[背景知识] 2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程
[背景知识] 2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。 为此,工信部在2011年10月下发了“关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。原工信部赵泽良司长也强调,工业控制系统安全工作也到了非加强不可的时候,否则必将影响到我国重要的生产设施的安全。 [信息安全新战场-工业基础设施] 工业基础设施构成了我国国民经济工业基础设施构成了我国国民经济、现代社会以及国家安全的重要基础。与传统的IT信息安全不同,工业基础设施中关键ICS系统的安全事件会导致: 1、系统性能下降,影响系统可用性 2、关键控制数据被篡改或丧失 3、失去控制 4、环境灾难 5、人员伤亡 6、公司声誉受损 7、危及公共生活及国家安全 8、破坏基础设施 9、严重的经济损失等 [工业基础设施面临安全威胁] 目前,工业基础设施面临的安全威胁包括: 1、窃取数据、配方等 2、破坏制造工厂 3、由于病毒、恶意软件等导致的工厂停厂 4、操纵数据或应用软件 5、对系统功能的未经授权的访问 |
[典型案例分析] 近年来,各种安全事件已经充分说明当前工业自动化控制系统存在着安全脆弱性。 [信息安全事件—能源] 1、1994年,美国亚利桑那州Salt River Project(SRP) 被黑客入侵; 2、2000年,俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络(属于GAzprom公司); 3、2001年,黑客侵入了监管加州多数电力传输系统的独立运营商; 4、2003年,美国俄亥俄州Davis Besse的核电厂控制网络内的一台计算机被微软的SQL Server蠕虫所感染,导致其安全监控系统停机将近5小时; 5、2008年,黑客劫持了南美洲某国的电网控制系统,敲诈该国政府,在遭到拒绝后,攻击并导致电力中断几分钟; 6、2008年,在美国国土安全局的一次针对电力系统的渗透测试中,一台发电机在其控制系统收到攻击后被物理损坏。 [信息安全事件—水利与水处理] 1、2000年,一个工程师应聘澳大利亚的一家污水处理厂被多次拒绝后,远程侵入该厂的污水处理控制系统,恶意造成污水处理泵站的故障,导致超过1000立方米的污水被直接排入河流,导致严重的环境灾难; 2、2006年,黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施,在其系统内植入了能够影响污水操作的恶意程序; 3、2007年,攻击者侵入加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。 [信息安全事件—交通] 1、1997年,一个十几岁的少年侵入(纽约)NYNES系统,干扰了航空与地面通信,导致马萨诸塞州Worcester机场关闭6个小时; 2、2003年,CSX运输公司的计算机系统被病毒感染,导致华盛顿特区的客货运输中断; 3、2003年,19岁的Aaron Caffrey侵入Houston渡口的计算机系统,导致该系统停机; 4、2008年,一少年攻击了波兰Lodz的城铁系统,一个电视遥控器改变轨道扳道器,导致4节车厢出轨。 [信息安全事件—制造行业] 1、1992年,一前雇员关闭了雪佛龙位于22个州的应急警报系统,直到一次紧急事件发生之后才被发现; 2、2005年,在Zotob蠕虫安全事件中,尽管Internet与企业网控制网之间部署了防火墙,还是有13个美国汽车厂由于被蠕虫感染而被迫关闭,50,000生产线工人被迫停止工作,预计经济损超过1,400,000美元。 [工业控制系统安全分析] 工业控制系统 (Industrial Control Systems, ICS)是由各种自动化控制组件和实时数据采集、监测过程控制组件共同构成其组件包括数据采集与过程控制组件共同构成。其组件包括数据采集与控系统(SCADA)、分布式控制系统(DCS)、可编逻辑控制器(PLC)、远程终端(RTU)、智能电子设(IED),以及确保各组件通信的接口技术。 [工业控制系统潜在的风险] 1、操作系统的安全漏洞问题; 2、杀毒软件安装及升级更新问题; 3、使用U盘光盘导致的病毒传播问题; 4、设备维修时笔记本电脑的随便接入问题; 5、存在工业控制系统被有意或无意控制的风险问题; 6、工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题。 [“两化融合”给工控系统带来的风险] 工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。 同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES ,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。 [工控系统采用通用软硬件带来的风险] 工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IPC 以太网通讯的OPC技术在该领域得到广泛应用。 在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用PC服务器和终端产品,操作系统和数据库也大量使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。 [加强工控系统信息安全管理措施] 1、加强分析检测及防护:加强对重要工业控制系统所使用软硬件的静态和动态代码脆弱性分析、系统漏洞分析研究;开发工业控制系统行业专用的漏洞扫描、补丁管理及系统配置核查工具;建立漏洞库以及完善的漏洞安全补丁发布机制。 2、源头控制:工业控制系统应尽可能采用具有认证、加密、授权机制的安全性较高的通信协议来保证其控制命令和生产数据的安全传输。尤其是无线通信协议要重点考虑其安全性;因为不安全的无线通信协议非常容易遭致远程攻击。 3、 标准制订:促进工业控制系统行业与安全研究机构、厂商的合作,制订相关的通信协议的安全标准。以提供推荐性行业标准。
标签:
加强
工业
控制系统
信息
安全管理
组图
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
