Folie 1

Size: px

Start display at page:

Download "Folie 1"

寅溥
7 years ago
Views:

1 PROFINET Security - Risk Assessment & Security Solution Dr. Wen Tang IT-Security, Corporate Technology Siemens Ltd. China wen.tang@siemens.com

2 信息安全的新战场 - 工业基础设施工业基础设施构成了我国国民经济现代社会以及国家安全的重要基础, 而工业基础设施的核心是其工业控制系统 (ICS) 与传统的 IT 信息安全不同, 工业基础设施中关键 ICS 系统的安全事件会导致 : 系统性能下降, 影响系统可用性关键控制数据被篡改或丧失失去控制环境灾难人员伤亡公司声誉受损危及公众生活及国家安全破坏基础设施严重的经济损失等

3 工业信息安全变得日益重要导致自动化工厂脆弱性的主要趋势在所有网络层次上的横向与垂直集成将自动化网络与 IT 网络相连, 以及为实现远程维护与 Internet 连接越来越多地采用开放标准以及基于 PC 的系统各种潜在的安全威胁日益增长未授权人员的非法访问间谍活动非法操纵控制数据由于恶意软件导致的数据丢失损坏, 等等越来越多的安全事件揭示出自动化工厂存在安全脆弱性

4 工业信息安全事件 (1)- 能源 1994 年, 美国亚利桑那州 Salt River Project (SRP) 被黑客入侵 2000 年, 俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络 ( 属于 GAzprom 公司 ) 2001 年, 黑客侵入了监管加州多数电力传输系统的独立运营商 2003 年, 美国俄亥俄州 Davis-Besse 的核电厂控制网络内的一台计算机被微软的 SQL 蠕虫所感染, 导致其安全监控系统停机将近 5 小时 2003 年, 龙泉政平鹅城换流站控制系统发现病毒, 后发现时由外国工程师在系统调试中用笔记本电脑上网所致 2007 年, 在美国国土安全局的 Aurora 演习中, 针对电力控制系统进行渗透测试, 一台发电机在其控制系统受到攻击后被物理损坏 (video)

5 工业信息安全事件 (1)- 能源 2010 年, 震网 (Stuxnet) 病毒出现 2012 年, 美国国土安全局下属的 ICS-CERT 称, 自 2011 年 12 月以来, 已发现多起试图入侵几大输气公司的黑客活动 2012 年 4 月 22 日, 伊朗石油部和国家石油公司内部电脑网络遭病毒攻击, 为安全起见, 伊朗方面暂时切断海湾附近哈尔克岛石油设施的网络连接

6 工业信息安全事件 (2)- 水利与水处理 2000 年, 一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后, 远程侵入该厂的污水处理控制系统, 恶意造成污水处理泵站的故障, 导致超过 1000 立方米的污水被直接排入河流, 导致严重的环境灾难 2006 年, 黑客从 Internet 攻破了美国哈里斯堡的一家污水处理厂的安全措施, 在其系统内植入了能够影响污水操作的恶意程序 2007 年, 攻击者侵入加拿大的一个水利 SCADA 控制系统, 通过安装恶意软件破坏了用于控制从 Sacrmento 河调水的控制计算机 2011 年, 黑客通过 Internet 操纵美国伊利诺伊州城市供水系统 SCADA, 使得其控制的供水泵遭到破坏

7 工业信息安全事件 (3)- 交通 1997 年, 一个十几岁的少年侵入 ( 纽约 )NYNES 系统, 干扰了航空与地面通信, 导致马萨诸塞州的 Worcester 机场关闭 6 个小时 2003 年,CSX 运输公司的计算机系统被病毒感染, 导致华盛顿特区的客货运输中断 2003 年,19 岁的 Aaron Caffrey 侵入 Houston 渡口的计算机系统, 导致该系统停机 2008 年, 一少年攻击了波兰 Lodz 的城铁系统, 用一个电视遥控器改变轨道扳道器, 导致 4 节车厢出轨

8 工业信息安全事件 (4)- 制造行业 1992 年, 一前雇员关闭了雪佛龙位于 22 个州的应急警报系统, 直到一次紧急事件发生之后才被发现 2005 年, 在 Zotob 蠕虫安全事件中, 尽管在 Internet 与企业网控制网之间部署了防火墙, 还是有 13 个美国汽车厂由于被蠕虫感染而被迫关闭,50,000 生产线工人被迫停止工作, 预计经济损失超过 1,400,000 美元

9 工信部 : 关于加强工业控制系统信息安全管理的通知 2011 年, 工业与信息化部发布关于加强工业控制系统信息安全管理的通知, 明确了重点领域工业控制系统信息安全管理要求, 并强调了谁主管谁负责谁运营谁负责谁使用谁负责的原则 ( 一 ) 连接管理要求断开工控系统与公共网络间的不必要的连接对必要的连接, 部署防火墙等进行防护, 并定期评估严格控制移动存储介质 ( 四 ) 设备选择与升级管理要求慎重选择工业控制系统设备加强对技术服务的信息安全管理密切关注产品漏洞和补丁发布 ( 二 ) 组网管理要求同步规划同步建设同步运行安全防护措施采取 VPN 数据加密等措施, 保护工控远程通信对无线组网采取严格的身份认证安全监测等防护措施 ( 五 ) 数据管理要求对国家基础数据以及其他重要敏感数据, 采取访问权限控制数据加密安全审计灾难备份等措施加以保护 ( 三 ) 配置管理要求建立安全配置与审计制度严格账户管理, 合理分类设置账户权限严格口令管理定期对账户口令端口服务等进行检查 ( 六 ) 应急管理要求制定工业控制系统信息安全应急预案, 明确应急处置流程和临机处置权限, 落实应急技术支撑队伍, 采取必要的容灾备份措施

10 PROFINET 典型应用 Historian DB SCADA1 Operation SCADA2 Application Network Printer To Office Net Primary I/O Secondary I/O PROFINET Plant Extension Remote RFID Distributed I/O Web Cam Motion

11 风险评估 : 识别核心资产 (1) (1) 基于 PROFINET 的控制单元构成了工业企业生产的最核心的资产必须优先保障 24/7/365 的可用性不间断的可操作性, 并确保系统可访问数据的实时传输 (RT,IRT) 保障系统性能系统与数据的完整性基于现场, 提供对实时控制操作的监控提供组态调试维护 ( 包括远程维护 ) 功能 Remote RFID Distributed I/O Web Cam Motion

12 风险评估 : 识别核心资产 (2) (2) PROFINET 还提供了互联集成互操作可扩展等关键功能实现控制单元间的无缝通信集成与互操作保障 24/7/365 的可用性, 提供不间断的通信, 确保 PROFINET 始终可访问保障数据的实时传输 (RT,IRT) 实现控制网络过程应用的灵活可扩展提供对实时控制操作的监控 () 提供组态调试维护 ( 远程维护 ) 功能 PROFINET Plant Extension Remote RFID Distributed I/O Web Cam Motion

13 风险评估 : 识别核心资产 (3) (3) PROFINET 还提供了与其他 IT 系统互联集成的功能实现生产控制系统与监控办公网络间的不间断通信以保障对生产的实时监控基于通用组件, 提供自动化解决方案 Historian DB SCADA1 Operation SCADA2 Application Network Printer To Office Net Primary I/O Secondary I/O PROFINET Plant Extension

14 PROFINET 通信的特点 PROFINET 是 PI 为自动化制定的开放工业以太网标准 PROFINET 基于工业以太网, 符合 TCP/IP 和 IT 标准, 可实现与现场总线系统的多层次无缝集成, 并保证实时通信支持分布式现场设备 (PROFINET IO) 基于组件技术, 支持分布式自动化与 PROFIBUS 的无缝集成支持通用 TCP/IP 通信支持 DA 与 DX 采用混合通信方式基于 IP 的非实时通信 : 如 PN-CM 基于 Layer-2 RT Channel 的通信 LLDP MRP 实时通信 RT 同步实时 IRT 通信因此, 相应的安全解决方案可以充分利用 PROFINET 的特性 Standard Data TCP IP COM (RPC) UDP Device Application LLDP MRP Context Management Ethernet LLDP Link Layer Discovery Protocol MRP Media Redundancy Protocol DCP Dynamic Configuration Protocol PTCP Precise Transparent Clock Protocol ACP Alarm Protocol DCP PTCP ACP IO RT Channel (Acyclic & Cyclic)

15 风险评估 : 识别系统脆弱性 (1) (1) 缺乏清晰的网络边界 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer Web Cam Motion To Office Net Plant Extension 在基于 PROFINET 的 IACS 中存在业务特点安全需求不同的单元 / 域控制单元控制设备专为实时控制 ( 而非安全 ) 而设计控制设备的计算网络资源有限 PROFINET 网络域主要用于支持 RT/IRT 等实时控制通信工程组态域监控域 TCP/IP 通信的脆弱性基于 Windows 的 IPC 的脆弱性办公域等等不同单元 / 域间简单地完全互联, 容易导致不同性质的业务设备通信混在一起, 会给关键的生产控制带来安全风险

16 风险评估 : 识别系统脆弱性 (2) (2) 单元 / 域之间缺乏边界访问控制措施 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer Web Cam Motion To Office Net Plant Extension 不同单元 / 域之间缺乏必要的隔离措施网络接入缺乏防护认证, 存在非法 ( 或错误 ) 接入的可能远程接入远程控制单元远程维护无线接入 IWLAN( 弱认证弱口令 ) GPRS 实时生产控制业务与其他业务之间缺乏必要的隔离控制措施实时控制设备易受 ( 基于 Windows 的 )PC 等的影响 ; 工控实时通信易受其他业务 ( 组态调试维护监控 ) 的影响维护调试等 ( 组态 ) 业务, 缺乏认证完整性 ( 机密性 ) 审计方面的控制非法业务流量的干扰

17 风险评估 : 识别系统脆弱性 (3) (3) 不同单元 / 域 ( 业务 ) 间的通信缺乏防护 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer Web Cam Motion To Office Net Plant Extension 不同单元 / 域之间必要的业务通信控制单元间的数据交换工程组态域对控制设备的组态维护通信监控域与控制单元之间的数据交换, 监控域 ( 以及控制单元 ) 与办公域等的数据交换基于 DCOM 的 Classic 通信远程维护等缺乏有效地隔离与控制很容易导致 DoS IP-spoof 滥用等攻击的发生

18 风险评估 : 识别系统脆弱性 (4) (4) 缺乏针对病毒蠕虫等恶意程序的防护措施 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension 最新的 Windows 及其他软件补丁可能与关键的工控应用系统不兼容在许多工业控制场景下, 生产运行中的 IACS 系统往往不能升级补丁 ( 可能需要重新启动系统 ) 许多基于 Windows 的工业 PC 目前仍缺乏检测防护病毒蠕虫等恶意程序的防护措施主机补丁管理主机防病毒白名单网络防病毒 RFID Distributed I/O Web Cam Motion

19 风险评估 : 识别系统脆弱性 (4) (5) 缺乏严格的账号管理 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension 系统中存在的各种账号 / 口令 Windows 系统账号 SCADA/ 等应用账号读写口令 SCALANCE X 配置账号无线 AP 接入口令等目前, 在工控领域普遍存在着未设置口令默认口令弱口令共享口令等问题, 很容易成为系统的安全脆弱点 RFID Distributed I/O Web Cam Motion

20 风险评估 : 识别系统脆弱性 (5) (5) 针对工控设备应用的恶意操作 Historian DB SCADA1 Operation SCADA2 Application Network Printer To Office Net 窃取关键数据配方控制程序等篡改关键控制参数与程序 DoS 攻击 PROFINET Primary I/O Secondary I/O Plant Extension RFID Distributed I/O Web Cam Motion

21 风险评估 : 识别系统脆弱性 (6) (6) 缺乏安全事件的监控管理与响应机制 Historian DB SCADA1 Operation SCADA2 Application Network Printer To Office Net 缺乏安全日志, 对已有安全日志缺乏监控审计无法实现对 PROFINET 的可感知与可控制缺乏安全事件的及时响应机制 PROFINET Primary I/O Secondary I/O Plant Extension RFID Distributed I/O Web Cam Motion

22 风险评估 : 识别安全威胁与风险来源 (1) (1) 未经授权的访问未受保护的外部连接来自办公网 / 企业网远程维护端口为网络攻击提供了可能性 IPC 上的 ( 通用 ) 商用组件, 如 Windows 应用服务器数据库等易受攻击对网络组件的非法访问可进一步导致网络窃听中间人攻击重放攻击等对关键工控资源的未经授权的访问如果缺乏有效的访问控制措施, 渗透进控制内网的外部攻击者或内部攻击者就可非法访问操纵各种资源, 导致严重的后果 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer Web Cam Motion To Office Net Plant Extension

23 风险评估 : 识别安全威胁与风险来源 (2) (2) 恶意代码攻击移动存储设备, 以及移动 IT 设备 ( 如用于维护组态的 Laptop 等 ) 可能将恶意代码引入 IACS 系统中, 从而导致拒绝服务攻击系统被劫持控制程序被窃取篡改, 等等 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension RFID Distributed I/O Web Cam Motion

24 风险评估 : 识别安全威胁与风险来源 (3) (3) 拒绝服务攻击 PROFINET 是为实现高性能实时通信而设计的, 一旦遭受拒绝服务攻击, 可能会导致网络瘫痪系统资源耗尽丧失系统可用性等从而干扰 IACS 系统的正常控制与生产 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension RFID Distributed I/O Web Cam Motion

25 风险评估 : 识别安全威胁与风险来源 (4) (4) 针对控制 / 组态通信的攻击目前, 包括 PROFINET 在内工业以太网通信协议都是明文协议, 这是由当前技术现状与标准化所决定的如果跨越不同域 / 单元的控制 / 组态通信如果缺乏保护, 攻击者就有机会重放攻击读写关键控制参数发送恶意的控制命令, 等等从而干扰操纵乃至破坏控制生产流程, 造成严重的后果 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension RFID Distributed I/O Web Cam Motion

26 风险评估 : 识别安全威胁与风险来源 (5) (5) 误操作恶意操作对基于 PROFINET 的工业自动化控制系统, 缺乏安全意识所导致的误操作内部或外部的攻击者的恶意攻击都会威胁到工业自动化控制网络的可用性机密性 Historian DB SCADA1 Operation PROFINET Primary I/O SCADA2 Application Secondary I/O Network Printer To Office Net Plant Extension RFID Distributed I/O Web Cam Motion

27 PROFINET Security: 纵深防御的安全架构安全策略与流程物理安全安全威胁网络分区与边界防护工业 IT 安全服务安全操作指南安全的单元间通信系统加固与补丁管理 IACS 产品安全恶意软件的检测与防护访问控制与账号管理日志与审计

28 PROFINET Security(1): 物理环境安全 (1) 确保基于 PROFINET 的工业自动化控制环境的物理安全建立严格的管理制度, 设计部署并维护的物理环境防护措施, 保护工业自动化控制系统不被物理上侵入厂区车间的门禁安防监控系统及相应的管理措施为等关键工控设备提供物理防护, 防止未经授权的人员物理上对其进行 ( 非法 ) 操作与访问为 PROFINET 网络提供完备的物理防护, 保护网络的物理接口, 避免非关键人员直接访问网络连接等等

29 PROFINET Security(2): 安全策略与流程 (2) 建立与工业自动化控制特点相匹配的安全策略与流程 4 验证 & 改进 1 3 风险评估技术措施 2 安全策略 & 组织措施工业信息安全不是一个单纯的技术问题, 而是一个从意识培养开始, 涉及到管理流程架构技术产品等各方面的系统工程其中, 配套的安全管理策略与流程是工业信息安全的灵魂, 具体包括风险评估, 根据标识出的威胁与风险定义对应的安全措施, 确定相应的风险化解措施, 并定义企业现阶段应当达到的安全基线从策略组织技术与运维四个方面做出安全规划组织与技术安全措施 ( 安全产品解决方案 ) 的相互协调, 并为安全运维人员提供相应的安全操作指南与辅助工具常态化的基于安全事件的安全运维, 如定义明确的安全事件处理预案应急响应流程等产品工厂与流程必须与现行法律标准内部指南与技术水平相符工业与信息化部 2011 年发布的关于加强工业控制系统信息安全管理的通知 ISA-99/IEC 62443, Industrial Automation and System Security

30 PROFINET Security(3): 网络分区与边界防护 Historian DB SCADA1 Operation SCADA2 Application Network Printer To Office Net Primary I/O Secondary I/O PROFINET Plant Extension Remote RFID Distributed I/O Web Cam Motion

31 PROFINET Security(3): 网络分区与边界防护 (3) 划分不同的安全单元 / 分区, 并部署边界防护措施 Historian DB SCADA1 Operation PROFINET SCADA2 Application Primary Secondary I/O I/O SCALANCE S SCALANCE S SCALANCE S Network Printer JANUS JANUS To Office Net Plant Extension SCALANCE S 根据业务特点安全需求定义不同的清晰的安全域, 并对其边界进行分类整合在不同安全域间的接口边界处, 针对性地部署边界访问控制措施工业防火墙 (SCALANCE S) 专用的工业安全网关 (JANUS) 并为 Classic DA 服务器提供安全防护对不同性质的 ( 生产维护 ) 业务通信, 采用不同访问控制措施同时, 隔离监控并禁止非法业务通信对远程接入无线接入, 采用强认证强加密机制加以防护 RFID Distributed I/O Web Cam Motion

32 PROFINET Security(4): 安全的单元间通信 (4) 采用 VPN 技术保护安全域间的通信 Historian DB SCADA1 Operation PROFINET SCADA2 VPN Tunnel Application Primary Secondary I/O I/O SCALANCE S SCALANCE S SCALANCE S Network Printer JANUS JANUS To Office Net Plant Extension SCALANCE S SCALNACE S JANUS 不仅能够提供防火墙功能, 还能提供基于 IPSec 的 VPN 同时, 在授权的工程师操作站安装 Softnet 客户端采用 VPN 技术, 可以对跨越不同安全域 / 单元的维护调试操作等组态通信提供认证完整性机密性等防护, 从而有效抵御窃听重放冒名顶替等攻击并将维护调试等组态通信与 PROFINET 通信隔离 RFID Distributed I/O Web Cam Motion

33 PROFINET Security(5): 系统加固与补丁管理 (5) 对基于 IPC 的系统进行系统加固, 并部署相应的补丁管理 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET WSUS Application Primary Secondary I/O I/O SCALANCE S SCALANCE S SCALANCE S Network Printer JANUS JANUS Web Cam To Office Net Plant Extension SCALANCE S Motion 针对 IPC 系统上的 Windows DB 中间件应用等, 定义其安全配置 ( 基线 ), 具体包括部署系统补丁服务器, 及时升级系统及服务的相关补丁仅开放必要的系统与服务的配置, 关闭不必要的端口与服务清理同时连接工控网与外网的终端增强账号 / 口令安全按照最小权限原则对账户授权 ; 排除空口令默认口令与弱口令排除后门程序正确配置防火墙 / 网关的安全策略正确配置路由器交换机规则等等以此为基础, 对基于 PROFINET 的工控系统进行安全加固, 并周期性检查并改进系统的安全必要时, 需要借助工业安全基线检查工具 (ISBC)

34 PROFINET Security(6): 防病毒 (6) 在 IPC 上全面部署防病毒措施 Historian DB SCADA1 Operation WSUS Application Primary Secondary I/O I/O Network Printer JANUS To Office Net 在工控网络的 IPC 上广泛部署防病毒措施部署病毒监控防护软件应对已知病毒, 部署白名单机制, 监控系统进程服务, 有助于发现新的未知病毒 PROFINET JANUS Plant Extension SCALANCE S SCALANCE S SCALANCE S SCALANCE S RFID Distributed I/O Web Cam Motion

35 PROFINET Security(7): 访问控制 & 账号管理 (7) 加强系统账号管理, 为关键业务应用设备部署访问控制 Historian DB RFID SCADA1 Distributed I/O Operation PROFINET WSUS Application Primary Secondary I/O I/O SCALANCE S SCALANCE S SCALANCE S Network Printer JANUS JANUS Web Cam To Office Net Plant Extension SCALANCE S Motion 启用 IPC 上的 (Windows) 系统账号 / 口令机制加强对及工控应用账号的管理最小权限原则为不同 ( 权限 ) 的操作员分配不同的账号 / 口令, 并进行备份定期检查更新账号口令等等启用并管理口令为关键控制程序的读写提供基本的访问控制功能启用并管理 SCALANCE 口令为关键的 PROFINET 网络设备 ( 交换机 AP GPRS 接入设备等 ) 提供认证审计功能防火墙网关等采用 PKI 证书等更强的访问控制措施严格控制手提移动设备的使用

36 PROFINET Security(8): 日志与审计 (8) 定期收集保存各种系统安全日志, 并对其进行分析审计 Historian DB RFID SCADA1 Distributed I/O Syslog Operation PROFINET WSUS Application Primary Secondary I/O I/O SCALANCE S SCALANCE S SCALANCE S Network Printer JANUS JANUS Web Cam To Office Net Plant Extension SCALANCE S Motion SCLANCE S,Janus 等防火墙 / 安全网关在拦截攻击恶意行为的过程中, 会记录相应的安全事件, 生成安全日志 IPC 上的系统应用也会产生相应的安全日志登录 ( 成功失败 ) 日志操作日志病毒查杀日志白名单异常日志服务 / 端口开放 / 关闭日志其他安全事件等定期 ( 甚至实时自动 ) 收集这些安全日志, 对其进行备份, 并精心分析审计能够在严重攻击 ( 安全事件 ) 发生之前根据其前兆采取更强的安全措施能够在攻击发生过程中迅速定位安全问题的来源能够在安全事件发生之后回溯重放攻击过程, 定位来源, 并进行事后惩治

37 PROFINET Security 定制解决方案 (1) 小型的基于 PROFINET 的工业自动化控制系统 Operation Remote 必要的安全措施物理安全安全策略与流程网络分区与边界防护防病毒系统加固与补丁管理访问控制与账号管理 Operation SCALANCE S Remote SCALANCE S VPN Channel 可选措施安全的单元间通信日志与审计

38 PROFINET Security 定制解决方案 (2) 必要的安全措施物理安全安全策略与流程网络分区与边界防护中型的基于 PROFINET 的工业自动化控制系统防病毒安全的系统加固与补丁管理访问控制与账号管理可选的安全措施日志与审计 Application Application JANUS To Office Net SCALANCE S VPN Channel SCALANCE S SCALANCE S JANUS To Office Net RFID Distributed I/O RFID Distributed I/O

39 PROFINET Security 定制解决方案 (3) 大型的基于 PROFINET 的工业自动化控制系统 Historian DB SCADA1 WSUS Application Network Printer JANUS To Office Net 1. 物理安全 Syslog Operation Primary Secondary I/O I/O 2. 安全策略与流程 PROFINET JANUS Plant Extension 3. 网络分区与边界防护 4. 安全的单元间通信 SCALANCE S SCALANCE S SCALANCE S SCALANCE S 5. 系统加固与补丁管理 6. 防病毒 RFID Distributed I/O Web Cam Motion 7. 访问控制与账号管理 8. 日志与审计

40 西门子工业信息安全解决方案 : 纵深防御工厂安全禁止未授权人员的访问物理上防止对关键组件的访问网络安全严格控制办公网络与工厂网络之间的接口, 如采用防火墙等技术将工厂网络进一步分区隔离系统完整性反病毒软件与白名单监控软件及时维护更新操作工厂设备操作人员的认证信息在自动化组件中集成访问控制措施工业领域的信息安全解决方案必须考虑所有的防护级别

41 西门子工业信息安全解决方案决西方门案子工业信息安全解开展工业安全风险评估, 建设全面的信息安全管理实现安全域的划分与隔离, 按照安全规范网络接口进行监控保护基于 PC 的控制系统保护 ICS 控制级对 ICS 通信进行监控与分区隔离西门子工业信息安全理念涉及上述 5 个关键需求领域, 覆盖了工业自动化控制系统的所有级别

42 西门子工业信息安全解决方案工业安全服务专业的安全咨询信息安全管理安全策略与流程产品 & 系统安全的 PC 控制器与网络西门子工业信息安全解决方案贯彻了纵深防御的安全理念, 致力于降低客户系统的安全风险

43 西门子解决方案 : 工业信息安全服务 (1) 工业信息安全服务西门子专业化的工业信息安全服务能够提供通过信息安全培训与专题讨论会, 帮助客户掌握工业信息安全的专门知识专业的风险评估服务, 对客户系统的脆弱性, 面临的威胁及存在的安全风险进行分析提供打包的安全解决方案, 如系统安全加固, 白名单反恶意软件安全网关 / 防火墙等设计与定制安全解决方案西门子信息安全服务能够帮助客户建立完备的纵深防御理念

44 西门子解决方案 : 工业信息安全服务 (2) 组件工业信息安全服务风险评估提供建议与实施支持打包的安全解决方案系统加固补丁管理网关 / 防火墙白名单模块化的解决方案病毒防护安全监控与管理安全服务可管理的服务

西门子解决方案 : 工业信息安全服务 (3) 控制应用中间件工业信息基础设施配置安全未打补丁的系统产品错误的配置不恰当的系统架构与网络拓扑, 得到合规性 ISA 99,NERC CIP, 等等本地法规 ( 等级保护 ) 企业安全规范行业安全最佳实践 OS 网络控制设备需求高度自动化支持不同的系统与设备易于使用等等功能支持的系统与平台使用方式可配置性报表

Middleware: IIS, Weblogic, Webshpere, Tomcat, etc.

45 西门子解决方案 : 工业信息安全服务 (3) 控制应用中间件工业信息基础设施配置安全未打补丁的系统产品错误的配置不恰当的系统架构与网络拓扑, 得到合规性 ISA 99,NERC CIP, 等等本地法规 ( 等级保护 ) 企业安全规范行业安全最佳实践 OS 网络控制设备需求高度自动化支持不同的系统与设备易于使用等等功能支持的系统与平台使用方式可配置性报表可扩展性安全性部署方式西门子工业安全基线检查工具 Industry applications: WinCC, PCS7, etc. OS: Windows, Solaris, AIX, HP-UX, Linux, etc. Database: SQL, Oracle, DB2, etc. Network Device: Cisco, Juniper, Huawei, etc. Middleware: IIS, Weblogic, Webshpere, Tomcat, etc. Local or remote checking All the item in checklists are configurable Support enterprises' templates, including word, excel, pdf, and html version New checklists and items can be updated/customized No impact to targets, the results is encrypted and protected Standalone version for laptop & workstation, B/S version 工业安全基线检查工具覆盖整个工业系统配置安全, 包括网络操作系统中间件与控制应用等

CP 443-1 Advanced 通信处理器集成了 VPN 与防火墙, 为工业控制设备提供安全防护 CP 1628

46 西门子解决方案 : 网络安全 (1) 针对工业网络的安全防护与网络隔离产品安全 SCALANCE S 安全模块提供防火墙 VPN 等安全功能 Softnet 安全客户端最新的 CP Advanced 与 CP Advanced 通信处理器集成了 VPN 与防火墙, 为工业控制设备提供安全防护 CP 1628 通信处理器可以向工业 PC 提供防火墙与 VPN 防护 SCALANCE M875 MD741-1 为无线接入提供防火墙与 VPN 防护

西门子解决方案 : 网络安全 (2) Monitor Zone Janus 可以拦截非法端口 port 对 (IP 或 CLSID) 的非法访问非法的 (IP or CLSID) 畸形的攻击报文 Zone A Janus 工业自动化控制系统联合安全网关基于西门子高性能工业级硬件平台 SIMATIC Box, 具有极强的环境适应能力 Database SAP Data Req.

47 西门子解决方案 : 网络安全 (2) Monitor Zone Janus 可以拦截非法端口 port 对 (IP 或 CLSID) 的非法访问非法的 (IP or CLSID) 畸形的攻击报文 Zone A Janus 工业自动化控制系统联合安全网关基于西门子高性能工业级硬件平台 SIMATIC Box, 具有极强的环境适应能力 Database SAP Data Req. Data Data Req. Data B C 应对病毒木马网络入侵以及恶意软件等多种安全威胁, 为工业控制系统提供联合可灵活定制的安全防护提供基于状态的工业级专用防火墙支持应用层工业协议深度报文检测技术, 将安全防护由网络层扩展至应用层提供网络增强式防护, 阻断非法的数据通讯, 确保系统安全可靠运行全中文集中式管理控制平台统一管理网络中的所有工业安全设备, 易于配置及管理提供特有的可视化安全统计报表, 工业网络整体安全现状及风险一目了然通过公安部信息安全产品检测并颁发销售许可

48 西门子解决方案 : 访问控制西门子解决方案 SIMATIC Logon 反病毒与白名单 STEP 7 V5 WinCC V7 STEP 7 V11 描述基于 SIMATIC Logon 提供用户管理与安全认证, 支持 Windows domain 与 Work Group 抵御病毒蠕虫木马的攻击, 阻止未授权的应用及恶意软件提供改进的知识产权 ( 控制程序 ) 保护与拷贝保护提供安全的 SCADA, 支持用户管理变更控制审计等提供改进的知识产权 ( 控制程序 ) 保护与拷贝保护

Secondary I/O 4 4 4 5 5 5 1 Web Cam 4 Plant Extension Motion 风险评估与工业自动化控制安全管理咨询第一道防线第三方商用 (IT) 防火墙第二道防线抵御多种威胁的联合安全网关提供网络的分区与隔离

49 工业网络纵深防御 Office Zone DM Zone Monitor & Mgmt Zone Zone Printer Data Historian SAP OA DHCP DNS Remote WEB WEB Video Office PC Laptop App Internet RFID Distributed I/O Syslog Primary I/O WSUS Operation PROFINET Historian 2 2 DB DB SCADA Secondary I/O Web Cam 4 Plant Extension Motion 风险评估与工业自动化控制安全管理咨询第一道防线第三方商用 (IT) 防火墙第二道防线抵御多种威胁的联合安全网关提供网络的分区与隔离第三道防线工业 PC 的安全防护, 如病毒扫描配置安全 RBAC 等第四道防线现场设备的近身防护, 例如 SCALANCE S CP Advanced 等第五道防线安全可靠的现场设备简易的配置与无缝透明的部署全面的防护与持续改进的管理安全事故和事件监测 SI EM

50 从 2004 年起, 西门子始终在积极参与 ISA-99/IEC Industrial Automation and System Security 国际标准的制定工作西门子中国研究院开始工业信息安全方面的研究工作提出 PCS7 与 WinCC 的纵深防御的概念基于 SIMATIC 组件提供基于以太网的 IP 安全加固技术西门子中国研究院建立工业信息安全实验室并展开相关研发工作 STEP 7 V5.5 改进其知识产权保护功能与拷贝保护机制新版 SCALANCE S (623), 安全的 CPx43-1 CP 1628 SCALANCE M875 等安全产品发布发布工业防火墙 SCALANCE S (602/612/613), 引入控制单元防护的概念西门子中国研究院开始研发创新的安全测试系统 Styx 西门子中国研究院开始设计研发工业自动化控制系统联合安全网关 Janus 西门子提供工业安全服务, 覆盖工厂生命周期的各个阶段西门子开始与欧盟的 CERN 研究所合作, 检测控制设备中存在的安全缺陷, 提高工业组件抗击安全攻击的健壮性

51 西门子中国研究院获得安全证书与资质检测安全问题, 提高西门子产品安全品质信息安全服务资质恶意软件控制产品销售资质反网络病毒联盟 Industry Security Lab R&D Expert Innovated Research Toolbox & Solutions Consultant 实验演示与培训开展针对中国本地需求的创新研发 App Patterns (regex) Pass App TCP Block Packet Filter Monitor/ Admin UI Monitor/ Admin UI Industry Anti-Malware Platform Malware Intelligent Attack Monitor Capture Logging Module Attack Sourcing Tracking Security Policy Sync Module IP Industry Protocol Analysis Industry Protocol Analysis Module Module Traffic Capture Traffic Capture Engine Engine HTTP/FTP/GTP WAP/MMS ProfiNet//DNP3/

52 谢谢!! Q&A??

校友会系统白皮书feb_08

校友会系统白皮书feb_08 硕士研究生招生管理系统 1 产品白皮书希尔数字校园硕士研究生招生管理系统白皮书目录 1 产品概述... 1 1.1 产品简介... 1 1.2 应用范围... 1 2 产品功能结构图... 2 3 产品功能... 3 3.1 系统设置... 3 3.2 信息发布... 3 3.3