标记类型

  • 斜体:看看就行
  • 正常:正常掌握
  • 粗体/emoji❗:重点掌握

第一章 工业互联网与工业控制网络

工业互联网概述

工业互联网概念

工业互联网是互联网和新一代信息技术与全球工业系统全方位深度融合集成所形成的产业和应用生态吗,是工业智能化发展的关键综合信息基础设施

工业互联网应用-工业互联网网络体系-工业互联网终端
端到端数据流动

三大智能化闭环

智能生产控制、智能运营决策优化、消费需求与生产制造精确对接

数据:数据智能在工业中的全周期应用
网络:本质是实现数据智能的网络基础
安全:本质是工业/产业互联网各个领域和环境的安全保障

工业控制系统与工业控制网络

工业控制系统层次

工业控制系统是指由计算机与工业过程控制不见组成的自动控制系统

5个层次:

  1. 企业资源层(第4层)
    为企业决策层及员工提供决策运行手段(ERP)
    企业网络和企业服务器
  2. 生产管理层(第3层)
    为企业提供管理模块(MES)
    对站点或区域的监控、监督和运营支持
  3. 过程监控层(第2层)
    采集和监控生产过程参数,实现人机交互(SCADA、HMI)
    对单个过程、单元、生产线或分布式控制系统及进行监控和监督控制
  4. 现场控制层(第1层)
    生产过程控制(PLC、DCS、RTU)
    提供过程、单元、生产线或DCS解决方案的自动化控制的设备和系统
  5. 现场设备层(第0层)
    采集实际生产数据并相应操作(IED、IIOT、通信网关、现场仪表)
    用于生产线、过程控制或DCS解决方案的传感器和执行器

工业控制网络

工业控制系统:

由控制器、传感器、传送器、输入/输出接口等部分组成,这些部分通过工业通信线路按照一定的通信协议进行链接,形成一个具有自动控制能力的工业生产制造或者加工系统。

工业控制网络:

由传感器、执行器、测控仪表为节点,以现场总线或互联网等作为通信介质,互联并完成测量控制任务的网络。

分层:

这里不太对,这里的分层没有明确表示是工业控制网络分层,第二章中有工业控制网络的三网四层

  1. 信息层
    通信数据量大、要求高速链路、不要求实时性
    PC、操作员站
  2. 控制层
    要求较高网络速率,实时性要求高,要求通信是确定的
    可编程设备、控制器、人机终端
  3. 设备层
    速度要求不高,有一定容错能力

工业互联网=IT+CT+OT

包括工业控制系统信息安全、工业大数据安全、工业云安全、工业电子商务安全等

  • IT
    包括数据存储,各类软件,技术应用三个层面
  • OT
    控制操作专员为自动化控制系统提供支持
  • CT
    通信过程中的信息传输和信号处理技术

工业控制系统信息安全涉及L0-L3,及各层的边界防护
L4-L5被归类为信息网络安全

工业控制网络与传统IT信息网络的对比

  • 网络边缘
    工控系统在地域上分布广,边缘智能程度不高,在物理安全需求差异大
  • 体系结构
    工业控制网络结构纵向高度集成,主站与终端节点是主从关系,传统IT是对等关系
  • 传输内容
    工业控制网络传输的是工业设备的“四遥信息”

工业控制网络安全趋势分析

四级防护

  1. 工业互联网云平台安全
  2. 信息系统安全
  3. IT和OT系网络互连安全
  4. 工业现场与控制安全

第二章 工业控制网络基础

工业4.0、工业互联网与中国制造2025

三次工业革命

  1. 蒸汽机——机械化
  2. 发电机——电气化
  3. 信息化

工业4.0

工业4.0包括 将信息物理系统( Cyber Physical System, CPS)技术一体化应用于制造业和物流行业,以及在工业生产过程中使用物联网服务技术
目前还没有哪个国家或企业真正达到了工业4.0阶段,即使是首推工业4.0并为此建立全球仅有的高科技未来工厂的西门子公司,也只敢自称其未来工厂为“工业3.5“

工业互联网

复杂物理机器和网络化传感器及软件的集成

中国制造2025

以促进制造业创新发展为主题,以提质增效为中心,以加快新一代信息技术与制造业深度融合为主线,以推进智能制造为主攻方向,以满足经济社会发展和国防建设对重大技术装备的需求为目标,强化工业基础能力,提高综合集成水平,完善多层次多类型人才培养体系,促进产业转型升级,培育有中国特色的制造文化,实现制造业由大变强的历史跨越

第四次工业革命

第四次工业革命是一场工业领域从嵌入式系统(Embedded System)到信息物理融合系统(Cyber Physical System)的技术变革
无论是工业互联网的愿景还是工业4.0的构想,我们都可以确定,这一场技术变革是构建在物联网的基础之上的

工业控制网络的结构

三网四层

  • 智能感知层
    工业生产实体实现对自身状态、环境、其他实体的识别
  • 网络互联层
    多元联网对象组成
  • 数据分析层
    负责工业大数据的存储、处理、建模、挖掘、优化等
  • 开放服务层
    被生产部门调用和实施并进行反馈

智能感知层向下对接复杂的工业生产实体,开放服务层向上对接工业综合应用

三重联网

  • 实体联网
    不同工业生产实体彼此之间形成互联互通网络
  • 数据联网
    来自不同环境不同实体的数据可以汇聚并传输
  • 服务联网
    面向工业生产的服务可以被不同环节,部门,企业访问和请求

智能工厂

升级到工业4.0需要打通的三个互联

  1. 生产制造设备之间的互联
  2. 生产制造系统和信息管理系统之间的互联
  3. 生产设备和生产物料之间的互联

智能工厂是跨越不同生产环节,有效提升企业价值的网络,智能工厂力图使复杂的工业生产系统对于企业员工而言可管可控。互联使整个传统工业重新定义,将生产各环境互联,形成一个全新的网络化工业平台

智能工厂面临的挑战

  1. 智能工厂需要多种技术支持
  2. 需要新的系统模型支持
  3. 分布式系统的通信过程需要提升,使其支持自主管理和维护的高级自动化功能
  4. HMI也需要变化升级

工业控制系统现场设备

智能电子设备(IED)

由一个或多个处理器组成,具有从外部源接受和传送数据或控制外部源的任何设备。

人机界面(Human-Machine Interface,HMI)

人与机器处理信息交互或功能接触的人机接合面。链接可编程逻辑控制器、变频器、直流调速器、仪表等设备并用显示屏显示通过输入单元写入工作参数或输入操作命令。

两种类型

  1. 操作员终端
  2. 上位机人机界面

HMI核心单元为处理器,处理器的性能决定了HMI的性能高低

变频器(VFD)

过流、过压、过载保护

智能仪表

优点:

  1. 完成多种物理量的精确显示
  2. 提高仪表的可靠性
  3. 具有带变送输出、继电器控制输出等多种功能
  4. 能完成数据采集、数据处理、数据通讯

工业控制系统常用控制器概述

可编程逻辑控制器(PLC)

是一种特殊的控制器,专为在工业环境应用而涉及的数字运算电子系统

特点:

  1. 通信性和灵活性强,应用广泛
  2. 可靠性高,抗干扰能力强
  3. 产品系列化、规模化、功能完备、性能优良
  4. 编制程序简单、容易
  5. 涉及、安装、调试周期短、扩充容易
  6. 体积小、重量轻、维护方便

按功能分类:

  1. 低档PLC
    具有基本逻辑运算等功能
  2. 中档PLC
    具有较强的模拟量输入输出,还可增设中断控制、PLD等功能
  3. 高档PLC
    增加符号算数运算,平方根运算及多种特殊函数的运算

按I/O点数分类

  1. 小型PLC
    256点以下
  2. 中型PLC
    256-2048
  3. 大型PLC
    2048以上

可编程自动化控制器(PAC)

将PLC可靠、坚固、易用等特性与工业电脑强大的计算能力、通信处理、广泛的第三方软件结合的多功能工业用自动化控制器。

特征与性能:

  1. 具有逻辑控制、运动控制、过程控制、人机界面等功能
  2. 是一个满足多领域自动化系统设计与集成的通用开发平台
  3. 允许OEM厂商和最终用户在统一平台上部署多个控制应用
  4. 有利于开放、模块化控制架构来适应高度分布性自动化工厂环境

PAC与PLC区别:
PAC是一个多功能控制器平台,包含多种用户可自行组合的产品
PLC是一个仅具有制造商提前设置好的功能的产品,用户仅可以进行逻辑编程使用已有的功能。

远程传输单元(RTU与DTU)

远程终端单元(RTU)安装在远程现场的电子设备,用于对远程现场的传感器和设备状态进行监视和控制

数据传输单元(DTU)专门用于将串口数据转换为IP数据或将IP数据转换为串口数据通过无线通信网络进行传送的无线终端设备

数据采集与监视控制系统(SCADA)

SCADA

SCADA是由计算机设备、工业过程控制组件和网络组成的控制系统,对工业生产过程进行数据采集、检测和控制,保证工业生产过程正常,是关系国家命脉的基础产业的神经中枢。

其通常由一个主站和多个子站组成

  • 主站
    分为前置子系统和后台子系统,主站常设置在调度控制中心,以数据通信的方式接受从下级调度控制中心转发的信息,又向上级调度控制中心主站转发本站的信息
  • 子站
    设置在厂站端(SCADA)系统的实时数据源也是控制的目的地

SCADA中的组态软件

Configuration software
使用软件工具对计算机及软件的各种资源进行配置,是计算机可以自动完成任务的软件
目前是开发SCADA系统上位机人机界面最主要的软件

集散式控制系统

核心思想是集中管理、分散控制,即管理和控制相分离,上位机管理,下位机控制
实现地理上和功能上的分散控制,又将各个分散点的信息集中控制和操作,实现高级复杂的控制

典型工业领域的工业控制网络

两层三级

两层:IT网络和OT网络
三级:现场级,车间级,企业级

**这里有一堆某某系统的举例,自己看吧

物理传输介质

  • 导向介质:固体媒介
    通信质量取决于自身性质
    传输容量可以用数据率(bps)或带宽(Hz)表示
    双绞线、同轴电缆、光纤
  • 非导向介质:无线传输
    通信质量取决于发送天线生成的信号带宽

设计因素:

  • 带宽
  • 传输损伤
  • 干扰
  • 接收器数量

第三章 工业网络协议安全性分析

Modbus协议

概述

使用端口502
位于OSI第七层,是应用层协议,
可以使用TCP/IP以太网链路
控制器必须知道网络中其他从设备的地址

Modbus协议采用主从模式工作

应用数据单元(ADU)从左到右
附加-功能码-数据-错误检查

协议数据单元(PDU)从左到右(Modbus帧)
++++ - 功能码-数据 - ++++

MODBUS寄存器种类举例

MODBUS常用功能码

MODBUS通讯协议格式

分为两种,TCP和RTU

RTU举例

设从机地址为01H,线圈寄存器的起始地址为0017H,读38个寄存器

主机发送地址格式

从机地址 功能码 起始地址高位 起始地址低位 读取数量高位 读取地址低位 CRC高位 CRC低位
0x01 0x01 0x00 0x17 0x00 0x26 0D 04

主机返回读取格式

从机地址 功能码 返回字节数 数据1 数据2 数据3 数据4 数据5 CRC高位 CRC低位
0x01 0x01 0x05 CD 6B B2 0E 1B 44 EA

其中第一个字节CD标识0017号到001E号的状态,1是开,0是关
CRC是校验用

ModbusTCP

如上图所示,TCP帧分为MBAP+PDU

|事务处理标识|协议标识|字节长度|单元表示符|功能码|起始地址H|起始地址L|数量H|数量L|
从功能码往后都是PDU

TCP与RTU基本一致,TCP将RTU的占地址和CRC校验TCP本身就有校验功能

协议固有问题

  1. 缺乏认证
    设备端只对地址进行了验证,协议端没有提供任何认证,也就是说攻击者只需要一个合法的地址就能控制设备。
  2. 缺乏授权
    Modbus没有基于角色的访问控制,也没有对用户权限划分,也就是说任意用户可以执行任意权限。
  3. 缺乏加密
    全部明文传输,可以很简单的捕获和解析

协议实现可能产生的问题

  1. 设计安全问题
    安全问题在设计时常被忽略
  2. 缓冲区溢出漏洞
    溢出的数据覆盖在合法数据上
  3. 功能码滥用
    导致Modbus网络异常
  4. ModbusTCP安全问题
    TCP/IP自身存在的安全问题

安全防护技术

  1. 源头开始
    在开发阶段融入安全设计,安全编码等安全技术
  2. 异常行为检测
    开发针对Modbus系统的专用异常行为检测设备
  3. 安全审计
    Modbus系统的安全审计日志记录和审计功能
  4. 实用网络安全设备
    禁止外部地址访问Modbus服务器

DNP3协议

概述

端口20000

最初用于遥控变电站和IED通信,后用于自动化组件间通信,遥测
可以通过TCP/UDP封装
可靠:对CRC校验频繁使用,支持时间戳

两种模式:

  1. 主站发起到子站
  2. 子站到主站自发响应

固有问题

  1. 缺乏认证
  2. 缺乏授权
  3. 缺乏加密
  4. 协议复杂

实现产生问题

  1. 协议安全问题
  2. 功能码滥用问题
  3. TCP/IP层安全问题

安全防护技术

  1. 使用TLS
  2. 增设防火墙、IDS等

OPC协议

概述

不是严格工业类协议,开放和互操作接口标准,可以不依靠特定开发语言和开发环境,可以自由组合的过程控制软件。

OPC DA

采用CS架构,需要按照OPC标准编写client和server,依赖windows,控件形式实现

OPC UA

不依赖于COM/DCOM技术,具有跨平台性,在传输层上定义,接口简单一致只用一个地址空间就可以访问所有对象,浏览器实现

安全问题

  1. 过时的授权服务
    工业网络系统升级困难,许多不安全的授权机制仍在使用
  2. RPC漏洞
    可能受所有RPC相关漏洞影响
  3. OPC服务器完整性
    可以使用假冒OPC服务器进行攻击

安全防护技术

  1. 会话认证
  2. 审计
  3. 传输安全
  4. 冗余

其他协议

IEC

端口2404

电力行业主要工控协议

应用协议数据单元=应用协议控制接口+应用数据单元

固有问题

  1. 缺少认证机制
  2. 缺少授权机制
  3. 缺少加密机制
  4. 缓冲区溢出漏洞

产生问题

  1. TCP/IP层安全问题
  2. 功能码滥用

第四章 工控网络漏洞分析

工控网络漏洞概述

工控设备漏洞挖掘的可行性

  1. 工控设备自身局限性
    工控设备系统自身封闭,数据接口多样,通信复杂不可改变。传统信息系统漏洞检测技术无法直接用于工业控制系统
  2. 漏洞挖掘的可行性
    通过以太网和TCP/IP链接到计算机网络的工业系统越来越多,为工控终端设备漏洞被挖掘和利用打开了通道。
  3. 漏洞挖掘的困难性
    漏洞数目少,渗透测试的样例会使设备达到极限,难以挖掘。(测试需要在模拟平台上进行

传统信息系统漏洞挖掘方法适用性分析

  1. 白盒
    有源代码,对目标完全了解然后进行漏洞挖掘
  2. 灰盒
    有目标文件、对目标有部分了解
  3. 黑盒
    对目标完全不了解——模糊测试

由于无法获取工控系统的源代码和目标文件,因此白盒和灰盒无法使用,常用模糊测试


不太明白为啥白盒误报率高

工控安全漏洞分类

  • 工控设备漏洞
  • 工控网络协议漏洞
  • 工控软件系统漏洞
  • 工控安全防护设备漏洞

工控安全漏洞分析技术

构建工控系统漏洞库

传统漏洞库不适合工业控制系统漏洞测试,需构建工控系统专有漏洞库

工业控制网络安全漏洞标准化工作

漏洞标准

  1. CVE
    广泛认同
  2. ICS-Cert
    美国工控系统应急响应小组
  3. CNVD
    国家信息安全漏洞共享平台
  4. CNNVD
    国家信息安全漏洞库

已知漏洞检测技术

基于工业漏洞库的检测技术
需要选用合适的检测规则,结合工控系统漏洞库,扫描系统中的关键目标系统和设备的脆弱性,还需支持工业通信协议,以及ICMP Ping扫描,端口扫描等

漏洞扫描策略

  • 主机漏洞扫描
    • 操作员站
    • 工程师站
    • 服务器
  • 网络漏洞扫描
    • 目标系统
    • 服务器
    • 工业设备

漏洞检测方法

  • 直接测试
    利用漏洞特点发现系统漏洞,通过直接观测或间接观测,一般为web服务漏洞测试和拒绝服务漏洞测试
  • 推理测试
    根据相关系统,应用版本判断是否存在某个漏洞,对系统影响小,较高的误报率
  • 凭证测试
    已有访问服务授权后进行测试

工控网络设备漏洞分析

工业控制系统与传统网络的区别

功能需求:
工业控制系统与传统互联网之间的差异,导致传统的漏洞扫描技术无法直接移植到工业控制系统上。
非功能性需求:
需要避免干扰脆弱工控设备的正常运行

需考虑的点:

  1. 系统架构
  2. 设备类型
  3. 安全机制
  4. 通信协议
  5. 安全后果

主动扫描
通过直接互动发送网络流量探测受害者的基础设施。

被动扫描
不需要直接互动,通过从目标计算机上捕获的网络数据中收集信息的分析,仅限于查看现有的流量

SCADA主被动结合

Fuzzing❗

通过构造能使如那件崩溃的畸形输入来挖掘系统中漏洞的方法
常被用来挖掘网络协议、文件、ActiveX控件中存在于输入验证和应用逻辑的漏洞

三个阶段

  • 协议解析
    通过公开资料或对网络数据流量的解析,理解待测协议的层次等信息
  • 测试用例生成
    依据分析出来的包字段结构,给待测对象发送生成的畸形测试用例
  • 异常捕获和解析
    通过多种探测手段发现由测试用例触发的异常,保存异常相关数据信息

Fuzzing分类:

  1. 基于生成的Fuzzing:
    基于与有效输入结构和协议状态的生成规则进行建模,构造模糊输入
  2. 基于突变的Fuzzing:
    通过在已有的数据样本中插入畸形字节以及变换字节来修改正常输入,制造模糊输入。
    更适合对私有协议测试

Fuzzing难点——工控协议解析

  1. 对于公开协议:
    工控协议面向控制,高度结构化,控制字段数量较多,需要构造大量变异器,测试效率不高
  2. 对于私有协议:
    协议资料不公开或半公开,要不对协议栈逆向分析,要不抓取协议数据包,依据历史来推断协议语义
  3. 对于嵌入式工控系统:
    其大量使用私有协议,运行环境较为封闭,很难使用加载调试器的逆向分析,基于数据流量的分析更实际,但工控设备时间敏感,基于突变的传统Fuzzing测试工具不现实

Fuzzing难点——工控协议异常捕捉和定位
主要异常检测手段有返回信息分析、调试器、日志跟踪

  1. 返回信息分析
    分析请求发送后收到的信息判断
    如果请求收发频率不够高,将无法捕获发生的异常
  2. 调试器跟踪
    监视服务器进程,当其发生错误时捕捉异常
    无法用于PLC等设备,因其无法安装第三方工具
  3. 日志跟踪
    解析服务器日志
    但PLC等设备严格制约计算存储网络访问等

Fuzzing设计准则

  1. 对私有工控协议测试:
    1. 基于离线分析
      梳理协议内容生成协议模型,将私有协议变为公有协议
      需要积累相当数量的历史数据,实时性差
    2. 基于在线分析
      在线使用人工智能实时对网络流量进行学习,目前还在初期,但在不断提升
  2. 不依赖本地调试
    PLC不能让他调试,选择使用网络探测,心跳机制
  3. 具有对网络协议进行双向测试的能力
    对工控协议的测试需要对CS双端的测试,且数据流量小,类型单一,几乎免疫传统Fuzzing工具
    可行的是采取内联方式,通过ARP欺骗,将Fuzzing插入CS之间,使用重放或中间人将数据突变

上位机漏洞分析:

不重点

上位机:
操作员站,工程师站,HMI

常见漏洞:

  1. 缓冲区溢出漏洞
  2. 字符串溢出漏洞
  3. 指针相关漏洞
  4. 内存管理相关漏洞
  5. 数据类溢出漏洞

DLL劫持漏洞分析
使用DLL劫持检查工具,重启目标进程后检测标记代码

上位机ActiveX控件漏洞
ActiveX控件标注为SFS后,IE可以通过脚本语言调用控件并修改属性

  • 逻辑类漏洞
    不该标记SFS的意外的标记了
  • 溢出类漏洞
    标记SFS的代码段存在溢出风险

上位机服务类漏洞分析
上位机一般都需要安装很多服务,因此服务提权类漏洞比较普遍,且无法用Fuzzing工具进行挖掘
服务提权类漏洞挖掘:
安装模拟上位机系统,枚举上位机的服务并侦测该服务对各个用户组的权限,筛选用户组和权限,并循环枚举

下位机漏洞分析❗

下位机:PLC,智能仪表,智能模块等

上位机发出命令下达下位机,下位机转化为时序信号控制相应设备,下位机周期的读取设备状态信息,转换成数字信号反馈给上位机

下位机漏洞

  1. 未授权访问
    非法用户进入网络或系统进行违法操作,合法用户已未授权方式操作
    防止方法:访问控制
    入网访问控制,网络权限控制,目录级安全控制,属性安全控制,网络服务器安全控制,网络检测和锁定控制,网络端口和节点的安全控制
  2. 通信协议脆弱性
    当初为了追求实用性和实效性牺牲了安全性
    明文密码传输漏洞,通信会话无复杂验证机制导致的伪造数据攻击漏洞,通信协议处理进程设计导致的溢出漏洞
  3. Web用户接口漏洞
    方便用户管理,下位机配备了web人机接口
    命令注入,代码注入,任意文件上传,越权访问,跨站脚本
  4. 后门账号
    开发者在系统开发时有意在工控系统代码中设计的隐藏账号或特殊命令

工控网络设备常见安全问题

基本的工控网络设备
工控计算机(FTP服务器,Web服务器)、集线器、工控交换机、工控路由器、工控防火墙

常见web安全问题

  • SQL注入
  • XSS
  • 文件包含
  • 命令执行
  • 信息泄露

XSS的检测

  • 可得知输出位置的XSS手动检测
    输入敏感字符,提交后查看html源码,看这些字符是否被转义
  • 不可知输出位置的XSS手动检测
    Web程序源码不公开,测试时不能直接确定值的输出位置,通常采用输入”/>XSS Test测试
  • 软件自动检测

工业控制网络安全威胁

工业控制网络常见安全威胁

  1. 工业控制网络病毒
  2. 工业控制网络协议安全漏洞
  3. 高级持续性威胁APT攻击
    一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击
    五个阶段
    1. 收集情报
    2. 突破防线
    3. 建立据点
    4. 隐秘横向渗透
    5. 完成任务

工业控制网络常见攻击行为

看看就行

工业控制系统脆弱性分析❗

每个都要求能说几点

现场总线控制网络

此网络利用总线技术将传感器/计数器等设备与PLC和其他控制中心相连

  • 脆弱性分析
    1. 不安全的接入方式
    2. 不安全的串口链接,或缺乏有效的配置检查
    3. 包含了大量工控设备,设备本身存在工控安全漏洞
    4. 传输的工业控制系统数据无加密,存在被篡改和泄露的风险
    5. 缺少工控网络安全审计及入侵检测防御等措施,容易对该网络内的设备和系统数据造成破坏
    6. 物理隔离设备策略配置不当

SCADA

SCADA,实时数据库,人机界面

  • 脆弱性分析
    1. 不安全的移动维护设备未授权接入
    2. 监控网络与RTU/PLC之间不安全的无线通信
    3. 现场设备层和过程控制层主要使用现场总线协议和工业以太网协议
      • 总线缺少认证、授权、加密等安全因素
      • 以太网协议总是对协议进行了简单封装,没有安全性,且存在处理有效/无效格式化消息方面的缺陷

企业办公网络脆弱性

  1. IT资产转身漏洞的脆弱性
  2. 网络互联给系统带来的脆弱性
  3. 内部管理机制缺失带来的脆弱性
  4. 缺乏安全意识带来的脆弱性

工业控制网络安全威胁TOP10

这个大概不重点,老师总结的时候没提

  1. 遗留软件(旧版本)
    OT系统运行在传统软件,缺乏足够的用户和系统认证及完整性校验等功能
  2. 默认配置
  3. 缺乏加密
  4. 远程访问政策
    连接到未经审计的线路或远程访问服务器的SCADA系统给攻击者溜了后门
  5. 政策和程序
    当IT和OT在保护工业控制方法存在差异时会产生安全漏洞
  6. 缺少网络隔离
    网络或防火墙配置错误
  7. DDoS攻击
  8. 网络应用程序攻击
    通过网络接口攻击HMI,PLC等
  9. 恶意软件
  10. 命令注入和参数操纵

注:运营技术(Operational Technology)也称为 OT,是使用硬件和软件来控制工业设备的实践方法。 OT 包括了在制造业、能源、医药、建筑管理和其他行业内使用的专业系统。 OT 常被拿来与 IT(Information Technology,信息技术)对比,后者主要面向的是数据系统。 OT 系统主要用于跟现实世界交互,IT 则主要用来解决业务问题。

工业控制系统面临的安全问题

这个大概也不重点,老师总结的时候没提

  1. 普遍缺乏安全设计
    工业控制系统牺牲安全性换取实时性
  2. 存在大量漏洞、后门
    设备大都来自国外,被留了后门
  3. 设备联网混乱、缺乏安全防护
    工业生产环境中的越来越多传感器等设备与办公网,互联网等第三方网络链接,且常把危险的个人计算机接入网络中。
  4. 工业主机”带洞“、”带病“运行
  5. 工业资产不清晰
  6. 缺少必要的检测预警手段,可视化、可读化差
  7. 工业数据存在风险
    设备运行数据,工艺配方数据,生产操作数据等存在潜在的挖掘分析价值
  8. 工业企业安全管理问题
    • 管理制度不健全,不体系化
    • 有一些工业企业的边界设备属于”三不管“地步
  9. 安全运维管理不到位,应急响应不健全
    大部分企业将资产交给设备厂商或系统集成商或第三方运维,导致误操作,违规操作,生产数据无监控无审计等
  10. 工业控制系统信息安全投入不足,人员意识差

工业主机存在的主要问题

  1. 工业主机操作系统版本老旧,且补丁不宜更新,不敢更新,不想更新
  2. 安全配置基线无加固,存在弱口令,无关第三方软件等
  3. 恶意代码防范能力弱
  4. 移动储存介质管控,移动储存介质导致病毒,木马进入工业生产环境中

第六章 SCADA系统安全分析

现代SCADA系统

  1. 提高连通性,允许与外部企业网络通信
  2. 使用价格便宜的通用硬件
  3. 采用通用的网络协议进行通信

SCADA 安全目标 AIC

  • A:高可用性要求安全防护手段不能中断正常业务
  • I:防止数据在传输过程中被非授权修改
  • C:对敏感性较低的采集数据和控制指令被长期探测采集,使攻击者可以分析SCADA的工作规律

SCADA脆弱性

  1. 策略和程序脆弱性
  2. 架构和设计脆弱性
  3. 配置和管理脆弱性
  4. 物理脆弱性
  5. 软件开发脆弱性
  6. 通信网络脆弱性

SCADA安全关键技术

安全域划分

因SCADA的结构复杂,实施整体安全方案异常困难,因此实现纵深安全防御体系,在安全域边界部署安全防护装置,实现物理隔离或逻辑隔离

IEC-62443
四个类,七个基本需求
定义了系统的四个安全保障等级

  • SAL1
  • SAL2
  • SAL3
  • SAL4

IEC-62443建议通过横向分区,纵向分域,对控制系统的各个子系统进行分段管理,区域之间的通信通过专用通道执行,通过对管道的管理来阻挡区域之间的非法通信,保护网络区域和其中的设备

在安全域之间部署防火墙、路由器、入侵检测、隔离网闸等设备,实现网络隔离和边界安全防护
原则:

  1. 尽可能综合使用网络层、传输层、应用层数据过滤技术
  2. 严格遵守最小权限原则
  3. 使用白名单设置防火墙过滤规则
  4. 需要认证评估对控制系统网络通信延迟的影响
  5. 需要经常审查过滤规则,并根据安全需求和安全威胁的变化动态调整规律规则

防火墙部署方案:

  1. 办公网络和控制网络间部署单防火墙
    • 历史数据库在控制网络然后允许管理员访问控制网络的历史数据库会引起SQL注入
    • 如果设置在办公网络,必须设置防火墙规则允许历史数据库与控制设备之间的网络通信,办公网可以攻击控制设备
  2. 办公网络和控制网络间部署带隔离区防火墙
  3. 办公网络和控制网络间部署成对防火墙
    • 一台防火墙阻断进入控制结构和公共区域
    • 一台防止从被攻击的服务器链接控制网络

SCADA系统入侵检测技术

  1. 基于主机的入侵检测系统
    当有文件发生变化时,系统将新的记录条目与攻击标记相比较
    部署感应器,可能降低主机性能,影响可用性
  2. 基于网络的入侵检测系统
    SCADA网络通信包括:现场网络内不通信数据,控制网络内部通信数据,现场网络和控制网络之间通信数据
  3. 基于误用/知识的入侵检测系统
    误报少,不能检测未知攻击
  4. 异常入侵检测系统
    能检测未知,误报多

SCADA系统异常行为检测技术

  1. 基于主机的异常入侵检测
    1. PLC/MTU的配置信息和报警信息,操作员的操作信息
    2. 数据归一化和融合
    3. 分析
    4. 挖掘得到极少发生的事件模板
  2. 基于主机的误用入侵检测
    QuickDraw是一种SCADA控制器安全事件日志采集及管理系统,记录MTU、PLC等控制器发送的安全事件类型和事件参数,并根据设定的规则检测安全攻击
  3. 基于网络的异常入侵检测
    基于网络流量,构建模型进行入侵检测判断,包括工控协议规范,网络流量层析信息,IP地址和包头个数等
  4. 基于网络的误用入侵检测
    通过分析实际环境采集的真实数据和模拟产生的仿真数据,建立攻击行为特征库

第七章 工控网络安全防护技术

滑动标尺模型

纵深防御策略

提高工业控制系统信息安全的最佳选择

两个目标

  • 即使某一点发生事故,也能保证整个系统正常运行
  • 工厂操作人员能及时确认故障点并排除问题

IT网络安全体系变迁

P2DR->安全木桶理论->立体防御体系->云管端联动体系

PPDR
动态网络体系的代表模型也是动态安全模型的雏形

蜜罐/蜜网
对攻击方进行欺骗

蜜罐:故意暴露的短板
基于木桶理论:吸引攻击者资源投入
基于P2DR模型:延迟攻击时间
高效鉴别恶意流量,与探针形成互补

零信任

三个关键技术SIM

  1. 软件定义边界SDP
  2. 身份与访问管理IAM
  3. 微隔离MSG

零信任架构的设计和部署遵循以下基本原则:
1、所有的数据源和计算服务都被认为是资源。
2、所有的通信都是安全的,而且安全与网络位置无关。
3、对单个企业资源的访问的授权是对每次连接的授权。
4、对资源的访问是通过策略决定的,包括用户身份的状态和要求的系统,可能还包括其他行为属性。
5、企业要确保所有所属的和相关的系统都在尽可能最安全的状态,并对系统进行监控来确保系统仍然在最安全的状态。
6、用户认证是动态的,并且在允许访问前严格执行。

工控网络安全设备引入和使用

(1)工控系统对可靠性和生存期的要求较高,所以其使用的系统与网络技术很容易被攻击者所超越。工业控制系统可能需要不间断地运行数月或者数年,其全部生命周期也可能长达数十年,而攻击者却可以在任何时候使用新的工具进行攻击
(2)工业网络的系统落后于现代网络基础设施,总是只能保证物理安全而非信息安全

  1. 工控网络边界安全防护
  2. 区域边界安全防护
    1. 工业防火墙
    2. 安全监测平台
    3. 安全审计平台
    4. 单向网关(闸)
    5. 入侵检测设备
  3. 区域内部安全防护

ICS安全的特殊限制

  1. 设备相关限制
  2. 网络相关限制
  3. 安全相关限制
  4. 运行时间和正常运行时间要求
  5. 缺乏足够的安全考虑

已知安全威胁的防护方法

  1. 结构安全
    基础设施过程中网络拓扑结构,以及区域、层次的划分是否满足安全需求
    1. 结构优化
      结构安全的核心,本质是分区隔离
    2. 访问控制
      控制如何访问目标资源
    3. 防火墙
      四种主要服务:服务控制,方向控制,用户控制,行为控制
  2. 设备和主机安全
    1. 漏洞发现和打补丁
      1. 探测系统的存活性
      2. 对存活设备进行协议和端口扫描,确定开放的端口协议
      3. 根据协议指纹技术识别出主机的系统类型和版本
      4. 根据目标系统的操作系统和提供的网络服务调用漏洞库中已知的各种漏洞进行逐一扫描
      5. 通过对探测响应数据包的分析判断是否存在漏洞
    2. 补偿性措施
      保护设备拦截特定数据包
  3. 行为安全
    • 系统内部行为
    • 系统外部行为

未知安全威胁的防护方法

  1. 纵深防御技术
    通过对安全设备生成的结论和日志信息进行评估,覆盖所有区域的通信状态、用户访问、运行控制管理等,借助 SIEM和日志分析管理类的工具,将信息进行基本的关联;在人工充分地理解和分析判断的情况下,可以确定异常行为和未知威胁
  2. 异常检测技术
    1. 异常参量
      异常行为检测的最小分析单元
      每一个参量单元都是基于时间的
    2. 异常行为
      工业控制系统的规律性和稳定性更强,可以更好检测异常行为
    3. 白名单技术
      最准确的防御所有未知威胁
      1. 应用白名单
        防止未认证的应用程序
      2. 用户白名单
        对一般的用户活动和管理员行为进行分析
      3. 资产白名单
        对未知设备进行行为进行干预
      4. 行为白名单
        需要区别正常那个行为和其他恶意行为
    4. 关联分析技术
      识别工控系统中安全事件、攻击活动、潜在威胁之间的关联关系
      1. 智能列表
        基于白名单和时间轴线动态的定义了黑名单的内容
      2. 事件关联
        通过大量离散的事件数据并把其作为一个整体
        1. 多源关联
          将关联扩展到多个数据源
        2. 分层关联
          指的是一个关联规则关系中嵌套另一个关联规则,针对攻击溯源以及时间关联性
        3. 系统关联
          安全事件不会局限于一个系统中
    5. 蜜罐技术
      三部分:数据捕获技术,数据控制技术,数据分析技术
      两种系统日志:基于主机的信息收集方式,基于网络的信息收集方式

第八章 综合案例

这里推荐自己看,最后一个的蓝本,主要理解,明白怎么分析的

笔记