工业控制系统安全解决方案

行为控制
系统控制
入侵防护（IPS）
网络保护
审计和告警
白名单 防范零日攻击 限制操作系统行为 缓冲区溢出保护 漏洞保护
锁定配置文件的配置 强制安全策略 缩小使用权限 限制设备访问 vSphere保护
关闭后门
限制应用的网络访问 权限
限制数据通信
检测，合并，转发 日志
• 家电控制 • 照明控制 • 暖通控制
智能家 居
物联网
• 工业监测 • 智能交通 • 环境监测
工业控制系统安全解决方案
集散控制系统（DCS）简介
操作站 监控计算机 工业以太网 现场控制站／PLC 4—20mA模拟电流信号
变送器
……
执行器
特点：工业以太网数字通信，现场仪表模拟通信。
工业控制系统安全解决方案
工业控制系统安全解决方案
工业控制系统安全解决方案
1
提纲
工业控制系统简介 工控系统中的安全薄弱点
Symantec工控机安全防护产品
工控机安全项目案例
工业控制系统安全解决方案
22
工业控制系统简介
工业控制系统安全解决方案
3
工业控制系统应用简介
• 钢铁 • 化工 • 电力
重工业 轻工业
• 纺织 • 食品 • 陶瓷
• 进程间继承关系智能检测识别
可以有效控制恶意代码，非法进程的执行 和活动
• 支持所有专用终端设备和系统 • 集中管理专用终端安全防护策略 • 统一监控专用终端系统日志和安全事件，
集中审计和告警
可以满足跨平台，跨系统的集中安全管理 需求
DCS的保护目标
工业控制系统安全解决方案
工控机安全项目案例-北京奔驰
实时监控文件完整 性
告警/提示
工业控制系统安全解决方案
无代理的恶意软件访问（AV）
SCSP Client保障专用业务终端最小权限的安全运行环境
• 锁定专用终端的网络环境，严格限制 网络通讯
• 只器允通许 讯专用终端应用与后台特定服务网络环境锁定
应用环境锁定
可以有效控制恶意代码的传播和感染， 防护网络攻击
RS-485总线
攻击方法1：将恶意 代 码 组 态 到 现 场 控 制站／ PLC中，篡改 通 过 以 太 网 传 输 的 现场总线数据。
温度变送器 热电偶
反应釜
工业控制系统安全解决方案
阀门执行器 蒸汽阀门
攻击设备
攻击方法2：在现场 总线上偷挂攻击设备 伪造 现场总线数据。
加热蒸汽
Symantec工控机安全防护产品
……
现场总线控制系统（FCS）简介
服务器 其它工作站
工业以太网
监控工作站
现场总线
智能控制器 …… 智能变送器 wk.baidu.com… 智能执行器 ……
特点：工业以太网和现场总线全数字通信
工业控制系统安全解决方案
前实际的DCS、FCS和现场总线应用
操作员站 工程师站
现场控制站／PLC 4—20mA模拟电流信号
变送器
……
智能变送器 ……
工业以太网
现场总线接口
执行器
……
智能执行器 ……
现场总线
工业控制系统安全解决方案
工控系统中的安全薄弱点
工业控制系统安全解决方案
8
震网（Stuxnet）蠕虫攻击伊朗核设施
来自安天实验室《对Stuxnet蠕虫攻击工业控制系统事件 的综合报告》 • 目标：伊朗核电站提炼浓缩铀的设施 • 目的：干扰浓缩铀提取过程，降低成
品浓度 • 方法：渗透至工业内网，利用工业控制系统的安全漏洞，改变相关设施的运
行参数 • 结果：成功！使伊朗核工业陷入停滞 攻击目标为DCS中的西门子WinCC HMI／组态软件、STEP7组态软件以及S7-
300／400系列PLC（某些型号），采用与攻击渗透民用以太网相似的方法。
工业控制系统安全解决方案
工业控制系统安全解决方案
19
项目背景
• 北京奔驰汽车有限公司 • 具备年产10万辆汽车的生产能力
用户名称 • 是中国最先进的世界级汽车制造企业
• 生产线统一采用西门子SINUMERIK工控系统 • 其核心组件PCU为基于windows XP系统的PC，40GB硬盘，512M-2G内
用户环境 存
• 工控系统安全性至关重要
专用业务 终端
• 锁定系统运行环境和资源
• 开启系统资源保护，防止缓冲区溢出，
进程注入，内存注入等攻击
系统环境锁定
策略统一管理
可以有效保护专用终端的补丁缺失，防 护入侵和零日漏洞攻击
工业控制系统安全解决方案
• 锁定应用进程运行环境，严格限制可运行 的进程及资源
• 只允许专用终端的应用进程及其调用的系 统进程和资源运行
• 不部署安全防护软件无法满足安全要求 • 日常运维时U盘的不规范使用引入更多安全威胁，工控机出现问题后
只能依赖于GHOST系统恢复
21
CSP防护方案特点
系统锁定 CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化， 除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行 进程防护 另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能 网络隔离 在网络层通过防火墙功能阻止网络攻击，限制无关主机对工控机设备的网络访问
攻击DCS中的PLC
操作站 监控计算机
操作站组态PLC 时进行攻击
现场控制站／PLC
4—20mA模拟电流信号
变送器
……
执行器
工业以太网 组态计算机
专用组态计算机 组 态PLC时进行 攻击
……
先感染操作站等PC，在PLC组态时写入恶意代码。
工业控制系统安全解决方案
7·23高铁事故的启示
工业控制系统安全解决方案
工业控制系统安全解决方案
14
DCS（数据中心安全）产品家族
DCS family
DCS:Server
Agentless
Server Advanced
SCSP Server
业务系统安全防护
工业控制系统安全解决方案
Embedded CSP
SCSP Client
生产终端安全防护
DCS功能合集
入侵检测（IDS）
列控中心集中控制的该 信 号 错 误 变 成 绿灯，引起 D301次 列车错误冲入区间，最 终 导 致 惨 烈 追 尾 事故！
黑掉化工厂（漏洞化工处理框架）
黑掉化工厂，导致化工厂爆炸。 火车碰撞。 大面积停电。
工业控制系统安全解决方案
攻击化工厂反应釜的温度测控
工业以太网
网关
现场控制站／PLC
用户需求 • PCU的病毒威胁防护亟待解决
工业控制系统安全解决方案
传统病毒防护方式存在的问题
部署 升级
威胁 防护
安全 运维
工业控制系统安全解决方案
• 工控机与后台系统通过专线连接，带宽资源紧张 • 防病毒软件需要频繁升级病毒特征库，无法与互联网隔离；操作系
统补丁需要升级
• 工控机设备多为XP系统，硬件配置较低 • 防病毒软件对系统资源和带宽消耗极大，导致工控机系统不稳定