搜索
工业控制网络纵深防御解决方案编制青岛海天炜业自动化控制系统有限公司经理刘安正ByresSecurityinc.Tofino亚太区经理ThomasOu更多技术了解访问工业控制网络安全专家目录1.工业控制网络安全概述....................................................................................................................31.1本报告编制原则...........................................................................................................................31.2工业控制网络安全概述...............................................................................................................32.西门子STUXNET控制系统病毒的新警示...................................................................................43.目前工厂控制系统网络防护分析....................................................................................................53.1工厂网络情况概述.......................................................................................................................53.2目前工业控制网络安全存在的问题............................................................................................53.2.1操作系统安全漏洞................................................................................................................53.2.2病毒与恶意代码....................................................................................................................63.2.3拒绝服务攻击-网络风暴......................................................................................................63.2.4黑客入侵与应用软件安全漏洞............................................................................................63.3目前的防护措施...........................................................................................................................73.4保证控制网络安全必须达到的两个目标....................................................................................93.5ANSI/ISA-99区域防护概念解析.................................................................................................94.TOFINO工业网络安全解决方案.................................................................................................114.1TOFINO安全解决方案构成.........................................................................................................124.2TOFINO安全解决方案达到的目标.............................................................................................134.3过程控制系统DCS区域安全分析............................................................................................144.4针对石化企业的TOFINO解决方案............................................................................................154.4.1工业OPC通信防护...........................................................................................................154.4.1.1方案架构图.......................................................................................................................174.4.1.2OPCClassicEnforcer防护原理...................................................................................184.4.1.3TofinoOPC通讯防护配置清单(单个OPC连接).....................................................204.4.2操作站层面防护.................................................................................................................214.4.2.1方案架构图.......................................................................................................................224.4.2.2操作站层防护部署及原理..............................................................................................224.4.2.3操作站层通讯防护配置清单(单个防护区域)..........................................................235.项目费用概算.....................................................................................................错误!未定义书签。更多技术了解访问工业控制网络安全专家1.工业控制网络安全概述1.1本报告编制原则本报告编制依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术指南》以及国际《ANSI/ISA-99控制系统网络安全指引》面向石化企业信息化的特点,结合MES以及现场控制系统的实际应用,针对控制网络安全问题进行分析与阐述,并提供适合企业特点的安全方案。1.2工业控制网络安全概述过去十年间,世界范围内的过程控制系统(DCS/PLC/PCS等)及SCADA系统广泛采用信息技术,Windows®,Ethernet™及TCP/IP,现场总线技术,OPC等技术的应用使工业设备接口越来越开放,减弱了控制系统及SCADA系统等与外界的隔离。但是,越来越多的案例表明,来自商业网络、因特网以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全。2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒,虽然已安装了IT防火墙,病毒就在几秒钟之内从一个車间感染到另一个車间,从而最终导致停工。2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。2010年10月,肆虐伊朗国内的“超级工厂病毒”Stuxnet病毒已经造成伊朗布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。通过专家对大量工业网络安全案例的分析证明,网络攻击频发的原因正在于此——不完善的网络安全设计,配置不当的防火墙以及VPNtunnels、双网卡服务器及网络共享等。更多技术了解访问工业控制网络安全专家2.西门子Stuxnet控制系统病毒的新警示Stuxnet是一种计算机蠕虫病毒,通过Windows操作系统此前不为人知的的漏洞感染计算机,同时该病毒针对具有西门子WINCC平台的控制系统以及Step7文件进行攻击,由于该病毒能够修改WINCC平台数据库变量,在Step7程序中插入代码以及功能块,即能够对控制系统发动攻击,故部分专家定义Stuxnet为“超级工厂病毒”。这是目前第一个针对工控系统展开攻击的计算机病毒,目前已经对伊朗国内工业控制系统产生极大影响,Stuxnet可以说是计算机病毒界革命性创新,给我们控制系统网络安全带来新警示。◆控制系统网络是可以被攻击的越来越多的控制系统操作站平台是基于Windows平台,U盘,维修人员的笔记本接入,信息网络的病毒感染等都可以实现对控制网络的攻击;◆控制系统网络需要有病毒及黑客入侵防护;◆需要实施一个纵深防御策略来保证控制系统的稳定运行;更多技术了解访问工业控制网络安全专家3.目前工厂控制系统网络防护分析3.1工厂网络情况概述伴随国家工业化、信息化的两化融合,石化企业提出管控一体化规划,基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联,基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。过程控制系统在近十年的发展中呈现出整体开放的趋势,计算机技术在工控领域的应用使得现代DCS操作站完全是一种PC+Windows的模式,控制