工业控制系统安全解决方案 PPT.pptVIP

前实际的DCS、FCS和现场总线应用 操作员站 工程师站 工业以太网 现场控制站／PLC 变送器 执行器 …… 4—20mA模拟电流信号 …… 现场总线 现场总线接口 智能变送器 …… 智能执行器 …… 工业控制系统安全解决方案 * 工控系统中的安全薄弱点 工业控制系统安全解决方案 震网（Stuxnet）蠕虫攻击伊朗核设施 来自安天实验室《对Stuxnet蠕虫攻击工业控制系统事件 的综合报告》 目标：伊朗核电站提炼浓缩铀的设施 目的：干扰浓缩铀提取过程，降低成 品浓度 方法：渗透至工业内网，利用工业控制系统的安全漏洞，改变相关设施的运行参数 结果：成功！使伊朗核工业陷入停滞 攻击目标为DCS中的西门子WinCC HMI／组态软件、STEP7组态软件以及S7-300／400系列PLC（某些型号），采用与攻击渗透民用以太网相似的方法。 工业控制系统安全解决方案 攻击DCS中的PLC 先感染操作站等PC，在PLC组态时写入恶意代码。 操作站 监控计算机 工业以太网 现场控制站／PLC 变送器 执行器 …… …… 4—20mA模拟电流信号 组态计算机 操作站组态PLC 时进行攻击 专用组态计算机 组态PLC时进行 攻击 工业控制系统安全解决方案 7·23高铁事故的启示 列 控 中 心 集 中 控 制 的 该 信 号 错 误 变 成 绿灯，引起D301次 列 车 错 误 冲 入 区 间 ， 最 终 导 致 惨 烈 追 尾 事故！ 工业控制系统安全解决方案 黑掉化工厂（漏洞化工处理框架） ? 黑掉化工厂，导致化工厂爆炸。 ? 火车碰撞。 ? 大面积停电。 工业控制系统安全解决方案 攻击化工厂反应釜的温度测控 工业以太网 温度变送器 阀门执行器 RS-485总线 网关 反应釜 热电偶 蒸汽阀门 加热蒸汽 攻击方法1：将恶意 代 码 组 态 到 现 场 控 制站／PLC中，篡改 通 过 以 太 网 传 输 的 现场总线数据。 攻击设备 攻击方法2：在现场 总线上偷挂攻击设备 伪造现场总线数据。 现场控制站／PLC 工业控制系统安全解决方案 * Symantec工控机安全防护产品 工业控制系统安全解决方案 DCS（数据中心安全）产品家族 业务系统安全防护 生产终端安全防护 工业控制系统安全解决方案 DCS功能合集 行为控制 系统控制 入侵检测（IDS） 入侵防护（IPS） 白名单 防范零日攻击 限制操作系统行为 缓冲区溢出保护 漏洞保护 锁定配置文件的配置 强制安全策略 缩小使用权限 限制设备访问 vSphere保护 关闭后门 限制应用的网络访问权限 限制数据通信 检测，合并，转发日志 实时监控文件完整性 告警/提示 无代理的恶意软件访问（AV） 工业控制系统安全解决方案 可以有效控制恶意代码的传播和感染，防护网络攻击 锁定系统运行环境和资源 开启系统资源保护，防止缓冲区溢出，进程注入，内存注入等攻击 锁定专用终端的网络环境，严格限制网络通讯 只允许专用终端应用与后台特定服务器通讯 SCSP Client保障专用业务终端最小权限的安全运行环境 专用业务 终端 锁定应用进程运行环境，严格限制可运行的进程及资源 只允许专用终端的应用进程及其调用的系统进程和资源运行 进程间继承关系智能检测识别 支持所有专用终端设备和系统 集中管理专用终端安全防护策略 统一监控专用终端系统日志和安全事件，集中审计和告警 可以有效保护专用终端的补丁缺失，防护入侵和零日漏洞攻击 可以满足跨平台，跨系统的集中安全管理需求 可以有效控制恶意代码，非法进程的执行和活动 应用环境锁定 系统环境锁定 策略统一管理 网络环境锁定 工业控制系统安全解决方案 DCS的保护目标 工业控制系统安全解决方案 * 工控机安全项目案例-北京奔驰 工业控制系统安全解决方案 华润电力虚拟化安全防护案例 华润电力虚拟化安全防护案例 Thank you! Thank you! * * 工业以太网技术具有价格低廉、稳定可靠、通信速率高、软硬件产品丰富、应用广泛以及支持技术成熟等优点 今天的控制系统和工厂自动化系统，以太网的应用几乎已经和PLC一样普及。但现场工程师们对以太网的了解，大多来自他们对传统商业以太网的认识。很多控制系统工程的实施甚至是直接让IT部门的技术人员来实施。但是，IT工程师们对于以太网的了解，往往局限于办公自动化商业以太网的实施经验，可能导致工业以太网在工业控制系统中实施的简单化和商业化，不能真正理解工业以太网在工业现场的意义，也无法真正利用工业以太网内在的特殊功能，常常造成工业以太网现场实施的不彻底，给整个控制系统留下不稳定因素。 * 组态：在窗口环境内，进行对象的定义、制作和编辑，并设定其状态特征（属性）参数，将此项工