工業(yè)控制系統(tǒng)安全解決方案PPT通用課件

1、1工業(yè)控制系統(tǒng)安全解決方案 工業(yè)控制系統(tǒng)安全解決方案工控機(jī)安全項(xiàng)目案例2工控系統(tǒng)中的安全薄弱點(diǎn)工業(yè)控制系統(tǒng)簡(jiǎn)介2Symantec工控機(jī)安全防護(hù)產(chǎn)品提 綱工業(yè)控制系統(tǒng)安全解決方案3工業(yè)控制系統(tǒng)簡(jiǎn)介工業(yè)控制系統(tǒng)安全解決方案工業(yè)控制系統(tǒng)應(yīng)用簡(jiǎn)介工業(yè)控制系統(tǒng)應(yīng)用簡(jiǎn)介 鋼鐵 化工 電力 紡織 食品 陶瓷 工業(yè)監(jiān)測(cè) 智能交通 環(huán)境監(jiān)測(cè) 家電控制 照明控制 暖通控制重工業(yè)輕工業(yè)物聯(lián)網(wǎng)智能家居工業(yè)控制系統(tǒng)安全解決方案集散控制系統(tǒng)集散控制系統(tǒng)（DCS）簡(jiǎn)介）簡(jiǎn)介 特點(diǎn)：工業(yè)以太網(wǎng)數(shù)字通信，現(xiàn)場(chǎng)儀表模擬通信。變變送器送器執(zhí)執(zhí)行器行器操操作站作站監(jiān)監(jiān)控計(jì)算機(jī)控計(jì)算機(jī)工業(yè)以太網(wǎng) 現(xiàn)場(chǎng)控制站現(xiàn)場(chǎng)控制站PLC420mA模

2、擬電流信號(hào)工業(yè)控制系統(tǒng)安全解決方案現(xiàn)場(chǎng)總線控制系統(tǒng)現(xiàn)場(chǎng)總線控制系統(tǒng)（FCS）簡(jiǎn)介）簡(jiǎn)介服服務(wù)器務(wù)器其其它工作站它工作站工業(yè)以太網(wǎng)監(jiān)監(jiān)控工作站控工作站現(xiàn)場(chǎng)總線智智能控制器能控制器 智智能變送器能變送器 智智能執(zhí)行器能執(zhí)行器 特點(diǎn)：工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)總線全數(shù)字通信工業(yè)控制系統(tǒng)安全解決方案前實(shí)際前實(shí)際的的DCS、FCS和現(xiàn)場(chǎng)總線應(yīng)用和現(xiàn)場(chǎng)總線應(yīng)用操操作員站作員站工工程師站程師站工業(yè)以太網(wǎng)現(xiàn)場(chǎng)控制站現(xiàn)場(chǎng)控制站PLC變變送器送器執(zhí)執(zhí)行器行器420mA模擬電流信號(hào)現(xiàn)場(chǎng)總線現(xiàn)場(chǎng)總線接口智能變送器 智能執(zhí)行器 工業(yè)控制系統(tǒng)安全解決方案8工控系統(tǒng)中的安全薄弱點(diǎn)工業(yè)控制系統(tǒng)安全解決方案震網(wǎng)震網(wǎng)（Stuxnet）蠕）

3、蠕蟲(chóng)蟲(chóng)攻擊伊朗核設(shè)施攻擊伊朗核設(shè)施 來(lái)自安天實(shí)驗(yàn)室對(duì)Stuxnet蠕蟲(chóng)攻擊工業(yè)控制系統(tǒng)事件的綜合報(bào)告 目標(biāo)：伊朗核電站提煉濃縮鈾的設(shè)施 目的：干擾濃縮鈾提取過(guò)程，降低成 品濃度 方法：滲透至工業(yè)內(nèi)網(wǎng)，利用工業(yè)控制系統(tǒng)的安全漏洞，改變相關(guān)設(shè)施的運(yùn)行參數(shù) 結(jié)果：成功！使伊朗核工業(yè)陷入停滯攻擊目標(biāo)為DCS中的西門(mén)子WinCC HMI組態(tài)軟件、STEP7組態(tài)軟件以及S7-300400系列PLC（某些型號(hào)），采用與攻擊滲透民用以太網(wǎng)相似的方法。工業(yè)控制系統(tǒng)安全解決方案攻攻擊擊DCS中的中的PLC先感染操作站等PC，在PLC組態(tài)時(shí)寫(xiě)入惡意代碼。操操作站作站監(jiān)監(jiān)控計(jì)算機(jī)控計(jì)算機(jī)工業(yè)以太網(wǎng)現(xiàn)場(chǎng)控制站現(xiàn)場(chǎng)控制站

4、PLC變變送器送器執(zhí)執(zhí)行器行器420mA模擬電流信號(hào)組態(tài)計(jì)算機(jī)操作站組態(tài)PLC時(shí)進(jìn)行攻擊專(zhuān)用組態(tài)計(jì)算機(jī) 組態(tài)PLC時(shí)進(jìn)行 攻擊工業(yè)控制系統(tǒng)安全解決方案723高鐵事故的啟示高鐵事故的啟示列 控 中 心 集 中 控 制 的 該 信 號(hào) 錯(cuò) 誤 變 成 綠燈，引起D301次列 車(chē) 錯(cuò) 誤 沖 入 區(qū) 間 ， 最 終 導(dǎo) 致 慘 烈 追 尾 事故！工業(yè)控制系統(tǒng)安全解決方案黑掉化工廠（黑掉化工廠（漏洞化工處理框架漏洞化工處理框架） 黑掉化工廠，導(dǎo)致化工廠爆炸。 火車(chē)碰撞。 大面積停電。工業(yè)控制系統(tǒng)安全解決方案攻擊化工廠反應(yīng)釜的溫度測(cè)控攻擊化工廠反應(yīng)釜的溫度測(cè)控工業(yè)以太網(wǎng)溫溫度變送器度變送器閥閥門(mén)執(zhí)行器門(mén)

5、執(zhí)行器RS-485總線網(wǎng)關(guān)網(wǎng)關(guān)反應(yīng)釜熱電偶蒸汽閥門(mén)加熱蒸汽攻擊方法1：將惡意 代 碼 組 態(tài) 到 現(xiàn) 場(chǎng) 控 制站PLC中，篡改 通 過(guò) 以 太 網(wǎng) 傳 輸 的 現(xiàn)場(chǎng)總線數(shù)據(jù)。攻擊設(shè)備攻擊方法2：在現(xiàn)場(chǎng)總線上偷掛攻擊設(shè)備 偽造現(xiàn)場(chǎng)總線數(shù)據(jù)?，F(xiàn)場(chǎng)控制站現(xiàn)場(chǎng)控制站PLC工業(yè)控制系統(tǒng)安全解決方案14Symantec工控機(jī)安全防護(hù)產(chǎn)品工業(yè)控制系統(tǒng)安全解決方案DCS（數(shù)據(jù)中心安全）產(chǎn)品家族（數(shù)據(jù)中心安全）產(chǎn)品家族DCS familyDCS:ServerAgentlessServer AdvancedSCSP ServerEmbedded CSPSCSP Client業(yè)務(wù)系統(tǒng)安全防護(hù)生產(chǎn)終端安全防護(hù)工業(yè)控

6、制系統(tǒng)安全解決方案DCS功能合集行為控制系統(tǒng)控制網(wǎng)絡(luò)保護(hù)審計(jì)和告警入侵檢測(cè)（入侵檢測(cè)（IDS）入侵防護(hù)（入侵防護(hù)（IPS） 白名單 防范零日攻擊 限制操作系統(tǒng)行為 緩沖區(qū)溢出保護(hù) 漏洞保護(hù) 鎖定配置文件的配置 強(qiáng)制安全策略 縮小使用權(quán)限 限制設(shè)備訪問(wèn) vSphere保護(hù) 關(guān)閉后門(mén) 限制應(yīng)用的網(wǎng)絡(luò)訪問(wèn)權(quán)限 限制數(shù)據(jù)通信 檢測(cè)，合并，轉(zhuǎn)發(fā)日志 實(shí)時(shí)監(jiān)控文件完整性 告警/提示無(wú)代理的惡意軟件訪問(wèn)（AV）工業(yè)控制系統(tǒng)安全解決方案可以有效控制惡意代碼的傳播和感染，防護(hù)網(wǎng)絡(luò)攻擊鎖定系統(tǒng)運(yùn)行環(huán)境和資源開(kāi)啟系統(tǒng)資源保護(hù)，防止緩沖區(qū)溢出，進(jìn)程注入，內(nèi)存注入等攻擊鎖定專(zhuān)用終端的網(wǎng)絡(luò)環(huán)境，嚴(yán)格限制網(wǎng)絡(luò)通訊只允許專(zhuān)用

7、終端應(yīng)用與后臺(tái)特定服務(wù)器通訊SCSP Client保障專(zhuān)用業(yè)務(wù)終端最小權(quán)限的安保障專(zhuān)用業(yè)務(wù)終端最小權(quán)限的安全運(yùn)行環(huán)境全運(yùn)行環(huán)境專(zhuān)用業(yè)務(wù)專(zhuān)用業(yè)務(wù)終端終端鎖定應(yīng)用進(jìn)程運(yùn)行環(huán)境，嚴(yán)格限制可運(yùn)行的進(jìn)程及資源只允許專(zhuān)用終端的應(yīng)用進(jìn)程及其調(diào)用的系統(tǒng)進(jìn)程和資源運(yùn)行進(jìn)程間繼承關(guān)系智能檢測(cè)識(shí)別支持所有專(zhuān)用終端設(shè)備和系統(tǒng)集中管理專(zhuān)用終端安全防護(hù)策略統(tǒng)一監(jiān)控專(zhuān)用終端系統(tǒng)日志和安全事件，集中審計(jì)和告警可以有效保護(hù)專(zhuān)用終端的補(bǔ)丁缺失，防護(hù)入侵和零日漏洞攻擊可以滿(mǎn)足跨平臺(tái)，跨系統(tǒng)的集中安全管理需求可以有效控制惡意代碼，非法進(jìn)程的執(zhí)行和活動(dòng)應(yīng)用環(huán)境鎖定系統(tǒng)環(huán)境鎖定 策略統(tǒng)一管理網(wǎng)絡(luò)環(huán)境鎖定工業(yè)控制系統(tǒng)安全解決方案DCS的保

8、護(hù)目標(biāo)工業(yè)控制系統(tǒng)安全解決方案19工控機(jī)安全項(xiàng)目案例-北京奔馳工業(yè)控制系統(tǒng)安全解決方案項(xiàng)目背景項(xiàng)目背景用戶(hù)名稱(chēng) 北京奔馳汽車(chē)有限公司 具備年產(chǎn)10萬(wàn)輛汽車(chē)的生產(chǎn)能力 是中國(guó)最先進(jìn)的世界級(jí)汽車(chē)制造企業(yè)用戶(hù)環(huán)境 生產(chǎn)線統(tǒng)一采用西門(mén)子SINUMERIK工控系統(tǒng) 其核心組件PCU為基于windows XP系統(tǒng)的PC，40GB硬盤(pán)，512M-2G內(nèi)存用戶(hù)需求 工控系統(tǒng)安全性至關(guān)重要 PCU的病毒威脅防護(hù)亟待解決工業(yè)控制系統(tǒng)安全解決方案?jìng)鹘y(tǒng)病毒防護(hù)方式存在的問(wèn)題 工控機(jī)與后臺(tái)系統(tǒng)通過(guò)專(zhuān)線連接，帶寬資源緊張 防病毒軟件需要頻繁升級(jí)病毒特征庫(kù)，無(wú)法與互聯(lián)網(wǎng)隔離；操作系統(tǒng)補(bǔ)丁需要升級(jí)部署升級(jí) 工控機(jī)設(shè)備多為XP

9、系統(tǒng)，硬件配置較低 防病毒軟件對(duì)系統(tǒng)資源和帶寬消耗極大，導(dǎo)致工控機(jī)系統(tǒng)不穩(wěn)定威脅防護(hù) 不部署安全防護(hù)軟件無(wú)法滿(mǎn)足安全要求 日常運(yùn)維時(shí)U盤(pán)的不規(guī)范使用引入更多安全威脅，工控機(jī)出現(xiàn)問(wèn)題后只能依賴(lài)于GHOST系統(tǒng)恢復(fù)安全運(yùn)維21工業(yè)控制系統(tǒng)安全解決方案CSP對(duì)工控機(jī)采用系統(tǒng)沙箱鎖定機(jī)制來(lái)對(duì)操作系統(tǒng)進(jìn)行固化，除操作系統(tǒng)正常運(yùn)行的核心程序以及業(yè)務(wù)軟件之外的程序都不可執(zhí)行系統(tǒng)鎖定CSPCSP防護(hù)方案特點(diǎn)防護(hù)方案特點(diǎn)另外SCSP還提供緩存溢出攻擊防護(hù)和線程注入攻擊防護(hù)的功能進(jìn)程防護(hù)在網(wǎng)絡(luò)層通過(guò)防火墻功能阻止網(wǎng)絡(luò)攻擊，限制無(wú)關(guān)主機(jī)對(duì)工控機(jī)設(shè)備的網(wǎng)絡(luò)訪問(wèn)網(wǎng)絡(luò)隔離策略一次下發(fā)，即可長(zhǎng)期有效。如果后續(xù)業(yè)務(wù)軟件沒(méi)有變動(dòng)，安全策略不需要任何調(diào)整升級(jí)零維護(hù)工業(yè)控制系統(tǒng)安全解決方案 優(yōu)勢(shì)特點(diǎn)及效果CSP完美兼容所測(cè)試的工控機(jī)操作系統(tǒng)對(duì)現(xiàn)有的工控機(jī)設(shè)備硬件資源開(kāi)