脆弱性

TCP/IP等通用协议与开发标准引入工业控制系统,特别是物联网、云计算、移动互联网等新兴技术,使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。传统的威胁同样会在工业网络中重现。

边界安全策略缺失;

系统安全防御机制缺失;

管理制度缺失或不完善;

网络配置规范缺失;

监控与应急响应机制缺失;

网络通信(无线接入+拨号网络)保障机制缺失;

基础设施可用性保障机制缺失。

安全管理、标准和人才的脆弱性

缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次,过多的强调网络边界的防护、内部环境的封闭,让内部安全管理变得混乱。另外,既了解工控系统原理和业务操作又懂信息安全的人才少之又少,为混乱的工控安全管理埋下了伏笔。最后,内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如:使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

为了加强工控网防护,工信部紧急下发了工信部协【2011】451号文《关于加强工业控制系统信息安全管理的通知》,指出我国目前工控系统现状:对工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、交通、水利以及市政等加强工业控制系统安全管理。

工控网安全基本安全防护原则

ICS网络中有代表性的EPA(Ethernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成,采用分层化的网络安全管理措施。

EPA现场设备采用特定的网络安全管理功能,对其接收到的任何报文进行访问权限、访问密码等的检测,使只有合法的报文才能得到处理,其他非法报文将直接予以丢弃,避免了非法报文的干扰。

在过程监控层,采用EPA网络对不同微网段进行逻辑隔离,以防止非法报文流量干扰EPA网络的正常通信,占用网络带宽资源。

对于来自于互联网上的远程访问,则采用EPA代理服务器以及各种可用的信息网络安全管理措施,以防止远程非法访问。

电力二次系统防护方案是工业控制系统安全防护的典型案例

电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等,该方案为电力信息安全搭建了最为基础的安全框架,但由于电力二次系统基本原则出台较早,基本搭建在网络安全防护的基础上,对系统、业务应用、数据安全以及安全管理方面考虑较少,目前面临着新的安全威胁,需要更全面的解决方案应对。

总而言之,工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下,有机融合,方能保一方平安。

 

本文地址:http://www.ca800.com/news/d_1nrusj6oaqd85.html

拷贝地址

上一篇:关于印发《分布式光伏发电示范区实施方案编制大纲》通知

下一篇:浙江“海尚”成功打造全省首家工业机器人企业

免责声明:本文仅代表作者个人观点,与中国自动化网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容!来源网络如有误有侵权则删。

相关新闻
工业控制系统
  • 工信部办公厅关于印发《工业数据分类分级指南(试行)》的通知

    为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。

  • 这款控制器绝对超乎你的想象

    可编程控制器在工业自动化领域应用广泛,作为菲尼克斯合作伙伴的智达ZDAUTO,针对工业控制系统的特点,结合可编程控制器的优势,开发了基于IEC61131-3标准的自动化PLC:AXH系列中型可编程控制器和CE32系列嵌入式控制器。

  • 工信部印发工业控制系统信息安全行动计划

    2017年12月29日,工信部印发《工业控制系统信息安全行动计划(2018~2020年)》(以下简称行动计划),旨在加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展。

  • 工信部下发《工业控制系统信息安全事件应急管理工作指南》

    记者今日从工信部官网获悉,为了指导做好工业控制系统信息安全事件应急管理相关工作,保障工业控制系统信息安全,工信部印发了《工业控制系统信息安全事件应急管理工作指南》,该指南将自2017年7月1日起施行。

  • 美国工业控制系统频遭袭击

    美国国土安全部下属的工业控制系统网络应急响应小组日前发布的一份报告披露,在2014财年内(2013年10月1日~2014年9月30日),针对美国工业控制系统的网络攻击事件至少有245例。

  • 工业控制系统信息安全需量身定做

    传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。

  • 工业控制系统信息安全技术国家工程实验室成立

    由中国电子信息产业集团有限公司第六研究所承担建设的“工业控制系统信息安全技术国家工程实验室”(以下简称实验室)在京举行了揭牌仪式。这是第一家由企业承担建立的国家级信息安全技术实验室,旨在为解决工业控制系统信息安全问题提供技术支撑。

  • 专家指出工业控制系统漏洞频出 安全意识亟待提高

    权威工业安全事件信息库RISI的统计显示,截至2011年10月,全球已发生200余起针对工业控制系统的攻击事件。而2001年后,通用开发标准与互联网技术的广泛使用,使得针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电

猜您喜欢

更多精彩信息看点 请扫描以下二维码