工业控制系统安全解决方案

1

工业控制系统平安解决方案

工业控制系统平安解决方案工控机平安工程案例2工控系统中的平安薄弱点工业控制系统简介2Symantec工控机平安防护产品提纲工业控制系统平安解决方案3工业控制系统简介工业控制系统平安解决方案工业控制系统应用简介重工业钢铁化工电力轻工业纺织食品陶瓷物联网工业监测智能交通环境监测智能家居家电控制照明控制暖通控制工业控制系统平安解决方案集散控制系统〔DCS〕简介

特点：工业以太网数字通信，现场仪表模拟通信。变送器执行器…………操作站 监控计算机工业以太网

现场控制站／PLC4—20mA模拟电流信号工业控制系统平安解决方案现场总线控制系统〔FCS〕简介效劳器 其它工作站工业以太网监控工作站现场总线智能控制器…… 智能变送器…… 智能执行器……特点：工业以太网和现场总线全数字通信工业控制系统平安解决方案前实际的DCS、FCS和现场总线应用操作员站 工程师站工业以太网现场控制站／PLC变送器执行器……4—20mA模拟电流信号……现场总线现场总线接口智能变送器

……智能执行器

……工业控制系统平安解决方案8工控系统中的平安薄弱点工业控制系统平安解决方案震网〔Stuxnet〕蠕虫攻击伊朗核设施 来自安天实验室?对Stuxnet蠕虫攻击工业控制系统事件的综合报告?目标：伊朗核电站提炼浓缩铀的设施目的：干扰浓缩铀提取过程，降低成品浓度方法：渗透至工业内网，利用工业控制系统的平安漏洞，改变相关设施的运行参数结果：成功！使伊朗核工业陷入停滞攻击目标为DCS中的西门子WinCCHMI／组态软件、STEP7组态软件以及S7-300／400系列PLC〔某些型号〕，采用与攻击渗透民用以太网相似的方法。工业控制系统平安解决方案攻击DCS中的PLC先感染操作站等PC，在PLC组态时写入恶意代码。操作站 监控计算机工业以太网现场控制站／PLC变送器执行器…………4—20mA模拟电流信号组态计算机操作站组态PLC时进行攻击专用组态计算机组态PLC时进行攻击工业控制系统平安解决方案7·23高铁事故的启示列

控

中

心

集

中

控

制的

该

信

号

错

误

变

成绿灯，引起D301次列

车

错

误

冲

入

区

间

，最

终

导

致

惨

烈

追

尾事故！工业控制系统平安解决方案黑掉化工厂〔漏洞化工处理框架〕

黑掉化工厂，导致化工厂爆炸。

火车碰撞。

大面积停电。工业控制系统平安解决方案攻击化工厂反响釜的温度测控工业以太网温度变送器阀门执行器RS-485总线网关反响釜热电偶蒸汽阀门加热蒸汽攻击方法1：将恶意代

码

组

态

到

现

场

控制站／PLC中，篡改通

过

以

太

网

传

输

的现场总线数据。攻击设备攻击方法2：在现场总线上偷挂攻击设备伪造现场总线数据。现场控制站／PLC工业控制系统平安解决方案14Symantec工控机平安防护产品工业控制系统平安解决方案DCS〔数据中心平安〕产品家族DCSfamilyDCS:ServerAgentlessServerAdvancedSCSPServerEmbeddedCSPSCSPClient业务系统平安防护生产终端平安防护工业控制系统平安解决方案DCS功能合集行为控制系统控制网络保护审计和告警入侵检测〔IDS〕入侵防护〔IPS〕白名单防范零日攻击限制操作系统行为缓冲区溢出保护漏洞保护锁定配置文件的配置强制平安策略缩小使用权限限制设备访问vSphere保护关闭后门限制应用的网络访问权限限制数据通信检测，合并，转发日志实时监控文件完整性告警/提示无代理的恶意软件访问〔AV〕工业控制系统平安解决方案可以有效控制恶意代码的传播和感染，防护网络攻击锁定系统运行环境和资源开启系统资源保护，防止缓冲区溢出，进程注入，内存注入等攻击锁定专用终端的网络环境，严格限制网络通讯只允许专用终端应用与后台特定效劳器通讯SCSPClient保障专用业务终端最小权限的平安运行环境专用业务终端锁定应用进程运行环境，严格限制可运行的进程及资源只允许专用终端的应用进程及其调用的系统进程和资源运行进程间继承关系智能检测识别支持所有专用终端设备和系统集中管理专用终端平安防护策略统一监控专用终端系统日志和平安事件，集中审计和告警可以有效保护专用终端的补丁缺失，防护入侵和零日漏洞攻击可以满足跨平台，跨系统的集中平安管理需求可以有效控制恶意代码，非法进程的执行和活动应用环境锁定系统环境锁定策略统一管理网络环境锁定工业控制系统平安解决方案DCS的保护目标工业控制系统平安解决方案19工控机平安工程案例-北京奔驰工业控制系统平安解决方案工程背景用户名称北京奔驰汽车有限公司具备年产10万辆汽车的生产能力是中国最先进的世界级汽车制造企业用户环境生产线统一采用西门子SINUMERIK工控系统其核心组件PCU为基于windowsXP系统的PC，40GB硬盘，512M-2G内存用户需求工控系统安全性至关重要PCU的病毒威胁防护亟待解决工业控制系统平安解决方案传统病毒防护方式存在的问题部署升级工控机与后台系统通过专线连接，带宽资源紧张防病毒软件需要频繁升级病毒特征库，无法与互联网隔离；操作系统补丁需要升级威胁防护工控机设备多为XP系统，硬件配置较低防病毒软件对系统资源和带宽消耗极大，导致工控机系统不稳定安全运维不部署安全防护软件无法满足安全要求日常运维时U盘的不规范使用引入更多安全威胁，工控机出现问题后只能依赖于GHOST系统恢复21工业控制系统平安解决方案CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化，除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行系统锁定CSP防护方案特点另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能进程防护在网络层通过防火墙功能阻止网络攻击，限制无关主机对工控机设备的网络访问网络隔离策略一次下发，即可长期有效。如果后续业务软件没有变动，平安策略不需要任何调整升级零维护工业控制系统平安解决方案

优势特点及效果CSP完美兼容所测试的工控机操作系统对现有的工控机设备硬件资源开销极小,CSP保持防护状态时，不会拖慢系统极低的资源占用通过沙箱锁定机制和文件访问防护，CSP可以根本上解决恶意代码在工控机设备上的运行与扩散防护效果系统兼容性策略无需经常调整，不需要像防毒软件一样升级，提供方便的变