关于工业网络安全.pptx

《关于工业网络安全.pptx》由会员分享，可在线阅读，更多相关《关于工业网络安全.pptx（29页珍藏版）》请在课桌文档上搜索。

1、1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。2、网络安全主要是指网络上的信息安全。3、网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安全。,网络安全简介,关于工业控制网络安全几项问题和安全产品,1、近年来的工控网络安全事件2、工控系统网络面临的众多安全问题3、国内工控信息安全相关政策4、传统的IT安全产品无法解决工控安全问题5、工控安全防护的误区6、工业控制系统信息安全主要目标7、工控网络攻击入侵途径分析8、工控网络安全“白环境”监控防护体系与白名单机制9、国内一些厂

2、家的工控安全产品10、一些行业应用案例,石化2011年：我国某石化企业某装置控制系统分别感染Conficker病毒，造成控制系统服务器与控制器通讯不同程度地中断,电力2014年：Havex病毒病毒席卷欧美，劫持电力工控设备，阻断电力供应，在中国也发现少量样本传播,核设施2010年：著名的震网病毒使伊朗核设施遭受严重破坏，导致伊朗核工业发展停滞达一年之久,制造业2005年：Zotob蠕虫事件对全球制造行业造成巨大经济损失超过$1,400,000,水利2007年：攻击者入侵加拿大一水利SCADA控制系统，破坏了取水调度的控制计算机,市政2008年：攻击者利用电视遥控器改变轨道扳道器，攻击了波兰Lo

3、dz的城铁系统，导致4节车厢出轨，12名乘客受伤,自2009年以来中国网络遭受黑客攻击增长15倍以上，30%是针对国家基础设施,近年来的工控网络安全事件,工控系统网络面临的众多安全问题,来自管理信息网的病毒扩散。所有自控设备和计量设备均在一个网段，容易形成网络风暴，造成全网瘫痪。缺少访问控制手段，从任何地方接入生产网段即可访问全厂生产设备。工业控制系统协议缺乏足够的安全性考虑，易被攻击者利用。工控系统软件及设备存在漏洞，但是软件升级及漏洞修补难以进行。服务器/工程师站任意安装软件，恶意程序非法启动运行。服务器/工程师站上进行其它无关作业任务的现象缺乏管控。使用U盘等造成服务器/工程师站感染病毒

4、，使系统出现运行缓慢、卡死等故障。缺乏切实有效的安全管理制度、相关人员安全意识匮乏。无实时报警和诊断工具。,国内工控信息安全相关政策,传统的IT安全产品无法解决工控安全问题,对工控安全防护的误区,工业控制系统是与外界隔离的,没有人会攻击工业控制系统,黑客不懂工控协议和系统，系统非常安全,单向通信可以保证100%的安全,工业控制系统信息安全主要目标,工控网络攻击入侵途径分析,企业办公网,远程维护通道,手机等智能终端,USB移动存储介质,WLAN无线连接,心怀不满或恶意员工,工控网络安全“白环境”监控防护体系,只有可信任的 设备，才允许接入控制网络；,只有可信任的 命令，才能在网络上传输；,只有可

5、信任的 软件，才能在主机上执行；,1.,2.,3.,核心理念,运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模型，进而构筑工业控制系统的网络“安全白环境”。,创新的“软可信”计算技术，降低方案成本，提高实用性；,机器自学习“白环境”智能建模技术，降低维护成本，提高易用性；,1.,2.,高速工控协议深度包解析技术，具备高安全性，低时延影响；,3.,核心技术,工控网络“白环境”解决方案系统架构图,纵深防御白名单机制工业协议深度解析实时监控审计统一平台管理技术为管理服务,数据库服务器,ERP服务器,M

6、ES服务器,OPC监控终端,ERP客户端,数据库客户端,数采网,控制网,OPC服务器,工程师站,OPC服务器,工程师站,炉区控制系统,区域网关,办公网,Internet,路由器,工控安全审计平台,工业交换机,区域网关,工业交换机,分离压缩控制系统,OPC服务器,边界网关,区域网关,OPC服务器,区域网关,边界网关,工控安全统一管理平台,白名单机制,“白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。,“白名单”安全机制是一种安全管理规范，不仅应用于防火墙软件的

7、设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员只信任可识别的身份，未经授权的行为将被拒绝。,工控防火墙（边界型）,产品定位保护控制网与管理信息网的边界阻止来自管理信息网的威胁,产品亮点国内第一款千兆工业防火墙OPC深度白名单/OPC只读控制低延迟 50us,仅放开OPC动态端口,数采协议(如OPC)深度白名单,数采协议(如OPC)的只读控制,白名单智能学习,状态检测防火墙,静态路由与动态路由(OSPF),违规报警及报告(支持短信),统一安全管理平台,产品功能,工控防火墙（区域型）,产品定位保护控制网安全区域间的边界阻止来自安全

8、区域外的安全威胁防止安全域内的攻击扩散,产品亮点真千兆，低延迟 50usModbus的只读控制多种工业现场协议快速适配,产品功能,Modbus协议的深度白名单,多种工业现场协议快速适配,白名单智能学习,状态检测防火墙,静态路由与动态路由(OSPF),违规报警及报告(支持短信),统一安全管理平台,传统防火墙,工业防火墙,Modbus TCP,Unknown,工控防火墙区别于传统防火墙,国内首家利用“白名单”技术保护工控系统主机安全的主机安全加固软件。保证只有经过认证的“白名单”软件才可以运行，任何其他的病毒、木马和违规软件都被阻止。,专业工控主机安全加固软件可信卫士,应用白名单,实时报警,日志审

9、计,DHD JGDJ D J,自身保护,DHD JGDJ D J,观察模式,安全U盘,可信卫士核心优势,可信工作站卫士防护病毒原理举例：当恶意软件被用户无意下载到本机之后，可信卫士可阻断恶意软件的安装及运行，同时生成审计日志，协助管理员发现病毒。,有效抵御零日攻击及高级持久性威胁（APT）,灵活配置白名单，增强安全同时降低维护成本,完全避免传统杀毒软件“误杀”和“误报”,系统资源低开销，不影响正常工控软件运行,极致简单，适合工控环境，亦适用XP等老旧系统,全方位的日志审计，安全隐患一目了然,核心优势,工控安全漏洞挖掘平台,针对工业控制系统中各类设备进行通讯健壮性专业评测建立我国工控安全防护标准

10、的理论支撑和测试工具完全国产自主知识产权，杜绝国外产品安全后门隐患,提供了发现工业控制系统和设备零日漏洞的工具提供了设备漏洞根源分析和定位解决的工具能够有效丰富我国自有工业控制系统漏洞库,增强产品出厂时的健壮性和安全性提高评测认证通过能力，提升生产效率减少漏洞修补费用，降低产品召回风险,工控安全审计管理平台,监控并记录工控系统运行过程中的一切操作行为，为事故追溯、责任划分提供证据,产品定位,产品功能,网络异常检测：忠实记录工控协议通信记录，自学习建立正常通信行为基线模型，对偏离基线异常操作行为进行告警上报；网络攻击检测：识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测；关键事件

11、检测：例对工程师站组态并更、操控指令变、PLC程序下装以及负载变更等关键事件告警工业网络可视化：提供多维度网络流量视图，统计视图；,工控信息安全统一管理平台,功能亮点：监控、管理工控网络中运行的设备；查看、管理主机配置合规性；网络中、主机上的漏洞分析检测；监控网络行为，透析入侵攻击；,工控安全是系统工程,基于工控安全事件生命周期的产品组成,工控安全攻防演练平台,工控安全咨询评估服务,行业案例陕西榆林XX化工,行业案例新疆XX油田,工作站可信卫士保护工作站免受病毒侵袭可信边界网关进行数采协议OPC的只读防护；可信区域网关进行各采油井之间的网络隔离，访问控制以及专用工控协议的控制；,客户价值,行业

12、案例山西XX煤矿,客户问题,给煤管局上传数据发现被篡改，通过备份恢复，过一个月后又有发生；经调研，因其工控软件有漏洞，主机缺乏安全管控，边界安全防护薄弱；,解决方案,部署工业防火墙（可信边界网关TEG）进行边界防护；在工程师站和服务器上安装可信卫士保证只有经过认证的“白名单”软件才可以运行，任何其他的病毒、木马和违规软件都被阻止；,行业案例湖南XX烟厂,工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护；可信区域网关进行各生产线之间的网络隔离，访问控制以及专用工控协议的控制；,客户价值,行业案例天津XX油田,工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护；可信区域网关进行各生产线之间的网络隔离，访问控制以及专用工控协议的控制；,客户价值,感谢聆听,