• 电力
  • 石油石化
  • 轨道交通
  • 智能制造
  • 烟草
  • 冶金
  • 水务
  • 智能变电站监控系统网络安全解决方案
  • 火电厂工控系统网络安全解决方案
智能变电站监控系统网络安全解决方案

1. 行业概述

智能电网作为未来电网的发展方向,渗透到发电、输电、变电、配电、用电、调度、通信信息各个环节。在上述这些环节中,智能变电站无疑是最核心的一环。智能变电站采用先进、可靠、集成、低碳、环保的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能,实现与相邻变电站、电网调度等互动。


2. 安全现状

信息化技术的发展给电网的智能化提供了保障,然而更多的研究和实践侧重于信息化引入新功能的实现与挖掘,对信息化背景下智能电网的安全性缺乏足够的考虑,给信息采集、传输、智能控制等环节带来不同程度的安全风险。随着智能变电站建设的推进,与传统变电站相比,智能变电站具有更广阔的开放性和复杂性,大量的采用IT技术和TCP/IP以太网等开放的体系架构,把传统信息安全领域的安全威胁引入到电网系统。所以,一旦受到恶性攻击、病毒感染,就会导致局部、甚至大面积停电,造成严重经济损失等后果。


3. 典型安全事件

2015年12月23日, 乌克兰国家电网发生突发停电事故,导致伊万诺-弗兰科夫斯克地区近一半的家庭(约140万人口)失去供电3~6 h。经调查证实, 一款名为“BlackEnergy”的恶意软件入侵了乌克兰国家电网。该恶意软件最早于2007年就被发现过。在此次攻击事件中, 该恶意软件较早期的软件做了更新升级, 不仅增添了名为KillDisk的清除组件, 用于删除计算机磁盘驱动器内的数据并导致系统无法重启, 而且还包括了一个安全外壳协议(SSH)后门, 用于方便攻击者永久访问受感染计算机。在这次攻击事件中, 电力数据采集与监控(SCADA)系统受到了重创, 不仅大量的存储数据被清除, 而且在停电后期SCADA服务器的恢复工作也受到阻碍。


4. 常见攻击方式

  • 鱼叉式攻击

“鱼叉攻击”是黑客攻击方式之一,最常见的做法是,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。


  • 水坑式攻击

“水坑攻击”,即在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例如,黑客攻陷了某单位的内网,将内网上一个要求全体职工下载的表格偷偷换成了木马程序,这样,所有按要求下载这一表格的人都会被植入木马程序,向黑客发送涉密资料。


5. 解决方案

智能变电站监控系统面临各种安全风险,仅仅采用被动防御和修补是不可靠的,需要的是整体解决方案,针对智能变电站监控系统的特点,需要从以下几个方面来解决安全问题:

1)威胁管理:部署威胁管理平台,对智能变电站监控系统进行风险评估,漏洞分析,安全性分析以便正确、及时的了解目前系统的安全现状,方便根据实际情况有计划有步骤的完成风险评估以及后续安全数据收集分析工作。

2)安全审计设计:在间隔层和站控层之间部署监测审计平台,监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等,当检测到严重入侵事件时提供报警;并对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

3)恶意代码防范设计: 在间隔层部署IAD智能保护产品,启用恶意代码检测及阻断功能。

4)综合管理。部署安全监管平台,统一在线对监测审计终端、智能防护终端等进行统一管理、可视化展示和预警。

blob.png

想要更多资料?

联系我们
火电厂工控系统网络安全解决方案

1. 行业概述

火力厂采用厂级SIS系统和集控室CCR、主厂房/辅助车间、现场设备四个层级。CCR和主厂房、辅助车间之间的信号传输通过冗余光纤。各生产装置将在CCR内进行集中操作监视及管理,控制站及各类型的I/O模块及通讯模块设置在相应装置的主厂房、辅助车间内,现场仪表信号通过电缆连接至主厂房、辅助车间,主厂房、辅助车间内也保留了现场操作站和工程师站,各生产装置的操作和维护人员可在主厂房、辅助车间内对装置进行操作监视。


2. 安全现状

火力发电厂工控系统存在以下安全隐患:

(1)集控层与厂级SIS网络互联,控制网络面临来自上层信息网的潜在威胁。

(2)控制层与 SIS 层通讯多采用 OPC 协议,通讯缺少安全认证,数据易被窃取、篡改或破坏。

(3)内网中的系统升级、设备维护等需要 U 盘和第三方笔记本电脑的接入,携带的病毒容易造成自动化终端设备被攻击,使 PLC、DCS 等控制设备中的某些关键参数发生改变,导致停产,甚至引起安全事故。

(4)一些控制设备存在较严重的漏洞,一旦被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏控制系统。


3. 常见攻击方式

  • 鱼叉式攻击

“鱼叉攻击”是黑客攻击方式之一,最常见的做法是,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。


  • 水坑式攻击

“水坑攻击”,即在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例如,黑客攻陷了某单位的内网,将内网上一个要求全体职工下载的表格偷偷换成了木马程序,这样,所有按要求下载这一表格的人都会被植入木马程序,向黑客发送涉密资料。


4. 解决方案

针对火力发电工控系统安全现状,匡恩网络做了深入调查和研究,提供了全生命周期的安全解决方案。

火电.png

火电厂工控网络安全解决方案拓扑图


匡恩网络结合火电站运营的真实需求和潜在需求而总结的成果,经过实践证明,该解决方案能为火力发电行业工控系统提供完整的安全防御体系。

(1) 目标系统的威胁管理,帮助客户了解网络整体安全威胁和风险,提供全网安全防护建议,进而帮助用户构建合理有效的工控系统,对火力发电行业工控系统网络进行安全检查、漏洞分析和风险评估。

(2) 目标系统的监控审计,通过特定的安全策略,快速识别出火力发电行业工控系统网络非法操作、异常事件、外部攻击,并实时发出报警。

(3) 目标系统的智能保护,帮助用户有效提高工控网络整体安全系数,保证生产的安全有序进行,降低工控网络攻击带来的各种损失。对工控专有协议进行深度分析,层层拆解数据包、深入剖析数据包结构与内容,确保数据包的合法性,从而实现工控网络的深度防护。

(4) 目标系统的数采隔离,对数采系统所采集的数据进行深度分析,确保数据合法性,一旦发现非法行为,将进行记录隔离

(5) 模拟火力发电行业工控系统,通过不断的在系统上进行深入的漏洞挖掘、攻击研究,提供工控网络安全标准制定的仿真分析环境、标准草案的离线验证环境、事故和漏洞根源分析试验环境、保护及补偿性措施验证环境,完成攻击效果展示及安全防护方案验证。

(6) 工控安全服务培训为火力发电行业提供各类工控网络安全相关的教育培训服务。培训范围包括:工控网络知识、信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络、安全前沿研究成果。

想要更多资料?

联系我们
  • 原油开采工控系统网络安全解决方案
  • 石油炼化工控系统网络安全解决方案
原油开采工控系统网络安全解决方案

1.行业概述

新中国成立后,油气行业创造了举世瞩目的辉煌业绩,截止2011年,全国25个省市自治区和近海海域发现上千个油气田,建立了东北、新疆、鄂尔多斯、四川、渤海湾、南海等多个大油气区,30个油气生产基地。2015年全国年产原油2.15亿吨,居世界第四位,然而,2015年我国原油消耗量约5.4亿吨,石油对外依存度高达60%以上,且供需缺口仍在扩大。


2.安全隐患

信息化在油田企业中的应用使得工业控制网络大量采用通用TCP/IP 技术,ICS 网络和企业管理网的联系更紧密。传统工业控制系统设计上没有考虑互联互通带来的安全问题。企业管理网与工业控制网络几乎没有隔离防护功能,数字油田系统的安全隐患问题日益严峻。无线网络的接入、边界的脆弱性、区域划分不明确、终端操作系统的安全风险以及工控协议本身传的安全风险,这些问题很容易被病毒和黑客利用,系统中任何一点受到攻击都有可能导致整个系统的瘫痪。


3.安全事件

  • 2011年“7·12”绥中36-1油田少量原油落海

7月12日13时30分左右,位于渤海辽宁湾的中海油绥中36—1油田中心平台中控发生故障,全油田生产中断,原油落海。据初步估算,溢油量大约0.1至0.15立方米,在事发海域发现1平方公里油膜分布。


  • 2011年“6·4”中海油蓬莱19-3油田溢油事故

2012年,位于美国加州的Chevron石油公司对外承认,他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此,美国Baker Hughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。


4.常见攻击方式

利用设备后门和本身漏洞攻击、利用协议漏洞攻击、电子邮件欺骗攻击、木马攻击


5.解决方案

 

石油开采1.jpg

 石油开采2.jpg

图-原油开采工控网络安全解决方案拓扑图


5.1、匡恩网络安全产品可实现分布式部署、集中防护、区域隔离以及终端保护。

1)分布式部署:提高了整个系统的可靠性、容错性,有利于对每个目标的安全防护。


2)集中防护:在生产网的出口对整个生产网的数据做集中防护,防止外网的病毒或者黑客的攻击


3)区域隔离:根据工业网络的区域划分,对每个区域进行数据保护,做到横向隔离,纵向保护的安全数据采集隔离。


4)终端保护:为工业控制网络提供了全方位的综合防御与保护,智能保护平台能够识别出胜利数字油田网络(或者无线接入)中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,及时对其进行告警和阻断,并能为后续的安全威胁排查提供依据。


5)监测审计:对工控网络中的数据进行实时监测、实时告警,帮助用户实时掌握工控网络运行状况,并对网络中存在的所有河东提取行为审计、内容审计、协议审计,生成完整的记录便于时间追溯,还可以对网络中未知设备的接入进行实时监测、告警、记录,迅速发现工控网络中存在的非法接入。


6)主机防护:在生产网中的上位机和服务器安装工控卫士,监控进程运行状态,阻止不明进程启动,监控网络端口、网络流量,监控USB口使用,防止U盘攻击,提供从工控上位机到服务器的全面防护。


5.2、数据分流与分析

通过独特的内核技术对来自工业网络中的生产数据和视频数据进行分流,其中对生产数据使用白名单的方式做深度的协议分析,保证生产数据的可靠性;对视频数据(数据量比较大)采用直接转发的方式让其通过,保证了视频数据的流畅性。


6.业务价值

本方案为原油开采企业设计了网络边界防护、区域隔离、无线网络防护等措施,解决了原油开采企业存在的重要系统安全保护不足、未授权人员对设备的物理访问、没有及时安装操作系统和应用安全补丁、平台病毒防护脆弱性 、应用软件的漏洞、网络边界的脆弱性、无线连接的脆弱性等安全威胁


想要更多资料?

联系我们
石油炼化工控系统网络安全解决方案

1、行业概述

2013年,中国炼油能力为7.1亿吨/年,占全球炼油能力的12.4%,位居全球第二;乙烯产能为1 749万吨/年,占全球乙烯能力的11.2%,位居全球第二;三大合成材料中,合成树脂(包括聚乙烯、聚丙烯、聚氯乙烯、聚苯乙烯、ABS)产能6 182.3万吨/年,合成橡胶(包括顺丁、丁苯、SBS)产能360.2万吨/年,合成纤维(包括腈纶、锦纶、涤纶)产能4 281.7万吨/年。芳烃产能2 323万吨/年,有机化工产品产能达到1 555万吨/年,多数产品产能位居世界第二。


随着信息技术的迅速发展,物联网、云计算、大数据等新技术进入大规模商用阶段,以互联网为代表的信息技术与运营技术、制造技术的融合,不断催生出新业态、新模式,将给炼化工业生产方式带来革命性的变化。


2、安全隐患

石油炼化企业普遍采用了基于ERP/SCM、MES和PCS三层架构的管控一体化信息模型,实现了自管理层至现场设备层的一致性识别、通讯和控制,使得炼化企业在通过网络互连提升生产效率的同时,也带来更多安全威胁。


炼化企业工控网络存在以下安全隐患:

  • 内网系统升级、设备维护等需要USB设备及其他外来设备的接入。

  • 国外主流控制系统存在不可控因素。

  • 现场控制层区域划分不明确,导致病毒扩散。

  • DCS与MES层通讯多采用OPC协议,通讯缺少安全认证,数据易被窃取、篡改或破坏。


3、安全事件

  • 2011年“8·29”中石油大连石化分公司突然发生火灾 

8月29日上午10时许,中石油大连石化分公司突然发生火灾。据悉,是油品罐区一个可存储数千吨柴油的罐体突然发生火灾,现场浓烟滚滚,着火点系连接两罐体之间管线爆裂引发。火灾发生后,公安部调集65台消防车、组织296名消防官兵全力救援。到13时20分左右,火灾基本被扑灭,未造成人员伤亡。


  • 2011年“7·16”中石油大连石化分公司火灾 大火持续6小时

7月16日14时25分,位于辽宁省大连市甘井子区的中石油大连石化分公司(原大连石油七厂)三号港附近炼油装置发生火灾。经消防官兵全力扑救,于19时57分将火全部扑灭,无人员伤亡。有知情人士透露,引发火灾原因是一炼油装置“三蒸馏转换器”发生泄漏起火,大火燃烧了6个小时后才被熄灭。


  • 2011年“7·11”中海油惠州炼油厂发生大火 未对核电站造成威胁

7月11日凌晨4时10分,惠州市大亚湾石化区中海石油炼化有限责任公司惠州炼油分公司运行三部400单元的重整生成油塔底泵机械密封泄漏着火。大火在13小时后被完全扑灭,无人员伤亡,无油品外溢,未对周围环境造成直接影响,厂区各套环保设施运转正常,装置现场整体可控。


4、常见攻击方式

利用设备后门和本身漏洞攻击、利用协议漏洞攻击、电子邮件欺骗攻击、木马攻击


5、解决方案

 针对炼化企业工控网络安全现状,匡恩网络提供了以下解决方案。

 

石油炼化.jpg

炼化企业工控网络安全解决方案拓扑图


(1)终端防护:在现场控制层和PLC之间部署IAD智能保护平台,对工控专有协议进行深度分析,确保数据包的合法性,实现工控网络的深度防护。


(2)监控审计:在MES层旁路部署监控审计平台,通过特定的安全策略,快速识别出炼化企业控制系统网络非法操作、异常事件、外部攻击,并实时报警。


(3)区域防护:在OPC服务器与数据汇聚层、数据汇聚层与MES层之间部署数据采集隔离平台,针对DCS系统管理的关键区域部署安全策略,实现分层级的安全防护,抵御已知威胁。


(4)主机防护:在现场控制层的工程师站、操作员站、OPC服务器以及网关机上部署工控卫士,通过应用程序、网络、USB移动存储的白名单策略,防止用户的违规操作和误操作,阻止不明程序、移动存储介质和网络通信的滥用,有效提高工控网络的综合“免疫”能力。


想要更多资料?

联系我们
  • CBTC信号系统网络安全解决方案
CBTC信号系统网络安全解决方案

1. 行业概述

进入21世纪以来,轨道交通在优化城市空间结构、缓解城市交通拥挤等方面均显示出积极促进作用,已日益成为中国走新型城镇化道路的重要战略举措。伴随着中国城市化进程的加快,城市交通需求剧增,城市轨道交通也进入高速发展时期。


工程实践证明,目前基于无线局域网的CBTC系统的可用性、可靠性等均能满足当前城市轨道交通安全高效运营的需要。但随着计算机和网络技术的发展,特别是信息化与信号系统深度融合,CBTC系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与PIS、PA等网络连接,造成病毒、木马等威胁向CBTC系统扩散,信号系统安全问题日益突出。


2. 隐患分析

目前轨道交通信号系统的安全措施仅限于安装防火墙、保密设备和杀毒软件等初级的保护措施,无法有效的防止信息安全事件的发生。结合国家信息安全等级保护基本要求的内容,我们罗列了(包括但不限于)以下安全隐患:

  • 在重要网段与其他网段之间缺乏可靠的技术隔离手段,缺乏有效的区域隔离;

  • 没有在网络边界部署访问控制设备,缺乏访问控制功能;

  • 缺少为数据流提供明确的允许/拒绝访问的能力;

  • 不能对进出网络的信息内容进行过滤,不能实现对应用层协议命令级的控制;

  • 缺少防止地址欺骗的技术手段;

  • 缺乏对非授权设备私自联到内部网络的行为进行检查、定位和阻断的能力;

  • 无法有效的检测到网络攻击行为,并对攻击源IP、攻击类型等信息进行记录;

  • 无法在网络边界处对恶意代码进行检测和清除,更新恶意代码库不及时;


3. 安全事件

1) 波兰有轨电车出轨事件

事件经过:

2008年,波兰罗兹(Lodz)市有轨电车的驾驶员计划向右转弯时,电车调度系统发出的命令却变成了向左转,此举不但导致被操纵电车后部车箱脱轨,而且还造成12名乘客受伤,所幸这起事件并没有造成人员死亡。

原因分析:

经波兰警方证实,此次事件是由该国一名年仅14岁的学生黑客侵入了波兰罗兹市有轨电车运营调度系统引起的。这名肇事少年一直在研究该市有轨电车系统,然后自己制作了一个类似电视遥控器的装置来,并利用它改变电车行驶方向。这名学生黑客表示,自己使用遥控装置三次变换了电车轨道,警方随后在这名少年家中发现了他所用的遥控装置。


2)深圳地铁WIFI干扰事件

事件经过:

  • 2012年11月1日上午8时15分至9时30分,深圳地铁蛇口线多趟列车因信号系统自动防护功能作用而产生紧急制动,列车再次启动后只能维持低速运行。事件处理过程中,部分列车退出服务,造成大量乘客滞留。

  • 11月5日,这条线路故障重演,再次停运;

  • 11月7日,深圳地铁环中线在行驶过程中亦多次中断运行。

原因分析:

据官方通报称,目前排除了由信号系统自身原因造成故障的可能性,初步判断故障原因是线路信号系统受到了列车上乘客所使用的便携式3G无线路由器所产生的信号干扰所致。

深圳地铁进一步解释,此类便携式3G无线路由器,主要用于将移动通信3G信号转换为WiFi信号供无线终端使用,其无线数据传输频段与地铁信号系统传输频段相同,均为公众免费频段2.4GHz。

即列车运行时,信号系统数据在列车与地面间进行无线数据传输过程中,受此类设备所产生的同频段信号干扰,引起数据包延时传输或堵塞,导致信号系统安全保护功能动作使列车紧急制动。


3)上海地铁追尾事件

事件经过:

  • 2011年9月27日13时58分,上海自动化仪表股份有限公司电工在进行地铁10号线新天地车站电缆孔洞封堵作业时造成供电缺失,导致10号线新天地集中站信号失电,造成中央调度列车自动监控红光带、区间线路区域内车站列车自动监控面板黑屏。地铁运营由自动系统向人工控制系统转换。此时,1016号列车在豫园站下行出站后显示无速度码,司机即向10号线调度控制中心报告,行车调度员命令1016号列车以手动限速(RMF)方式向老西门站运行。

  • 14 时,1016 号列车在豫园站至老西门站区间遇红灯停车,行车调度员命令停车待命。

  • 14 时01分,行车调度员开始进行列车定位。

  • 14 时08分,行车调度员未严格执行调度规定,违规发布调度命令。

  • 14 时35分,1005 号列车从豫园站发车。

  • 14 时37分,1005 号列车以54公里/小时的速度行进到豫园站至老西门站区间弯道时,发现前方有列车(1016 号)停留,随即采取制动措施,但由于惯性仍以35公里/小时的速度与1016 号列车发生追尾碰撞。该事故造成295人受伤,至少36人重伤,无人员死亡。

原因分析:

  • 地铁行车调度员在未准确定位故障区间内全部列车位置的情况下,违规发布电话闭塞命令;

  • 接车站值班员在未严格确认区间线路是否空闲的情况下,违规同意发车站的电话闭塞要求,导致地铁10 号线1005 号列车与1016号列车发生追尾碰撞。


4. 常见攻击方式

1)无线入侵

轨道交通信号系统的车地通信普遍采用无线WLAN的方式,通过一台黑客笔记本电脑接入轨旁无线AP,病毒模拟当前列车车载控制器(VOBC)向区域控制器(ZC)发送列车信息,并篡改其中的列车位置信息、列车完整性标示等关键信息,区域控制器(ZC)收到异常数据后,撤销移动授权,向列车发送紧急停车消息,列车触发紧急制动,立即制动停车。


2) 水坑攻击

黑客攻陷公司的内网,将内网上一个要求全体职工下载的表格偷偷换成了木马程序,这样,所有按要求下载这一表格的人都会被植入木马程序,地铁运营人员在日常维护操作的过程中就有可能把病毒带入信号系统网络中,病毒伺机在系统内蔓延,在特定的情况下发起攻击,造成系统瘫痪。


5. 行业解决方案

原图:

轨交2.jpg轨交1.jpg


产品部署图:

轨交2.jpg


说明:

1)IAD智能保护平台

部署位置:

  • 控制中心ATS与互联系统间(PIS、ISCS、PA等)网络边界位置。

为了满足等级保护三级要求中有关访问控制、边界完整性检查等的要求。


2)监测审计平台

部署位置:

  • 控制中心的维护网交换机、ATS接入交换机;

  • 设备集中站、停车场、车辆段的ATC接入交换机、ATS接入交换机和维护网交换机;

  • 非设备集中站的维护网交换机。

为了满足等级保护三级要求中有关安全审计和入侵防范的要求。


3)威胁评估平台

部署位置:

  • 控制中心维护网交换机

为了满足等级保护三级要求中有关等级测评的要求。


4)工控卫士

部署位置:

  • 全线所有工作站和服务器

为了满足等级保护三级要求中有关主机安全的要求。

想要更多资料?

联系我们
  • 数控机床网络安全解决方案
数控机床网络安全解决方案

1、数据机床的安全现状

目前国内使用的主流数控生产设备核心系统大部分是国外厂家,特别是专机和精机主要为国外厂家全套引进 ,如国内大量使用Siemens、FANUC等国外数控系统,核心技术受制于人,大大增加了不可控因素,而数控系统一旦遭到破坏和入侵,将直接导致生产的中断和产量的降低,更重要的是由厂商提供远程维护升级,这直接导致生产数据及工艺等机密信息的泄露从而影响到我国家战略安全。因此,数控系统安全不容忽视,进行数控机床的安全防护是迫切和必要的。


数控机床应用存在以下安全隐患:

1、上位机、服务器外接USB存储设备,致使其被病毒感染,USB外接手机、PDA等智能上网设备,致使其直接暴露在互联网上,给安全生产与加工数据安全带来重大安全隐患;


2远程运维操作、日常生产操作中存在非法操作行为直接影响安全生产与加工数据的安全性,如:非法篡改加工指令、盗取加工数据等行为;


3)数控机床的DNC联网,以及随着国家两化融合、中国制造2025国家战略的推进,工业控制网络的开放性必然会带各种网络攻击风险;


2、解决方案

面对数控机床应用的安全现状,匡恩网络做了深入的调查与研究,最对不同的应用场景,我方提供全生命周期的安全解决方案,为数控机床安全生产构建安全防御体系。

1)数控机床风险评估:

风险评估是全面了解与验证数据机床使用环境中存在的各种风险的一种必要手段,是安全防护体系建设的前提,我方将针对用户数控机床运行环境与安全管理制度,借助专业的威胁评估平台工具,生成权威的安全风险评估报告,为用户全面了解数控机床安全风险提供依据。


威胁评估平台具备整套创新性的风险评估科学方法,包括项目管理、全面数据收集、全网攻击路径、结构安全性分析、流程审计、网络行为审计、专业评分报告等。该工具搭载专业的可升级的工控安全漏洞库,覆盖当前工业控制网络中存在的各种已知漏洞,并且提供漏洞防护安全策略。工具支持分阶段、多人配合使用,方便用户根据实际情况有计划有步骤的完成风险评估以及后续安全数据收集分析工作。


 

数控-1.png

图1 数控机床风险评估典型部署


2)单机运行防护方案:

 

数控-2.png

图2 数控机床单机运行安全防护部署


数控机床单机部署时,安全风险主要出现在管理主机上,如上图所示,我们通过在数控机床与管理机间串行部署数控审计保护平台,此产品具有数控审计与智能防护两大功能,通过多种安全策略部署,可实现APT攻击、异常控制和非法数据包进行深度分析、过滤、告警、阻断并对各类安全威胁实施监测审计,实现对数控机床的有效安全防护。通过在管理主机上安装工控卫士来实现管理主机防病毒与USB外设管理,进而保证数控机床单机环境运行安全。


3)DNC联网运行防护方案:

 

QQ截图20161123181311.png

图3 DNC联网安全防护部署图


上图为数控机床DNC联网运行典型的组网拓扑图,我们通过在各网络分区边界、数控机床边界串行或旁路部署数控审计保护平台实现对区域内及终端的有效保护,通过部署安全监管平台实现对网内部署的若干数控审计保护平台的统一配置与安全事件管理,实现全网安全风险管理、分析与呈现。网内的上位机、服务器上统一部署工控卫士安全软件,实现主机运行进程的控制与管理、主机USB外接存储设备的认证与管理以及文件操作行为审计。


4)高仿真攻防对抗平台建设

由于工业控制网络对稳定性要求相当严格,为了能更好的进行数控机床应用的安全风险研究,我方可帮助用户建设高仿真攻防对抗平台,通过不断的在仿真系统上进行深入的漏洞挖掘、攻击研究,完成攻击效果展示及安全防护方案验证。


(1)提供工控网络安全标准制定的仿真分析环境

(2)提供工控网络安全标准草案的离线验证环境

(3)提供工控网络安全事故和漏洞根源分析试验环境

(4)提供工控网络安全保护及补偿性措施验证环境


5)安全培训与安全运维服务

安全培训是为用户提供工业控制网络安全风险与解决方案标准化培训,提供针对用户数控机床应用安全运维专业培训,为用户普及信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络安全前沿研究成果;针对用户数控机床的安全防护体系建设,详细介绍日常运维、漏洞挖掘与安全风险处置方法等。


我方可根据用户需要提供专业的安全运维服务,帮助用户做好日常安全运维工作。


3、业务价值

匡恩网络凭借对国内数控机床应用的深入了解,提供以上数控机床应用的全生命周期的安全解决方案,为用户安全生产,数据防泄密,为两化融合、中国制造2025国家战略实施进行安全保驾护航。


想要更多资料?

联系我们
  • 烟草物流工控网络安全解决方案
烟草物流工控网络安全解决方案

1、行业安全现状:

烟草公司整体业务流程核心为物流配送,客户可通过网站订购,手机网页与电话等多种形式向烟草公司订货,烟草公司将这部分数据信息经各服务器处理后传至各个服务器,并下发给仓储系统和分拣系统,分拣系统PLC运行,将烟草分拣并打包,由此可见工控网络安全将会影响整个物流的正常运作,目前控制系统存在以下安全隐患:

1)整个物流网络中未进行明确的分域分级管理,整个网络区域边界不明确,缺乏必要的网络隔离防护手段,导致物流网极易遭到管理网的病毒攻击和入侵。


2)网络边界防护措施薄弱,管理区网络与生产区网络未对数据交换进行安全控制,给生产网增加了风险。


3)缺乏有效的网络监控和日志审计。当前烟草的工业控制系统中几乎没有考虑到应有的网络状态监控和操作日志行为审计需求。在日志安全方面,大部分服务器在日志审计方面都没有比较完善的保障机制。


2、解决方案:

烟草公司物流工控系统面临各种安全风险,仅仅采用被动防御和修补是不可靠的,需要的是整体解决方案,针对烟草物流工控系统的特点,需要从以下几个方面来解决安全问题:

1)威胁管理:部署威胁管理平台,对烟草物流工业控制系统进行风险评估,漏洞分析,安全性分析以便正确、及时的了解目前系统的安全现状,方便根据实际情况有计划有步骤的完成风险评估以及后续安全数据收集分析工作。


2)互联接口安全功能设计:在管理区网络与生产区网络之间部署IAD智能保护平台,满足互联接口的安全功能特性,包括身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计等。


3)安全审计设计:在生产执行层和分拣系统之间部署监测审计平台,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;


4)入侵防范设计:在生产执行层边界处部署监测审计平台,监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等,当检测到严重入侵事件时提供报警。


5)恶意代码防范设计: 在分拣系统边界以及分拣系统内部部署IAD智能保护产品,启用恶意代码检测及阻断功能。

 

烟草.jpg


3、业务价值:

针对烟草物流工控网络系统各层级可能存在的威胁进行评估,以便正确、及时的了解目前工控系统的安全现状,为后期进行整改、修补工作提供依据,以使工控系统更安全、稳定的运行。

想要更多资料?

联系我们
  • 钢铁行业工控网络安全防护方案
钢铁行业工控网络安全防护方案

1、行业安全现状

随着钢铁行业信息化的推进,MES、EMS的建设越来越多,原本相互独立DCS、PLC、仪器仪表、SCADA等控制子系统需要通过网络和信息系统连接在一起,这些子系统,负责完成对原料供配、焦化、烧结、炼铁、炼钢、除尘、连铸等控制任务,一旦受到恶性攻击、病毒感染,就会导致工控系统的控制组件和整个生产线被迫停止运转,甚至造成人员伤亡等严重后果。


2、解决方案

钢铁企业信息化系统一般分为五层结构,L5是企业的管理决策系统,L4是面向整个企业内部管理和计划的ERP系统,L3是面向生产和执行过程的MES系统,L2是面向生产过程和控制的PCS(过程控制)系统,L1是生产设备控制系统。基于数据采集、设备控制的安全考虑,防护方案如下:

(1)控制器防护:在L1层内部部署IAD智能保护平台,通过工业协议的深度解析确保HMI和现场控制设备之间通讯与控制的合法性;通过“黑”、“白”名单相结合的防护机制,有效阻止网络病毒、非法入侵、恶意控制等的威胁。


(2)主机防护:在现场控制层的HMI和服务器上,以及生产控制网中的工程师站、服务器上部署工控卫士,通过应用程序、网络、USB移动存储的白名单策略,防止用户的违规操作和误操作,阻止不明程序、移动存储介质和网络通信的滥用,有效提高工控网络的综合“免疫”能力。


(3)区域防护:在OPC服务器的通讯链路上部署数据采集隔离平台,对每个区域进行数据保护。


(4)综合预警与审计。在L2层、L1层部署工控监测审计终端,详细记录过程控制系统和HMI对现场控制设备的操作过程,实现对关键参数配置实时监测与安全审计并进行及时的预警响应。


(5)综合管理。部署综合管理平台,统一在线对监测审计终端、智能防护终端等进行统一管理与预警。

 

冶金.jpg


3、业务价值

通过多层次的隔离防护措施、全面的监控手段、完善的行为审计措施、纵深的防御技术,实现对钢铁行业工控网络整体安全防护,从而保障生产安全。


想要更多资料?

联系我们
  • 自来水厂工控系统网络安全解决方案
自来水厂工控系统网络安全解决方案

1.行业概述

自来水厂的自动化生产,主要是指使用工业控制系统检测现场水质状况、控制工艺设备运行(如加药设备、水泵机组、机组电气柜等),实现对现场实时数据采集与上传,工艺电控设备的顺序、条件、计时、计数控制、PID调节控制等功能,并按照工艺要求依次完成混凝反应、沉淀处理、过滤处理、滤后消毒、加压供水等环节,最终将纯净卫生的自来水可靠地送入千家万户的过程。


2.安全隐患与关键设备

自来水生产供给行业最大的安全隐患在于自来水的输、配送管网线路铺设范围广,通常采用大量的GPRS无线通讯方式进行管网状况的数据传输,传输的数据不加密,传输的报文容易被截获,从而给非法入侵提供了可乘之机。

其次,水务行业大多时成套系统,生产设备与控制系统配套使用,严重依赖国外的产品与技术,部分控制系统存在安全漏洞与固有后门,一旦被黑客利用,后果不堪设想。


3.典型安全事件

据英国《每日邮报》11月21日报道,美国基础设施控制体系专家称,黑客通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。这是国外黑客首次瞄准美国工业设施网络监控系统。黑客从一家软件公司获得授权信息,窃取用户姓名和密码,约在9月初开始侵入伊利诺伊州首府斯普林菲尔德以西一处农村地区水利控制系统,频繁开关一个水泵,直至11月8日马达报废,公司职员才发现水泵的监控与数据采集系统异常。这次攻击事件表明,这家美国公司的“监控和数据采集系统”(SCADA)软件系统存在漏洞。这种软件也在核电站、天然气管道、水坝和火车运行、钻油平台等关键设施中使用。


4.典型的攻击方式

4.1远程控制攻击

攻击者利用别人的计算机隐藏他们真实的IP地址后,寻找在企业内网中且联接外网的目标主机,通过使用扫描器工具,获取目标主机操作系统、帐户、WWW、FTP、Telnet 、SMTP等服务器程式版本等资料,为入侵作好充分的准备。进而利用社会工程学、工具和漏洞对账号进行破解,通过FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,清除记录并留下后门,以便日后可以再次进入系统。通过类似手法层层向下渗透,直到基础控制层,最终直接控制DCS系统控制器,造成生产破坏、生产数据和工艺流程数据被泄露。


4.2U盘攻击

典型的U盘攻击主要有三种:

1)USB RUBBER DUCKY:简称USB橡皮鸭,是最早的按键注入工具,通过嵌入式开发板实现,后来发展成为一个完全成熟的商业化按键注入攻击平台。它的原理是将USB设备模拟成为键盘,让电脑识别成为键盘,然后进行脚本模拟按键进行攻击。


2)TEENSY:TEENSY是攻击者在定制攻击设备时,向USB设备中置入一个攻击芯片,此攻击芯片是一个非常小而且功能完整的单片机开发系统。通过TEENSY可以模拟出一个键盘和鼠标,当插入这个定制的USB设备时,电脑会识别成一个键盘,利用设备中的微处理器与存储空间和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。


3)Bad USB:最新出现的一种攻击手段,不需要进行硬件定制,更具有普遍性。通过对U盘的固件进行逆向重新编程,改写了U盘的操作系统进行攻击。恶意代码存在于U盘的固件中,由于PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着普通杀毒软件和U盘格式化都无法应对BadUSB进行攻击。


U盘的入侵攻击通常会给上位机和控制器植入病毒,造成数据泄露和文件丢失,导致现场生产异常等情况。


4.3中间人攻击

中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的计算机放置在网络连接中的两台通信计算机或上位机与DCS系统控制器之间。当两者通讯时其实由中间人计算机进行转发,中间人不仅可以监听两者通讯的内容,甚至可以伪造通讯信息转发给双方,对双方进行欺骗从而达到自己的目的。中间人攻击会造成数据泄露、现场上传数据与实际数据不符等情况。


4.4水坑攻击

水坑攻击是指黑客通过分析企业内部人员的网络活动规律,寻找被攻击者经常访问的网站的弱点,例如工控论坛或供应商网站。先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。一旦被攻击用户访问了事先被植入攻击代码的网站,并将带木马的文件或软件安装到现场主机上,木马病毒就会一边采集现场数据一边将信息加密并传输到C&C服务器上。


城市供水.png


5.拓扑结构

5.1安全审计设计

建立专门针对本厂的在线全网监控审计平台,可以实现以下目标:

(1)可以提供整个控制网络的总体运行情况,自动识别网络设备,显示网络设备当前状态,进行网络性能综合分析。


(2)针对工业控制系统重要的网络节点或区域,监测所有数据包,并对数据包进行深度解析,发现异常或非法操作数据包,分析是否有外界入侵或人员误操作,并对所有异常情况发出报警,提醒现场操作人员。


(3)对网络中存在的所有活动提供行为审计、内容审计,产生完整记录便于事件追溯。


5.2入侵防范设计

针对于工业控制系统设备的专业防护,匡恩工业控制网络智能保护平台为工业控制网络提供了全方位的综合防御与保护,并且完整覆盖了工业控制系统整个漫长的生命周期。


智能保护平台能够保障DCS控制器安全,根据自带的漏洞特征库,智能识别出自来水厂控制系统网络中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,及时对其进行告警和阻断,并能为后续的安全威胁排查提供依据。


5.3互联接口安全功能设计

数据采集隔离平台是针对工控系统在数据采集过程中进行数据交换时遇到的安全难题,并结合自来水厂的工业控制系统现状,进行开放式全方位综合防御及保护的平台。数据采集隔离平台可对自来水厂大规模的无线数据采集及与调度中心通讯过程中可能遇到的数据泄露、病毒入侵等威胁提供全方位的监测、过滤、报警和阻断。


5.4上位机安全防护

工业控制系统内的上位机和服务器一般具有下列显著特征:运行时间长;操作系统版本控制混乱;因为不能联网而无法进行补丁升级操作;U盘、USB硬盘等便携式可插拔存储设备无法严格管理;运维人员对主机内后台运行的程序不甚了解;没有安装专业的工控防病毒软件,无法检测主机是否存在病毒威胁。正是这些严重威胁工业控制系统整体安全的问题,导致系统内的主机成为攻击者最佳攻击跳板。


 “工控卫士”是匡恩网络依托技术优势,充分研究、吸收工控网络安全攻防技术的前沿成果,专门为工控主机提供的一款防护产品,实现对工控上位机与工控服务器全面的安全防护。将防护软件安装在所有上位机,即可实现对工业控制系统主机进行防护的目的。


想要更多资料?

联系我们
X
留言
姓名:
行业:
公司:
职位:
电话:
邮箱:
留言:
验证码: 看不清,换一张
X
用户登录
用户名:
密码:

如果您忘记了密码,点击这里找回

X
用户注册

如果您已经拥有匡恩网络账户,请点击

用户名:
手机号:
邮箱:
密码:
确认密码:
姓名:
单位:
验证码:
X
修改密码
密码:
再次输入密码:
X
找回密码
用户名:
手机号:
验证码:
X

修改密码成功,系统将为你登录,请牢记您的新密码。