详细介绍
1、方案简介
通过部署工控防火墙对数据采集进行安全过滤,或对不同工厂关键位置进行逻辑隔离。
2、解决痛点
工业控制系统平台的自身脆落性
由于工业网络早期是封闭的,系统在最初的设计时,并没有把其自身的安全性作为主要的考虑目标。同时工业系统对稳定性要求非常高,企业即使发现了系统组件的漏洞,也很少或很难对系统进行升级。因此平台的自身脆弱性是目前工业控制系统所面临的严峻的挑战。
生产设备硬件的漏洞:控制系统中的PLC/RTU等设备往往都存在的严重漏洞,这些漏洞可以直接被黑客(如震网病毒)利用破坏生产网络。无论是国外的SIMENS、Schneider等工业巨头还是国内的三维力控、亚控科技等厂商都公布了大量的关于设备硬件的漏洞。
系统平台软件包括设备操作系统、组态软件和管理系统等。
从操作系统上来看,很多工程师站、服务器、HMI,同时包括一些嵌入式的设备都采用的Windows XP系统,那么微软停止XP的安全漏洞的更新将会给工控系统带来更大风险隐患。同时其它一些嵌入式系统也都存在很多漏洞。
从组态软件和管理系统看,它们可以直接控制生产设备,因此其漏洞也会直接威胁到工控网络中的设备。
工控网络的互连互通带来的脆弱性
工业以太网在提高信息互连的同时包括通过基于OPC(OLE for Process Control, 用于过程控制的OLE)的工业数据交换、基于FTP协议的DNC(Distributed Numerical Control,分布式数控)网络的指令传递等,使传统安全威胁可以很快渗透到工业网络中。而原本封闭的工控网络早期并没有考虑相应的安全防护措施,包括缺失的数据通信加密、数据流及控制流的访问控制、用户认证机制、无线安全连接和安全审计监控等等。而同时由于大量的厂家或协会公布了工控协议的实现细节和标准(如modbus、hse和ethernet/ip等),使得攻击者可以深入的挖掘其中的漏洞,并借此展开攻击。
3、解决思路
采用基础防火墙功能,包括基于传统五元组、协议、资产、时间等多元组一体化访问控制;支持透明、路由、混合模式部署;系统内置多种工业防护模型,并可以自定义防护规则;
工业DPI:支持多种工业协议深度解析,包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等协议,可以做到指令级访问控制。
私有协议自定义管控:支持用户自行对工业数据包编写过滤策略,无需厂商参与的情况下可根据企业私有协议自由定义bit位级别的过滤安全策略,充分保证私有协议定义安全;具备基于自然语言描述的可扩展规则引擎,支持自定义报文解析,具备极佳的安全防护扩展能力
流量自学习:流量智能学习,自动推荐安全策略帮助管理员轻松运维,流量可视化,让管理员洞悉工业网络情况。
工业VPN:支持基于工业协议的数据加密传输。
工业IPS:预置工控系统攻击事件库,全面提升工业网络安全防护能力。
集中管理:支持工业防火墙的大规模部署,全网策略统一下发,设备情况统一展现,日志告警集中显示。
日志审计:支持设备管理日志和系统日志的记录和外发。
4、实施成效
对工控专有协议进行深度分析,避免非法指令或错误参数下发到各PLC控制设备,确保现场设备正常运行;
保证区与区隔离,同时避免来自上层系统网络的病毒传播及攻击;
只允许相关工业协议的授权访问,防止病毒传播,保证了生产监控区的通讯安全。
运营案例
适用于SCADA、DCS、PCS、PLC等工业控制系统,可以被广泛的应用到核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统。
