1、1工业控制系统安全解决方案 工业控制系统安全解决方案工控机安全项目案例2工控系统中的安全薄弱点工业控制系统简介2Symantec工控机安全防护产品提 纲工业控制系统安全解决方案3工业控制系统简介工业控制系统安全解决方案工工业业控制系控制系统应统应用用简简介介钢铁化工电力工业监测智能交通环境监测纺织食品陶瓷家电控制照明控制暖通控制重工业轻工业物联网智能家居工业控制系统安全解决方案集散控制系集散控制系统统(DCS)简简介介 特点:工业以太网数字通信,现场仪表模拟通信。变变送器送器执执行器行器操操作站作站监监控控计计算机算机工业以太网 现场现场控制站控制站PLC420mA模拟电流信号工业控制系统安全
2、解决方案现场总线现场总线控制系控制系统统(FCS)简简介介服服务务器器其其它工作站它工作站工业以太网监监控工作站控工作站现场总线智智能控制器能控制器 智智能能变变送器送器 智智能能执执行器行器 特点:工业以太网和现场总线全数字通信工业控制系统安全解决方案前前实际实际的的DCS、FCS和和现场总线应现场总线应用用操操作作员员站站工工程程师师站站工业以太网现场现场控制站控制站PLC变变送器送器执执行器行器420mA模拟电流信号现场总线现场总线接口智能变送器 智能执行器 工业控制系统安全解决方案8工控系统中的安全薄弱点工业控制系统安全解决方案震网震网(Stuxnet)蠕)蠕虫虫攻攻击击伊朗核伊朗核设
3、设施施 来自安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告目标:伊朗核电站提炼浓缩铀的设施目的:干扰浓缩铀提取过程,降低成 品浓度方法:渗透至工业内网,利用工业控制系统的安全漏洞,改变相关设施的运行参数结果:成功!使伊朗核工业陷入停滞攻击目标为DCS中的西门子WinCC HMI组态软件、STEP7组态软件以及S7-300400系列PLC(某些型号),采用与攻击渗透民用以太网相似的方法。工业控制系统安全解决方案攻攻击击DCS中的中的PLC先感染操作站等PC,在PLC组态时写入恶意代码。操操作站作站监监控控计计算机算机工业以太网现场现场控制站控制站PLC变变送器送器执执行器行器420
4、mA模拟电流信号组态计算机操作站组态PLC时进行攻击专用组态计算机 组态PLC时进行 攻击工业控制系统安全解决方案723高高铁铁事故的启示事故的启示列 控 中 心 集 中 控 制 的 该 信 号 错 误 变 成 绿灯,引起D301次列 车 错 误 冲 入 区 间,最 终 导 致 惨 烈 追 尾 事故!工业控制系统安全解决方案黑掉化工厂(黑掉化工厂(漏洞化工处理框架漏洞化工处理框架)黑掉化工厂,导致化工厂爆炸。火车碰撞。大面积停电。工业控制系统安全解决方案攻攻击击化工厂反化工厂反应应釜的温度釜的温度测测控控工业以太网温温度度变变送器送器阀阀门执门执行器行器RS-485总线网关网关反应釜热电偶蒸汽
5、阀门加热蒸汽攻击方法1:将恶意 代 码 组 态 到 现 场 控 制站PLC中,篡改 通 过 以 太 网 传 输 的 现场总线数据。攻击设备攻击方法2:在现场总线上偷挂攻击设备 伪造现场总线数据。现场现场控制站控制站PLC工业控制系统安全解决方案14Symantec工控机安全防护产品工业控制系统安全解决方案DCS(数据中心安全)产品家族(数据中心安全)产品家族DCS familyDCS:ServerAgentlessServer AdvancedSCSP ServerEmbedded CSPSCSP Client业务系统安全防护生产终端安全防护工业控制系统安全解决方案DCS功能合集行为控制系统控
6、制网络保护审计和告警入侵检测(入侵检测(IDS)入侵防护(入侵防护(IPS)白名单防范零日攻击限制操作系统行为缓冲区溢出保护漏洞保护锁定配置文件的配置强制安全策略缩小使用权限限制设备访问vSphere保护关闭后门限制应用的网络访问权限限制数据通信检测,合并,转发日志实时监控文件完整性告警/提示无代理的恶意软件访问(AV)工业控制系统安全解决方案可以有效控制恶意代码的传播和感染,防护网络攻击锁定系统运行环境和资源开启系统资源保护,防止缓冲区溢出,进程注入,内存注入等攻击锁定专用终端的网络环境,严格限制网络通讯只允许专用终端应用与后台特定服务器通讯SCSP Client保障专用业务终端最小权限的安
7、保障专用业务终端最小权限的安全运行环境全运行环境专用业务专用业务终端终端锁定应用进程运行环境,严格限制可运行的进程及资源只允许专用终端的应用进程及其调用的系统进程和资源运行进程间继承关系智能检测识别支持所有专用终端设备和系统集中管理专用终端安全防护策略统一监控专用终端系统日志和安全事件,集中审计和告警可以有效保护专用终端的补丁缺失,防护入侵和零日漏洞攻击可以满足跨平台,跨系统的集中安全管理需求可以有效控制恶意代码,非法进程的执行和活动应用环境锁定系统环境锁定 策略统一管理网络环境锁定工业控制系统安全解决方案DCS的保护目标工业控制系统安全解决方案19工控机安全项目案例-北京奔驰工业控制系统安全
8、解决方案项目背景项目背景用户名称北京奔驰汽车有限公司具备年产10万辆汽车的生产能力是中国最先进的世界级汽车制造企业用户环境生产线统一采用西门子SINUMERIK工控系统其核心组件PCU为基于windows XP系统的PC,40GB硬盘,512M-2G内存用户需求工控系统安全性至关重要PCU的病毒威胁防护亟待解决工业控制系统安全解决方案传统病毒防护方式存在的问题工控机与后台系统通过专线连接,带宽资源紧张防病毒软件需要频繁升级病毒特征库,无法与互联网隔离;操作系统补丁需要升级工控机设备多为XP系统,硬件配置较低防病毒软件对系统资源和带宽消耗极大,导致工控机系统不稳定部署升级不部署安全防护软件无法满
9、足安全要求日常运维时U盘的不规范使用引入更多安全威胁,工控机出现问题后只能依赖于GHOST系统恢复威胁防护安全运维21工业控制系统安全解决方案CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化,除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行系统锁定CSPCSP防护方案特点防护方案特点另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能进程防护在网络层通过防火墙功能阻止网络攻击,限制无关主机对工控机设备的网络访问网络隔离策略一次下发,即可长期有效。如果后续业务软件没有变动,安全策略不需要任何调整升级零维护工业控制系统安全解决方案 优势特点及效果CSP完美兼容所测试的工控机操作系统对现有的工控机设备硬件资源开销极小,CSP保持防护状态时,不会拖慢系统极低的资源占用通过沙箱锁定机制和文件访问防护,CSP可以根本上解决恶意代码在工控机设备上的运行与扩散防护效果系统兼容性策略无需经常调整,不需要像防毒软件一样升级,提供方便的变更维护机制免维护工业控制系统安全解决方案24结束语工业控制系统安全解决方案25目前工控系统的安全基础存在先天不足工控针对性恶意代码、APT和信息武器将越来越多地攻击工控系统25传统的内外网物理隔离措施不能有效地保证工控系统安全提高工控系统安全性工业控制系统安全解决方案Thank you!Thank you!26工业控制系统安全解决方案
