工业控制系统安全解决方案课件

1、1工业控制系统安全解决方案 工业控制系统安全解决方案1工业控制系统安全解决方案 工控机安全项目案例2工控系统中的安全薄弱点工业控制系统简介2Symantec工控机安全防护产品提 纲工业控制系统安全解决方案工控机安全项目案例2工控系统中的安全薄弱点工业控制系统简介23工业控制系统简介工业控制系统安全解决方案3工业控制系统简介工业控制系统安全解决方案工业控制系统应用简介重工业钢铁化工电力轻工业纺织食品陶瓷物联网工业监测智能交通环境监测智能家居家电控制照明控制暖通控制工业控制系统安全解决方案4工业控制系统应用简介重工业钢铁化工电力轻工业纺织食品陶瓷物联集散控制系统（DCS）简介 特点：工业以太网数字

2、通信，现场仪表模拟通信。变送器执行器操作站监控计算机工业以太网 现场控制站PLC420mA模拟电流信号工业控制系统安全解决方案5集散控制系统（DCS）简介 特点：工业以太网数字通信，现场仪现场总线控制系统（FCS）简介服务器其它工作站工业以太网监控工作站现场总线智能控制器 智能变送器 智能执行器 特点：工业以太网和现场总线全数字通信工业控制系统安全解决方案6现场总线控制系统（FCS）简介服务器其它工作站工业控制系统前实际的DCS、FCS和现场总线应用操作员站工程师站工业以太网现场控制站PLC变送器执行器420mA模拟电流信号现场总线现场总线接口智能变送器 智能执行器 工业控制系统安全解决方案7

3、前实际的DCS、FCS和现场总线应用操作员站工程师站变送器8工控系统中的安全薄弱点工业控制系统安全解决方案8工控系统中的安全薄弱点工业控制系统安全解决方案震网（Stuxnet）蠕虫攻击伊朗核设施 来自安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告目标：伊朗核电站提炼浓缩铀的设施目的：干扰浓缩铀提取过程，降低成 品浓度方法：渗透至工业内网，利用工业控制系统的安全漏洞，改变相关设施的运行参数结果：成功！使伊朗核工业陷入停滞攻击目标为DCS中的西门子WinCC HMI组态软件、STEP7组态软件以及S7-300400系列PLC（某些型号），采用与攻击渗透民用以太网相似的方法。工业控制系

4、统安全解决方案9震网（Stuxnet）蠕虫攻击伊朗核设施 来自安天实验室攻击DCS中的PLC先感染操作站等PC，在PLC组态时写入恶意代码。操作站监控计算机工业以太网现场控制站PLC变送器执行器420mA模拟电流信号组态计算机操作站组态PLC时进行攻击专用组态计算机 组态PLC时进行 攻击工业控制系统安全解决方案10攻击DCS中的PLC先感染操作站等PC，在PLC组态时写入恶723高铁事故的启示列 控 中 心 集 中 控 制 的 该 信 号 错 误 变 成 绿灯，引起D301次列 车 错 误 冲 入 区 间 ， 最 终 导 致 惨 烈 追 尾 事故！工业控制系统安全解决方案11723高铁事故的

5、启示列 控 中 心 集 中 控 制 的 该黑掉化工厂（漏洞化工处理框架） 黑掉化工厂，导致化工厂爆炸。 火车碰撞。 大面积停电。工业控制系统安全解决方案12黑掉化工厂（漏洞化工处理框架） 黑掉化工厂，导致化工厂爆炸攻击化工厂反应釜的温度测控工业以太网温度变送器阀门执行器RS-485总线网关反应釜热电偶蒸汽阀门加热蒸汽攻击方法1：将恶意 代 码 组 态 到 现 场 控 制站PLC中，篡改 通 过 以 太 网 传 输 的 现场总线数据。攻击设备攻击方法2：在现场总线上偷挂攻击设备 伪造现场总线数据。现场控制站PLC工业控制系统安全解决方案13攻击化工厂反应釜的温度测控工业以太网温度变送器阀门执行器

6、RS14Symantec工控机安全防护产品工业控制系统安全解决方案14Symantec工控机安全防护产品工业控制系统安全解决方DCS（数据中心安全）产品家族DCS familyDCS:ServerAgentlessServer AdvancedSCSP ServerEmbedded CSPSCSP Client业务系统安全防护生产终端安全防护工业控制系统安全解决方案15DCS（数据中心安全）产品家族DCS familyDCS:SDCS功能合集行为控制系统控制入侵检测（IDS）入侵防护（IPS）白名单防范零日攻击限制操作系统行为缓冲区溢出保护漏洞保护锁定配置文件的配置强制安全策略缩小使用权限限制

7、设备访问vSphere保护关闭后门限制应用的网络访问权限限制数据通信检测，合并，转发日志实时监控文件完整性告警/提示无代理的恶意软件访问（AV）工业控制系统安全解决方案16DCS功能合集行为控制系统控制入侵检测（IDS）入侵防护（I可以有效控制恶意代码的传播和感染，防护网络攻击锁定系统运行环境和资源开启系统资源保护，防止缓冲区溢出，进程注入，内存注入等攻击锁定专用终端的网络环境，严格限制网络通讯只允许专用终端应用与后台特定服务器通讯SCSP Client保障专用业务终端最小权限的安全运行环境专用业务终端锁定应用进程运行环境，严格限制可运行的进程及资源只允许专用终端的应用进程及其调用的系统进程和

8、资源运行进程间继承关系智能检测识别支持所有专用终端设备和系统集中管理专用终端安全防护策略统一监控专用终端系统日志和安全事件，集中审计和告警可以有效保护专用终端的补丁缺失，防护入侵和零日漏洞攻击可以满足跨平台，跨系统的集中安全管理需求可以有效控制恶意代码，非法进程的执行和活动应用环境锁定系统环境锁定策略统一管理网络环境锁定工业控制系统安全解决方案17可以有效控制恶意代码的传播和感染，防护网络攻击锁定系统运行环DCS的保护目标工业控制系统安全解决方案18DCS的保护目标工业控制系统安全解决方案1819工控机安全项目案例-北京奔驰工业控制系统安全解决方案19工控机安全项目案例-北京奔驰工业控制系统安

9、全解决方案项目背景用户名称北京奔驰汽车有限公司具备年产10万辆汽车的生产能力是中国最先进的世界级汽车制造企业用户环境生产线统一采用西门子SINUMERIK工控系统其核心组件PCU为基于windows XP系统的PC，40GB硬盘，512M-2G内存用户需求工控系统安全性至关重要PCU的病毒威胁防护亟待解决工业控制系统安全解决方案20项目背景用户名称北京奔驰汽车有限公司具备年产10万辆汽车的生传统病毒防护方式存在的问题部署升级工控机与后台系统通过专线连接，带宽资源紧张防病毒软件需要频繁升级病毒特征库，无法与互联网隔离；操作系统补丁需要升级威胁防护工控机设备多为XP系统，硬件配置较低防病毒软件对系

10、统资源和带宽消耗极大，导致工控机系统不稳定安全运维不部署安全防护软件无法满足安全要求日常运维时U盘的不规范使用引入更多安全威胁，工控机出现问题后只能依赖于GHOST系统恢复21工业控制系统安全解决方案传统病毒防护方式存在的问题部署工控机与后台系统通过专线连接，CSP对工控机采用系统沙箱锁定机制来对操作系统进行固化，除操作系统正常运行的核心程序以及业务软件之外的程序都不可执行系统锁定CSP防护方案特点另外SCSP还提供缓存溢出攻击防护和线程注入攻击防护的功能进程防护在网络层通过防火墙功能阻止网络攻击，限制无关主机对工控机设备的网络访问网络隔离策略一次下发，即可长期有效。如果后续业务软件没有变动，

11、安全策略不需要任何调整升级零维护工业控制系统安全解决方案22系统锁定CSP防护方案特点进程防护网络隔离零维护工业控制系统 优势特点及效果CSP完美兼容所测试的工控机操作系统对现有的工控机设备硬件资源开销极小,CSP保持防护状态时，不会拖慢系统极低的资源占用通过沙箱锁定机制和文件访问防护，CSP可以根本上解决恶意代码在工控机设备上的运行与扩散防护效果系统兼容性策略无需经常调整，不需要像防毒软件一样升级，提供方便的变更维护机制免维护工业控制系统安全解决方案23 优势特点及效果CSP完美兼容所测试的工控机操作系统对现有24结束语工业控制系统安全解决方案24结束语工业控制系统安全解决方案25目前工控系

12、统的安全基础存在先天不足工控针对性恶意代码、APT和信息武器将越来越多地攻击工控系统25传统的内外网物理隔离措施不能有效地保证工控系统安全提高工控系统安全性工业控制系统安全解决方案25目前工控系统的安全基础存在先天不足工控针对性恶意代码、A26工业控制系统安全解决方案26工业控制系统安全解决方案9、 人的价值，在招收诱惑的一瞬间被决定。01-10月-2201-10月-22Saturday, October 1, 202210、低头要有勇气，抬头要有低气。*10/1/2022 1:03:41 AM11、人总是珍惜为得到。01-10月-22*Oct-2201-Oct-2212、人乱于心，不宽余请。*Saturday, October 1, 202213、生气是拿别人做错的事来惩罚自己。01-10月-2201-10月-22*01 Oct