工業(yè)控制系統(tǒng)安全解決方案課件

1、1工業(yè)控制系統(tǒng)安全解決方案 工業(yè)控制系統(tǒng)安全解決方案1工業(yè)控制系統(tǒng)安全解決方案 工控機安全項目案例2工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)簡介2Symantec工控機安全防護產(chǎn)品提 綱工業(yè)控制系統(tǒng)安全解決方案工控機安全項目案例2工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)簡介23工業(yè)控制系統(tǒng)簡介工業(yè)控制系統(tǒng)安全解決方案3工業(yè)控制系統(tǒng)簡介工業(yè)控制系統(tǒng)安全解決方案工業(yè)控制系統(tǒng)應用簡介重工業(yè)鋼鐵化工電力輕工業(yè)紡織食品陶瓷物聯(lián)網(wǎng)工業(yè)監(jiān)測智能交通環(huán)境監(jiān)測智能家居家電控制照明控制暖通控制工業(yè)控制系統(tǒng)安全解決方案4工業(yè)控制系統(tǒng)應用簡介重工業(yè)鋼鐵化工電力輕工業(yè)紡織食品陶瓷物聯(lián)集散控制系統(tǒng)（DCS）簡介 特點：工業(yè)以太網(wǎng)數(shù)字

2、通信，現(xiàn)場儀表模擬通信。變送器執(zhí)行器操作站監(jiān)控計算機工業(yè)以太網(wǎng) 現(xiàn)場控制站PLC420mA模擬電流信號工業(yè)控制系統(tǒng)安全解決方案5集散控制系統(tǒng)（DCS）簡介 特點：工業(yè)以太網(wǎng)數(shù)字通信，現(xiàn)場儀現(xiàn)場總線控制系統(tǒng)（FCS）簡介服務器其它工作站工業(yè)以太網(wǎng)監(jiān)控工作站現(xiàn)場總線智能控制器 智能變送器 智能執(zhí)行器 特點：工業(yè)以太網(wǎng)和現(xiàn)場總線全數(shù)字通信工業(yè)控制系統(tǒng)安全解決方案6現(xiàn)場總線控制系統(tǒng)（FCS）簡介服務器其它工作站工業(yè)控制系統(tǒng)前實際的DCS、FCS和現(xiàn)場總線應用操作員站工程師站工業(yè)以太網(wǎng)現(xiàn)場控制站PLC變送器執(zhí)行器420mA模擬電流信號現(xiàn)場總線現(xiàn)場總線接口智能變送器 智能執(zhí)行器 工業(yè)控制系統(tǒng)安全解決方案7

3、前實際的DCS、FCS和現(xiàn)場總線應用操作員站工程師站變送器8工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)安全解決方案8工控系統(tǒng)中的安全薄弱點工業(yè)控制系統(tǒng)安全解決方案震網(wǎng)（Stuxnet）蠕蟲攻擊伊朗核設施 來自安天實驗室對Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合報告目標：伊朗核電站提煉濃縮鈾的設施目的：干擾濃縮鈾提取過程，降低成 品濃度方法：滲透至工業(yè)內(nèi)網(wǎng)，利用工業(yè)控制系統(tǒng)的安全漏洞，改變相關(guān)設施的運行參數(shù)結(jié)果：成功！使伊朗核工業(yè)陷入停滯攻擊目標為DCS中的西門子WinCC HMI組態(tài)軟件、STEP7組態(tài)軟件以及S7-300400系列PLC（某些型號），采用與攻擊滲透民用以太網(wǎng)相似的方法。工業(yè)控制系

4、統(tǒng)安全解決方案9震網(wǎng)（Stuxnet）蠕蟲攻擊伊朗核設施 來自安天實驗室攻擊DCS中的PLC先感染操作站等PC，在PLC組態(tài)時寫入惡意代碼。操作站監(jiān)控計算機工業(yè)以太網(wǎng)現(xiàn)場控制站PLC變送器執(zhí)行器420mA模擬電流信號組態(tài)計算機操作站組態(tài)PLC時進行攻擊專用組態(tài)計算機 組態(tài)PLC時進行 攻擊工業(yè)控制系統(tǒng)安全解決方案10攻擊DCS中的PLC先感染操作站等PC，在PLC組態(tài)時寫入惡723高鐵事故的啟示列 控 中 心 集 中 控 制 的 該 信 號 錯 誤 變 成 綠燈，引起D301次列 車 錯 誤 沖 入 區(qū) 間 ， 最 終 導 致 慘 烈 追 尾 事故！工業(yè)控制系統(tǒng)安全解決方案11723高鐵事故的

5、啟示列 控 中 心 集 中 控 制 的 該黑掉化工廠（漏洞化工處理框架） 黑掉化工廠，導致化工廠爆炸。 火車碰撞。 大面積停電。工業(yè)控制系統(tǒng)安全解決方案12黑掉化工廠（漏洞化工處理框架） 黑掉化工廠，導致化工廠爆炸攻擊化工廠反應釜的溫度測控工業(yè)以太網(wǎng)溫度變送器閥門執(zhí)行器RS-485總線網(wǎng)關(guān)反應釜熱電偶蒸汽閥門加熱蒸汽攻擊方法1：將惡意 代 碼 組 態(tài) 到 現(xiàn) 場 控 制站PLC中，篡改 通 過 以 太 網(wǎng) 傳 輸 的 現(xiàn)場總線數(shù)據(jù)。攻擊設備攻擊方法2：在現(xiàn)場總線上偷掛攻擊設備 偽造現(xiàn)場總線數(shù)據(jù)?，F(xiàn)場控制站PLC工業(yè)控制系統(tǒng)安全解決方案13攻擊化工廠反應釜的溫度測控工業(yè)以太網(wǎng)溫度變送器閥門執(zhí)行器

6、RS14Symantec工控機安全防護產(chǎn)品工業(yè)控制系統(tǒng)安全解決方案14Symantec工控機安全防護產(chǎn)品工業(yè)控制系統(tǒng)安全解決方DCS（數(shù)據(jù)中心安全）產(chǎn)品家族DCS familyDCS:ServerAgentlessServer AdvancedSCSP ServerEmbedded CSPSCSP Client業(yè)務系統(tǒng)安全防護生產(chǎn)終端安全防護工業(yè)控制系統(tǒng)安全解決方案15DCS（數(shù)據(jù)中心安全）產(chǎn)品家族DCS familyDCS:SDCS功能合集行為控制系統(tǒng)控制入侵檢測（IDS）入侵防護（IPS）白名單防范零日攻擊限制操作系統(tǒng)行為緩沖區(qū)溢出保護漏洞保護鎖定配置文件的配置強制安全策略縮小使用權(quán)限限制

7、設備訪問vSphere保護關(guān)閉后門限制應用的網(wǎng)絡訪問權(quán)限限制數(shù)據(jù)通信檢測，合并，轉(zhuǎn)發(fā)日志實時監(jiān)控文件完整性告警/提示無代理的惡意軟件訪問（AV）工業(yè)控制系統(tǒng)安全解決方案16DCS功能合集行為控制系統(tǒng)控制入侵檢測（IDS）入侵防護（I可以有效控制惡意代碼的傳播和感染，防護網(wǎng)絡攻擊鎖定系統(tǒng)運行環(huán)境和資源開啟系統(tǒng)資源保護，防止緩沖區(qū)溢出，進程注入，內(nèi)存注入等攻擊鎖定專用終端的網(wǎng)絡環(huán)境，嚴格限制網(wǎng)絡通訊只允許專用終端應用與后臺特定服務器通訊SCSP Client保障專用業(yè)務終端最小權(quán)限的安全運行環(huán)境專用業(yè)務終端鎖定應用進程運行環(huán)境，嚴格限制可運行的進程及資源只允許專用終端的應用進程及其調(diào)用的系統(tǒng)進程和

8、資源運行進程間繼承關(guān)系智能檢測識別支持所有專用終端設備和系統(tǒng)集中管理專用終端安全防護策略統(tǒng)一監(jiān)控專用終端系統(tǒng)日志和安全事件，集中審計和告警可以有效保護專用終端的補丁缺失，防護入侵和零日漏洞攻擊可以滿足跨平臺，跨系統(tǒng)的集中安全管理需求可以有效控制惡意代碼，非法進程的執(zhí)行和活動應用環(huán)境鎖定系統(tǒng)環(huán)境鎖定策略統(tǒng)一管理網(wǎng)絡環(huán)境鎖定工業(yè)控制系統(tǒng)安全解決方案17可以有效控制惡意代碼的傳播和感染，防護網(wǎng)絡攻擊鎖定系統(tǒng)運行環(huán)DCS的保護目標工業(yè)控制系統(tǒng)安全解決方案18DCS的保護目標工業(yè)控制系統(tǒng)安全解決方案1819工控機安全項目案例-北京奔馳工業(yè)控制系統(tǒng)安全解決方案19工控機安全項目案例-北京奔馳工業(yè)控制系統(tǒng)安

9、全解決方案項目背景用戶名稱北京奔馳汽車有限公司具備年產(chǎn)10萬輛汽車的生產(chǎn)能力是中國最先進的世界級汽車制造企業(yè)用戶環(huán)境生產(chǎn)線統(tǒng)一采用西門子SINUMERIK工控系統(tǒng)其核心組件PCU為基于windows XP系統(tǒng)的PC，40GB硬盤，512M-2G內(nèi)存用戶需求工控系統(tǒng)安全性至關(guān)重要PCU的病毒威脅防護亟待解決工業(yè)控制系統(tǒng)安全解決方案20項目背景用戶名稱北京奔馳汽車有限公司具備年產(chǎn)10萬輛汽車的生傳統(tǒng)病毒防護方式存在的問題部署升級工控機與后臺系統(tǒng)通過專線連接，帶寬資源緊張防病毒軟件需要頻繁升級病毒特征庫，無法與互聯(lián)網(wǎng)隔離；操作系統(tǒng)補丁需要升級威脅防護工控機設備多為XP系統(tǒng)，硬件配置較低防病毒軟件對系

10、統(tǒng)資源和帶寬消耗極大，導致工控機系統(tǒng)不穩(wěn)定安全運維不部署安全防護軟件無法滿足安全要求日常運維時U盤的不規(guī)范使用引入更多安全威脅，工控機出現(xiàn)問題后只能依賴于GHOST系統(tǒng)恢復21工業(yè)控制系統(tǒng)安全解決方案傳統(tǒng)病毒防護方式存在的問題部署工控機與后臺系統(tǒng)通過專線連接，CSP對工控機采用系統(tǒng)沙箱鎖定機制來對操作系統(tǒng)進行固化，除操作系統(tǒng)正常運行的核心程序以及業(yè)務軟件之外的程序都不可執(zhí)行系統(tǒng)鎖定CSP防護方案特點另外SCSP還提供緩存溢出攻擊防護和線程注入攻擊防護的功能進程防護在網(wǎng)絡層通過防火墻功能阻止網(wǎng)絡攻擊，限制無關(guān)主機對工控機設備的網(wǎng)絡訪問網(wǎng)絡隔離策略一次下發(fā)，即可長期有效。如果后續(xù)業(yè)務軟件沒有變動，

11、安全策略不需要任何調(diào)整升級零維護工業(yè)控制系統(tǒng)安全解決方案22系統(tǒng)鎖定CSP防護方案特點進程防護網(wǎng)絡隔離零維護工業(yè)控制系統(tǒng) 優(yōu)勢特點及效果CSP完美兼容所測試的工控機操作系統(tǒng)對現(xiàn)有的工控機設備硬件資源開銷極小,CSP保持防護狀態(tài)時，不會拖慢系統(tǒng)極低的資源占用通過沙箱鎖定機制和文件訪問防護，CSP可以根本上解決惡意代碼在工控機設備上的運行與擴散防護效果系統(tǒng)兼容性策略無需經(jīng)常調(diào)整，不需要像防毒軟件一樣升級，提供方便的變更維護機制免維護工業(yè)控制系統(tǒng)安全解決方案23 優(yōu)勢特點及效果CSP完美兼容所測試的工控機操作系統(tǒng)對現(xiàn)有24結(jié)束語工業(yè)控制系統(tǒng)安全解決方案24結(jié)束語工業(yè)控制系統(tǒng)安全解決方案25目前工控系

12、統(tǒng)的安全基礎存在先天不足工控針對性惡意代碼、APT和信息武器將越來越多地攻擊工控系統(tǒng)25傳統(tǒng)的內(nèi)外網(wǎng)物理隔離措施不能有效地保證工控系統(tǒng)安全提高工控系統(tǒng)安全性工業(yè)控制系統(tǒng)安全解決方案25目前工控系統(tǒng)的安全基礎存在先天不足工控針對性惡意代碼、A26工業(yè)控制系統(tǒng)安全解決方案26工業(yè)控制系統(tǒng)安全解決方案9、 人的價值，在招收誘惑的一瞬間被決定。01-10月-2201-10月-22Saturday, October 1, 202210、低頭要有勇氣，抬頭要有低氣。*10/1/2022 1:03:41 AM11、人總是珍惜為得到。01-10月-22*Oct-2201-Oct-2212、人亂于心，不寬余請。*Saturday, October 1, 202213、生氣是拿別人做錯的事來懲罰自己。01-10月-2201-10月-22*01 Oct