《5-眼见为实-工控网络七大隐患和解决方案pps.pps》由会员分享,可在线阅读,更多相关《5-眼见为实-工控网络七大隐患和解决方案pps.pps(48页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、,眼见为实工控网络七大安全隐患和解决方案,工控系统普遍存在的七大安全隐患,6.执行关键操作,缺乏日志记录,5.执行服务器操作,缺乏系统审计,4.工控设备存在诸多漏洞,RTU/PLC安全隐患突出,3.系统缺乏监测手段,无法感知未知设备,2.系统极少升级,易受病毒攻击感染,1.开放对外接口,带来安全隐患,7.网络流量异常,导致设备工作异常,工控系统网络拓扑图(以发电厂为例),1.开放对外接口,带来安全隐患,外来接入设备,外来接入设备:1、供应商远程维护2、工程师远程操作3、数据远程传输4、,国能安全【2015】36号文件5、综合安全防护:5.2厂级关键监控应用系统服务器,应该使用安全加固的操作系统
2、。非控制区的安全设备应当进行身份鉴别、权限控制等安全配置加固。,1.开放对外接口,带来安全隐患,2.系统极少升级,易受病毒攻击感染,病毒入侵途径:1、远程维护外来接入设备2、本地维护外来接入设备3、移动媒质4、钓鱼软件5、,国能安全【2015】36号文件5、综合安全防护:5.2安全加固:采用专用软件强化操作系统访问控制能力及配置安全的应用程序,其中配置的更改和补丁安装应当经过测试。,2.系统极少升级,易受病毒攻击感染,3.系统缺乏监测手段,无法感知未知设备,遗忘设备,恶意设备,未知设备来源:1、新旧系统交替2、来自内部的破坏3、系统设备管理失误4、,国能安全【2015】36号文件5、综合安全防
3、护:5.1入侵检测:合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。,3.系统缺乏监测手段,无法感知未知设备,4.工控设备存在诸多漏洞,RTU/PLC安全隐患突出,工控设备安全隐患:1、通信协议明文传输2、通信协议缺乏认证加密机制3、通信健壮性脆弱4、非法恶意报文可导致设备崩溃5、设备固件从不更新6、,国能安全【2015】36号文件5、综合安全防护:5.1入侵检测:分析潜在威胁并进行安全审计;5.7恶意代码防范:应当及时更新特征码,查看查杀记录;5.8漏洞整改:应当加强相关系统及设备的运行管理和安全防护;,4.工控设备存在诸多漏洞,RTU/PLC
4、安全隐患突出,5.执行服务器操作,缺乏系统审计,服务器操作:1、安装/更新组态软件2、配置/修改软件参数3、增加/删减用户4、,国能安全【2015】36号文件5、综合安全防护:5.3身份鉴别,访问权限控制:访问系统资源等操作进行身份认证,根据身份与权限进行访问控制。5.4操作行为安全审计,抗抵赖,安全审计。,6.执行关键操作,缺乏日志记录,关键操作:1、开关控制2、调节档位3、,国能安全【2015】36号文件5、综合安全防护:5.3身份鉴别,访问权限控制:访问系统资源等操作进行身份认证,根据身份与权限进行访问控制。5.4操作行为安全审计,抗抵赖,安全审计。,6.执行关键操作,缺乏日志记录,关键
5、操作:1、下装逻辑程序2、组态变更3、,国能安全【2015】36号文件5、综合安全防护:5.3身份鉴别,访问权限控制:访问系统资源等操作进行身份认证,根据身份与权限进行访问控制。5.4操作行为安全审计,抗抵赖,安全审计。,6.执行关键操作,缺乏日志记录,7.网络流量异常,导致设备工作异常,网络流量异常发生的原因:1、网卡硬件异常导致广播风暴2、交换机配置错误导致回环3、拒绝服务式网络攻击(DOS)4、,国能安全【2015】36号文件2、基本原则:2.1安全分区:根据系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区及非控制区,重点保护生产控制以及直接影响电力生产的系统。2.2网络专用
6、:电力调度数据网应当在专用通道上使用独立的网络设备组网。,7.网络流量异常,导致设备工作异常,立思辰安全解决方案,解决问题的依据1ISA99/IEC62443,通用,资产拥有者,系统集成商,部件提供商,解决问题的依据2等级保护技术规范,等级保护,管理要求,技术要求,系统运维管理,数据安全与备份恢复,应用安全,网络安全,主机安全,物理安全,系统建设管理,人员安全管理,安全管理机构,安全管理制度,安全咨询服务,立思辰产品与服务,环境监控系统,电力工控安全入侵检测系统,第三方边界防护,主机加固,电力工控安全入侵检测节点,运维审计平台,主机加固,解决问题的依据3GB/T30976.1-2,我国正式颁布
7、的工业控制系统信息安全国家标准第一部分和第二部分,解决问题的依据4国家能源局国能安全【2015】36号文件,2015年2月4日,国家能源局发布国能安全【2015】36号文,为了加强发电厂电力监控系统安全防护,抵御黑客及恶意代码等对发电厂监控系统发起的恶意破坏和攻击,以及其它非法操作,防止发电厂电力监控系统瘫痪和失控,和由此导致的发电厂一次系统事故和其他事故,制定了36号文。,安全解决方案四步解决网络安全加固,1,部署电力工控安全入侵检测节点及电力工控安全入侵检测系统,2,主机加固,3,部署工控运维审计平台,4,部署第三方边界防护,电力工控安全入侵检测系统,主机加固,工控运维审计平台,第三方边界
8、防护,电力工控安全入侵检测节点,基于36号文的项目实施方案与解决的安全隐患,安全加固第一步:部署电力工控安全入侵检测节点及电力工控安全入侵检测系统,电力工控安全入侵检测节点及电力工控安全入侵检测系统,电力工控安全入侵检测系统,工控协议深度解析,DOS洪水攻击防护,IP/MAC访问控制,RTU/PLC漏洞防护,网络流量异常监测,关键操作日志记录,智能学习控制指令,可视化实时监控,电力工控安全入侵检测节点,电力工控安全入侵检测节点及电力工控安全入侵检测系统,解决的安全隐患,安全加固第二步:主机加固,主机加固,彻底杜绝病毒木马,微软签名国密算法,重点目录监测,程序动态库驱动检测,注册表保护,运行动态
9、监测,外设及网络检测,远程报警中心联动,主机加固,主机加固,解决的安全隐患,安全加固第三步:部署工控运维审计平台,工控运维审计平台,上位机操作行为审计,工作站操作行为审计,服务器操作行为审计,操作权限审计,账号管理访问控制,支持高清格式屏幕录像,设置命令黑白名单,支持标准协议,工控运维审计平台,工控运维审计平台,解决的安全隐患,安全加固第四步:部署第三方边界防护,网络物理隔离,安全数据传输,双重操作系统,支持地址转换,高强度加密算法,双重安全扫描检测,支持客户端IP白名单,杜绝病毒木马感染,第三方边界防护,第三方边界防护,解决的安全隐患,解决方案仿真演示1:,“开放对外接口,带来安全隐患”解决方案,解决方案仿真演示2:,“系统极少升级,易受病毒攻击感染”解决方案,“系统缺乏监测手段,无法感知未知设备”解决方案,解决方案仿真演示3:,“工控设备存在诸多漏洞,PLC/DCS安全隐患突出”解决方案,解决方案仿真演示4:,“执行关键操作,缺乏日志记录”解决方案,解决方案仿真演示5:,“网络流量异常,导致设备工作异常”解决方案,解决方案仿真演示6:,
黑公网安备:91230400333293403D