安全加固第三步部署工控运维审计平台-2017工业控制系统.pptVIP

电力工控安全入侵检测节点及电力工控安全入侵检测系统 电力工控安全入侵检测系统 工控协议 深度解析 DOS洪水 攻击防护 IP/MAC 访问控制 RTU/PLC 漏洞防护 网络流量 异常监测 关键操作 日志记录 智能学习 控制指令 可视化 实时监控 电力工控安全入侵检测节点 电力工控安全入侵检测节点及电力工控安全入侵检测系统 解决的安全隐患 36号文要求 安全隐患 电力工控安全入侵检测节点及系统 5综合安全防护： 5.2安全加固 开放对外运维接口，带来安全隐患 5综合安全防护： 5.2安全加固 系统极少升级，易受病毒攻击感染 5综合安全防护： 5.1入侵检测 系统缺乏监测手段，无法感知未知设备 5综合安全防护： 5.1入侵检测； 5.7恶意代码防范；5.8漏洞整改 工控设备存在诸多漏洞，PLC/DCS安全隐患突出 5综合安全防护： 5.3身份鉴别，访问权限控制； 5.4操作行为安全审计，抗抵赖，安全审计 执行服务器操作，缺乏系统审计 5综合安全防护： 5.3身份鉴别，访问权限控制； 5.4操作行为安全审计，抗抵赖，安全审计 执行关键操作，缺乏日志记录 2基本原则： 2.1安全分区；2.2网络专用；2.3横向隔离；2.4纵向加密； 4边界安全防护 网络流量异常，导致设备工作异常 安全加固第二步：主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 电力工控安全入侵检测系统 电力工控安全入侵检测节点 电力工控安全入侵检测节点 电力工控安全入侵检测节点 主机加固 彻底杜绝 病毒木马 微软签名 国密算法 重点目录 监测 程序动态库 驱动检测 注册表 保护 运行动态 监测 外设及网络 检测 远程报警 中心联动 主机加固 主机加固 解决的安全隐患 36号文要求 安全隐患 电力工控安全入侵检测节点及系统 主机加固 5综合安全防护： 5.2安全加固 开放对外运维接口，带来安全隐患 5综合安全防护： 5.2安全加固 系统极少升级，易受病毒攻击感染 5综合安全防护： 5.1入侵检测 系统缺乏监测手段，无法感知未知设备 5综合安全防护： 5.1入侵检测； 5.7恶意代码防范；5.8漏洞整改 工控设备存在诸多漏洞，PLC/DCS安全隐患突出 5综合安全防护： 5.3身份鉴别，访问权限控制； 5.4操作行为安全审计，抗抵赖，安全审计 执行服务器操作，缺乏系统审计 5综合安全防护： 5.3身份鉴别，访问权限控制； 5.4操作行为安全审计，抗抵赖，安全审计 执行关键操作，缺乏日志记录 2基本原则： 2.1安全分区；2.2网络专用；2.3横向隔离；2.4纵向加密； 4边界安全防护 网络流量异常，导致设备工作异常 安全加固第三步：部署工控运维审计平台 工控运维审计平台 电力工控安全入侵检测系统 电力工控安全入侵检测节点 电力工控安全入侵检测节点 电力工控安全入侵检测节点 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 主机加固 * * 眼见为实 工控网络七大安全隐患和解决方案 工控系统普遍存在的七大安全隐患 6.执行关键操作，缺乏日志记录 5.执行服务器操作，缺乏系统审计 4.工控设备存在诸多漏洞，RTU/PLC安全隐患突出 3.系统缺乏监测手段，无法感知未知设备 2.系统极少升级，易受病毒攻击感染 1.开放对外接口，带来安全隐患 7.网络流量异常，导致设备工作异常 ! ! ! ! ! ! ! 工控系统网络拓扑图（以发电厂为例） 1.开放对外接口，带来安全隐患 外来接入设备 外来接入设备： 1、供应商远程维护 2、工程师远程操作 3、数据远程传输 4、…… 国能安全【2015】36号文件 5、综合安全防护： 5.2厂级关键监控应用系统服务器，应该使用安全加固的操作系统。 非控制区的安全设备应当进行身份鉴别、权限控制等安全配置加固。 1.开放对外接口，带来安全隐患 2.系统极少升级，易受病毒攻击感染 病毒入侵途径： 1、远程维护外来接入设备 2、本地维护外来接入设备 3、移动媒质 4、钓鱼软件 5、…… 国能安全【2015】36号文件 5、综合安全防护： 5.2安全加固：采用专用软件强化操作系统访问控制能力及配置安全的应用程序，其中配置的更改和补丁安装应当经过测试。 2.系统极少升级，易受病毒攻击感染 3.系统缺乏监测手段，无法感知未知设备 遗忘设备 恶意设备 未知设备来源： 1、新旧系统交替 2、来自内部的破坏 3、系统设备管理失误 4、…… 国能安全【2015】36号文件 5、综合安全防护： 5.1入侵检测：合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。 3.系统缺乏监测手段，无法感知未知设备 4.工控设备存在诸多漏洞，RTU/PLC安全隐患突出 工控设