『壹』 工控網路和普通網路在安全防護上有哪些不同
協議不同,所以埠不同。另外工控智能儀表及控制器的處理器能力都不強,網路處理能力有限,特別需要防止DDS攻擊。
『貳』 回顧工控系統安全史上的幾起非常典型的採取攻擊方式與其他不同的
摘要 2015年12月23日,當時烏克蘭首都基輔部分地區和烏克蘭西部的 140 萬名居民遭遇了一次長達數小時的大規模停電,至少三個電力區域被攻擊,占據全國一半地區。攻擊背景是在克里米亞公投並加入俄羅斯聯邦之後,因烏克蘭與俄羅斯矛盾加劇,在網路攻擊發生前一個月左右,烏克蘭將克里米亞地區進行了斷電。一個月後,烏克蘭的Kyivoblenergo電力公司表示他們公司遭到木馬BlackEnergy網路入侵,因此導致7個110KV的變電站和23個35KV的變電站出現故障,從而導致斷電。
『叄』 為什麼黑客想要毀掉工業4.0
這個世界有這么一群人,也在密切關注工業4.0。只不過,他們的方式和你不太一樣。
如果你是普通民眾,那麼可能你關注的是,工業4.0能給你的生活帶來什麼;如果你是企業家,你可能想知道,工業4.0能幫你的企業提升多少利潤;如果你是政府官員,你可能在考慮,工業4.0到底應該如何規劃和發展。
都是積極、有益的一面。
但這群人不一樣,他們關注的,是如何毀掉工業4.0!
嚴格來說,他們和工業4.0並沒有什麼不共戴天之仇,甚至,他們比你還熱愛工業4.0,希望工業4.0時代早點到來。
他們想毀掉工業4.0的原因,只有一個,因為他們是黑客。
是的,實際上不只是工業的4.0時代,當工業和網路剛剛產生交集的時候,這群「地下幽靈」就已經盯上了它。
只不過,最近幾年,當工業的智能化、網路化、信息化趨勢越來越明顯,他們毀掉工業的慾望和決心也越發強烈。
毀掉它,對黑客有什麼好處?
天下熙攘,皆為利來,好處自然只有一個,利益。
隨便翻翻最近幾年的一些經典案例,就能知道,相比普通的消費網路領域,搞定一個工業控制系統或者工業控制網路,能給黑客帶來多大的利益。
2015年以前,在網路安全圈流傳最廣的例子,當屬2010年「震網」病毒幹掉伊朗核電站事件。
迄今為止,它是誰研製的,怎麼潛入伊朗核電站等問題,仍在困擾軍事戰略家、信息安全專家以及公眾。
目前可以肯定的是,它確實在2010年7月,攻擊了伊朗的納坦茲鈾濃縮工廠,侵入了控制離心機的主機,改變了離心機轉速,導致工廠約1/5的離心機癱瘓報廢。
(時任伊朗總統內賈德視察核設施,紅圈內的紅點表示有兩台離心機已經損壞)
他說,以色列迪莫納核基地和美國能源部下屬的國家實驗室用了兩年時間,聯合研製了「震網」病毒,目的是給美國和以色列的敵人「製造點麻煩」。
且不論真假,至少按照大部分軍事戰略專家和信息安全專家的評估,它讓伊朗花了兩年時間恢復核計劃,作用已經趕上了一次軍事打擊,而且效果更好,沒有人員傷亡,也沒有發生戰爭。
前面說「震網」是2015年以前最經典的案例,2015年以後,最經典的案例,則是去年年底和今年年初剛剛發生的烏克蘭電網被黑事件。
2015聖誕前夕一直到2016年1月,烏克蘭的變電站控制系統持續遭到網路攻擊,至少三個區域的約140萬居民失去了電力供應,大規模停電3~6個小時。
與此同時,電力部門報修的電話線路也遭到惡意軟體攻擊堵塞,停電+通信中斷,引起了當地民眾的極大恐慌。
和「震網」事件一樣,誰乾的,為了什麼等問題還是個迷,由於沒有斯諾登這樣的「內部人士」爆料,烏克蘭局勢又不穩定,各種風言風語滿天飛。
有人甚至把它和大國博弈的局勢聯繫到一起。因為這次攻擊電力系統的惡意軟體「暗黑能源」,某些國家曾用它過用來攻擊其他一些東歐國家。
不管是黑客的炫技或者是國家工程,至少,和「震網」一樣,它也達到了破壞的目的。
工業系統這么脆弱?還是「敵人」太狡猾
在你的印象中,用來控制電力、製造、能源、水利等工業設施的系統,是不是應該固若金湯。又或者,你應該或多或少聽說過,工業控制系統都有個內網隔離的做法。
是的,大部分有操守的國家,都會對關鍵的工業設施進行隔離,網路和信息化控制系統更是如此,不僅不和外網連接,還會進行嚴格的物理隔離,修上水泥牆、關入小黑屋什麼的保護起來。
但即便如此,為什麼核電站離心機被幹掉、變電站被撂倒的事情還是會發生,黑客的技術和手法竟如此高明?
很遺憾告訴你,除去病毒編制部分要點網路和計算機技術,黑客搞定工業控制系統的其他手法,其實並沒有多高明,你最多隻能把它稱為「敵人太狡猾」。
因為絕大多數把病毒弄進工業控制系統的手法,都來自社會工程學。
什麼是社會工程學?
按照專業點的說法,叫「一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法」。
實際上,通俗一點解釋,沒那麼高大上,就是坑蒙拐騙。
比如,關於「震網」病毒如何傳播到與外網隔離的離心機控制系統上的,有一個普遍認同的說法,是控制系統主機被人插了個帶病毒的U盤。
等等,帶病毒的U盤?核設施管理這么嚴格,怎麼帶進去的?
最有意思的一種猜測是,攻擊方在核電站工作人員的工作和生活地點,扔了好多精美的U盤,工作人員一時喜歡,撿起來帶了進去。當然,U盤里的病毒經過遮掩處理,一般人是覺察不到的。
如果這個猜測有點開玩笑,那麼烏克蘭電力控制系統事件被挖出來的攻擊手法就更能說明問題。
刨根問底之後,眾多網路安全公司發現了搞定烏克蘭電力系統的源頭,竟來自一封電子郵件。
當時,烏克蘭電力公司的下屬機構和另一家公司不少人都收到一封電子郵件,標題是:「注意!2016-2025 年OEC烏克蘭發展計劃研討會變更舉行日期」。
郵件內容大意是:根據烏克蘭法律「運營烏克蘭電力市場的原則」以及「未來十年烏克蘭聯合能源系統的訂單准備系統運營商發展計劃」,經烏克蘭煤炭工業能源部批準的No.680 20140929系統運營商,在其官方網站發布。主題是:「烏克蘭2016年至2025年聯合能源系統發展規劃」。發展規劃具體內容草案在郵件附件中。
發件人是烏克蘭某國有電力公司,當然,郵箱肯定是偽造的。
但這樣的郵件,對於電力系統的人來說,就和我們收到了來自支付寶或運營商的賬單一樣。很多人會完全放鬆警惕。
下載了發展規劃草案附件後,是一個「老實巴交」的Excel文件,打開這個文件後,會跳出一個提示:「請注意!本文件創建於新版本的Office軟體中。如需展示文件內容,需要開啟宏。」
此時,大多數人估計會一邊吐槽單位的辦公軟體這么落後,一邊點擊「同意」下載。
那麼,恭喜你,你成功幫黑客下載了病毒。
接下來,這個下載的惡意代碼會在暗地裡繼續下載全套的攻擊軟體,並幫黑客留一個後門,再往後,你也知道了,控制電力控制系統,搞破壞。
看下整個過程,和我們常見的電信詐騙有什麼區別?完全沒有,就是坑蒙拐騙,使出各種手段,能讓你安上病毒就行。
得承認,很多工業控制系統確實很脆弱
沒錯,除了「敵人太狡猾」,確實在有些領域,工業控制系統存在不少漏洞,甚至在一些地方和行業「慘不忍睹」。
不說全球,單看看我們自己。
烏克蘭電力系統事件後,國內網路安全公司知道創宇對全球工控設備組建進行了偵測分析,整理出了《暴露在 Internet 上的工業控制設備》的報告。
報告中偵測了交通、能源、水利等多個領域,從中發現我國有一些重要工業控制系統正處於嚴重的安全威脅之中。
這張圖是全球及我國(含台灣地區)暴露在網路上的工業控制設備統計,可以看到,我國各種控制協議的工業控制設備中,完全暴露在外,換句話說,就是可以輕易被攻擊的,多達935個。
下面還有一些具體城市的數據。
看不懂協議名稱的話,看城市就好。可以看到,我國大陸地區長春、合肥、南京等城市,以及我國台灣地區的工控系統面臨較大安全風險。
為什麼這么慘?
其實原因大部分都是一個,不重視!
一位曾經在某能源系統科技部門擔任過總監的人士告訴過《財經國家周刊》,我國的大工業大製造設備基本都在國企手裡,由於體制機制等原因,大多數國企並不認為自己會成為攻擊目標,給自己的工業控制系統添加安全防護系統也不是工作的首選。
也有些企業,認識到工業控制系統安全的重要性,但由於沒有專業知識、人員和部門支撐,所以往往是買個防火牆裝上就完事了。
更嚴重的是,一些企業的生產系統還在用2003年的Windows 2003系統,幸運的話還可以找到1998年發布的Windows 98系統。隨便拿台外部電腦或外網設備連接一下,就能輕松搞定它。
試想下,如果這些設備被控制,軌道交通被人控制,電力被人切斷,水壩開合被人操縱,那是多麼可怕的場景和後果。
工業控制系統這么重要,怎麼辦?
當然不能坐以待斃。
對於工業企業來說,最要緊的事情自然是提高工業控制系統的安全意識,有漏洞查漏洞,有問題解決問題,趕緊加強針對性的防護措施。
這里需要注意的是,和其他領域的網路安全防護一樣,工業控制系統的安全防護也是一個系統性工程,要引入整體和全周期的防護理念和措施,不能再延續過去的舊思維,買個防火牆裝上了事。
至於黑客玩社會工程學,坑蒙拐騙滲透傳播病毒,沒什麼別的辦法,只能加強關鍵領域、部門和設施工作人員的安全防護意識,腦子里多根弦,同時制定嚴格的管理制度和權責要求。
對於國家來說,要做的事情就更多了。
首先機制上就有很多工作可以做,比如建立一個國家在關鍵基礎設施和重要系統遭受大規模高強度攻擊時的響應機制及協調機構,同時組建以工業企業、信息網路、公共安全為主的應急聯動機制,制定應急響應處理辦法。
再比如做好威脅情報研究。各方聯動,形成合力,提供更有價值的威脅情報信息,建立更有實用性的威脅情報庫,為政府機構、安全廠商、企事業用戶提供更好的支持。
除了機制上的事情,技術上也有一些辦法。
最要緊的是做好整個防護體系的「供應鏈」安全。特別是在國家工業領域一些關鍵基礎設施和重要信息系統新建項目上,必須要強化項目規劃和設計階段的信息安全風險評估,引入第三方安全機構或服務商對技術實施方案和產品供應鏈進行審查。
更靠譜的辦法是整體考慮工業控制系統安全體系,從涉及國計民生的關鍵基礎設施入手,加大投資力度,大力發展具有自主知識產權的安全防護技術和產品。
也就是用我國自己的安全工控系統,替換掉進口產品。不過,和晶元、操作系統一樣,因為起步太晚,我國的工控系統技術成熟度不夠,所以自主研發這條路只能一步步來,急也沒用。
『肆』 工控安全和工業互聯網安全有什麼區別
(1) 企業安全信息資料庫建設與數字交付。
(2) 重大危險源管理。
(3) 作業許可和作業過程管理°
(4) 培訓管理。
(5) 風險分級管控和隱患排查治理管理。
(6) 設備完整性管理與預測性維修。
(7) 承包商管理。
(8) 自動化過程式控制制優化。
(9) 流通管理。
(10) 敏捷應急。
(11) 工藝生產報警優化管理。
(12) 封閉管理。
(13) 企業安全生產分析預警
(14) 人員不安全行為管控。
(15) 作業環境、異常狀態監控。
(16) 績效考核和安全審計。
(17) 能源綜合管理。
『伍』 如何發現工控設備的網路安全問題
隨著工業化與信息化結合的不斷緊密,工業控制系統越來越多地採用標准化通信協議和軟硬體,並通過互聯網來實現遠程式控制制和操作,從而打破了原有系統的封閉性和專有性,造成病毒、木馬、信息泄露等網路安全問題向工控領域迅速擴散,直接影響大量工控相關基礎設施安全。湖南安數網路有限公司傻蛋聯網設備搜索平台整理了近期發現的工控相關數據,就其可能存在的網路安全風險做了一個簡單的分析。
能夠直接通過公網訪問的工控設備
湖南安數網路有限公司傻蛋聯網設備搜索平台(簡稱傻蛋搜索)利用標准化的工控設備相關通信協議,在互聯網上找到了很多直接暴露在公網的工業控制設備。這些設備都存在下面幾個安全問題:
1、缺乏認證
任何人都可以通過相應協議與這些設備通信,獲取想要的數據。
2、缺乏授權
沒有基於角色的控制機制,任意用戶可以執行任意功能。
3、缺乏加密
地址和密令明文傳輸,可以很容易地捕獲和解析。
安數網路對這些在公網上能訪問的設備做了相應的統計:
公網工控設備世界分布(2016-10)
4、能夠直接訪問的工控設備的WEB相關數據
跟我們日常路由器有基於WEB的配置頁面一樣,很多工控設備也有其自己的配置/控制頁面,而且很多這種頁面也是直接暴露在了公網之上。攻擊者可以利用這些頁面像對付平常的網站一樣對它們進行攻擊,可能造成相應的安全隱患。
工控設備WEB管理世界分布(2016-10)
怎麼提高工控系統的網路安全
盡量避免將工控設備及其WEB頁面直接暴露在公網中,如果不能避免,那麼注意要加強這些設備認證、授權和加密方面的工作。
『陸』 工控機網路安全,如何解決網路攻擊造成的系統癱瘓,或PLC及現場失控
推薦使用MCK主機加固系統軟體,在安全狀態的工控機上通過一次全系統的簽名,保障當前安全環境從而確保黑客上傳的木馬和病毒程序無法運行,杜絕危害工控機的安全。通過白名單機制限制當前場景下允許執行的進程。防止黑客通過基於硬碟的數據拷貝方式來竊取數據。實現工作場景白名單機制,對核心數據進行加密保護,實現工控機的最後防禦,保障工控機網路安全。
『柒』 網路信息安全與工控安全有何不同
工業控制系統信息安全與傳統的IP信息網路安全的主要區別在於:安全需求不同;安全補丁與升級機制存在的區別;實時性方面的差異;安全保護優先順序方面的差異;安全防護技術適應性方面的差異。
總的來說,傳統IP信息網路安全已經發展到較為成熟的技術和設計准則(認證、訪問控制、信息完整性、特權分離等),這些能夠幫助我們阻止和響應針對工業控制系統的攻擊。然而,傳統意義上講,計算機信息安全研究關注於信息的保護,研究人員是不會考慮攻擊如何影響評估和控制演算法以及最終攻擊是如何影響物理世界的。
『捌』 工控網路安全,國內有這方面的專業公司嗎
和匡恩網路有過這方面的合作,是一家以工業控制網路安全為核心,專注於智能工業網路安全解決方案的高科技創新企業,他們的技術實力非常強大,合作很放心