电网工控安全威胁分析与应对 孙 歆.

Slides:



Advertisements
Similar presentations
機械產業專業人才認證考試 主辦單位:工業技術研究院、中國機械工程學會 企業憑認證選人 認證考試須知 問題應答的訣竅 通過機械認證考試教戰手冊 11 月 24~25 日舉辦的認證考試 你準備好了嗎? 考 試必 勝考 試必 勝.
Advertisements

中央空调系统节能优化设计 中央空调课程团队 课程负责人:聂玉强. 主要内容 课程设置 1 教学内容 2 教学方法与手段 3 教学设施 4 课程特色 5 教学效果 6.
一、老师申请题目,以下指导老 师操作。 1. 登录教务系统 web 端. 2. 点击 “ 毕业设计 ” 工具栏下拉菜单中的 “ 论文 _ 教师申请题目 ”
(寫一篇有關求學道理的 文章訓示晚輩們) 為學一首示子姪 彭端淑.
《设备电气控制与维修》 电气教研室 房金菁.
说明 为了使自制设备在实验教学、毕业设计和为新生入学专业介绍等环节中发挥更大的作用,在研制过程中将本人主持的自制设备项目《基于射频识别技术的自动控制系统 》 (项目编号: )和本院陈宏老师主持的自制设备项目《基于步进电机的移载机器人控制系统 》(项目编号: ) 合并为一体,研制成《供教学使用的自动化立体仓库》,特此说明。
工业系统信息安全技术 丛力群 博士、CTO 上海宝信软件股份有限公司.
第八讲:电压暂降、短时中断和电压变化抗扰度测试
国际时政 2009年2月.
智慧電網相關標準計畫公聽會 智慧電網相關標準制定計畫 台灣智慧型電網產業協會 中原大學 電機系 許世哲 2013 年 6 月 24 日.
中文科 (六年級).
关于借款和报销的 具体规定 中国科学院南海海洋研究所 资产财务处.
安徽矿业职业技术学院 2014年招生宣传材料.
关于感恩节 感恩节的习俗 感恩节的美食 学会感恩 感恩父母 感恩他人 常怀感恩之心 结束语.
高一年级过渡性学习 活动汇报 高一年级组 教科研室 汉滨高中.
高雄市101學年度高級中學生物科野外研習學習歷程報告
第2章 PLC的结构及编程软件的使用 学习内容 S7-200系列PLC的外部结构 S7-200系列PLC的性能 PLC的编程语言与程序结构
≠ 週休二日為何不是兩例假,要一例一休? 勞工 公務人員 例 假 例 假 但
全国多媒体教育软件大奖赛 基础教育作品讲评
追求卓越、助力发展 是ARP党支部不断奋斗的目标 ARP中心支部“七一”评优报告 2014年6月20日
第八章 网络课程的设计与开发.
语言文字,是建设和谐社会的重要载体。。。
国际合作管理系统 用户操作培训 ARP二期项目组
The Internet of things & Industry IT Kyland Technology co., Ltd.
第3章 S7-200可编程序控制器 3.1 S系列PLC发展概述 3.2 S7-200 PLC系统组成 3.3 编程元件及程序知识
小学组全国总冠军.
第二章 企业管理组织与制度 主要内容 第一节 企业管理组织 第二节 企业制度 投资管理系《企业管理》精品课课题组.
串口服务器典型应用 RS232/RS485串口设备 串口服务器 A 以太网 TCP/IP或UDP模式 TCP/IP UDP协议
造气DCS综合优化控制系统 介绍 石家庄兴盛德隆科技有限公司.
互联网时代班主任的挑战 万玮 2014年9月20日.
沈清泓 公安部第三研究所 公安部信息系统安全产品质量监督检验中心
安全生产应知应会 消防安全四个能力 1、检查消除火灾隐患的能力; 2、组织扑救初起火灾的能力; 3、组织人员疏散逃生的能力;
(接触网)精品课程 建设方案 课程负责人:赵斌 新疆铁路中等职业学校.
互 联 网 对 减 速 机 技 术 及 市 场 发 展 的 影 响 乔 华 山.
关于课程建设的若干思考.
《机械制造与自动化》(专升本) 《机电设备与管理》(专升本)专业介绍
金税三期网上电子申报系统 2016年5月.
第1章 组态软件概述及组态王软件安装和运行 1.1 组态软件概述 1.2 组态王软件的安装 1.3 组态王的使用入门.
SIEMENS自动化控制系统于VPN网络技术的完美结合
Unity V2 的热备解决方案 1.
第2章 开始项目 2.1 WinCCExplorer项目 2.2 变量管理 2.3 建立一个画面 2.4 设置起始画面及运行界面
學校飲用水設備維護與管理 報告人:汪詩穎.
T9系列PLC介绍 T9系列PLC是腾控科技研发的基于以太网通信的宽温型以太网可编程控制器
Title page PC 控制: PC 兼容的开放式控制系统 结构比较: 传统方式与PC 控制技术 新自动化结构: 工业PC机作控制系统
S7-400PLC的硬件 自动化教研室.
2007年高校PLC(西门子)教学研讨会培训.
鄉村尋根-農具篇.
法國2.5萬年前斑馬壁畫 基因比對發現班點是寫實. 法國2.5萬年前斑馬壁畫 基因比對發現班點是寫實.
项目名称:Simatic S7-200 Smart PLC助力济南天辰开拓智能车库市场
远程诊断技术及设备 ---今日坐拥明日之选.
Haiwell Cloud 海为云介绍.
陶瓷行业制釉车间配料 全自动化解决方案 南昌丹巴赫科技有限公司.
EIG Solutions – Power Quality Monitoring
自動化課程 劉聖元.
泓格科技 電力管理方案與應用 泓格科技 電力管理方案與應用 2017/08/10.
工业数据通信与控制网络.
《电气设备安装与调试》网络课程 Modbus通信基础.
森林精靈來敲門 莊秋蘭.
先导专项经费管理存在问题简析 王德瑞 /4/20.
第五章 系统的人机界面设计及 触摸屏的使用方法
第5章 其他数据库对象.
BEPCII辐射防护系统运行总结 及下一步工作计划
倡导 是什麽, 有什麽作用? UNFPA/,曼谷.
“修身成材” 班级干部培训班 黑龙江大学党委学工部.
啟 基 學 校 年度校本課程 中華經典學習 目的:1. 提升品德學養,發展美善心靈,為世界大同作貢獻; 2
第5章 S7-200 PLC编程软件及应用 5.1 编程软件系统概述 5.2 STEP 7-Micro/WIN 32软件功能
機電科簡介 科主任 郭紀翔.
主讲人:徐悦甡(16年入职) 课程:数据通信与计算机网络 软件学院
信息安全防护技术—— 防火墙和入侵检测 万明
电气自动化专业简介.
Presentation transcript:

电网工控安全威胁分析与应对 孙 歆

目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对

威胁在哪里 设计精密 精准打击 利用多个0day 隐蔽性强 震网病毒事件:2010年11月 Stuxnet蠕虫(震网病毒)攻击伊朗核电厂,该病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,造成伊朗布什尔核电站瘫痪。 设计精密 精准打击 利用多个0day 隐蔽性强 对于旁观者来说,震网病毒有两个意义: 使得信息安全界开始关注工控安全,使得工控界开始关注信息安全 打破了封闭的安全神话,封闭不等于安全,隔离解决不了一切问题 2016年习近平在网信座谈会讲话指出: “物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改

威胁在哪里 2012年5月,卡巴斯基实验室发布报告,发现“火焰” 病毒部分特征与“震网”相似,但结构更复杂、损害更大,拥有强大的间谍功能。 2014年7月,赛门铁克披露代号为“蜻蜓”的黑客组织利用Havex木马程序, 攻击了欧美地区的一千多家能源企业。 2014年10月,美国工控网络应急响应中心(ICS-CERT)发现黑客通过恶意软件针对多个厂商的HMI(人机接口)进行攻击,被攻击厂商包括GE、研华WebAccess、西门子WinCC。 ICS-CERT公布数据中,工控安全事件主要集中在能源行业(59%)和关键制造业(20%),工控安全事件呈快速增长的趋势。

威胁在哪里 2015年12月23日,乌克兰电力部门遭到恶意病毒攻击,至少三个区域的电力系统被BlackEnery恶意软件攻击,其中部分变电站的控制系统( SCADA )遭到破坏,监控管理系统同时遭到入侵,导致发电设备产生故障,造成用户大面积停电。 发送恶意邮件 控制配电公司人员电脑 获取身份鉴别信息 攻击SCADA实施破坏操作 攻击电话系统 乌克兰停电事件的意义: 1. 对电网公司敲响警钟

威胁在哪里 震网病毒事件 乌克兰停电事件 攻击目标 PLC 上位机 攻击原理 修改离心机参数 通过SCADA直接攻击 攻击手法 U盘摆渡 恶意邮件 防护程度 物理隔离 与互联网相连 攻击成本 高,多个0day 低,无0day 性质 针对工控的定向攻击 传统信息安全攻击事件在工控领域的展现

目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对

风险在哪里 智能电网是以特高压电网为骨干网架、各级电网协调发展为基础,以信息通信平台为支撑,具有信息化、自动化、互动化特征,在发、输、变、配、用、调各个环节,实现“电力流、信息流、业务流”的高度一体化融合的现代电网。

风险在哪里 控制系统与传统信息系统存在巨大差别,双方管理人员存在信息不对称问题 控制系统 传统信息系统 体系结构 高度集中 分布式 网络开放性 独立封闭 开放 通信协议 TCP/IP、专用协议 TCP/IP 通信内容 电量数据、系统参数、控制指令 业务数据 网络威胁 较少 频繁 安全关注度 重可用性,轻安全性 普遍关注 安全推动方 设备厂商 用户方 主要安全措施 主要依赖物理隔离或隔离网闸 网络、边界、主机、应用、数据多层面防护

风险在哪里 国家电网公司智能电网工控系统严格遵循电力二次系统和管理信息系统相关安全要求,采用“横向隔离,纵向认证”的边界防护措施,总体防护水平较高,但站内防护较弱。 可能的风险 协议缺少认证机制 主机和交换机弱口令 边界防护设备配置失效 监控主机存在高危漏洞 某些设备开启web管理 木马通过U盘传入 设备存在高危漏洞 设备被预置后门 ……

降低风险建议 技术 定期扫描排查弱口令; 关闭主机不必要的应用与服务 加强接入设备监管,U盘接入控制区事先杀毒; 定期进行漏洞扫描,及时修复安全漏洞; 对电力协议深度分析、主动检测特征攻击; 对运维操作全过程审计; 在工控防护墙中设置白名单规则,防止恶意指令的控制下发与配置加载 管理 深化信息安全意识教育; 严格落实防护方案要求; 加强工控运维人员技能; 加强专业融合和复合型信息安全人才培养; 设备入网检测应进行安全测试

目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对

隐患排查 介于目前严峻的工控安全形势和G20峰会安全保障要求,今年上半年多次配合国网公司、省公司对调度、配网、变电站(尤其是杭州特保电站)、所属电厂(包括新能源电站)进行了大力的工控安全检查。 依据 《电力监控系统安全防护总体方案》 《变电站监控系统安全防护方案》 《 配电监控系统安全防护方案》 《发电厂监控系统安全防护方案》 成效 1. 立即消除管理类问题,如弱口令、制度执行不到位等情况 2. 限期整改技术类问题,如系统加固等 3. 根据检修计划解决设备类安全隐患

队伍建设 2015年国网和省公司开始建立信息安全红蓝队,形成红队攻点、蓝队防面、以攻促防、全面消缺的隐患发现机制 依托红蓝队建设提升人员技能,两年多来培养央企技术能手两名,CISSP两名,CISP十余名。 提升工控系统信息安全意识,培养工控安全复合型知识人才,定期开展工控专项技术交流。

漏洞检测 目标发现 端口扫描 系统服务识别 漏洞扫描 漏洞库 配备工控和传统漏洞扫描工具定期开展工控系统漏洞排查 工业控制系统常用漏洞检测工具: PLCScan nmap-scada metasploit Zoomeye/Shodan 漏洞库 未知漏洞挖掘

漏洞检测 协议Fuzz测试平台 主流协议模型 发送测试数据 状态监测 利用漏洞挖掘工具对离线工控设备进行漏洞挖掘和漏洞预警,识别深层次工控设备的安全问题 测试对象: PLC/测控/智能终端/继保等 IEC61850 104/101/103 Modbus 主流协议模型 随机/畸形/超长.. 发送测试数据 协议Fuzz测试平台 状态监测 未知漏洞挖掘 GE CPE 330 的三个modbus协议问题导致系统失去响应 模糊数据生成策略 深度数据变异算法 对象重置 可选择基于Python的开源Fuzz框架:Peach/Sulley

漏洞检测 通过模糊测试,发现GE CPE 330 在处理modbus畸形数据包时,三个测试用例导致系统失去响应 未知漏洞挖掘

攻防演练 目的 调度攻防演练 方式 方案 风控 组织 网络边界防护能力 防渗透能力 针对备用系统或试运行环境进行模拟渗透测试 第三方边界、内部纵向边界 内部横向边界、漏洞验证 风控 组织 指挥组:总体人员和资源调配 配合组:提供所需网络拓扑等基础材料 渗透组:准备演练工具,执行渗透测试 保障组:保障各类设备正常运行,实施应急措施 严格执行方案,不扩大演练范围 严格管控工具,保证正规安全 实施过程监护,攻击点到为止 全程实时监测,及时应急响应

协议加固 基于IEC62351(电力系统运行的数据和通信安全标准)对智能变电站协议进行加固,实现mms/goose/smv协议的加密与认证。 1. 通过TLS协议提供传输层加密 2. 引入AARQ和AARE建立安全关联,AARQ包含认证信息,中实现应用层认证。 goose/smv 利用GOOSE/SV报文格式中的保留字段和扩展协议来实现应用层安全认证。 头部 GOOSE/SMV报文 扩展报文 CRC校验 数字签名

协议加固 优势: 实现站内协议级加密和认证 不足: 缺乏成熟方案,效率和兼容性需要加强

异常监测 针对智能变电站缺少安全监控手段的现状,开展站内异常监测技术研究 流量采集 协议深度解析 提取操作行为 态势展现 异常告警 104 mms 通用应用协议 goose smv 流量采集 协议深度解析 提取操作行为 态势展现 异常告警 异常行为建模 标准规范 行为基线 攻击特征

异常监测 1 2 4 3 攻击告警 行为异常 协议异常 网络异常 DOS攻击 Fuzz测试 非授权修改主站配置 ARP攻击 暴力猜解 木马连接 web应用层攻击 非授权修改主站配置 非授权下达调度操作 攻击告警 行为异常 1 2 4 3 报文长度过长 控制域数据异常 校验和错误 异常报文类型 不允许的协议类型如web 数据流量突然增大或减小 未授权终端接入 跨区外联访问 纵向明文传输 协议异常 网络异常