来源:蜘蛛抓取(WebSpider)
时间:2016-05-16 15:44
标签:
工控系统
本类导航联盟与协会推荐品牌技术资料 | | 我试着分几块阐述,非专业出身,大牛绕道,不喜勿喷从业厂商,行业背景,政策方向,市场需求,企业未来。今天说从业厂商的,知道的说点,不知道的就只说公司名及产品。1) 自动化背景厂商之前从事自动化相关的业务,比较看好工控安全市场,成立工控安全部门或子公司进入工控安全领域。典型厂商包括:1青岛多芬诺信息安全技术有限公司(青岛海天炜业自动化控制系统有限公司全资子公司),2009年成立(其北京分公司2016年3月成立),注册资金1000万,主要代理销售加拿大Tofino工业防火墙,2014年推出Guard系列工业防火墙,主要应用领域在石化方面信息化项目;青岛海天炜业,从事DCS集成运维业务,2009年成立工业信息安全事业部及青岛多芬诺信息安全技术有限公司,2016年在北京设立了分公司;2北京力控华康科技有限公司(母公司北京力控科技,国内知名组态软件厂商)2009年成立,注册资金1188万,2015年3月绿盟投资占股11%,相关产品包括ISG系列工业防火墙,PSL系列工业安全隔离网关,主要应用领域为石化,冶金,煤炭等;背靠三维力控积累的客户资源,产品应用案例很多,传统信息安全领域上市公司绿盟科技战略投资; 管理团队稳定,公司政策比较柔和,如果能运用、协调好力控客户资源、销售能力、行业影响力,会有比较大的突破。3珠海市鸿瑞信息技术股份有限公司,2007年成立,注册资金1000万元,主要产品包括HRwall-85M-II网络隔离装置、HR YD-3000远动通信安全网关、HR ICS-3000工控防火墙等,主要应用领域为电厂、电力调度中心;1999年,由研究所改制为珠海市鸿瑞软件技术有限公司,从事电力调度系统研发与推广,后转型电力二次系统安全产品开发与推广,紧扣电力二次系统安全防护规范,在电力行业积累多年,对电力之外的行业,缺乏针对性产品及方案;4中京天裕科技(北京)有限公司,2008年成立,注册资金1000万,主要产品为通讯管理与协议转换、纵向安全网关NIOs-9702等,立思辰、启明星辰战略投资,市场推广、产品销售都比较温和,产品线、解决方案比较有说服力。这类公司的特点是对工控系统有相对深刻的认识,有现成的客户资源。其他自动化厂商,如和利时集团(5北京和利时,GM010-ISF系列工业防火墙)、6浙江中控技术股份有限公司、6北京四方继保自动化股份有限公司(工业自动化信息安全控制装置CSC-800ME系列)、7中电和瑞科技有限公司(背靠其母公司电子六所,电子六所是工信部开展“工业控制系统信息安全”专项工作的支撑单位,“工业控制系统信息安全技术国家实验室”建设单位,同时是和利时的母公司,其公司网站产品文案完全搬抄北京力控华康产品文案,没有成形产品)、8北京卓越信通电子股份有限公司(轨道交通行业交换机厂家,IFW系列工业防火墙,ISG系列工业隔离网关),9南京南瑞集团电力专用防火墙PowerKeeper-3000、网络安全隔离装置Syskeeper-2000、安全远程接入网关Dialkeeper-2000、安全接入网关USAP-3000、数据安全交换系统DSS3000、安全拨号认证网关Dialkeeper-、等,主要是OEM第三方的产品,不作为主要的工控安全厂商进行分析。2) 传统IT安全厂商这类厂商原来从事IT信息安全的业务,工控安全作为信息安全市场的一个新兴的细分市场得到关注,成立工控安全部门进入工控安全领域。典型厂商包括:10启明星辰信息技术有限公司,1996年由留美博士严望佳创建,2010年在深交所中小板正式挂牌上市,中国IT安全市场的龙头企业。其入侵检测、漏洞扫描、安全管理平台产品国内市场占有率第一,工控安全方面2014年投资中京天裕;11北京神州绿盟信息安全科技股份有限公司,2000年成立,早期技术骨干来自中国著名黑客组织“绿色兵团”,2014年在深交所创业板挂牌上市,其漏洞发现、安全攻防技术处于国内领先水平。工控网络安全方面投资北京力控华康,产品包括工控安全审计系统SAS-ICS、工控漏洞扫描系统ICSScan等;12北京中科网威信息技术有限公司,1999年成立,最初技术上依托中国科学院高能物理研究所网络安全研究成果,其入侵检测产品在2002前后几年在国内市场具有较大影响力,后来逐渐被其他对手超越。产品包括工控防火墙NPISG-4000、NPISG-2000、安全隔离网关、工控异常检测;13上海三零卫士信息安全有限公司,2001年成立,依托CEC第30研究所,主要业务是信息安全集成、信息安全服务。产品包括工控防火墙30TrustCON FWS、工控安全审计;这类公司的特点是信息安全技术积累较多,但对工控系统缺乏深刻的理解,并且由于当前业绩的压力,在工控安全方面的投入较小。目前启明星辰信息技术有限公司、北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。3) 专业工控安全厂商这类厂商基本属于近些年成立的创业公司。典型厂商包括:14谷神星网络科技(北京)有限公司,2011年成立,注册资本600万,主要产品包括工控完了安全监控系统、工控内外网隔离设备、工业防火墙L6020;这个公司比较低调,很少见到他们的市场推广宣传,但是其技术研发实力不容小觑,通过道听途说、管中窥豹、零星半点材料,个人认为这才是真正隐藏着做产品的公司,符合工控规律;15北京天地和兴科技有限公司,2007年成立,注册资金1000万,主业电力工控系统信息安全,主要产品包括HX-EICS电力工控信息安全管理平台、HX-SFW工业防火墙、HX-HRS主机加固、HX-MAP安全审计等,行业比较单一,就是电力,电厂,属于闷声赚钱的那类;16北京威努特技术有限公司,2014年成立注册资本806万,产品包括可信网关TEG系列、可信卫士、工控安全监测与审计系统、漏洞挖掘平台,其公司股权结构比较复杂,创始团队三走其二,售前、产品、市场都很薄弱,属于艰难创业阶段,其公司华为系烙印比较深,包括其总裁和销售总监都是系出华为;16北京匡恩网络科技有限公司,成立于2015年,注册资金7876万,其产品线比较长,安全监管平台KEP-2000、智能安全光伏电站监控与运维系统、工控网络安全保护网关KEV-C400系列、工控网络安全监测审计系统KEA系列等。小编实在是想吐槽下这个奇葩的公司,在这个竞争对手都食不果腹、衣不蔽体的前工控安全市场时代,这个公司的存在就是一个吊诡事件,她一系列让人眼花缭乱的资本变更,让人感觉其入错行了,其市场运营包装手段,小编觉得其不应该应用于工控安全这种严肃的场合,而应该去卖面膜,搞P2P之类的,肯定可以大卖。下面让我们看一下他的投资人变化:2014年5月匡恩网络在北京注册成立,2014年10月其投资人信息显示胡雨岚是投资人,接着出现上海牧云投资、佛山优势资本这两家法人股东,2014年11月,胡雨岚那一项变成了深圳乾思科技,胡雨岚不见了,2015年增加了一个法人股东:深圳前海溢思匡恩工控安全股权投资企业(有限合伙);2015年9月,第5个法人股东出现,宁波匡恩创业投资合伙企业(有限合伙);2015年10月,上海牧云投资退出,杭州溢得匡威投资合伙企业(有限合伙)出现;截止日,其董事长都是孙一桉,到2016年4月,孙一桉彻底从董事、监事、经理名录消失.工控安全行业一般的人员规模都在50人左右,有些会更少。匡恩在两年的时间里,人员规模快速扩张至400多人,各地建办事处、分公司。15年在其外部融资困难、资金链紧绷时竟然内部融资;还有刘晓庆的入股宣传,“刘晓庆文化传播有限公司”战略投资匡恩网络,可是在投资人信息里没有这个公司的名字,刘晓庆文化传播有限公司为什么要战略投资匡恩网络,这个实在无厘头,一个文化娱乐从业者看中了工业产品行业,难道文化传娱行业的投资回报率比工控行业低?或者刘晓庆是学工控出身?必须承认的是,匡恩的市场部工作很到位,网络上各种软文,网站宣传,各种行业会议推广,这是其他任何一家工控安全公司都望其项背的。但这却从另一个侧面说明了问题的存在:这种宣传是为融资而生。其他厂家:16北京旋思科技有限公司(工业网络隔离系统SymLink-Gap);17北京信联科汇科技有限公司(工业控制系统安全监控防护系统XL-A100);18北京丰源金盛科技有限公司(fSafetyLink工业安全数据采集设备);19北京鸿泰高科科技有限公司(电力专用工业级防火墙Topkeeper-6000);20网神信息技术(北京)股份有限公司(SecGate 3600工业控制防火墙系统);21北京华烽泰特科技有限公司(安全防护网关OPC网闸ING-SO1);22普适智联(北京)科技有限公司(YISG工业隔离系统);23太原罗克佳华工业有限公司(安全隔离网关RK-EMSG);北京和利时系统工程有限公司(和利时工业防火墙GM010-ISF);24上海可鲁系统软件有限公司(工业安全隔离网关IGP2004);25上海展湾信息科技有限公司(工业网络防火墙ZFW-R2100);26石化盈科信息技术有限责任公司(工控安全防火墙PC-1000/PCOS、工控信息安全管控平台);27南京富岛信息工程有限公司(工控信息安全管控平台);28上海汉序信息技术有限公司(工业网络安全防护网关OPC网闸NCS-TO);29浙江正泰中自控制工程有限公司(工业隔离网关CT-IG7537);30上海华艾软件股份有限公司(工业隔离网关SAFECOM-SG);31北京优化佳控制技术有限公司(本质安全DCS隔离站PDT3000);32上海宝信软件股份有限公司(工业通信安全网关iCentroGate-GAP);33北京航天万方科技有限公司(工业网络防火墙Luppiter-D1200);34中国科学院沈阳自动化研究所/沈阳中科新松投资有限公司(工业防火墙SIA-IF1000-02TX);冶金自动化研究设计院(AriGuard工业防火墙);35赛门铁克软件(北京)有限公司(Symantec Embedded Security: Critical System Protection);36北京东土科技股份有限公司(Agate7000工控安全服务器);37北京江南天安科技有限公司(天安工业防火墙系统TASS ICFW);杭州合众信息技术股份有限公司(工业控制隔离网关IG);38北京网御星云信息技术有限公司(工业防火墙系统IFW-3000);39东方电子股份有限公司(工业实时隔离网关E4103);40济南华汉电气科技有限公司(HOA 多协议工业通信安全网关产品HOA-1306FWGR);西门子(中国)有限公司(工业控制系统联合安全网关);施耐德(ConneXium以太网防火墙);赫斯曼(网络防火墙EAGLE)等;北京安点科技有限责任公司,2016年1月成立,注册资金1000万,其背后站着华北电力大学,具体的产品无从了解;英赛克科技(北京)有限公司,2015年1月成立,注册资金300万元;北京万维兴业科技有限责任公司,2001年成立,注册资金500万,一点市场推广没有,低调接触客户,只做石化行业,虽然成立于2001年,但在2010年之前都没在做这块,是转型安全方向,在锦州石化,大港油田,大庆炼化,华北石化,兰州石化,泉州石化等有应用案例,产品物理单向导入隔离关闸;
工控安全产品市场,没有一款明星产品,能像DCS之于横河霍尼、PLC之于西门子、断路器之于施耐德、交换机之于赫斯曼、端子之于菲尼克斯、电源之于明纬、传感器之于倍加福、箱体之于威图,能够做到产品质量过硬、产品价格不脱离群众、售后网络完善等等,现在市场上的工控网络安全产品只是能够满足部分攻防需求,各自占领山头,还处于春秋时代,主要敌人是市场需求而非竞争对手。行业背景理解工业控制系统(ICS)网络信息安全行业,可以用传统基于PC网络安全的认知去代替之。传统PC网络信息安全有三个最基本要素:1,可用性(Availability):得到授权的用户在需要时可访问资源和服务。可用性是指无论何时,只要用户需要,信息系统必须是可用的,也就是说信息系统不能拒绝服务。有时还要求时效性,网络必须随时满足用户通信的要求。2,完整性(Integrity):信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被篡改。即信息的内容不能为未授权的第三方修改。3,保密性(Confidentiality):保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。黑客是利用系统漏洞对网络进行攻击破坏或者窃取资料的人。黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。互联网、Unix、Linux都是黑客智慧的结晶。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙,对这些人的正确英文叫法是Cracker,“骇客”。个人黑客的攻击目的:精神和物质的满足。精神方面,是为了证明自己的技术,需要那份满足感,一般这方面的攻击不会有太大的破坏性,因为对于黑客来说,关着的门就是一种挑衅,而锁着的门,就是一种侮辱。这种证明自己能力和获得那份满足感而黑的黑,才是真的黑。物质,就是经济目的网络攻击,我不想说,也没什么好说的,谁要是问我这个的分类,我跟丫只能说,没什么好说的,咱们断交吧。国家层面的黑客,四个字:网络战争。我怎么都觉得我描述不清楚这玩意,如果非要我说,我只能拿裕泰茶馆的提示条来交差了--莫谈国事。下面是我从网上DOWN的一份黑客入侵策略,为我接下来说工控系统网络入侵做个前期铺垫。小白可以看看,其他人可以直接绕道。1.口令入侵 口令入侵是指使用某些合法用户的账户和密码登录到目的主机,然后再实旖攻击活动。口令入侵的前提是必须得到目的主机上一个合法的用户账户,然后再对该账户密码进行破译。获得普通用户账户的方法有很多,比如可以用fmger/?命令查询用户资料,也可以通过目的主机没有关闭的X.500目录查询服务获取。另外,也可以查看主机是否有习惯性账户,获得习惯性的账户方法有以下3种。 (1)通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者往往采用中途截击的方法,这种方法也是获取用户账户和密码的一条有效途径。目前很多协议没有采用任何加密或身份认证技术,如在Telnet、FTP、、SMTP等传输协议中,用户账户和密码信息都是以明文格式传输的,黑客利用截取工具便可以很容易获取相应的账户和密码。另外,有时黑客还会利用软件和硬件工具时刻监视目的主机,等待用户登录信息,从而取得用户密码;也可以编写有缓冲区溢出错误的SUID程序来获得超级用户权限。 (2)在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,该方法不受网段限制,但黑客要有足够的耐心和时间。例如采用字典对用户密码进行暴力破解。黑客可以通过暴力破解软件一些工具程序,自动地从计算机字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请进入系统:若口令错误,就按序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。 直到找到正确的口令或字典的单词试完为因而几个小时就可以把上十万条记录的字 (3)利用系统配置失误或系统漏洞。在目前Unix操作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过加密方法加密后专门存放在一个称为shadow的文件中。黑客们获取口令文件后,就会使用专门的破解DES加密法的程序来解口令。当前为数不少的操作系统都存在许多安全漏洞,这些缺陷一旦被找出,黑客就可以长驱直入。2.植入木马 木马病毒常常夹带在别的文件或程序中,例如邮件附件、网页等。当用户打开带有木马病毒的文件或直接从网络上单击下载时,木马病毒便入侵用户的计算机并进行破坏。木马病毒入侵用户计算机后便隐藏起来,并搜集用户的口地址以及端口信息。当该计算机连接到外网时,木马程序便会通知黑客。黑客在收到这些信息后,就可以利用潜伏在用户计算机中的木马程序进行为所欲为的破坏。3.Web欺骗 网络用户可以通过Ⅲ等浏览器查询信息、访问站点。但是用户想不到的是,正在访问的网页可能已经被黑客篡改过了,例如黑客将用户要浏览网页的Ul也改写为指向黑客自己的,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求。4.电子邮件攻击 目前很多都提供电子邮件服务,如、等,电子邮件已经成为当前应用十分广泛的通信方式。电子邮件在给人们提供了新的通信方式的同时,也为黑客提供了新的攻击途径。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量的,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。电子邮件攻击主要表现为以下两种方式。 (1)邮件炸弹。黑客用伪造的口地址和电子邮件地址向同一信箱发送无数的垃圾邮件,导致用户邮箱崩溃,甚至导致邮箱服务器瘫痪。 (2)邮件欺骗。黑客可以冒充邮箱系统管理员的邮件地址,给用户发送邮件要求用户修改口令,或在发送的邮件附件中植入木马病毒。5.通过一个节点攻击其他节点 黑客常常伪装成一台合法的计算机与目的主机进行通信,并骗取目的主机的信任。黑客在攻破一台计算机后,往往以该计算机作为据点对其他计算机进行攻击。他们可以使用网络监听的方法,尝试攻破同一网络内的其他主机,也可以通过攻击其他计算机。TCP/职欺骗可以发生TCMP系统的所有层次上,包括数据链路层、网络层、传输层以及应用层。6.网络监听 在网络监听模式下,计算机可以接收到本网段同一条物理通道上的所有传输消息,而不管发送端和接收端是哪台计算机。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。虽然网络监听获得的用户账户和密码有一定的局限性,但监听者往往能够获得其所在网段的所有用户账户和密码。7.利用黑客软件攻击 利用黑客软件攻击是上使用比较多的一种攻击手法。Back Orifice 2000、冰河等都是比较著名的木马软件,它们可以非法地取得用户计算机的超级用户权利,进而其进行完全的控制。黑客软件分为服务器端和用户端,当黑客进行攻击时,可以通过用户端登录上已安装好服务器端程序的计算机。服务器端程序都比较小,一般会随附带于某些软件上。当用户下载文件时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。8.利用漏洞攻击 到今天为止,还不存在完全没有漏洞(Bug)的操作系统和软件,黑客常常可以利用这些安全漏洞进行攻击,如缓冲区溢出攻击。很多系统在不检查程序与缓冲之间变化的前提下,就任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样,黑客只要发送超出缓冲区所能处理长度的指令,系统便进入不稳定状态。 另外,黑客也常常利用协议漏洞进行攻击。如利用一定要在根目录下运行这一漏洞发动攻击,破坏根目录,从而获得超级用户权限。又如协议也经常被用于发动拒绝服务攻击,具体操作就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,使其无法对正常的服务请求进行处理,从而导致网站无法进入、网站响应速度大大降低,甚至服务器瘫痪。现在常见的蠕虫病毒都可以对服务器进行拒绝服务攻击,它们的繁殖能力极强。9.端口扫描端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端El是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。世界分阴阳,安全分攻防,有了被攻击的现实和可能,自然就会有防护产品。以下资料,同上原理,不喜绕过。主流信息安全产品和服务包括:ü a、防病毒(Anti-Virus):通过计算机病毒特征发现并及时清除病毒,防止对计算机和网络的破坏。ü b、入侵检测与入侵防御系统(IDS/IPS):IDS/IPS产品能够不断监视各个设备和网络的运行情况,通过比较已知的恶意行为和当前的网络行为,找到恶意的破坏行为,并对恶意行为作出反应,以实现对网络风险的监控和对重要资产入侵的精确阻断。ü c、统一威胁管理(UTM):统一威胁管理(Unified Threat Management),由硬件、软件和网络技术组成、集成多种安全功能的网关设备,帮助用户以最便捷的方式实现防火墙、防病毒、入侵防御等功能需求。üd、 防火墙(Firewall):是一种访问控制产品,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问和内部对外部的不安全访问,能有效防止对内部网络的攻击,并实现数据流的监控、过滤、记录和报告功能,隔断内部网络与外部网络的连接。ü e、虚拟专用网(VPN- Virtual Private Network):在公共数据网络上通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联,通常要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。üf、 安全隔离与信息交换系统: 在不同安全等级或密级的网络之间,利用多主机系统和隔离交换部件实现安全隔离与信息交换,可用于文件同步、数据库同步等。ü g、安全审计产品:按照功能不同可以分为网络审计、日志审计、数据库审计等,分别对网络行为、系统操作日志、数据库操作行为进行记录,能够提供基于主体标识(用户)、操作(行为)、客体标识(设备、操作系统、数据库系统、应用系统)的分析和审计报表,为管理者提供依据,并事后查证。ü h、终端安全管理:针对网络计算机终端安全防护而提出的一套综合解决方案,基于终端状态行为监测及桌面控管理念,对网络中所有终端的可能性安全威胁进行监控或记录,实现系统安全、人员操作安全和应用安全的全面管理,并能够提供对网络计算机终端的行为、状态等方面的点对点控管。ü i、安全管理平台(SOC):用来监控网络、系统和安全设备的运行安全状态,收集事件信息,并进行关联分析,对网络进行集中和整体的风险监控,并及时作出可能的响应。ü j、电子签证机构——数字签证机构(CA-Certification Authority)和公钥基础架构(PKI-Public key infrastructure)产品:CA作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好地服务,将成为所有应用的计算基础结构的核心部件。ü k、用户认证产品:由于IC卡技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥,并与其他技术如动态口令相结合,对用户身份进行有效的识别。ü l、安全服务器:主要针对局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。üm、 安全数据库:用于保护数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。ü n、安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
o、 安全服务:包括安全管理咨询、安全风险评估、渗透性测试、安全规划、安全策略配置、安全培训、安全托管等专业安全服务 看到这你可能觉得有点蒙,这帮做产品的家伙,都是废物,弄不出来一个简单好用的东西,这帮做产品的伙计,都是大忽悠,弄出来这么多产品,来忽悠消费者。话说我也是这么认为的。吧啦吧啦说了这么多跟工业控制系统网络安全没有直接相关性的东西,我都觉得自己这铺垫有点长。这是小编作为HR出身的小白对其认知体系建设历程,只好再复述一遍。言归正传。先说几种工控网络攻击方式。这是典型的工业企业管控一体化信息模型1. 网络入侵ü 通过办公网络与互联网络的外联,从外网监测到该企业所开放服务(如WEB)ü 通过所开放的服务利用用户权限管理漏洞或缓冲溢出漏洞登录到办公网络服务器获取企业关键资料。ü 利用办公网络为跳板,逐步控制SCADA、DCS系统。手段I信息搜集工业控制系统的网络、协议和系统都比较特殊,攻击者要搜集到相关信息并不容易,他们通常会从企业的公开信息、轮班时间表、合作服务和贸易往来,尤其是企业供应商所提供产品的协议规范等入手。 搜集这些信息变得越来越容易。如搜索引擎SHODAN,可以根据端口、协议、国家和其他条件搜索与互联网关联的所有设备。任何使用HTTP、FTP、SSH或Telnet协议的服务器、网络交换机、路由器或其他网络设备都可以被它检索到,进而轻易找到应用SCADA协议的设备。虽然很难置办整个控制系统来实施逆向工程,但攻击者可以通过各种公开或地下渠道了解控制系统相关设备的漏洞和后门。II 网络扫描利用网络扫描可以通过端口、协议等信息快速定位SCADA和dcs系统。例如,如果扫描出某设备的502端口使用的是Modbus协议,那么可以推断,与该设备连接的很可能是hmi系统或某些监管工作站。 值得注意的是,很多工业控制系统的网络协议对时延非常敏感,如果硬扫描,很可能导致整个网络瘫痪。所以,如果攻击者只是想中断系统服务,那么,只要进行简单的网络扫描就可以达到目的;或者,若扫描发现,实时协议只受到防火墙的保护,那么只凭基本的黑客技术,实施DOS攻击就可以奏效。如果攻击者另有图谋,那就只能采取软扫描方式,以避免系统崩溃。 目标系统定位之后,再根据工业控制系统网络协议的特点进行后续扫描,就可以获取相关设备信息。如:可以根据以太网/IP流量识别出关键基础设施保护(CIP)设备及属性;可以根据DNP3响应结果发现DNP3的从属地址;可以通过截取EtherCAT帧信息或SERCOSⅢ主站数据电报得到所有隶属设备及其时间同步信息。III 账户破解很多工业控制系统是基于Windows的,那些专门破解Windows账户信息的方法和工具也可以应用到工业控制系统上。尤其是运行在WindowsOLE和DCOM上的OPC系统,只要通过主机认证就可以全面控制OPC环境。如果无法获得底层协议认证,也可以通过枚举方式破解控制系统内其他用户和角色。如HMI用户、ICCP服务器凭据(双向表)、主节点地址(任何主/从工业协议)、以往数据库认证信息等。 进入HMI,就可以直接控制HMI管理的进程,并窃取信息;进入ICCP服务器,就可以窃取或操纵控制中心之间的传输数据。所以说,从功能上将物理设备和逻辑设备全部隔离到安全区域是非常重要的。NIST800-82(工业控制系统安全防护指南)还建议采用账户复合认证方式。有了物理和数字的双重保护,账户就很难破解;也就是说,即使知道了某个用户名或某个密码,也很难通过账户认证。IV 实施攻击
正如前面所述,一次简单的网络扫描就可以破坏工业控制系统网络。因为工业控制系统网络协议非常敏感,信息流稍有变化,协议就会失效。所以,攻击者利用硬扫描来破坏系统,利用软扫描来侦测信息。另外,也可以通过防火墙实施网络扫描,因为通过防火墙的开放端口进行分组交换更加容易。一旦扫描通过,黑客就可伪装合法通讯,对控制网络实施DOS攻击。2,USB移动介质攻击I 向U盘写入病毒程序,然后更改文件,使文件指向病毒程序。II 将U盘插入工程师站或操作员站,病毒自动对控制设备进行恶意攻击或恶意指令下置。 USB移动介质攻击演示随着U盘、移动硬盘、存储卡等移动存储设备的普及,U 盘已成为病毒和恶意传播的主要途径,由于管理和安全意识的欠缺,移动存储介质在工控网络被任意使用,在带来便捷的同时,也带来了巨大的安全隐患。原理通过AutoRun.inf文件使用户所有的硬盘完全共享或中病毒,首先向U盘写入病毒程序,然后更改文件(文件记录用户选择何种程序来打开U盘)。使文件指向病毒程序,会自动运行程序,触发病毒,从而进行文件破坏或对指定目标进行攻击。环境一台HMI、一台PLC、继电器若干、提示灯若干、一台攻击PC、一枚携病毒攻击程序U盘HMI、PLC、攻击PC均在控制局域网,彼此之间互联互通。拓朴如图:攻击在攻击PC上插入带有恶意代码的USB设备,代码自动运行,对PLC设备下执恶意指令。后果指令下执成功,PLC设备执行指令,其控制量发生恶意改变,输出量正常,HMI监测显示正常。完成了在攻击的同时,对上位监控机的欺骗。3,PLC程序病毒通过对工程师及编程服务器的控制,感染(替换)其关例行程序,通过PLC程序的下发,从而感染PLC控制设备,一方面篡改了PLC的实际控制理,一方面将运算好的虚假数据发给PLC的输出,防止报警。4,无线入侵I控制网络通过RTU(或无线WIFI)无线设备通过802.11b协议连接到连接管理区的网络。II通过对网络无线信息的收集,分析破解出接入密码。III成功接入控制网络,控制现场设备。5,网络拒绝服务攻击利用控制系统及控制设备开放的相应服务,对其发动SYN Flood攻击,使其彻底宕机。比较典型的有:I来自网络的Ddos攻击,攻击设备的并发连接数;II来自网络的Ddos攻击,攻击系统出口的带宽峰值;III攻击系统的拒绝服务漏洞,造成服务停滞,例如:Windows XP支持的协议(PPTP),是作为,由于在控制用于建立、维护和拆开 PPTP 连接的中存在未经检查的缓存,导致Windows XP 的实现中存在漏洞。通过向一台存在该漏洞的服务器发送不正确的 PPTP 控制数据,攻击者可损坏并导致系统失效,中断所有系统中正在运行的进程。6,内部威胁正所谓“三分技术,七分管理”,在信息安全的防护中,没有绝对的安全,良好的技术防护加上足够的安全管理意识,才会最大限度的避免安全风险事件的出现,而相对而言,最难防护的还是来自系统内部的威胁,内部的威胁形式主要有:I 操作错误操作错误,是指在内部的系统管理人员进行日常操作、临时维护、紧急修复等的时候,由于疏忽、大意、不熟悉,所造成的误操作导致的安全风险事件。比较典型的有:a胡乱将外接设备接入控制网络;b操作维护系统时,错误的发送指令;c在系统建设初期,由于配置不当所造成的系统漏洞。II 滥用授权滥用授权,是指在内部的系统管理人员,利用自身的系统账户权限,或者管理权限,对系统进行不必要的操作,比较典型的有:a胡乱的将权限赋予给其他账户,或其他不必要的人员;b利用自身职权,谋取利益;c利用自身职权,泄漏系统内部的重要信息;d利用自身职权,引入不安全的应用、软件、硬件等。 危险源示意图
随着我国工业信息化建设的不断深入,两化的深度融合,控制系统的“信息孤岛”已满足不了企业的高速发展的信息化需求,企业集团信息化整合不断加强,企业网络应用的范围在不断扩大,通过广域网实现集团内部资源共享、统一集团管理等,通过以太网技术把原来独立、分散的控制系统用网络互联,很大程度上解决了分散数据集中采集和管理的问题,实现了各平台间的数据共享,为企业管理带了便捷和高效的同时也随着控制网络的外联给控制系统带来了严峻的安全隐患。工业信息化时代来了,工业信息安全产品就有登台亮相的平台。提到工控网络安全,就不得不提,也看看视频解读。其他的关于工控安全的典型案例,如 澳大利亚马卢奇污水处理厂非法入侵事件、 美国Davis-Besse核电站受到Slammer 蠕虫攻击事件、美国Browns Ferry核电站受到网络攻击事件、 美国Hatch核电厂自动停机事、Duqu病毒(Stuxnet变种)出现、 Flame火焰病毒肆虐中东地区,这些可以搜狗。但是这些类型的威胁要依赖于一台被感染的计算机才能传播并感染PLC(可编程控制器)的,也就是说把被感染的计算机移除即可制止病毒的传播;日,世界上首个真正意义上的工控蠕虫POC病毒,这是介绍,可以在西门子
S7 1200 可编程控制器之间像癌症一样的扩散, 并在改编之后作用于其他系统。而且还可以在代理链接中使用,作为立足点以进入基础设施的网络系统。以上就是背景情况。政策方向,列举下国际国内的工业控制系统信息安全标准——IEC 62443《工业工程测量、控制和自动化网络与信息系统安全》;SP800-82《工业控制系统(ICS)安全指南》;《烟草工业企业生产区与管理区网络互连安全管理规范》国家烟草局2013;《电力工控信息安全专项监管工作方案》电监会2013年50号文;《电力系统管理及其信息交换 数据与通信安全》;《电力二次系统安全防护规定》;《电力二次系统安全防护总体要求》;《关于大力推进信息化发展和切实保障信息安全的若干意见(国发&2012&23号);《关于加强工业控制系统信息安全管理的通知》&号&;《工业控制网络安全风险评估规范》(GB/T );《工业控制系统信息安全 第1部分 评估规范》(GB/T 4);《关于印发&2015年国家网络安全检查工作指南&的通知》(中网办发文〔2015〕4号)工业控制系统网络安全产业服务国家战略发展,注意,是服务而不是符合。这两个词的概念是完全不同的,服务是附属的意思,是要跟着国家政策走,政策驱动型;符合是跟着市场走,属于市场功能需求驱动型。攻击者的目的一般有经济目的(如敲诈勒索)、意识形态的纷争、国家间网络战争对抗;因为个人黑客攻击工控系统网络的可能性比较小,没有动机,而且难度又大。有组织的黑客,政府背景,朝鲜121部队,美国网络战联合功能构成司令部(简称JFCCNW),俄罗斯特种信息部队,以色列的网络战部队,日本的5000人专门网络部队....他们的存在才是工控网络安全存在最大的必要条件。所以,这个产业发展壮大的两个必要条件,工业信息化和政策引导,缺一不可。工业控制系统信息安全市场很小,中石油的智慧油田A11,中石化的智慧工厂,长输管线SCADA调度中心,冶金行业能源管理、指挥调度系统,是比较典型的应用环境;当然其他的应用场景有很多;很认同一句话:安全源于意识。而意识,源于潜在需求。就像金融领域的安全需求一样,银行原来也是相对封闭的系统,但随着移动支付、互联网支付等新的支付方式的出现,安全需求越发紧迫,工业领域一样,不能为了安全而安全,而是因为有市场需求,有了市场需求,相应安全产品市场自然就会向前发展。这是一个相对漫长的时间过程。To be,or not to be!莎翁的话也同样适用于工控安全从业企业。虎头蛇尾胡乱写了些。等我头脑清晰清醒再修改续接。
已有帐号?
无法登录?
社交帐号登录
非典型销售
