工业控制系统安全解决方案PPT培训课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
免维护
结束语
工业控制系统安全解决方案
24
提高工控系统安全性
工控针对性恶意代码、APT和信息武器将越来 越多地攻击工控系统
目前工控系统的安全基础存在先天不足
传统的内外网物理隔离措施不能有效地保证工 控系统安全
工业控制系统安全解决方案
25
工业控制系统安全解决方案
26
工业控制系统安全解决方案
DCS的保护目标
工业控制系统安全解决方案
工控机安全项目案例-北京奔驰
工业控制系统安全解决方案
19
项目背景
工业控制系统安全解决方案
传统病毒防护方式存在的问题
工业控制系统安全解决方案
21
CSP防护方案特点
系统锁定 CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化, 除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行
攻击方法1:将恶意 代码组态到现场 控 制 站 / PLC 中 , 篡改 通 过 以 太 网 传 输 的 现场总线数 据。
温度变送器 热电偶
反应釜
工业控制系统安全解决方案
阀门执行器
攻击设备
蒸汽阀门
攻击方法2:在现场 总线上偷挂攻击设备 伪造现场总线数据。
加热蒸汽
Symantec工控机安全防护产品
工业控制系统安全解决方案
关闭后门 限制应用的网
络访问权限
限制数据通信
检测,合并 ,转发日志
实时监控文 件完整性
告警/提示
无代理的恶意软件访问(AV)
工业控制系统安全解决方案
SCSP Client保障专用业务终端最小权限的安 全运行环境
• 锁定应用进程运行环境,严格
• 锁定专用终端的网络环境 ,严格限制网络通讯
对现有的工控 通过沙箱锁定
机设备硬件资 机制和文件访
源开销极小 问防护,CSP
,CSP保持防护 可以根本上解
状态时,不会 决恶意代码在
百度文库
拖慢系统
工控机设备上
的运行与扩散
策略无需经常 调整,不需要 像防毒软件一 样升级,提供 方便的变更维 护机制
系统兼容性
极低的资源 占用
工业控制系统安全解决方案
防护效果
操作员站 工程师站 工业以太网
现场控制站/PLC 4—20mA模拟电流信号
现场总线接口
变送器 ……
执行器 …… 现场总线
智能变送器 ……
智能执行器 ……
工业控制系统安全解决方案
工控系统中的安全薄弱点
工业控制系统安全解决方案
8
震网(Stuxnet)蠕虫攻击伊朗核设施
来自安天实验室《对Stuxnet蠕虫攻击工业控制系统事件 的综合报告》 • 目标:伊朗核电站提炼浓缩铀的设施 • 目的:干扰浓缩铀提取过程,降低成
品浓度 • 方法:渗透至工业内网,利用工业控制系统的安全漏洞
,改变相关设施的运行参数 • 结果:成功!使伊朗核工业陷入停滞
攻击目标为DCS中的西门子WinCC HMI/组态软件、 STEP7组态软件以及S7-300/400系列PLC(某些型号 ),采用与攻击渗透民用以太网相似的方法。
工业控制系统安全解决方案
限制可运行的进程及资源 • 只允许专用终端的应用进程及
•
只允许专用终端应用与后 台特定服务器通讯
网络环境锁定
应用环境锁定 •
其调用的系统进程和资源运行 进程间继承关系智能检测识别
可以有效控制恶意代码的传 播和感染,防护网络攻击
专用业务
可以有效控制恶意代码,非法 进程的执行和活动
终端
• 支持所有专用终端设备和系统
攻击DCS中的PLC
操作站 监控计算机
操作站组态PLC 时进行攻击
现场控制站/
4—20mA模拟电流信号 PLC
变送器
……
执行器
工业以太网 组态计算机
专用组态计算机 组态PLC时进行
攻击……
先感染操作站等PC,在PLC组态时写入恶意代码。
工业控制系统安全解决方案
7·23高铁事故的启示
工业控制系统安全解决方案
• 锁定系统运行环境和资源
• 集中管理专用终端安全防护策
• 开启系统资源保护,防止
略
缓冲区溢出,进程注入, 内存注入等攻击
系统环境锁定
策略统一管理
•
统一监控专用终端系统日志和 安全事件,集中审计和告警
可以有效保护专用终端的补 丁缺失,防护入侵和零日漏 洞攻击
可以满足跨平台,跨系统的集 中安全管理需求
变送器
……
执行器
……
特点:工业以太网数字通信,现场仪表模拟通信。
工业控制系统安全解决方案
现场总线控制系统(FCS)简介
服务器 其它工作站
工业以太网
监控工作站
现场总线
智能控制器 …… 智能变送器 …… 智能执行器 ……
工业控特制系点统安全:解决工方案业以太网和现场总线全数字通信
前实际的DCS、FCS和现场总线应用
工业控制系统安全解决方案
提纲
工业控制系统简介
工控系统中的安全薄弱点
Symantec工控机安全防护产品
工控机安全项目案例
工业控制系统安全解决方案
2
工业控制系统简介
工业控制系统安全解决方案
3
工业控制系统应用简介
工业控制系统安全解决方案
集散控制系统(DCS)简介
操作站 监控计算机
工业以太网 现场控制站/PLC 4—20mA模拟电流信号
14
DCS(数据中心安全)产品家族
业务系统安全防护
工业控制系统安全解决方案
生产终端安全防护
DCS功能合集
入侵检测(IDS)
行为控制
系统控制
网络保护
审计和告警
入侵防护(IPS)
白名单 防范零日攻击 限制操作系统
行为
缓冲区溢出保 护
漏洞保护
锁定配置文件 的配置
强制安全策略 缩小使用权限 限制设备访问 vSphere保护
列控中心集中控 制的该信号错误 变 成 绿灯,引起 D301次 列车错误冲入区 间,最终导致惨 烈 追 尾 事故!
黑掉化工厂(漏洞化工处理框架)
黑掉化工厂,导致化工厂爆炸。 火车碰撞。 大面积停电。
工业控制系统安全解决方案
攻击化工厂反应釜的温度测控
工业以太网
网关
现场控制站/
RS-485总线 PLC
进程防护 另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能
网络隔离 在网络层通过防火墙功能阻止网络攻击,限制无关主机对工控机设备 的网络访问
零维护 策略一次下发,即可长期有效。如果后续业务软件没有变动,安全策 略不需要任何调整升级
工业控制系统安全解决方案
优势特点及效果
CSP完美 兼容所测 试的工控 机操作系 统