工業(yè)控制系統(tǒng)安全解決方案PPT通用課件

1、1工業(yè)控制系統(tǒng)安全解決方案 工業(yè)控制系統(tǒng)安全解決方案工控機安全項目案例2工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)簡介2Symantec工控機安全防護產品提 綱工業(yè)控制系統(tǒng)安全解決方案3工業(yè)控制系統(tǒng)簡介工業(yè)控制系統(tǒng)安全解決方案工業(yè)控制系統(tǒng)應用簡介工業(yè)控制系統(tǒng)應用簡介 鋼鐵 化工 電力 紡織 食品 陶瓷 工業(yè)監(jiān)測 智能交通 環(huán)境監(jiān)測 家電控制 照明控制 暖通控制重工業(yè)輕工業(yè)物聯(lián)網智能家居工業(yè)控制系統(tǒng)安全解決方案集散控制系統(tǒng)集散控制系統(tǒng)（DCS）簡介）簡介 特點：工業(yè)以太網數(shù)字通信，現(xiàn)場儀表模擬通信。變變送器送器執(zhí)執(zhí)行器行器操操作站作站監(jiān)監(jiān)控計算機控計算機工業(yè)以太網 現(xiàn)場控制站現(xiàn)場控制站PLC420mA模

2、擬電流信號工業(yè)控制系統(tǒng)安全解決方案現(xiàn)場總線控制系統(tǒng)現(xiàn)場總線控制系統(tǒng)（FCS）簡介）簡介服服務器務器其其它工作站它工作站工業(yè)以太網監(jiān)監(jiān)控工作站控工作站現(xiàn)場總線智智能控制器能控制器 智智能變送器能變送器 智智能執(zhí)行器能執(zhí)行器 特點：工業(yè)以太網和現(xiàn)場總線全數(shù)字通信工業(yè)控制系統(tǒng)安全解決方案前實際前實際的的DCS、FCS和現(xiàn)場總線應用和現(xiàn)場總線應用操操作員站作員站工工程師站程師站工業(yè)以太網現(xiàn)場控制站現(xiàn)場控制站PLC變變送器送器執(zhí)執(zhí)行器行器420mA模擬電流信號現(xiàn)場總線現(xiàn)場總線接口智能變送器 智能執(zhí)行器 工業(yè)控制系統(tǒng)安全解決方案8工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)安全解決方案震網震網（Stuxnet）蠕）

3、蠕蟲蟲攻擊伊朗核設施攻擊伊朗核設施 來自安天實驗室對Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合報告 目標：伊朗核電站提煉濃縮鈾的設施 目的：干擾濃縮鈾提取過程，降低成 品濃度 方法：滲透至工業(yè)內網，利用工業(yè)控制系統(tǒng)的安全漏洞，改變相關設施的運行參數(shù) 結果：成功！使伊朗核工業(yè)陷入停滯攻擊目標為DCS中的西門子WinCC HMI組態(tài)軟件、STEP7組態(tài)軟件以及S7-300400系列PLC（某些型號），采用與攻擊滲透民用以太網相似的方法。工業(yè)控制系統(tǒng)安全解決方案攻攻擊擊DCS中的中的PLC先感染操作站等PC，在PLC組態(tài)時寫入惡意代碼。操操作站作站監(jiān)監(jiān)控計算機控計算機工業(yè)以太網現(xiàn)場控制站現(xiàn)場控制站

4、PLC變變送器送器執(zhí)執(zhí)行器行器420mA模擬電流信號組態(tài)計算機操作站組態(tài)PLC時進行攻擊專用組態(tài)計算機 組態(tài)PLC時進行 攻擊工業(yè)控制系統(tǒng)安全解決方案723高鐵事故的啟示高鐵事故的啟示列 控 中 心 集 中 控 制 的 該 信 號 錯 誤 變 成 綠燈，引起D301次列 車 錯 誤 沖 入 區(qū) 間 ， 最 終 導 致 慘 烈 追 尾 事故！工業(yè)控制系統(tǒng)安全解決方案黑掉化工廠（黑掉化工廠（漏洞化工處理框架漏洞化工處理框架） 黑掉化工廠，導致化工廠爆炸。 火車碰撞。 大面積停電。工業(yè)控制系統(tǒng)安全解決方案攻擊化工廠反應釜的溫度測控攻擊化工廠反應釜的溫度測控工業(yè)以太網溫溫度變送器度變送器閥閥門執(zhí)行器門

5、執(zhí)行器RS-485總線網關網關反應釜熱電偶蒸汽閥門加熱蒸汽攻擊方法1：將惡意 代 碼 組 態(tài) 到 現(xiàn) 場 控 制站PLC中，篡改 通 過 以 太 網 傳 輸 的 現(xiàn)場總線數(shù)據。攻擊設備攻擊方法2：在現(xiàn)場總線上偷掛攻擊設備 偽造現(xiàn)場總線數(shù)據?，F(xiàn)場控制站現(xiàn)場控制站PLC工業(yè)控制系統(tǒng)安全解決方案14Symantec工控機安全防護產品工業(yè)控制系統(tǒng)安全解決方案DCS（數(shù)據中心安全）產品家族（數(shù)據中心安全）產品家族DCS familyDCS:ServerAgentlessServer AdvancedSCSP ServerEmbedded CSPSCSP Client業(yè)務系統(tǒng)安全防護生產終端安全防護工業(yè)控

6、制系統(tǒng)安全解決方案DCS功能合集行為控制系統(tǒng)控制網絡保護審計和告警入侵檢測（入侵檢測（IDS）入侵防護（入侵防護（IPS） 白名單 防范零日攻擊 限制操作系統(tǒng)行為 緩沖區(qū)溢出保護 漏洞保護 鎖定配置文件的配置 強制安全策略 縮小使用權限 限制設備訪問 vSphere保護 關閉后門 限制應用的網絡訪問權限 限制數(shù)據通信 檢測，合并，轉發(fā)日志 實時監(jiān)控文件完整性 告警/提示無代理的惡意軟件訪問（AV）工業(yè)控制系統(tǒng)安全解決方案可以有效控制惡意代碼的傳播和感染，防護網絡攻擊鎖定系統(tǒng)運行環(huán)境和資源開啟系統(tǒng)資源保護，防止緩沖區(qū)溢出，進程注入，內存注入等攻擊鎖定專用終端的網絡環(huán)境，嚴格限制網絡通訊只允許專用

7、終端應用與后臺特定服務器通訊SCSP Client保障專用業(yè)務終端最小權限的安保障專用業(yè)務終端最小權限的安全運行環(huán)境全運行環(huán)境專用業(yè)務專用業(yè)務終端終端鎖定應用進程運行環(huán)境，嚴格限制可運行的進程及資源只允許專用終端的應用進程及其調用的系統(tǒng)進程和資源運行進程間繼承關系智能檢測識別支持所有專用終端設備和系統(tǒng)集中管理專用終端安全防護策略統(tǒng)一監(jiān)控專用終端系統(tǒng)日志和安全事件，集中審計和告警可以有效保護專用終端的補丁缺失，防護入侵和零日漏洞攻擊可以滿足跨平臺，跨系統(tǒng)的集中安全管理需求可以有效控制惡意代碼，非法進程的執(zhí)行和活動應用環(huán)境鎖定系統(tǒng)環(huán)境鎖定 策略統(tǒng)一管理網絡環(huán)境鎖定工業(yè)控制系統(tǒng)安全解決方案DCS的保

8、護目標工業(yè)控制系統(tǒng)安全解決方案19工控機安全項目案例-北京奔馳工業(yè)控制系統(tǒng)安全解決方案項目背景項目背景用戶名稱 北京奔馳汽車有限公司 具備年產10萬輛汽車的生產能力 是中國最先進的世界級汽車制造企業(yè)用戶環(huán)境 生產線統(tǒng)一采用西門子SINUMERIK工控系統(tǒng) 其核心組件PCU為基于windows XP系統(tǒng)的PC，40GB硬盤，512M-2G內存用戶需求 工控系統(tǒng)安全性至關重要 PCU的病毒威脅防護亟待解決工業(yè)控制系統(tǒng)安全解決方案傳統(tǒng)病毒防護方式存在的問題 工控機與后臺系統(tǒng)通過專線連接，帶寬資源緊張 防病毒軟件需要頻繁升級病毒特征庫，無法與互聯(lián)網隔離；操作系統(tǒng)補丁需要升級部署升級 工控機設備多為XP

9、系統(tǒng)，硬件配置較低 防病毒軟件對系統(tǒng)資源和帶寬消耗極大，導致工控機系統(tǒng)不穩(wěn)定威脅防護 不部署安全防護軟件無法滿足安全要求 日常運維時U盤的不規(guī)范使用引入更多安全威脅，工控機出現(xiàn)問題后只能依賴于GHOST系統(tǒng)恢復安全運維21工業(yè)控制系統(tǒng)安全解決方案CSP對工控機采用系統(tǒng)沙箱鎖定機制來對操作系統(tǒng)進行固化，除操作系統(tǒng)正常運行的核心程序以及業(yè)務軟件之外的程序都不可執(zhí)行系統(tǒng)鎖定CSPCSP防護方案特點防護方案特點另外SCSP還提供緩存溢出攻擊防護和線程注入攻擊防護的功能進程防護在網絡層通過防火墻功能阻止網絡攻擊，限制無關主機對工控機設備的網絡訪問網絡隔離策略一次下發(fā)，即可長期有效。如果后續(xù)業(yè)務軟件沒有變動，安全策略不需要任何調整升級零維護工業(yè)控制系統(tǒng)安全解決方案 優(yōu)勢特點及效果CSP完美兼容所測試的工控機操作系統(tǒng)對現(xiàn)有的工控機設備硬件資源開