工业控制系统安全防护技术方案（58页 PPT）.ppt

工业控制系统信息安全防护技术

智能工业控制网络安全专家目录工控事件攻击技术概述0102 工控系统安全技术03工控系统防护体系思考04结束语

智能工业控制网络安全专家2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。HAVEX病毒

篡改供应商网站，在下载软件升级包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端据12恶意间谍代码通过OPC协议发出非法数4 采集指令OPC服务器回应数据信息将信息加密并传输到CC（命令与控制）网站357黑客采集获取的数据61通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件智能工业控制网络安全专家供应商官方网站工控网络OPC客户端OPC客户端OPC服务器OPC服务器生产线PLCPLCHAVEX病毒攻击路径概述

有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包智能工业控制网络安全专家利用系统漏洞，直接将恶意代码植入包含恶意代码的钓鱼邮件Havex传播途径

通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源Havex通过调用IOPCServerList和IOPCServerList2DCOM接口来枚举目标机器上的OPC服务随后Havex可以连接到OPC服务器，通过调用IOPCBrowseDCOM接口获取敏感信息智能工业控制网络安全专家Havex深度解析

方程式组织曝光—2015年信息安全界最重大的新闻智能工业控制网络安全专家

智能工业控制网络安全方程式潜伏二十年，肆虐全球从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万受害者。专家

方程式的攻击目标：以工业控制设施为主它所瞄准的不是个人用户，或普通的商业用户，而是一个国家的关键设施、经济命脉。智能工业控制网络安全专家接打击军事设施。它的目的不是普通多种证据显示，病毒的窃取信息、“方程式”跟美经济诈骗，而是破国国家安全局、坏工业生产，制造以色列情报机社会混乱，乃至直构、以及英国军方具有密切的联系。结论：“方程式”是一种主要以工业控制网络为目标的病毒武器。

方程式的攻击目标：以美国敌国为主欧洲、北美、日本、澳洲等地区是世界上经济最发达地区，拥有最多的计算机和最高的互联网普及率，从概率上而言，这些国家感染病毒的几率应该也是最高的。但实际上，他们的感染率却是最低的。感染“方程式”最多的国家，除了俄罗斯和中国以外，伊朗、巴基斯坦、阿富汗、叙利亚等国，都是比较落后的国家，计算机和互联网的使用率都很低。凡是美国和它的盟国，感染率都很低，凡是美国的敌国或美国蓄意打压的国家，病毒感染率都名列前茅。智能工业控制网络安全专家

智能工业控制网络安全知己知彼：方程式的工具组件“程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny、GrayFish等。专家

智能工业控制网络安全专家知己知彼：方程式的硬盘感染能力“方程式”可以对数十种常见品牌的硬盘固件进行重新编程的。包括三星、西数、希捷、迈拓、东芝以及日立等公司。这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。是首个已知的能够直接感染硬盘的恶意软件。方程式特别强化了其驻留硬盘的能力，躲过杀毒软件、操作系统重装、乃至硬盘格式化。

络安全专家知己知彼：方程式的隔绝网络感染能力病毒会通过网络，感染某台能够上网的电脑A。14隔离网络在工控中应用广泛，“方程式”病毒特别擅长攻击隔离网络，并在隔离网络和互联网之间传送信息。步骤如下：57当电脑A插入某个U盘时，这个U盘也会被感染。当被隔离的电脑B需要拷贝文件，插入被感染的U盘时，电脑B被感染。病毒会从电脑B以及跟它联网的其他设备中收集信息，保存到U盘上。当这个U盘又被拿出去，接到电脑A上时