《关于工业网络安全》由会员分享,可在线阅读,更多相关《关于工业网络安全(29页珍藏版)》请在金锄头文库上搜索。
1、1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。 2、网络安全主要是指网络上的信息安全。 3、网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安全。,网络安全简介,关于工业控制网络安全几项问题和安全产品,1、近年来的工控网络安全事件 2、工控系统网络面临的众多安全问题 3、国内工控信息安全相关政策 4、传统的IT安全产品无法解决工控安全问题 5、工控安全防护的误区 6、工业控制系统信息安全主要目标 7、工控网络攻击入侵途径分析 8、工控网络安全“白环境”监控防护体系与白名单
2、机制 9、国内一些厂家的工控安全产品 10、一些行业应用案例,石化 2011年:我国某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断,电力 2014年:Havex病毒病毒席卷欧美,劫持电力工控设备,阻断电力供应,在中国也发现少量样本传播,核设施 2010年:著名的震网病毒使伊朗核设施遭受严重破坏,导致伊朗核工业发展停滞达一年之久,制造业 2005年:Zotob蠕虫事件对全球制造行业造成巨大经济损失超过$1,400,000,水利 2007年:攻击者入侵加拿大一水利SCADA控制系统,破坏了取水调度的控制计算机,市政 2008年:攻击者利用电视遥
3、控器改变轨道扳道器,攻击了波兰Lodz的城铁系统,导致4节车厢出轨,12名乘客受伤,自2009年以来中国网络遭受黑客攻击增长15倍以上,30%是针对国家基础设施,近年来的工控网络安全事件,工控系统网络面临的众多安全问题,来自管理信息网的病毒扩散。 所有自控设备和计量设备均在一个网段,容易形成网络风暴,造成全网瘫痪。 缺少访问控制手段,从任何地方接入生产网段即可访问全厂生产设备。 工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用。 工控系统软件及设备存在漏洞,但是软件升级及漏洞修补难以进行。 服务器/工程师站任意安装软件,恶意程序非法启动运行。 服务器/工程师站上进行其它无关作业任务的现象缺
4、乏管控。 使用U盘等造成服务器/工程师站感染病毒,使系统出现运行缓慢、卡死等故障 。 缺乏切实有效的安全管理制度、相关人员安全意识匮乏。 无实时报警和诊断工具。,国内工控信息安全相关政策,传统的IT安全产品无法解决工控安全问题,对工控安全防护的误区,工业控制系统是与外界隔离的,没有人会攻击工业控制系统,黑客不懂工控协议和系统,系统非常安全,单向通信可以保证100%的安全,工业控制系统信息安全主要目标,工控网络攻击入侵途径分析,企业办公网,远程维护通道,手机等智能终端,USB移动存储介质,WLAN无线连接,心怀不满或恶意员工,工控网络安全“白环境”监控防护体系,只有可信任的 设备,才允许接入控制
5、网络;,只有可信任的 命令,才能在网络上传输;,只有可信任的 软件,才能在主机上执行;,1.,2.,3.,核心理念,运用白名单的思想,通过对工控网络流量、工作站软件运行状态等进行监控,运用大数据技术收集并分析流量数据及工作站状态,建立工控系统及网络正常工作的安全模型,进而构筑工业控制系统的网络 “安全白环境”。,创新的“软可信”计算技术,降低方案成本,提高实用性;,机器自学习“白环境”智能建模技术,降低维护成本,提高易用性;,1.,2.,高速工控协议深度包解析技术,具备高安全性,低时延影响;,3.,核心技术,工控网络“白环境”解决方案系统架构图,纵深防御 白名单机制 工业协议深度解析 实时监控
6、审计 统一平台管理 技术为管理服务,数据库 服务器,ERP 服务器,MES 服务器,OPC 监控终端,ERP 客户端,数据库 客户端,数采网,控制网,OPC 服务器,工程师站,OPC 服务器,工程师站,炉区控制系统,区域网关,办公网,Internet,路由器,工控安全审计平台,工业交换机,区域网关,工业交换机,分离压缩控制系统,OPC 服务器,边界网关,区域网关,OPC 服务器,区域网关,边界网关,工控安全统一 管理平台,白名单机制,“白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制
7、未知恶意软件的运行和传播。,“白名单”安全机制是一种安全管理规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份,未经授权的行为将被拒绝。,工控防火墙(边界型),产品定位 保护控制网与管理信息网的边界 阻止来自管理信息网的威胁,产品亮点 国内第一款千兆工业防火墙 OPC深度白名单/OPC只读控制 低延迟 50us,仅放开OPC动态端口,数采协议(如OPC)深度白名单,数采协议(如OPC)的只读控制,白名单智能学习,状态检测防火墙,静态路由与动态路由(OSPF),违规报警及报告(支持短信)
8、,统一安全管理平台,产品功能,工控防火墙(区域型),产品定位 保护控制网安全区域间的边界 阻止来自安全区域外的安全威胁 防止安全域内的攻击扩散,产品亮点 真千兆,低延迟 50us Modbus的只读控制 多种工业现场协议快速适配,产品功能,Modbus协议的深度白名单,多种工业现场协议快速适配,白名单智能学习,状态检测防火墙,静态路由与动态路由(OSPF),违规报警及报告(支持短信),统一安全管理平台,传统防火墙,工业防火墙,Modbus TCP,Unknown,工控防火墙区别于传统防火墙,国内首家利用“白名单”技术保护工控系统主机安全的主机安全加固软件。保证只有经过认证的“白名单”软件才可以
9、运行,任何其他的病毒、木马和违规软件都被阻止。,专业工控主机安全加固软件可信卫士,应用白名单,实时报警,日志审计,DHD JGDJ D J,自身保护,DHD JGDJ D J,观察模式,安全U盘,可信卫士核心优势,可信工作站卫士防护病毒原理举例:当恶意软件被用户无意下载到本机之后,可信卫士可阻断恶意软件的安装及运行,同时生成审计日志,协助管理员发现病毒。,有效抵御零日攻击及高级持久性威胁(APT),灵活配置白名单,增强安全同时降低维护成本,完全避免传统杀毒软件“误杀”和“误报”,系统资源低开销,不影响正常工控软件运行,极致简单,适合工控环境,亦适用XP等老旧系统,全方位的日志审计,安全隐患一目
10、了然,核心优势,工控安全漏洞挖掘平台,针对工业控制系统中各类设备进行通讯健壮性专业评测 建立我国工控安全防护标准的理论支撑和测试工具 完全国产自主知识产权,杜绝国外产品安全后门隐患,提供了发现工业控制系统和设备零日漏洞的工具 提供了设备漏洞根源分析和定位解决的工具 能够有效丰富我国自有工业控制系统漏洞库,增强产品出厂时的健壮性和安全性 提高评测认证通过能力,提升生产效率 减少漏洞修补费用,降低产品召回风险,工控安全审计管理平台,监控并记录工控系统运行过程中的一切操作行为, 为事故追溯、责任划分提供证据,产品定位,产品功能,网络异常检测:忠实记录工控协议通信记录,自学习建立正常通信行为基线模型,
11、对偏离基线异常操作行为进行告警上报; 网络攻击检测:识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测; 关键事件检测:例对工程师站组态并更、操控指令变、PLC程序下装以及负载变更等关键事件告警 工业网络可视化:提供多维度网络流量视图,统计视图;,工控信息安全统一管理平台,功能亮点: 监控、管理工控网络中运行的设备; 查看、管理主机配置合规性; 网络中、主机上的漏洞分析检测; 监控网络行为,透析入侵攻击;,工控安全是系统工程,基于工控安全事件生命周期的产品组成,工控安全攻防演练平台,工控安全咨询评估服务,行业案例陕西榆林XX化工,行业案例新疆XX油田,工作站可信卫士保护工作站免受
12、病毒侵袭 可信边界网关进行数采协议OPC的只读防护; 可信区域网关进行各采油井之间的网络隔离,访问控制以及专用工控协议的控制;,客户价值,行业案例山西XX煤矿,客户问题,给煤管局上传数据发现被篡改, 通过备份恢复,过一个月后又有发生; 经调研,因其工控软件有漏洞,主机缺乏安全管控,边界安全防护薄弱;,解决方案,部署工业防火墙(可信边界网关TEG)进行边界防护; 在工程师站和服务器上安装可信卫士保证只有经过认证的“白名单”软件才可以运行,任何其他的病毒、木马和违规软件都被阻止;,行业案例湖南XX烟厂,工作站可信卫士保护产线免受病毒侵袭 可信边界网关进行产线数采协议OPC的只读防护; 可信区域网关进行各生产线之间的网络隔离,访问控制以及专用工控协议的控制;,客户价值,行业案例天津XX油田,工作站可信卫士保护产线免受病毒侵袭 可信边界网关进行产线数采协议OPC的只读防护; 可信区域网关进行各生产线之间的网络隔离,访问控制以及专用工控协议的控制;,客户价值,感谢聆听,
