国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

ACS880-07C
關注中國自動化產業發展的先行者!
CAIAC 2025
2024
工業智能邊緣計算2024年會
2023年工業安全大會
OICT公益講堂
當前位置:首頁 >> 資訊 >> 行業資訊

資訊頻道

《工業控制系統信息安全》專刊連載——工業控制系統的新型防護技術—中科工業防火墻
  • 作者:尚文利 中國科學院沈陽自動化研究所
  • 點擊數:2735     發布時間:2015-01-20 09:05:00
  • 分享到:
關鍵詞:


    摘要:工業控制系統的信息化以及自身的漏洞使其面臨著嚴重的安全問題,尤其是“震網”事件的發生,標志著工業控制系統的安全問題已經上升到了國家的戰略安全。本文闡述了工業控制系統的安全問題與工業漏洞的成因,并以液位控制
系統為例說明了工業病毒如何利用工業漏洞對關鍵工控設備進行攻擊,最后,介紹了自主研發的中科工業防火墻,說明了中科工業防火墻對工業病毒行為的防御能力。

    關鍵詞:中科工業防火墻;工控設備;工業漏洞;工業病毒行為

    Abstract: Information technology and its own vulnerabilities in industrial control systems make it face serious security problems. Occurrence of "Stuxnet" event remarks the change from the security problem of industrial control system to the strategic security of a country. This paper describes the existed security problems of industrial control
systems and the causes of industrial vulnerabilities. An example of liquid level control system is introduced to show how industrial virus attacks on key industrial control equipment use industry vulnerability. Finally, the SIA Industrial Firewall is introduced, and defense capability to industrial virus of SIA Industrial Firewall is also illustrated.

    Key words: SIA industrial firewall; Industrial equipment; Industrial vulnerability; Industrial virus behavior 

    2010年“震網”病毒事件破壞了伊朗核設施,震驚全球。這標志著網絡攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心關鍵系統的“硬摧毀”階段。應對高級持續性威脅(Advanced Persistent Threat, APT)攻擊已成為確保國家關鍵基礎設施安全、保障國家安全的核心問題。根據APT攻擊的威脅形式,工業控制系統面臨的安全問題主要包括以下幾個方面:

     (1)控制器和操作站之間無隔離防護。PLC、RTU等現場設備非常脆弱,易受攻擊而導致崩潰。

    (2)DCS系統和上層數采網絡之間無隔離防護。WINDOWS平臺的控制系統工作站感染病毒和傳播危害極大,目前缺乏用于工業協議的防火墻。

    (3)APC和其它網絡無安全防護。APC經常和外界接觸,易受感染。

    (4)OPC server無操作權限記錄。不同的用戶對OPC數據項的添加、瀏覽、讀/寫等操作設定不同的權限,目前做不到深入檢查。

    (5)網絡事件無法追蹤記錄。對網絡故障進行快速診斷,記錄、存儲、分析為減少事故帶來的損失和加強日后的事件管理帶來很大的方便。

    為什么APT攻擊能夠成功威脅到工業控制系統?

    首先,工業控制系統的安全策略與管理流程不完善。主要表現為:缺乏工業控制系統的安全培訓與意識培養、缺乏安全架構與設計、缺乏安全審計、缺乏業務連續性與災難恢復計劃等安全策略文檔與管理支持。

    其次,工業控制系統的系統平臺存在安全隱患。主要表現為:(1)操作系統存在漏洞;(2)硬件平臺存在隱患;(3)防病毒體系不健全。

    最后,工業控制網絡存在脆弱性。主要體現在:

     (1)網絡配置的脆弱性表現為有缺陷的網絡安全架構、口令傳輸未加密等;(2)網絡硬件的脆弱性表現為未保護的物理端口、關鍵網絡缺乏冗余備份等;(3)網絡邊界的脆弱性表現為未定義安全邊界、控制網絡傳輸而非控制網絡流量等;(4) 網絡通信的脆弱性表現為未標志出關鍵監控與控制路徑,通信缺乏完整性檢查等。

    根據上述分析,排除安全策略、防護缺陷等外在因素,工業控制系統自身的漏洞是帶來嚴重安全隱患的根本原因,而工控設備作為工業控制系統的關鍵基礎設施,它的漏洞問題不容忽視。

    下面,以液位控制系統為例說明工業病毒如何利用工業漏洞進行攻擊。液位控制系統演示平臺模擬了煉油、化工生產工藝中液體凈化中液位控制過程。此演示平臺針對上位機軟件的漏洞,模擬“Stuxnet”病毒攻擊的效果,使底層凈化罐設備液位失控,而上位機監控畫面仍然顯示正常。其中上位機軟件的漏洞信息如表1所示。
 



 


    漏洞簡介:KingView中存在基于堆的緩沖區溢出漏洞,該漏洞源于對用戶提供的輸入未經正確驗證。攻擊者可利用該漏洞在運行應用程序的用戶上下文中執行任意代碼,攻擊失敗可能導致拒絕服務。KingView6.53.2010.18018版本中存在該漏洞,其它版本也可能受影響。攻擊者可以借助對TCP端口777的超長請求執行任意代碼。

    當系統正常運行未受到攻擊時,運行狀態如圖1所示。
 



 


    當上位機插入帶有病毒的U盤后,上位機系統感染工業病毒,液位控制系統無法正常運行,病毒感染后的系統運行狀態如圖2所示。
 



 


    從以上的例子可以得出結論:由于KingView中存在基于堆的緩沖區溢出漏洞,病毒利用該漏洞執行惡意操作,使得上位機HMI顯示與實際不符,即當液位控制系統出現液位已經超過警戒線時,不能及時排出罐中液體,并且該漏洞的存在可使中控室中的HMI仍然顯示正常,因此在工作人員無法察覺的情況下,造成一定經濟損失,嚴重時,可導致重大事故。

    如圖3所示,當將中科工業防火墻置于PLC與上位機HMI之間,并再次插入帶有病毒的U盤時,可以觀察到,上位機界面顯示正常,并且執行系統并未發生任何故障。
 



 


    中科工業防火墻SIA-IF1000-02TX基于工業級設計,面向工控協議的應用數據深度解析與檢測,具有良好的防護效果。其結構如圖4所示,技術參數如表2所示,產品特點如下:
 


 



 


    ·基于“區域”與“管道”的安全防護模型;

    ·工業級設計低功耗無風扇,工業級防腐設計,導軌式安裝;

    ·面向工控協議的應用數據深度防御;

    ·兼容所有PLC、HMI、RTU等工業控制設備;

    ·基于規則策略的訪問控制和Syslog的實時報警技術;

    ·通過管控軟件應用安全的通信方式進行組態;

    ·電源采用12VDC電壓冗余供電,提高硬件可靠性;

    ·多模式運行包括直通、管控和自學習模式。
 



 


    中科工業防火墻的典型部署結構如圖5所示。中科工業防火墻分別位于管理層與控制層之間和控制層內部,分別用于
OPC解析與防護和Modbus解析與防護。位于管理層與控制層之間的中科工業防火墻可以起到分區隔離,避免病毒擴散的目的。位于控制層內部的中科工業防火墻可以起到保護控制器,阻止對控制器的任何非法訪問及控制的目的。

 

    作者簡介

    尚文利(1974-),黑龍江北安人,副研究員,博士,碩士研究生導師,現為中國科學院沈陽自動化研究所副研究員,主要研究方向為計算智能與機器學習、智能檢測與故障診斷、工業控制系統信息安全。

熱點新聞

推薦產品

x
  • 在線反饋
1.我有以下需求:



2.詳細的需求:
姓名:
單位:
電話:
郵件:
主站蜘蛛池模板: 亚洲综合色dddd26| 亚洲91| 亚洲精品美女在线观看| 99精品国产一区二区三区| 手机在线观看毛片| 亚洲国产精品久久卡一| 久久免费精彩视频| 免费一级a毛片在线播| 久久91精品牛牛| 中文字幕乱码在线观看| 久草在线视频免费看| 欧美国产日韩一区二区三区| 99精品久久99久久久久| 国亚洲欧美日韩精品| 久久精品国产只有精品6| 亚洲精品手机在线观看| 真人一级毛片国产| 国产成人国产在线观看入口| 久久黄色精品视频| 玖玖在线国产精品| 三级午夜三级三点在看| 性欧美f| 91人人视频国产香蕉| 国产成人丝袜视频在线视频| 国产一区二区三区在线视频| 欧美激情中文字幕| 玖玖啪| 热e国产| 毛片免费在线视频| 日韩在线成人| 欧美人拘一级毛片| 午夜爽爽性刺激一区二区视频| 午夜欧美性欧美| 在线观看国产日本| 亚洲天堂男人| 中文字幕一区二区在线播放| 7777在线| 91视频欧美| 亚洲国产精品一区二区第四页| 中文字幕一区2区| 亚洲精品午夜|