工业控制系统安全解决方案.

1工业控制系统安全解决方案工业控制系统安全解决方案工控机安全项目案例2工控系统中的安全薄弱点工业控制系统简介2Symantec工控机安全防护产品提纲工业控制系统安全解决方案3工业控制系统简介工业控制系统安全解决方案工业控制系统应用简介•工业监测•智能交通•环境监测•家电控制•照明控制•暖通控制•纺织•食品•陶瓷•钢铁•化工•电力重工业轻工业物联网智能家居工业控制系统安全解决方案集散控制系统（DCS）简介特点：工业以太网数字通信，现场仪表模拟通信。变送器执行器…………操作站监控计算机工业以太网现场控制站／PLC4—20mA模拟电流信号工业控制系统安全解决方案现场总线控制系统（FCS）简介服务器其它工作站工业以太网监控工作站现场总线智能控制器……智能变送器……智能执行器……特点：工业以太网和现场总线全数字通信工业控制系统安全解决方案前实际的DCS、FCS和现场总线应用操作员站工程师站工业以太网现场控制站／PLC变送器执行器……4—20mA模拟电流信号……现场总线现场总线接口智能变送器……智能执行器……工业控制系统安全解决方案8工控系统中的安全薄弱点工业控制系统安全解决方案震网（Stuxnet）蠕虫攻击伊朗核设施来自安天实验室《对Stuxnet蠕虫攻击工业控制系统事件的综合报告》•目标：伊朗核电站提炼浓缩铀的设施•目的：干扰浓缩铀提取过程，降低成品浓度•方法：渗透至工业内网，利用工业控制系统的安全漏洞，改变相关设施的运行参数•结果：成功！使伊朗核工业陷入停滞攻击目标为DCS中的西门子WinCCHMI／组态软件、STEP7组态软件以及S7-300／400系列PLC（某些型号），采用与攻击渗透民用以太网相似的方法。工业控制系统安全解决方案攻击DCS中的PLC先感染操作站等PC，在PLC组态时写入恶意代码。操作站监控计算机工业以太网现场控制站／PLC变送器执行器…………4—20mA模拟电流信号组态计算机操作站组态PLC时进行攻击专用组态计算机组态PLC时进行攻击工业控制系统安全解决方案7·23高铁事故的启示列控中心集中控制的该信号错误变成绿灯，引起D301次列车错误冲入区间，最终导致惨烈追尾事故！工业控制系统安全解决方案黑掉化工厂（漏洞化工处理框架）黑掉化工厂，导致化工厂爆炸。火车碰撞。大面积停电。工业控制系统安全解决方案攻击化工厂反应釜的温度测控工业以太网温度变送器阀门执行器RS-485总线网关反应釜热电偶蒸汽阀门加热蒸汽攻击方法1：将恶意代码组态到现场控制站／PLC中，篡改通过以太网传输的现场总线数据。攻击设备攻击方法2：在现场总线上偷挂攻击设备伪造现场总线数据。现场控制站／PLC工业控制系统安全解决方案14Symantec工控机安全防护产品工业控制系统安全解决方案DCS（数据中心安全）产品家族DCSfamilyDCS:ServerAgentlessServerAdvancedSCSPServerEmbeddedCSPSCSPClient业务系统安全防护生产终端安全防护工业控制系统安全解决方案DCS功能合集行为控制系统控制网络保护审计和告警入侵检测（IDS）入侵防护（IPS）白名单防范零日攻击限制操作系统行为缓冲区溢出保护漏洞保护锁定配置文件的配置强制安全策略缩小使用权限限制设备访问vSphere保护关闭后门限制应用的网络访问权限限制数据通信检测，合并，转发日志实时监控文件完整性告警/提示无代理的恶意软件访问（AV）工业控制系统安全解决方案可以有效控制恶意代码的传播和感染，防护网络攻击•锁定系统运行环境和资源•开启系统资源保护，防止缓冲区溢出，进程注入，内存注入等攻击•锁定专用终端的网络环境，严格限制网络通讯•只允许专用终端应用与后台特定服务器通讯SCSPClient保障专用业务终端最小权限的安全运行环境专用业务终端•锁定应用进程运行环境，严格限制可运行的进程及资源•只允许专用终端的应用进程及其调用的系统进程和资源运行•进程间继承关系智能检测识别•支持所有专用终端设备和系统•集中管理专用终端安全防护策略•统一监控专用终端系统日志和安全事件，集中审计和告警可以有效保护专用终端的补丁缺失，防护入侵和零日漏洞攻击可以满足跨平台，跨系统的集中安全管理需求可以有效控制恶意代码，非法进程的执行和活动应用环境锁定系统环境锁定策略统一管理网络环境锁定工业控制系统安全解决方案DCS的保护目标工业控制系统安全解决方案19工控机安全项目案例-北京奔驰工业控制系统安全解决方案项目背景用户名称•北京奔驰汽车有限公司•具备年产10万辆汽车的生产能力•是中国最先进的世界级汽车制造企业用户环境•生产线统一采用西门子SINUMERIK工控系统•其核心组件PCU为基于windowsXP系统的PC，40GB硬盘，512M-2G内存用户需求•工控系统安全性至关重要•PCU的病毒威胁防护亟待解决工业控制系统安全解决方案传统病毒防护方式存在的问题•工控机与后台系统通过专线连接，带宽资源紧张•防病毒软件需要频繁升级病毒特征库，无法与互联网隔离；操作系统补丁需要升级部署升级•工控机设备多为XP系统，硬件配置较低•防病毒软件对系统资源和带宽消耗极大，导致工控机系统不稳定威胁防护•不部署安全防护软件无法满足安全要求•日常运维时U盘的不规范使用引入更多安全威胁，工控机出现问题后只能依赖于GHOST系统恢复安全运维21工业控制系统安全解决方案CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化，除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行系统锁定CSP防护方案特点另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能进程防护在网络层通过防火墙功能阻止网络攻击，限制无关主机对工控机设备的网络访问网络隔离策略一次下发，即可长期有效。如果后续业务软件没有变动，安全策略不需要任何调整升级零维护工业控制系统安全解决方案优势特点及效果CSP完美兼容所测试的工控机操作系统对现有的工控机设备硬件资源开销极小,CSP保持防护状态时，不会拖慢系统极低的资源占用通过沙箱锁定机制和文件访问防护，CSP可以根本上解决恶意代码在工控机设备上的运行与扩散防护效果系统兼容性策略无需经常调整，不需要像防毒软件一样升级，提供方便的变更维护机制免维护工业控制系统安全解决方案24结束语工业控制系统安全解决方案25目前工控系统的安全基础存在先天不足工控针对性恶意代码、APT和信息武器将越来越多地攻击工控系统25传统的内外网物理隔离措施不能有效地保证工控系统安全提高工控系统安全性工业控制系统安全解决方案Thankyou!Thankyou!26工业控制系统安全解决方案