工业控制网络安全防护的必要性课件.ppt

1、路漫漫其悠远路漫漫其悠远2022-6-7工业控制网络安全防护工业控制网络安全防护的必要性的必要性路漫漫其悠远路漫漫其悠远公司简介产品列表行业背景技术原理及特点解决方案路漫漫其悠远路漫漫其悠远公司简介 北京力控华康科技有限公司正式成立于2008年，是专业从事工业网络通讯和网络安全产品与服务，已获得“双软”认证。 公司凭借在工业通信以及网络安全领域积累的丰富经验，同时依托于力控系列软件平台，成功研发出真正适用于工业控制系统的工业网络安全防护网关pSafetyLink以及工业通信网关pFieldComm等系列产品。 公司立足于自主研发、专注于工业信息安全市场，树立以“坚持以客户为中心，不断为客户创造

2、价值”服务理念，为石油、石化、冶金、电力、市政等多个行业控制系统的信息安全接入和数据实时交换提供解决方案，并力争成为具备领先技术水平的工业信息安全领导者。路漫漫其悠远路漫漫其悠远2005年2008年2010年2011年推出pFieldcomm通信网关pSafetyLink安全防护网关推出力控华康成立发展至今发展史路漫漫其悠远路漫漫其悠远公司简介产品列表行业应用产品特点案例解析路漫漫其悠远路漫漫其悠远安全网关保障工业网络安全互联产品分类路漫漫其悠远路漫漫其悠远通信网关 通讯协议转换器 现场总线及工业以太网网关 通信前置管理机 能源数据采集站 楼宇控制设备集成网关 环保数据传输管理仪产品应用：产品

3、应用：路漫漫其悠远路漫漫其悠远工业网络安全隔离网关 电力系统二次防护 冶金行业能源管理 数字城市管网 煤矿综合自动化 石油/石化工业控制网络安全防护路漫漫其悠远路漫漫其悠远公司简介产品列表行业应用产品特点案例解析路漫漫其悠远路漫漫其悠远自动化系统发展趋势u大型化/一体化：随着计算机网络技术在PCS系统中的深入应用，以及MAV理念逐步得到认可，自动控制系统仅为“信息孤岛“的时代已经过去。大型化、集成化的 PCS系统是历史发展的必然趋势！u智能化/信息化：随着数字技术向控制系统和现场仪表的不断延伸，数据总线处理信息的安全传输和合理利用,将是自动控制系统面临的重要考验！u成本控制/网络安全：大量商用

4、计算机及网络技术将逐步替代自动控制系统固有的软硬件设备。保证PCS系统的安全可靠将是工程公司及 制造商共同面对的重要课题！路漫漫其悠远路漫漫其悠远集成自动化系统网络工厂信息网(ERP)过程控制网络(PCS)生产管理网络(MES)路漫漫其悠远路漫漫其悠远集成自动化系统网络路漫漫其悠远路漫漫其悠远自动化系统网络主要安全威胁分计算机网络带宽攻击和连通性攻击。带宽攻击以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽。连通性攻击用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽。对计算机信息直接破坏；占用磁盘空间；抢占系统资源；影响系统运行速度；网络攻击行为的一种,只是网络非法入

5、侵有非常强的隐蔽性。为此，针对网络非法入侵的安全策略，更多的是侧重于基于网络管理的防范策略，具有一定的被动性。有客户端和服务器端执行程序。攻击者通过客户端过程控制植入木马程序的计算机，从面发动攻击。过多的广播包消耗了大量的网络带宽，导致正常的数据包无法正常在网络中传送，通常指一个广播包引起了多个的响应，而每个响应又引起了多个得响应，就像滚雪球一样，把网络的所有带宽都消耗殆尽。路漫漫其悠远路漫漫其悠远路漫漫其悠远路漫漫其悠远历史事件回顾：Stuxnet路漫漫其悠远路漫漫其悠远“震网”病毒-StuexNET路漫漫其悠远路漫漫其悠远历史事件回顾：美国停电路漫漫其悠远路漫漫其悠远历史事件回顾：电力二次

6、防护路漫漫其悠远路漫漫其悠远工业控制网络与商用网络对比特点商用网络/办公网络控制网络应用领域极其广泛工业领域，SCADA开放性完全开放，互联网相对封闭设备更新频繁不频繁系统更新频繁不频繁数据机密性要求高一般持续可靠性要求一般非常高对待病毒允许不允许应用数据极其复杂特定应用协议HTTP、SMTP、FTP、SQLOPC、MODBUS、DNP3路漫漫其悠远路漫漫其悠远工业控制网络与商用网络对比路漫漫其悠远路漫漫其悠远网闸的出现 GAPGAP技术技术 GAP技术是综合安全技术的高度集成，他涵盖了安全系统内核技术、强协议分析处理技术、身份认证、芯片处理技术、硬件编码技术、物理隔离开关技术和访问控制技术等

7、等。其安全核心是： 采用专用的物理隔离部件实现两个网络的断开（协议和链路断开的完整结合），同时在两个网络间可控的安全的传输应用数据。 网闸技术网闸技术主要指通过专用的硬件设备在物理不连通的情况下，实现两个独立网络之间的数据安全交换和资源共享的技术。其基本原理是中断网络的直接连接，将数据还原成最原始的数据（文件），对数据进行安全审查，在异构介质上重构数据，然后进行传递，完成数据的交换。 其重点是：安全第一，应用第二，安全与应用的完整结合。路漫漫其悠远路漫漫其悠远与防火墙的区别网关（网关（GatewayGateway） 在互联网络中起到高层协议转换的作用，工作在OSI模型的应用层;网关在计算机上通

8、过使用软件实现。 防火墙（防火墙（FirewallFirewall） Internet和Intranet之间的安全之墙，阻止未授权或未验证的访问，高级的防火墙能设置DMZ区域。保证数据能够正常交换的前提下网络尽量安全。由于网络管理人员更重视网络的通畅，从而降低了对安全策略的部署，让更多潜在的危机存在于网络。安全隔离网关安全隔离网关(pSafetyLinkpSafetyLink)真正意义上的物理层的断开，意味着“不能基于一个物理层的连接，来完成一个OSI模型中的数据链路的建立”。网闸的安全区完全不支持TCP/IP协议，在网闸中基于协议的数据包被还原成最原始的数据（文件）。这样，就可以完全阻断基于

9、TCP/IP的攻击。保证网络绝对安全的前提下，完成对数据的交换。对于网闸，他只处理必要的、需要的数据，强调对安全的重视。路漫漫其悠远路漫漫其悠远绝对安全与相对安全 我们如果要着手评估或规划一个工业网络的安全防护系统，首要的工作是定义究竟哪些数据是可以允许通过。 如果你要使用普通的防火墙达到目的，那你就须要配置防火墙，来限制所有除“绝对必需”通信业务以外的通信业务，但事实上很难做到。 “ “绝对必需的业务绝对必需的业务”的意思是，与业务不相关的数据均不的意思是，与业务不相关的数据均不允许通过，即使认为是安全的！允许通过，即使认为是安全的！ 例如,许多用户认为允许SQL通过防火墙与历史数据服务器交

10、互数据是安全的。不幸的是,SQL也同样受到了蠕虫病毒“Slammer worm”的威胁。许多重要的协议用于工业网络,例如HTTP，FTP，OPC / DCOM，EtherNet/ IP,MODBUS/ TCP，但这些都有着明显的安全漏洞。路漫漫其悠远路漫漫其悠远 比如OPC，因为其基于DCOM技术，在进行数据通讯时，为了响应请求，操作系统就会为开放从1024到5000动态端口使用，所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析，而使OPC客户端可以轻易对OPC服务器数据项进行读写，一旦黑客对客户端电脑取得控制权，控制系统就面临很大风险。 黑客可以很轻松的获得系

11、统所开放的端口，获取/伪装管理员身份，对系统进行恶意破坏，影响企业的正常生产运营。路漫漫其悠远路漫漫其悠远水闸原理水闸由闸室、上游连接段和下游连接段组成。闸室是水闸的主体，闸门用来挡水和控制过闸流量。闸室分别与上下游连接段和两岸或其他建筑物连接。上游连接段用以引导水流平顺地进入闸室，下游连接段用以引导出闸水流均匀扩散，稳定性，压缩性大以及水头低而水位变幅大是水闸的主要工作特点。路漫漫其悠远路漫漫其悠远非典原理在研究SARS病原体的过程中，人们动用了一种很高级的实验室，这种实验室既要保证非相关微生物不得入内，又要保证试验用微生物不得从试验室中出来。于是，研究人员进入实验室的时候，首先通过一道门进

12、入消毒间，并关闭此门，此时研究人员被完全封闭在消毒间中；完成消毒后，通往实验室的门方打开；试验完毕，研究人员同样先进入消毒间，并关闭通往实验室的门，完成消毒后，方打开通向外部的门。在这里，可以将研究人员可能携带的微生物看作病毒，实验室和外部可以分别看作两个网：网A和网B，研究人员就是中间传递的数据D，消毒可以看作对原始数据进行安全审查及杀毒等处理。可以发现，任何一个时刻，实验室和外部都是不相通的，消毒室的门不能同时向外部和实验室打开。研究人员每次进出试验室都要在一个封闭空间中进行严格的消毒。路漫漫其悠远路漫漫其悠远公司简介产品列表行业应用产品特点案例解析路漫漫其悠远路漫漫其悠远产品特点高安全性

13、的“2+1”系统架构 为了满足“两化融合”的需要，某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故，因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案，可有效解决工业控制网络外联时面临的安全问题。 系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元，隔离交换系统基于PSL技术及相应的隔离加密电路，不受主机系统控制，独立完成应用数据的封包、摆渡、拆包，从

14、而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术，分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题，保证数据交换延迟时间低于1ms，从而满足了用户对高性能安全隔离网闸的需求以统一安全引擎为基础，对隔离交换报文进行全文数据还原，对用户登录、命令请求、文本信息、协议格式等实施全文深度检测，并支持特定应用层协议标签的检测控制，实现了对特定信息交换多重内容安全管理，为工业控制系统网络间数据交换提供了“绿色通道”。基于高效的IO调度模型，多重冗余方案，支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡，保障了用户网络和应用的高可靠性。路漫漫其悠远路漫漫其悠远技术原理路漫

15、漫其悠远路漫漫其悠远路漫漫其悠远路漫漫其悠远产品特点安全的物理隔离“2+1”系统架构独立的运算单元和存储单元，各自运行独立的操作系统和应用系统安全隔离区采用私有加密的数据交互技术，数据交换不依靠TCP/IP协议私有的定制操作系统，具备完善的身份认证管理与安全审计功能，保证了系统的机密性、完整性和不可否认性强大的数据交换能力和多种工业通信协议支持工业通信协议，OPC/MODBUS/60870-5-104/断线缓存，续传实时数据交换，数据吞吐量10，000点/秒完整的安全策略部署访问控制身份认证安全审计数据完整性可靠的冗余方案和故障自诊断技术多重冗余协议，支持端口冗余、链路聚合、双机热备、负载均衡

16、看门狗技术路漫漫其悠远路漫漫其悠远产品目录产品型号规格网关硬件PSL-FW75501U机架式安装，双独立主板，Intel Pineview-D 410 x 2，1 GB DDRII x 2，4LAN(千兆) x 2，额定点数10,000PSL-FW75622U机架式安装，双独立主板，Intel Pineview-D 510 x 2，2 GB DDRII x 2，4LAN(千兆) x 2，冗余电源，额定点数20,000PSL-FW85633U机架式安装，双独立主板，Intel Core 2 Duo E6400 x 2，2GB DDR-II x 2，6LAN(千兆) x 2，冗余电源，额定点数40

17、,000可选软件PSL-SW-CON远程配置工具PSL-SW-MON远程监视工具PSL-SW-COM-OPC标准OPC通信组件P S L - S W - C O M -MODBUS标准Modbus TCP通信组件P S L - S W - C O M -DNP3标准DNP3通信组件PSL-SW-COM-104标准IEC-60870-5-104通信组件路漫漫其悠远路漫漫其悠远公司简介产品列表行业应用产品特点案例解析路漫漫其悠远路漫漫其悠远乌石化MES应用路漫漫其悠远路漫漫其悠远昆仑燃气生产指挥调度系统应用路漫漫其悠远路漫漫其悠远心连心化肥厂MES/PIMS应用路漫漫其悠远路漫漫其悠远部分典型应用

18、业绩 中石油乌鲁木齐石化MES 中石油昆仑燃气有限公司昆仑燃气生产指挥系统 中石油昆仑燃气甘肃张掖城市燃气调度中心 中石油昆仑燃气山西介休城市燃气调度中心 中石油昆仑燃气江苏泰州城市燃气调度中心 中石油昆仑燃气江苏仪征城市燃气调度中心 中石化胜利油田胜利热电联供中心生产调度 中石化胜利油田油气集输总厂生产调度 中海油深圳分公司MES 河南心连心化肥有限公司二分公司PIMS系统 大唐国际风电远程监控系统 新奥集团新能能源有限公司年产60万吨甲醇生产自动化调度管理系统 太原蓝星化工厂生产自动化调度监控系统 江苏镇江大港热电厂PIMS系统 新疆国投罗钾调度系统 青岛钢铁能源管理系统 中国安全生产研究院 神华集团内蒙古准格尔能源集团生产调度 昌乐世纪阳光纸业计量系统