工业控制系统安全解决方案

Click to add title two-line title wraps upward,Click to add text,Second level,Third level,Fourth level,Fifth level,Presentation Identifier Goes Here,*,工业控制系统安全解决方案,工业控制系统安全解决方案,1,工控机安全项目案例,工控系统中的安全薄弱点,工业控制系统简介,2,Symantec,工控机安全防护产品,提 纲,工业控制系统安全解决方案,2,工业控制系统简介,工业控制系统安全解决方案,3,工业控制系统应用简介,工业控制系统安全解决方案,集散控制系统（DCS）简介,特点：工业以太网数字通信，现场仪表模拟通信。,变送器,执行器,操作站监控计算机,工业以太网,现场控制站,PLC,420mA,模拟电流信号,工业控制系统安全解决方案,现场总线控制系统（FCS）简介,服务器其它工作站,工业以太网,监控工作站,现场总线,智能控制器,智能变送器,智能执行器,特点：工业以太网和现场总线全数字通信,工业控制系统安全解决方案,前实际的DCS、FCS和现场总线应用,操作员站工程师站,工业以太网,现场控制站,PLC,变送器,执行器,420mA,模拟电流信号,现场总线,现场总线接口,智能变送器,智能执行器,工业控制系统安全解决方案,工控系统中的安全薄弱点,工业控制系统安全解决方案,8,震网（Stuxnet）蠕虫攻击伊朗核设施,来自安天实验室对Stuxnet蠕虫攻击工业控制系统事件,的综合报告,目标：伊朗核电站提炼浓缩铀的设施,目的：干扰浓缩铀提取过程，降低成,品浓度,方法：渗透至工业内网，利用工业控制系统的安全漏洞，改变相关设施的运行参数,结果：成功！使伊朗核工业陷入停滞,攻击目标为,DCS,中的西门子,WinCC,HMI组态软件、STEP,7,组态软件以及,S7,-,30,0,4,0,0,系列,PLC,（某些型,号），采用,与,攻击渗透民用以太网相似的方法。,工业控制系统安全解决方案,攻击,DCS,中的,PLC,先感染操作站等PC，在PLC组态时写入恶意代码。,操作站监控计算机,工业以太网,现场控制站,PLC,变送器,执行器,420mA,模拟电流信号,组态计算机,操作站组态,PLC,时进行攻击,专用组态计算机 组态,PLC,时进行 攻击,工业控制系统安全解决方案,7,23,高铁事故的启示,列 控 中 心 集 中 控 制 的 该 信 号 错 误 变 成 绿灯，引起D301次,列 车 错 误 冲 入 区 间，最 终 导 致 惨 烈 追 尾 事故！,工业控制系统安全解决方案,黑掉化工厂（,漏洞化工处理框架,）,黑掉化工厂，导致化工厂爆炸。,火车碰撞。,大面积停电。,工业控制系统安全解决方案,攻击化工厂反应釜的温度测控,工业以太网,温度变送器,阀门执行器,RS-485,总线,网关,反应釜,热电偶,蒸汽阀门,加热蒸汽,攻击方法1：将恶意 代 码 组 态 到 现 场 控 制站PLC中，篡改 通 过 以 太 网 传 输 的 现场总线数据。,攻击设备,攻击方法2：在现场,总线上偷挂攻击设备 伪造现场总线数据。,现场控制站,PLC,工业控制系统安全解决方案,Symantec,工控机安全防护产品,工业控制系统安全解决方案,14,DCS,（数据中心安全）产品家族,业务系统安全防护,生产终端安全防护,工业控制系统安全解决方案,DCS,功能合集,行为控制,系统控制,网络保护,审计和告警,入侵检测（,IDS,）,入侵防护（,IPS,）,白名单,防范零日攻击,限制操作系统行为,缓冲区溢出保护,漏洞保护,锁定配置文件的配置,强制安全策略,缩小使用权限,限制设备访问,vSphere,保护,关闭后门,限制应用的网络访问权限,限制数据通信,检测,，,合并，转发日志,实时监控文件完整性,告警,/,提示,无代理的恶意软件访问（,AV,）,工业控制系统安全解决方案,可以有效控制恶意代码的传播和感染，防护网络攻击,锁定系统运行环境和资源,开启系统资源保护，防止缓冲区溢出，进程注入，内存注入等攻击,锁定专用终端的网络环境，严格限制网络通讯,只允许专用终端应用与后台特定服务器通讯,SCSP Client,保障专用业务终端最小权限的安全运行环境,专用业务,终端,锁定应用进程运行环境，严格限制可运行的进程及资源,只允许专用终端的应用进程及其调用的系统进程和资源运行,进程间继承关系智能检测识别,支持所有专用终端设备和系统,集中管理专用终端安全防护策略,统一监控专用终端系统日志和安全事件，集中审计和告警,可以有效保护专用终端的补丁缺失，防护入侵和零日漏洞攻击,可以满足跨平台，跨系统的集中安全管理需求,可以有效控制恶意代码，非法进程的执行和活动,应用环境锁定,系统环境锁定,策略统一管理,网络环境锁定,工业控制系统安全解决方案,DCS,的保护目标,工业控制系统安全解决方案,工控机安全项目案例,-,北京奔驰,工业控制系统安全解决方案,19,项目背景,工业控制系统安全解决方案,传统病毒防护方式存在的问题,工业控制系统安全解决方案,21,CSP,对工控机采用系统沙箱锁定机制来对操作系统进行固化，,除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行,系统锁定,CSP,防护方案特点,另外,SCSP,还提供缓存溢出攻击防护和线程注入攻击防护的功能,进程防护,在网络层通过防火墙功能阻止网络攻击，限制无关主机对工控机设备的网络访问,网络隔离,策略一次下发，即可长期有效。如果后续业务软件没有变动，安全策略不需要任何调整升级,零维护,工业控制系统安全解决方案,优势特点及效果,CSP,完美兼容所测试的工控机操作系统,对现有的工控机设备硬件资源开销极小,CSP,保持防护状态时，不会拖慢系统,极低的资源,占用,通过沙箱锁定机制和文件访问防护，,CSP,可以根本上解决恶意代码在工控机设备上的运行与扩散,防护效果,系统兼容性,策略无需经常调整，不需要像防毒软件一样升级，提供方便的变更维护机制,免维护,工业控制系统安全解决方案,结束语,工业控制系统安全解决方案,24,目前工控系统的安全基础存在先天不足,工控针对性恶意代码、,APT,和信息武器将越来越多地攻击工控系统,25,传统的内外网物理隔离措施不能有效地保证工控系统安全,提高工控系统安全性,工业控制系统安全解决方案,25,工业控制系统安全解决方案,26,