《关于工业网络安全.pptx》由会员分享,可在线阅读,更多相关《关于工业网络安全.pptx(29页珍藏版)》请在第壹文秘上搜索。
1、1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。 2、网络安全主要是指网络上的信息安全。 3、网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安全。网络安全简介网络安全简介关于工业控制网络安全几项问题和安全产品关于工业控制网络安全几项问题和安全产品1、近年来的工控网络安全事件2、工控系统网络面临的众多安全问题3、国内工控信息安全相关政策4、传统的IT安全产品无法解决工控安全问题5、工控安全防护的误区6、工业控制系统信息安全主要目标7、工控网络攻击入侵途径分析8、工控网络安全
2、“白环境”监控防护体系与白名单机制9、国内一些厂家的工控安全产品10、一些行业应用案例石化2011年:我国某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断电力2014年:Havex病毒病毒席卷欧美,劫持电力工控设备,阻断电力供应,在中国也发现少量样本传播核设施2010年:著名的震网病毒使伊朗核设施遭受严重破坏,导致伊朗核工业发展停滞达一年之久制造业2005年:Zotob蠕虫事件对全球制造行业造成巨大经济损失超过$1,400,000水利2007年:攻击者入侵加拿大一水利SCADA控制系统,破坏了取水调度的控制计算机市政2008年:攻击者利用电视
3、遥控器改变轨道扳道器,攻击了波兰Lodz的城铁系统,导致4节车厢出轨,12名乘客受伤自2009年以来中国网络遭受黑客攻击增长15倍以上,30%是针对国家基础设施近年来的工控网络安全事件工控系统网络面临的众多安全问题l 来自管理信息网的病毒扩散。l 所有自控设备和计量设备均在一个网段,容易形成网络风暴,造成全网瘫痪。l 缺少访问控制手段,从任何地方接入生产网段即可访问全厂生产设备。l 工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用。l 工控系统软件及设备存在漏洞,但是软件升级及漏洞修补难以进行。l 服务器/工程师站任意安装软件,恶意程序非法启动运行。l 服务器/工程师站上进行其它无关作业任
4、务的现象缺乏管控。l 使用U盘等造成服务器/工程师站感染病毒,使系统出现运行缓慢、卡死等故障 。l 缺乏切实有效的安全管理制度、相关人员安全意识匮乏。l 无实时报警和诊断工具。国务院关于大力推进信息化发展和切实保障信息安全的若干意见,国发国发201223号号 意见6-3明确,保障工业控制系统安全保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理。工信部下发451号文件关于加强工业控制系统信息安全管理关于加强工业控制系统信息安全管理的通知的通知,明确规定加强重点领域
5、工控信息系统安全管理措施。2017年6月1日施行中华人民共和国网络安全法中华人民共和国网络安全法国内工控信息安全相关政策传统的IT安全产品无法解决工控安全问题对比项工业控制系统(ICS)传统IT信息系统建设目标利用各种自动化控制技术、不同的工业协议,实现工业自动化过程及设备的(24/7/365)智能控制、监测与管理运行。利用通用的计算机、互联网技术实现数据处理与信息共享。数据交换协议专用通信协议或规约(OPC、Modbus、DNP3、S7等)直接使用或作为TCP/IP协议的应用层使用,各行业存在较大差异。TCP/IP协议栈(应用层协议:HTTP、FTP、SMTP等)系统实时性系统传输、处理信息
6、的实时性要求高、不能停机和重启恢复系统的实时性要求不高,信息传输允许延迟,可以停机和重启恢复系统故障响应不可预料的中断会造成经济损失或灾难,故障必须紧急响应处理不可预料的中断可能会造成任务损失,系统故障的处理响应级别随IT系统要求而定系统升级难度专有系统兼容性差、软硬件升级较困难,一般很少进行系统升级,如需升级可能需要整个系统升级换代采用通用系统,兼容性较好,软硬件升级较容易,且软件系统升级较频繁对工控安全防护的误区123工业控制系统是与外界隔离的没有人会攻击工业控制系统黑客不懂工控协议和系统,系统非常安全4单向通信可以保证100%的安全工业控制系统信息安全主要目标可用性完整性保密性保护工控系
7、统免受病毒等恶意代码的侵袭。避免工控系统遭受人为恶意或者无意的违规操作。防范外部、内部的网络攻击。在不利条件下维护生产系统功能。安全事件发生后能迅速定位找出问题根源。工控网络攻击入侵途径分析企业办公网远程维护通道手机等智能终端USB移动存储介质WLAN无线连接心怀不满或恶意员工工控网络安全“白环境”监控防护体系只有可信任的 设备,才允许接入控制网络;只有可信任的 命令,才能在网络上传输;只有可信任的 软件,才能在主机上执行;1.2.3.核心理念运用白名单的思想,通过对工控网络流量、工作站软件运行状态等进行监控,运用大数据技术收集并分析流量数据及工作站状态,建立工控系统及网络正常工作的安全模型,
8、进而构筑工业控制系统的网络 “安全白环境”。创新的“软可信”计算技术,降低方案成本,提高实用性;机器自学习“白环境”智能建模技术,降低维护成本,提高易用性;1.2.高速工控协议深度包解析技术,具备高安全性,低时延影响;3.核心技术工控网络“白环境”解决方案系统架构图u 纵深防御u 白名单机制u 工业协议深度解析u 实时监控审计u 统一平台管理u 技术为管理服务数据库服务器ERP服务器MES服务器OPC监控终端ERP客户端数据库客户端数采网控制网OPC服务器工程师站OPC服务器工程师站炉区控制系统区域网关办公网Internet路由器工控安全审计平台工业交换机区域网关工业交换机分离压缩控制系统OP
9、C服务器边界网关区域网关OPC服务器区域网关边界网关工控安全统一管理平台白名单机制 “白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。 “白名单”安全机制是一种安全管理规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份,未经授权的行为将被拒绝。 工控防火墙(边界型)l产品定位p保护控制网与管理信息网的边界p阻止来自管理信息网的威胁l产品亮点p国内第一
10、款千兆工业防火墙pOPC深度白名单/OPC只读控制p低延迟 50usp仅放开OPC动态端口p数采协议(如OPC)深度白名单p数采协议(如OPC)的只读控制p白名单智能学习p状态检测防火墙p静态路由与动态路由(OSPF)p违规报警及报告(支持短信)p统一安全管理平台l产品功能 工控防火墙(区域型)l产品定位p保护控制网安全区域间的边界p阻止来自安全区域外的安全威胁p防止安全域内的攻击扩散l产品亮点p真千兆,低延迟 50uspModbus的只读控制p多种工业现场协议快速适配l产品功能pModbus协议的深度白名单p多种工业现场协议快速适配p白名单智能学习p状态检测防火墙p静态路由与动态路由(OSP
11、F)p违规报警及报告(支持短信)p统一安全管理平台EthernetIPTCP?l传统防火墙EthernetIPTCPMAP头功能码数据校验l工业防火墙Modbus TCP传统防火墙工业防火墙过滤字段IP地址(源、目的)端口(源、目的)传输层协议类型(TCP/UDP)IP地址(源、目的)端口(源、目的)传输层协议类型(TCP/UDP)Modbus功能码Modbus线圈/寄存器Modbus读写值域Modbus只读无法支持支持OPC动态端口无法支持支持Unknown工控防火墙区别于传统防火墙国内首家利用“白名单”技术保护工控系统主机安全的主机安全加固软件。保证只有经过认证的“白名单”软件才可以运行,
12、任何其他的病毒、木马和违规软件都被阻止。 专业工控主机安全加固软件可信卫士应用白名单实时报警日志审计 DHD JGDJ D J 产品功能自身保护 DHD JGDJ D J 观察模式安全U盘 可信卫士核心优势u可信工作站卫士防护病毒原理举例:当恶意软件被用户无意下载到本机之后,可信卫士可阻断恶意软件的安装及运行,同时生成审计日志,协助管理员发现病毒。有效抵御零日攻击及高级持久性威胁(APT)灵活配置白名单,增强安全同时降低维护成本完全避免传统杀毒软件“误杀”和“误报”系统资源低开销,不影响正常工控软件运行极致简单,适合工控环境,亦适用XP等老旧系统全方位的日志审计,安全隐患一目了然核心优势 工控
13、安全漏洞挖掘平台 针对工业控制系统中各类设备进行通讯健壮性专业评测 建立我国工控安全防护标准的理论支撑和测试工具 完全国产自主知识产权,杜绝国外产品安全后门隐患 提供了发现工业控制系统和设备零日漏洞的工具 提供了设备漏洞根源分析和定位解决的工具 能够有效丰富我国自有工业控制系统漏洞库 增强产品出厂时的健壮性和安全性 提高评测认证通过能力,提升生产效率 减少漏洞修补费用,降低产品召回风险工控安全审计管理平台监控并记录工控系统运行过程中的一切操作行为,为事故追溯、责任划分提供证据产品定位产品功能网络异常检测:忠实记录工控协议通信记录,自学习建立正常通信行为基线模型,对偏离基线异常操作行为进行告警上
14、报;网络攻击检测:识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测;关键事件检测:例对工程师站组态并更、操控指令变、PLC程序下装以及负载变更等关键事件告警工业网络可视化:提供多维度网络流量视图,统计视图;工控信息安全统一管理平台功能亮点:u 监控、管理工控网络中运行的设备;u 查看、管理主机配置合规性;u 网络中、主机上的漏洞分析检测;u 监控网络行为,透析入侵攻击;提高工控安全意识掌握工控安全防护方法工控安全培训识别工控安全风险制定标准/制度/流程工控安全评估工控漏洞检测工控安全审计工控系统配置检查工控安全检查建立工控安全业务模型建立安全监控预警平台建立工控安全防护平台构筑
15、工控安全防护体系统工控安全是系统工程基于工控安全事件生命周期的产品组成事前安全检查与加固工控漏洞检测平台可信卫士事中安全防护工控安全防火墙工控安全监控平台事后事件追溯工控安全审计平台工控安全攻防演练平台工控安全咨询评估服务 行业案例陕西榆林XX化工 行业案例新疆XX油田工作站可信卫士保护工作站免受病毒侵袭可信边界网关进行数采协议OPC的只读防护;可信区域网关进行各采油井之间的网络隔离,访问控制以及专用工控协议的控制;客户价值行业案例山西XX煤矿数据库服务器ERP服务器MES服务器OPC监控终端ERP客户端数据库客户端数采网控制网OPC服务器工程师站OPC服务器工程师站控制系统区域网关办公网In
16、ternet路由器工业交换机区域网关工业交换机 控制系统OPC服务器边界网关区域网关OPC服务器区域网关边界网关客户问题给煤管局上传数据发现被篡改, 通过备份恢复,过一个月后又有发生;经调研,因其工控软件有漏洞,主机缺乏安全管控,边界安全防护薄弱;解决方案部署工业防火墙(可信边界网关TEG)进行边界防护;在工程师站和服务器上安装可信卫士保证只有经过认证的“白名单”软件才可以运行,任何其他的病毒、木马和违规软件都被阻止; 行业案例湖南XX烟厂工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护;可信区域网关进行各生产线之间的网络隔离,访问控制以及专用工控协议的控制;客户价值 行业案例天津XX油田工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护;可信区域网关进行各生产线之间的网络隔离,访问控制以及专用工控协议的控制;客户价值感谢聆听感谢聆听