1、漏洞檢測-2017工業(yè)控制系統(tǒng)信息安全峰會威脅在哪里震網(wǎng)病毒事件：2010年11月 Stuxnet蠕蟲（震網(wǎng)病毒）攻擊伊朗核電廠，該病毒專門針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)進(jìn)行攻擊，造成伊朗布什爾核電站癱瘓。設(shè)計精密精準(zhǔn)打擊利用多個0day隱蔽性強威脅在哪里2012年5月，卡巴斯基實驗室發(fā)布報告，發(fā)現(xiàn)“火焰” 病毒部分特征與“震網(wǎng)”相似，但結(jié)構(gòu)更復(fù)雜、損害更大，擁有強大的間諜功能。2014年7月，賽門鐵克披露代號為“蜻蜓”的黑客組織利用Havex木馬程序， 攻擊了歐美地區(qū)的一千多家能源企業(yè)。2014年10月，美國工控網(wǎng)絡(luò)應(yīng)急響應(yīng)中心(ICS-CER

2、T)發(fā)現(xiàn)黑客通過惡意軟件針對多個廠商的HMI（人機(jī)接口）進(jìn)行攻擊，被攻擊廠商包括GE、研華WebAccess、西門子WinCC。ICS-CERT公布數(shù)據(jù)中，工控安全事件主要集中在能源行業(yè)(59%)和關(guān)鍵制造業(yè)(20%)，工控安全事件呈快速增長的趨勢。威脅在哪里2015年12月23日，烏克蘭電力部門遭到惡意病毒攻擊，至少三個區(qū)域的電力系統(tǒng)被BlackEnery惡意軟件攻擊，其中部分變電站的控制系統(tǒng)（ SCADA ）遭到破壞，監(jiān)控管理系統(tǒng)同時遭到入侵，導(dǎo)致發(fā)電設(shè)備產(chǎn)生故障，造成用戶大面積停電。發(fā)送惡意郵件控制配電公司人員電腦獲取身份鑒別信息攻擊SCADA實施破壞操作攻擊電話系統(tǒng)威脅在哪里震網(wǎng)病毒事

3、件 烏克蘭停電事件攻擊目標(biāo)PLC上位機(jī)攻擊原理修改離心機(jī)參數(shù)通過SCADA直接攻擊攻擊手法U盤擺渡惡意郵件防護(hù)程度物理隔離與互聯(lián)網(wǎng)相連攻擊成本高，多個0day低，無0day性質(zhì)針對工控的定向攻擊傳統(tǒng)信息安全攻擊事件在工控領(lǐng)域的展現(xiàn)目 錄1 1威脅在哪里2 2風(fēng)險有多大我們?nèi)绾螒?yīng)對3 3風(fēng)險在哪里智能電網(wǎng)是以特高壓電網(wǎng)為骨干網(wǎng)架、各級電網(wǎng)協(xié)調(diào)發(fā)展為基礎(chǔ)，以信息通信平臺為支撐，具有信息化、自動化、互動化特征，在發(fā)、輸、變、配、用、調(diào)各個環(huán)節(jié)，實現(xiàn)“電力流、信息流、業(yè)務(wù)流”的高度一體化融合的現(xiàn)代電網(wǎng)。風(fēng)險在哪里控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)存在巨大差別，雙方管理人員存在信息不對稱問題控制系統(tǒng)控制系統(tǒng)傳統(tǒng)信息

4、系統(tǒng)傳統(tǒng)信息系統(tǒng)體系結(jié)構(gòu)體系結(jié)構(gòu)高度集中分布式網(wǎng)絡(luò)開放性網(wǎng)絡(luò)開放性獨立封閉開放通信協(xié)議通信協(xié)議TCP/IP、專用協(xié)議TCP/IP通信內(nèi)容通信內(nèi)容電量數(shù)據(jù)、系統(tǒng)參數(shù)、控制指令業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅較少頻繁安全關(guān)注度安全關(guān)注度重可用性，輕安全性普遍關(guān)注安全推動方安全推動方設(shè)備廠商用戶方主要安全措施主要安全措施主要依賴物理隔離或隔離網(wǎng)閘網(wǎng)絡(luò)、邊界、主機(jī)、應(yīng)用、數(shù)據(jù)多層面防護(hù)風(fēng)險在哪里國家電網(wǎng)公司智能電網(wǎng)工控系統(tǒng)嚴(yán)格遵循電力二次系統(tǒng)和管理信息系統(tǒng)相關(guān)安全要求，采用“橫向隔離，縱向認(rèn)證”的邊界防護(hù)措施，總體防護(hù)水平較高，但站內(nèi)防護(hù)較弱。協(xié)議缺少認(rèn)證機(jī)制主機(jī)和交換機(jī)弱口令邊界防護(hù)設(shè)備配置失效監(jiān)控主機(jī)存在

5、高危漏洞某些設(shè)備開啟web管理木馬通過U盤傳入設(shè)備存在高危漏洞設(shè)備被預(yù)置后門可能的風(fēng)險降低風(fēng)險建議目 錄1 1威脅在哪里2 2風(fēng)險有多大我們?nèi)绾螒?yīng)對3 3隱患排查介于目前嚴(yán)峻的工控安全形勢和G20峰會安全保障要求，今年上半年多次配合國網(wǎng)公司、省公司對調(diào)度、配網(wǎng)、變電站（尤其是杭州特保電站）、所屬電廠（包括新能源電站）進(jìn)行了大力的工控安全檢查。1. 立即消除管理類問題，如弱口令、制度執(zhí)行不到位等情況2. 限期整改技術(shù)類問題，如系統(tǒng)加固等3. 根據(jù)檢修計劃解決設(shè)備類安全隱患依據(jù)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案變電站監(jiān)控系統(tǒng)安全防護(hù)方案 配電監(jiān)控系統(tǒng)安全防護(hù)方案發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案成效隊伍建設(shè)u

6、2015年國網(wǎng)和省公司開始建立信息安全紅藍(lán)隊，形成紅隊攻點、藍(lán)隊防面、以攻促防、全面消缺的隱患發(fā)現(xiàn)機(jī)制u 依托紅藍(lán)隊建設(shè)提升人員技能，兩年多來培養(yǎng)央企技術(shù)能手兩名，CISSP兩名，CISP十余名。u 提升工控系統(tǒng)信息安全意識，培養(yǎng)工控安全復(fù)合型知識人才，定期開展工控專項技術(shù)交流。漏洞檢測目標(biāo)發(fā)現(xiàn)端口掃描系統(tǒng)服務(wù)識別漏洞掃描漏洞庫工業(yè)控制系統(tǒng)常用漏洞檢測工具：PLCScannmap-scadametasploitZoomeye/Shodan配備工控和傳統(tǒng)漏洞掃描工具定期開展工控系統(tǒng)漏洞排查漏洞檢測協(xié)議Fuzz測試平臺測試對象:PLC/測控/智能終端/繼保等發(fā)送測試數(shù)據(jù)主流協(xié)議模型模糊數(shù)據(jù)生成策略

7、對象重置IEC61850104/101/103Modbus深度數(shù)據(jù)變異算法狀態(tài)監(jiān)測隨機(jī)/畸形/超長.利用漏洞挖掘工具對離線工控設(shè)備進(jìn)行漏洞挖掘和漏洞預(yù)警，識別深層次工控設(shè)備的安全問題可選擇基于Python的開源Fuzz框架：Peach/Sulley漏洞檢測通過模糊測試，發(fā)現(xiàn)GE CPE 330 在處理modbus畸形數(shù)據(jù)包時，三個測試用例導(dǎo)致系統(tǒng)失去響應(yīng)攻防演練指揮組：總體人員和資源調(diào)配配合組：提供所需網(wǎng)絡(luò)拓?fù)涞然A(chǔ)材料滲透組：準(zhǔn)備演練工具，執(zhí)行滲透測試保障組：保障各類設(shè)備正常運行，實施應(yīng)急措施嚴(yán)格執(zhí)行方案，不擴(kuò)大演練范圍嚴(yán)格管控工具，保證正規(guī)安全實施過程監(jiān)護(hù)，攻擊點到為止全程實時監(jiān)測，及時應(yīng)

8、急響應(yīng)調(diào)度攻防演練風(fēng)控組織方式目的針對備用系統(tǒng)或試運行環(huán)境進(jìn)行模擬滲透測試網(wǎng)絡(luò)邊界防護(hù)能力防滲透能力方案第三方邊界、內(nèi)部縱向邊界內(nèi)部橫向邊界、漏洞驗證協(xié)議加固基于IEC62351（電力系統(tǒng)運行的數(shù)據(jù)和通信安全標(biāo)準(zhǔn)）對智能變電站協(xié)議進(jìn)行加固，實現(xiàn)mms/goose/smv協(xié)議的加密與認(rèn)證。1. 通過TLS協(xié)議提供傳輸層加密2. 引入AARQ和AARE建立安全關(guān)聯(lián)，AARQ包含認(rèn)證信息，中實現(xiàn)應(yīng)用層認(rèn)證。利用GOOSE/SV報文格式中的保留字段和擴(kuò)展協(xié)議來實現(xiàn)應(yīng)用層安全認(rèn)證。頭部GOOSE/SMV報文擴(kuò)展報文數(shù)字簽名CRC校驗mms協(xié)議goose/smv協(xié)議加固不足：缺乏成熟方案，效率和兼容性需要加強優(yōu)勢：實現(xiàn)站內(nèi)協(xié)議級加密和認(rèn)證異常監(jiān)測針對智能變電站缺少安全監(jiān)控手段的現(xiàn)狀，開展站內(nèi)異常監(jiān)測技術(shù)研究流量采集協(xié)議深度解析提取操作行為異常行為建模異常告警態(tài)勢展現(xiàn)104mmsgoosesmv通用應(yīng)用協(xié)議標(biāo)準(zhǔn)規(guī)范行為基線攻擊特征異常監(jiān)測協(xié)議異常協(xié)議異常網(wǎng)絡(luò)異常網(wǎng)絡(luò)異常行為異常行為異常攻擊告警攻擊告警 非授權(quán)修改主站配置 非授權(quán)下達(dá)調(diào)度操作 報文長度過長 控制域數(shù)據(jù)異常 校驗和錯誤 異常報文類型 不允許的協(xié)議類型如web 數(shù)據(jù)流量突然