工业控制网络安全防护的必要性

允许
不允许
极其复杂
特定
HTTP、SMTP、FTP、SQL…… OPC、MODBUS、DNP3……
路漫漫其悠远
工业控制网络与商用网络对比
路漫漫其悠远
网闸的出现
• GAP技术
GAP技术是综合安全技术的高度集成，他涵盖了 安全系统内核技术、强协议分析处理技术、身份 认证、芯片处理技术、硬件编码技术、物理隔离 开关技术和访问控制技术等等。其安全核心是：
– Internet和Intranet之间的安全之墙，阻止未授权或未验证的访问，高级的防火墙 能设置DMZ区域。 –保证数据能够正常交换的前提下网络尽量安全。由于网络管理人员更重视网络的通 畅，从而降低了对安全策略的部署，让更多潜在的危机存在于网络。
•安全隔离网关(pSafetyLink)
–真正意义上的物理层的断开，意味着“不能基于一个物理层的连接，来完成一个 OSI模型中的数据链路的建立”。网闸的安全区完全不支持TCP/IP协议，在网闸中 基于协议的数据包被还原成最原始的数据（文件）。这样，就可以完全阻断基于 TCP/IP的攻击。 –保证网络绝对安全的前提下，完成对数据的交换。对于网闸，他只处理必要的、需 要的数据，强调对安全的重视。
广播风暴
过多的广播包消耗了大量的网络带宽，导致正常的数据包无 法正常在网络中传送，通常指一个广播包引起了多个的响应 ，而每个响应又引起了多个得响应，就像滚雪球一样，把网 络的所有带宽都消耗殆尽。
路漫漫其悠远
历史事件回顾：Stuxnet
路漫漫其悠远
“震网”病毒-StuexNET
路漫漫其悠远
历史事件回顾：美国停电
工业网络安全隔离网关
路漫漫其悠远
➢ 电力系统二次防护 ➢ 冶金行业能源管理 ➢ 数字城市管网 ➢ 煤矿综合自动化 ➢ 石油/石化工业控制网络安全防护
路漫漫其悠远
公司简介 产品列表 行业应用 产品特点 案例解析
自动化系统发展趋势
大型化/一体化：
随着计算机网络技术在PCS系统中的深入应用，以及MAV 理念逐步得到认可，自动控制系统仅为“信息孤岛“的时 代已经过去。大型化、集成化的 PCS系统是历史发展的必 然趋势！
2010年
发展至今
推出pFieldcomm通信网关
2008年
力控华康成立
2011年
路漫漫其悠远
路漫漫其悠远
公司简介 产品列表 行业应用 产品特点 案例解析
产品分类
保障工业网络安全互联
路漫漫其悠远
ቤተ መጻሕፍቲ ባይዱ
通信网关
路漫漫其悠远
产品应用：
➢ 通讯协议转换器 ➢ 现场总线及工业以太网网关 ➢ 通信前置管理机 ➢ 能源数据采集站 ➢ 楼宇控制设备集成网关 ➢ 环保数据传输管理仪
采用专用的物理隔离部件实现两个网络的断开（ 协议和链路断开的完整结合），同时在两个网络 间可控的安全的传输应用数据。
• 网闸技术 路漫漫其悠远
与防火墙的区别
•网关（Gateway）
– 在互联网络中起到高层协议转换的作用，工作在OSI模型的应用层;网关在计算机 上通过使用软件实现。
• 防火墙（Firewall）
工厂信息网(ERP)
生产管理网络(MES)
路漫漫其悠远
过程控制网络(PCS)
集成自动化系统网络
路漫漫其悠远
自动化系统网络主要安全威胁
拒绝服务
分计算机网络带宽攻击和连通性攻击。带宽攻击以极大的通 信量冲击网络，使得所有可用网络资源都被消耗殆尽。连通 性攻击用大量的连接请求冲击计算机，使得所有可用的操作 系统资源都被消耗殆尽。
公司立足于自主研发、专注于工业信息安全市场，树立以“坚持以客户为 中心，不断为客户创造价值”服务理念，为石油、石化、冶金、电力、市政等多 个行业控制系统的信息安全接入和数据实时交换提供解决方案，并力争成为具备 领先技术水平的工业信息安全领导者。
路漫漫其悠远
发展史
2005年
pSafetyLink安全 防护网关推出
例如,许多用户认为允许SQL通过防火墙与历史数据服务器 交互数据是安全的。不幸的是,SQL也同样受到了蠕虫病毒 “Slammer worm”的威胁。许多重要的协议用于工业网络,例 如HTTP，FTP，OPC / DCOM，EtherNet/ IP,MODBUS/ TCP ，但这些都有着明显的安全漏洞。
路漫漫其悠远
绝对安全与相对安全
我们如果要着手评估或规划一个工业网络的安全防护系统 ，首要的工作是定义究竟哪些数据是可以允许通过。 如果你要 使用普通的防火墙达到目的，那你就须要配置防火墙，来限制所 有除“绝对必需”通信业务以外的通信业务，但事实上很难做到 。
“绝对必需的业务”的意思是，与业务不相关的数据均不 允许通过，即使认为是安全的！
病毒攻击
对计算机信息直接破坏；占用磁盘空间；抢占系统资源；影 响系统运行速度；
路漫漫其悠远
非法入侵
网络攻击行为的一种,只是网络非法入侵有非常强的隐蔽性。 为此，针对网络非法入侵的安全策略，更多的是侧重于基于 网络管理的防范策略，具有一定的被动性。
木马攻击
有客户端和服务器端执行程序。攻击者通过客户端过程控制 植入木马程序的计算机，从面发动攻击。
智能化/信息化：
随着数字技术向控制系统和现场仪表的不断延伸，数据总 线处理信息的安全传输和合理利用,将是自动控制系统面临 的重要考验！
成本控制/网络安全：
大量商用计算机及网络技术将逐步替代自动控制系统固有 的软硬件设备。保证PCS系统的安全可靠将是工程公司及 制造商共同面对的重要课题！
路漫漫其悠远
集成自动化系统网络
路漫漫其悠远
历史事件回顾：电力二次防护
路漫漫其悠远
工业控制网络与商用网络对比
特点
应用领域 开放性 设备更新 系统更新 数据机密性要求 持续可靠性要求 对待病毒 应用数据 应用协议
商用网络/办公网络
极其广泛 完全开放，互联网 频繁
控制网络
工业领域，SCADA 相对封闭 不频繁
频繁
不频繁
高
一般
一般
非常高
工业控制网络安全防护 的必要性
路漫漫其悠远 2020/4/3
路漫漫其悠远
公司简介 产品列表 行业背景 技术原理及特点 解决方案
公司简介
北京力控华康科技有限公司正式成立于2008年，是专业从事工业网络通讯 和网络安全产品与服务，已获得“双软”认证。
公司凭借在工业通信以及网络安全领域积累的丰富经验，同时依托于力控 系列软件平台，成功研发出真正适用于工业控制系统的工业网络安全防护网关 pSafetyLink以及工业通信网关pFieldComm等系列产品。