工業(yè)控制系統(tǒng)安全解決方案_第1頁
工業(yè)控制系統(tǒng)安全解決方案_第2頁
工業(yè)控制系統(tǒng)安全解決方案_第3頁
工業(yè)控制系統(tǒng)安全解決方案_第4頁
工業(yè)控制系統(tǒng)安全解決方案_第5頁
已閱讀5頁,還剩22頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

工業(yè)控制系統(tǒng)安全解決方案第一頁,共27頁。工控機(jī)安全項(xiàng)目案例工控系統(tǒng)中的安全薄弱點(diǎn)工業(yè)控制系統(tǒng)簡(jiǎn)介2Symantec工控機(jī)安全防護(hù)產(chǎn)品提綱工業(yè)控制系統(tǒng)安全解決方案2第二頁,共27頁。工業(yè)控制系統(tǒng)簡(jiǎn)介工業(yè)控制系統(tǒng)安全解決方案3第三頁,共27頁。工業(yè)控制系統(tǒng)應(yīng)用簡(jiǎn)介工業(yè)控制系統(tǒng)安全解決方案第四頁,共27頁。集散控制系統(tǒng)(DCS)簡(jiǎn)介

特點(diǎn):工業(yè)以太網(wǎng)數(shù)字通信,現(xiàn)場(chǎng)儀表模擬通信。變送器執(zhí)行器…………操作站 監(jiān)控計(jì)算機(jī)工業(yè)以太網(wǎng)

現(xiàn)場(chǎng)控制站/PLC4—20mA模擬電流信號(hào)工業(yè)控制系統(tǒng)安全解決方案第五頁,共27頁。現(xiàn)場(chǎng)總線控制系統(tǒng)(FCS)簡(jiǎn)介服務(wù)器 其它工作站工業(yè)以太網(wǎng)監(jiān)控工作站現(xiàn)場(chǎng)總線智能控制器…… 智能變送器

…… 智能執(zhí)行器

……特點(diǎn):工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)總線全數(shù)字通信工業(yè)控制系統(tǒng)安全解決方案第六頁,共27頁。前實(shí)際的DCS、FCS和現(xiàn)場(chǎng)總線應(yīng)用操作員站 工程師站工業(yè)以太網(wǎng)現(xiàn)場(chǎng)控制站/PLC變送器執(zhí)行器……4—20mA模擬電流信號(hào)……現(xiàn)場(chǎng)總線現(xiàn)場(chǎng)總線接口智能變送器……智能執(zhí)行器

……工業(yè)控制系統(tǒng)安全解決方案第七頁,共27頁。工控系統(tǒng)中的安全薄弱點(diǎn)工業(yè)控制系統(tǒng)安全解決方案8第八頁,共27頁。震網(wǎng)(Stuxnet)蠕蟲攻擊伊朗核設(shè)施 來自安天實(shí)驗(yàn)室《對(duì)Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合報(bào)告》目標(biāo):伊朗核電站提煉濃縮鈾的設(shè)施目的:干擾濃縮鈾提取過程,降低成

品濃度方法:滲透至工業(yè)內(nèi)網(wǎng),利用工業(yè)控制系統(tǒng)的安全漏洞,改變相關(guān)設(shè)施的運(yùn)行參數(shù)結(jié)果:成功!使伊朗核工業(yè)陷入停滯攻擊目標(biāo)為DCS中的西門子WinCCHMI/組態(tài)軟件、STEP7組態(tài)軟件以及S7-300/400系列PLC(某些型號(hào)),采用與攻擊滲透民用以太網(wǎng)相似的方法。工業(yè)控制系統(tǒng)安全解決方案第九頁,共27頁。攻擊DCS中的PLC先感染操作站等PC,在PLC組態(tài)時(shí)寫入惡意代碼。操作站 監(jiān)控計(jì)算機(jī)工業(yè)以太網(wǎng)現(xiàn)場(chǎng)控制站/PLC變送器執(zhí)行器…………4—20mA模擬電流信號(hào)組態(tài)計(jì)算機(jī)操作站組態(tài)PLC時(shí)進(jìn)行攻擊專用組態(tài)計(jì)算機(jī)組態(tài)PLC時(shí)進(jìn)行攻擊工業(yè)控制系統(tǒng)安全解決方案第十頁,共27頁。7·23高鐵事故的啟示列

控中心集

制的該信號(hào)

錯(cuò)

變成綠燈,引起D301次列車

錯(cuò)

沖入?yún)^(qū)間

,最

導(dǎo)致慘烈

尾事故!工業(yè)控制系統(tǒng)安全解決方案第十一頁,共27頁。黑掉化工廠(漏洞化工處理框架)

黑掉化工廠,導(dǎo)致化工廠爆炸。

火車碰撞。

大面積停電。工業(yè)控制系統(tǒng)安全解決方案第十二頁,共27頁。攻擊化工廠反應(yīng)釜的溫度測(cè)控工業(yè)以太網(wǎng)溫度變送器閥門執(zhí)行器RS-485總線網(wǎng)關(guān)反應(yīng)釜熱電偶蒸汽閥門加熱蒸汽攻擊方法1:將惡意代

態(tài)到

現(xiàn)場(chǎng)控制站/PLC中,篡改通

過以

網(wǎng)傳輸?shù)默F(xiàn)場(chǎng)總線數(shù)據(jù)。攻擊設(shè)備攻擊方法2:在現(xiàn)場(chǎng)總線上偷掛攻擊設(shè)備偽造現(xiàn)場(chǎng)總線數(shù)據(jù)。現(xiàn)場(chǎng)控制站/PLC工業(yè)控制系統(tǒng)安全解決方案第十三頁,共27頁。Symantec工控機(jī)安全防護(hù)產(chǎn)品工業(yè)控制系統(tǒng)安全解決方案14第十四頁,共27頁。DCS(數(shù)據(jù)中心安全)產(chǎn)品家族業(yè)務(wù)系統(tǒng)安全防護(hù)生產(chǎn)終端安全防護(hù)工業(yè)控制系統(tǒng)安全解決方案第十五頁,共27頁。DCS功能合集行為控制系統(tǒng)控制網(wǎng)絡(luò)保護(hù)審計(jì)和告警入侵檢測(cè)(IDS)入侵防護(hù)(IPS)白名單防范零日攻擊限制操作系統(tǒng)行為緩沖區(qū)溢出保護(hù)漏洞保護(hù)鎖定配置文件的配置強(qiáng)制安全策略縮小使用權(quán)限限制設(shè)備訪問vSphere保護(hù)關(guān)閉后門限制應(yīng)用的網(wǎng)絡(luò)訪問權(quán)限限制數(shù)據(jù)通信檢測(cè),合并,轉(zhuǎn)發(fā)日志實(shí)時(shí)監(jiān)控文件完整性告警/提示無代理的惡意軟件訪問(AV)工業(yè)控制系統(tǒng)安全解決方案第十六頁,共27頁??梢杂行Э刂茞阂獯a的傳播和感染,防護(hù)網(wǎng)絡(luò)攻擊鎖定系統(tǒng)運(yùn)行環(huán)境和資源開啟系統(tǒng)資源保護(hù),防止緩沖區(qū)溢出,進(jìn)程注入,內(nèi)存注入等攻擊鎖定專用終端的網(wǎng)絡(luò)環(huán)境,嚴(yán)格限制網(wǎng)絡(luò)通訊只允許專用終端應(yīng)用與后臺(tái)特定服務(wù)器通訊SCSPClient保障專用業(yè)務(wù)終端最小權(quán)限的安全運(yùn)行環(huán)境專用業(yè)務(wù)終端鎖定應(yīng)用進(jìn)程運(yùn)行環(huán)境,嚴(yán)格限制可運(yùn)行的進(jìn)程及資源只允許專用終端的應(yīng)用進(jìn)程及其調(diào)用的系統(tǒng)進(jìn)程和資源運(yùn)行進(jìn)程間繼承關(guān)系智能檢測(cè)識(shí)別支持所有專用終端設(shè)備和系統(tǒng)集中管理專用終端安全防護(hù)策略統(tǒng)一監(jiān)控專用終端系統(tǒng)日志和安全事件,集中審計(jì)和告警可以有效保護(hù)專用終端的補(bǔ)丁缺失,防護(hù)入侵和零日漏洞攻擊可以滿足跨平臺(tái),跨系統(tǒng)的集中安全管理需求可以有效控制惡意代碼,非法進(jìn)程的執(zhí)行和活動(dòng)應(yīng)用環(huán)境鎖定系統(tǒng)環(huán)境鎖定策略統(tǒng)一管理網(wǎng)絡(luò)環(huán)境鎖定工業(yè)控制系統(tǒng)安全解決方案第十七頁,共27頁。DCS的保護(hù)目標(biāo)工業(yè)控制系統(tǒng)安全解決方案第十八頁,共27頁。工控機(jī)安全項(xiàng)目案例-北京奔馳工業(yè)控制系統(tǒng)安全解決方案19第十九頁,共27頁。項(xiàng)目背景工業(yè)控制系統(tǒng)安全解決方案第二十頁,共27頁。傳統(tǒng)病毒防護(hù)方式存在的問題工業(yè)控制系統(tǒng)安全解決方案21第二十一頁,共27頁。CSP對(duì)工控機(jī)采用系統(tǒng)沙箱鎖定機(jī)制來對(duì)操作系統(tǒng)進(jìn)行固化,除操作系統(tǒng)正常運(yùn)行的核心程序以及業(yè)務(wù)軟件之外的程序都不可執(zhí)行系統(tǒng)鎖定CSP防護(hù)方案特點(diǎn)另外SCSP還提供緩存溢出攻擊防護(hù)和線程注入攻擊防護(hù)的功能進(jìn)程防護(hù)在網(wǎng)絡(luò)層通過防火墻功能阻止網(wǎng)絡(luò)攻擊,限制無關(guān)主機(jī)對(duì)工控機(jī)設(shè)備的網(wǎng)絡(luò)訪問網(wǎng)絡(luò)隔離策略一次下發(fā),即可長(zhǎng)期有效。如果后續(xù)業(yè)務(wù)軟件沒有變動(dòng),安全策略不需要任何調(diào)整升級(jí)零維護(hù)工業(yè)控制系統(tǒng)安全解決方案第二十二頁,共27頁。

優(yōu)勢(shì)特點(diǎn)及效果CSP完美兼容所測(cè)試的工控機(jī)操作系統(tǒng)對(duì)現(xiàn)有的工控機(jī)設(shè)備硬件資源開銷極小,CSP保持防護(hù)狀態(tài)時(shí),不會(huì)拖慢系統(tǒng)極低的資源占用通過沙箱鎖定機(jī)制和文件訪問防護(hù),CSP可以根本上解決惡意代碼在工控機(jī)設(shè)備上的運(yùn)行與擴(kuò)散防護(hù)效果系統(tǒng)兼容性策略無需經(jīng)常調(diào)整,不需要像防毒軟件一樣升級(jí),提供方便的變更維護(hù)機(jī)制免維護(hù)工業(yè)控制系統(tǒng)安全解決方案第二十三頁,共27頁。結(jié)束語工業(yè)控制系統(tǒng)安全解決方案24第二十四頁,共27頁。目前工控系統(tǒng)的安全基礎(chǔ)存在先天不足工

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論