工业控制系统安全解决方案.ppt

《工业控制系统安全解决方案.ppt》由会员分享，可在线阅读，更多相关《工业控制系统安全解决方案.ppt（26页珍藏版）》请在三一文库上搜索。

1、1 工业控制系统安全解决方案 工业控制系统安全解决方案 工控机安全项目案例 2 工控系统中的安全薄弱点 工业控制系统简介 2 Symantec工控机安全防护产品 提 纲 工业控制系统安全解决方案 3 工业控制系统简介 工业控制系统安全解决方案 工业业控制系统应统应 用简简介 钢铁 化工 电力 工业监测 智能交通 环境监测 纺织 食品 陶瓷 家电控制 照明控制 暖通控制 重工业轻工业 物联网 智能家 居 工业控制系统安全解决方案 集散控制系统统（DCS）简简介 特点：工业以太网数字通信，现场仪表模拟通信。 变变送 器 执执行 器 操作站监监控计计算机 工业以太网 现场现场控制站PLC 420mA

2、模拟电流信号 工业控制系统安全解决方案 现场总线现场总线 控制系统统（FCS）简简介 服务务器其它工作站 工业以太网 监监控工作站 现场总线 智能控制器 智能变变送器 智能执执行器 特点：工业以太网和现场总线 全数字通信 工业控制系统安全解决方案 前实际实际 的DCS、FCS和现场总线应现场总线应 用 操作员员站工程师师站 工业以太网 现场现场控制站PLC 变变送 器 执执行 器 420mA模拟电流信 号 现场总 线 现场总线 接 口 智能变送器 智能执行器 工业控制系统安全解决方案 8 工控系统中的安全薄弱点 工业控制系统安全解决方案 震网（Stuxnet）蠕虫攻击击伊朗核设设施 来自安天实

3、验室对Stuxnet蠕虫攻击工业控制系统事件 的综合报告 目标：伊朗核电站提炼浓缩铀 的设施 目的：干扰浓缩铀 提取过程，降低成 品浓度 方法：渗透至工业内网，利用工业控制系统的安全 漏洞，改变相关设施的运行参数 结果：成功！使伊朗核工业陷入停滞 攻击目标为DCS中的西门子WinCC HMI组态软 件、 STEP7组态软 件以及S7-300400系列PLC（某些型号） ，采用与攻击渗透民用以太网相似的方法。 工业控制系统安全解决方案 攻击击DCS中的PLC 先感染操作站等PC，在PLC组态时 写入恶意代码。 操作站监监控计计算机 工业以太网 现场现场控制站 PLC 变变送 器 执执行 器 42

4、0mA模拟电流信 号 组态计算 机 操作站组态 PLC 时进行攻击 专用组态计 算 机 组态PLC时 进行 攻击 工业控制系统安全解决方案 723高铁铁事故的启示 列 控 中 心 集 中 控 制 的 该 信 号 错 误 变 成 绿灯，引起D301次 列 车 错 误 冲 入 区 间 ， 最 终 导 致 惨 烈 追 尾 事故！ 工业控制系统安全解决方案 黑掉化工厂（漏洞化工处理框架） 黑掉化工厂，导致化工厂爆炸。 火车碰撞。 大面积停电。 工业控制系统安全解决方案 攻击击化工厂反应应釜的温度测测控 工业以太 网 温度变变送 器 阀阀门执门执行 器 RS-485总 线 网关 反应 釜 热电 偶 蒸汽

5、阀 门加热蒸 汽 攻击方法1：将恶 意 代 码 组 态 到 现 场 控 制站PLC中 ，篡改 通 过 以 太 网 传 输 的 现场总 线数据。 攻击设 备 攻击方法2：在现 场 总线 上偷挂攻击设 备 伪造现场总线 数 据。 现场现场控制站 PLC 工业控制系统安全解决方案 14 Symantec工控机安全防护产品 工业控制系统安全解决方案 DCS（数据中心安全）产品家族 DCS family DCS:Server Agentless Server Advanced SCSP Server Embedded CSP SCSP Client 业务系统安全防护生产终端安全防护 工业控制系统安全解决

6、方案 DCS功能合集 行为控制 系统控制网络保护 审计和告警 入侵检测（IDS） 入侵防护（IPS） 白名单 防范零日攻击 限制操作系统 行为 缓冲区溢出保 护 漏洞保护 锁定配置文件 的配置 强制安全策略 缩小使用权限 限制设备访问 vSphere保护 关闭后门 限制应用的网 络访问权 限 限制数据通信 检测，合并 ，转发日志 实时监 控文 件完整性 告警/提示 无代理的恶意软件访问（AV） 工业控制系统安全解决方案 可以有效控制恶意代码的传 播和感染，防护网络攻击 锁定系统运行环境和资源 开启系统资 源保护，防止 缓冲区溢出，进程注入， 内存注入等攻击 锁定专用终端的网络环 境 ，严格限制

7、网络通讯 只允许专 用终端应用与后 台特定服务器通讯 SCSP Client保障专用业务终端最小权限的安 全运行环境 专用业务 终端 锁定应用进程运行环境，严 格限制可运行的进程及资源 只允许专 用终端的应用进程 及其调用的系统进 程和资源 运行 进程间继 承关系智能检测识 别 支持所有专用终端设备 和系 统 集中管理专用终端安全防护 策略 统一监控专用终端系统日志 和安全事件，集中审计 和告 警 可以有效保护专 用终端的补 丁缺失，防护入侵和零日漏 洞攻击 可以满足跨平台，跨系统的集 中安全管理需求 可以有效控制恶意代码，非法 进程的执行和活动 应用环境锁定 系统环境锁定 策略统一管理 网络

8、环境锁定 工业控制系统安全解决方案 DCS的保护目标 工业控制系统安全解决方案 19 工控机安全项目案例-北京奔驰 工业控制系统安全解决方案 项目背景 用户名称 北京奔驰汽车有限公司 具备年产10万辆汽车的生产能力 是中国最先进的世界级汽车制造企业 用户环 境 生产线统 一采用西门子SINUMERIK工控系统 其核心组件PCU为基于windows XP系统的PC， 40GB硬盘，512M-2G内存 用户需求 工控系统安全性至关重要 PCU的病毒威胁防护亟待解决 工业控制系统安全解决方案 传统病毒防护方式存在的问题 工控机与后台系统通过专线连接，带宽资源紧张 防病毒软件需要频繁升级病毒特征库，无

9、法与互 联网隔离；操作系统补丁需要升级 工控机设备多为XP系统，硬件配置较低 防病毒软件对系统资源和带宽消耗极大，导致工 控机系统不稳定 部署 升级 不部署安全防护软件无法满足安全要求 日常运维时U盘的不规范使用引入更多安全威胁 ，工控机出现问题后只能依赖于GHOST系统恢复 威胁 防护 安全 运维 21工业控制系统安全解决方案 CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化， 除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行 系统锁定 CSP防护方案特点 另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能 进程防护 在网络层通过防火墙功能阻止网络攻击，限制无关主机

10、对工控机设备 的网络访问 网络隔离 策略一次下发，即可长期有效。如果后续业务软件没有变动，安全策 略不需要任何调整升级 零维护 工业控制系统安全解决方案 优势特点及效果 CSP完美 兼容所测 试的工控 机操作系 统 对现有的工控 机设备硬件资 源开销极小, CSP保持防护 状态时，不会 拖慢系统 极低的资源 占用 通过沙箱锁定 机制和文件访 问防护，CSP 可以根本上解 决恶意代码在 工控机设备上 的运行与扩散 防护效果系统兼容性 策略无需经常 调整，不需要 像防毒软件一 样升级，提供 方便的变更维 护机制 免维护 工业控制系统安全解决方案 24 结束语 工业控制系统安全解决方案 25 目前工控系统的安全基础存在先天不足 工控针对性恶意代码、APT和信息武器将越来 越多地攻击工控系统 25 传统的内外网物理隔离措施不能有效地保证工控 系统安全 提高工控系统安全性 工业控制系统安全解决方案 Thank you!Thank you! 26工业控制系统安全解决方案