漏洞检测-2017工业控制系统信息安全峰会.PPT

漏洞检测-2017工业控制系统信息安全峰会.PPT

  1. 1、本文档共22页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
漏洞检测 目标发现 端口扫描 系统服务识别 漏洞扫描 漏洞库 工业控制系统常用漏洞检测工具: PLCScan nmap-scada metasploit Zoomeye/Shodan 配备工控和传统漏洞扫描工具定期开展工控系统漏洞排查 漏洞检测 协议Fuzz测试平台 测试对象: PLC/测控/智能终端/继保等 发送测试数据 主流协议模型 模糊数据生成策略 对象重置 IEC61850 104/101/103 Modbus 深度数据变异算法 状态监测 随机/畸形/超长.. 利用漏洞挖掘工具对离线工控设备进行漏洞挖掘和漏洞预警,识别深层次工控设备的安全问题 可选择基于Python的开源Fuzz框架:Peach/Sulley 添加测试结果 对于旁观者来说,震网病毒有两个意义: 使得信息安全界开始关注工控安全,使得工控界开始关注信息安全 打破了封闭的安全神话,封闭不等于安全,隔离解决不了一切问题 2016年习近平在网信座谈会讲话指出: “物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改 * 乌克兰停电事件的意义: 1. 对电网公司敲响警钟 * * * * * * * * 未知漏洞挖掘 * 未知漏洞挖掘 GE CPE 330 的三个modbus协议问题导致系统失去响应 * 未知漏洞挖掘 * * * * * * 电网工控安全威胁分析与应对 孙 歆 目 录 1 威胁在哪里 2 风险有多大 我们如何应对 3 威胁在哪里 震网病毒事件:2010年11月 Stuxnet蠕虫(震网病毒)攻击伊朗核电厂,该病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,造成伊朗布什尔核电站瘫痪。 设计精密 精准打击 利用多个0day 隐蔽性强 威胁在哪里 2012年5月,卡巴斯基实验室发布报告,发现“火焰” 病毒部分特征与“震网”相似,但结构更复杂、损害更大,拥有强大的间谍功能。 2014年7月,赛门铁克披露代号为“蜻蜓”的黑客组织利用Havex木马程序, 攻击了欧美地区的一千多家能源企业。 2014年10月,美国工控网络应急响应中心(ICS-CERT)发现黑客通过恶意软件针对多个厂商的HMI(人机接口)进行攻击,被攻击厂商包括GE、研华WebAccess、西门子WinCC。 ICS-CERT公布数据中,工控安全事件主要集中在能源行业(59%)和关键制造业(20%),工控安全事件呈快速增长的趋势。 威胁在哪里 2015年12月23日,乌克兰电力部门遭到恶意病毒攻击,至少三个区域的电力系统被BlackEnery恶意软件攻击,其中部分变电站的控制系统( SCADA )遭到破坏,监控管理系统同时遭到入侵,导致发电设备产生故障,造成用户大面积停电。 发送恶意邮件 控制配电公司人员电脑 获取身份鉴别信息 攻击SCADA实施破坏操作 攻击电话系统 威胁在哪里 震网病毒事件 乌克兰停电事件 攻击目标 PLC 上位机 攻击原理 修改离心机参数 通过SCADA直接攻击 攻击手法 U盘摆渡 恶意邮件 防护程度 物理隔离 与互联网相连 攻击成本 高,多个0day 低,无0day 性质 针对工控的定向攻击 传统信息安全攻击事件在工控领域的展现 目 录 1 威胁在哪里 2 风险有多大 我们如何应对 3 风险在哪里 智能电网是以特高压电网为骨干网架、各级电网协调发展为基础,以信息通信平台为支撑,具有信息化、自动化、互动化特征,在发、输、变、配、用、调各个环节,实现“电力流、信息流、业务流”的高度一体化融合的现代电网。 风险在哪里 控制系统与传统信息系统存在巨大差别,双方管理人员存在信息不对称问题 控制系统 传统信息系统 体系结构 高度集中 分布式 网络开放性 独立封闭 开放 通信协议 TCP/IP、专用协议 TCP/IP 通信内容 电量数据、系统参数、控制指令 业务数据 网络威胁 较少 频繁 安全关注度 重可用性,轻安全性 普遍关注 安全推动方 设备厂商 用户方 主要安全措施 主要依赖物理隔离或隔离网闸 网络、边界、主机、应用、数据多层面防护 风险在哪里 国家电网公司智能电网工控系统严格遵循电力二次系统和管理信息系统相关安全要求,采用“横向隔离,纵向认证”的边界防护措施,总体防护水平较高,但站内防护较弱。 协议缺少认证机制 主机和交换机弱口令 边界防护设备配置失效 监控主机存在高危漏洞 某些设备开启web管理 木马通过U盘传入 设备存在高危漏洞 设备被预置后门 …… 可能的风险 降低风险建议 目 录 1 威胁在哪里 2 风险有多大 我们如何应对 3 隐患排查 介于目前严峻的工控安全形势和G20峰会安全保障要求,今年上半年多次配合国网公司、省公司对调度、配网、变电站(尤其是杭州特保电站)、所属电厂(包括新能源电

您可能关注的文档

文档评论(0)

yuxiufeng + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档