發新話題
發布投票
發布活動
發布招聘
航天天盾護航工業控制系統安全 樓頂 | |
life1992 本區職務:普通會員等級:初學弟子  積分:10 發表貼數:2 IP:123.124.219.192 | 發表于:2015-06-18 |
航天天盾護航工業控制系統安全 隨著信息化與工業化深度融合,以及物聯網的快速發展,工業控制系統如SCADA系統、DCS系統和PLC等目前已廣泛應用于工業基礎設施的各個領域,特別是在電力、石油、化工、水利、航天軍工等涉及國家重要利益的基礎建設行業,重要的設施設備都是依靠工業控制系統來實現自動化作業。而目前,大部分工控系統核心控制模塊從國外引進,國外產品已占領大部分市場,如PLC國內產品市場占有率不到1%, DCS主控制器芯片95%依賴進口。而國外工業控制芯片、工業控制系統產品設計和配置等都可能存在漏洞,甚至留有后門,存在嚴重的安全隱患。一旦發生安全事件,直接造成的影響是生產停滯或設備損壞,給企業及國家帶來較大的經濟損失,更嚴重的還可能對生產人員的生命、健康產生危害。 近20年來,工業控制系統強調開放性,在系統中大量引入民用的COTS產品,如Windows操作系統、關系數據庫等,并廣泛使用以太網和TCP/IP協議。大部分的工業網絡和現場總線協議,廣泛使用的MODBUS/TCP、CAN、PROFIBUS等都是明碼傳輸,沒有嚴格的身份識別,報文很容易被偽造。簡單的DoS攻擊就可以使系統網絡完全癱瘓,造成工業過程失控或裝置停機。工業控制安全最薄弱的環節就落在了工業網絡數據傳輸上,對于大型SCADA系統或DCS系統,設備分散安裝,部分采用公網和無線網絡,更容易受到攻擊。 據相關數據統計,自2000年以來,對工業過程控制和數據采集系統的成功攻擊增長了近10倍,特別是近幾年,重大工業控制系統安全事件屢屢被爆出。2010年,伊朗核設施遭遇Stuxnet震網病毒攻擊,導致伊朗用于鈾濃縮的一千多臺離心機癱瘓,最終使伊朗的布什爾核電站推遲啟動;2011年,Duqu病毒被查出,用來收集與其攻擊目標相關的各種情報;2012年,Flame病毒被用來執行網絡間諜活動,其構造十分復雜,危害性巨大,可以通過USB存儲器以及網絡復制等多種方式傳播,并能接受來自世界各地多個服務器的指令;2014年,超過84個國家的1018座發電站感染Dragonfly病毒,數千座發電站可被進行遠程訪問。 工業控制系統安全已經刻不容緩,而工業控制系統長期存在的風險隱患已是影響國家關鍵基礎設施穩定運行的重要因素,甚至威脅到國家安全戰略實施,為了應對當前工業控制系統信息安全面臨的嚴峻形勢,2011年,工業和信息化部發布《關于加強工業控制系統信息安全管理的通知》,要求各地區、各有關部門、有關國有大型企業充分認識工業控制系統信息安全的重要性和緊迫性,切實加強工業控制系統信息安全管理,以保障工業生產運行安全、國家經濟安全和人民生命財產安全。同時,國家也大力鼓勵國產安全廠商研發具有自主知識產權的工業控制產品和安全防護系統,加大國產化進程,在重要行業中的工業控制系統真正實現“自主可控,安全可靠”。 在此背景下,航天系統工程公司發揮航天領域技術、人才、科研資源等優勢,結合自身在工業控制安全行業積累的豐富經驗,推出了適用于工業控制系統安全的航天天盾解決方案。航天天盾工業控制系統解決方案采用獨特的安全防御交換機,部署在關鍵網絡節點,保護工業以太網,徹底防止工業控制系統受到APT或病毒的攻擊;對工業以太網、現場總線、輸入輸出(I O)三層進行異常監測,確保工控系統各個環節運行安全;工控主機中毒或誤操作導致異常后,實現工控主機在線自動恢復為正常狀態;采用健康高效的無線智能阻斷技術,防止外界通過無線網絡進行攻擊。 航天天盾工業控制系統解決方案主要包括天盾(DCS)異常監測與應急恢復系統、天盾安全防御交換機和天盾無線智能阻斷系統。可以保證在數據采集終端、數據傳輸過程中和到終端服務器都能夠得到全方位的防護,避免被竊聽破壞篡改。
天盾(DCS)異常監測與應急恢復系統主要實現對工業以太網中工程師站組態變更、操作站數據與操控指令變更,及現場總線訪問、負載變更、通信行為、異常流量等的安全監測,實現過程狀態參數、控制信號的閾值檢查與報警,實現故障主機在線自動恢復等功能。在產品設計上采用專用硬件和模塊化的軟件組件設計,設備為專用的嵌入式硬件,高可靠性的多方位冗余設計,系統采用WEB方式進行管理,部署簡單方便。在架構上主要分為四層:可視化運維層、異常事件處理層、異常監測層、數據采集層。產品基于分布式負載均衡及(SOA)架構,采用異構系統的聚合監測技術,支持旁路方式進行部署,根據工藝流程實際要求,既可部署在工業以太網,現場總線或輸入輸出節點。 天盾安全防御交換機在確保合法網絡業務正常通信的前提下,通過構建虛擬路徑、虛擬網絡和虛擬節點,動態隨機的變換網絡拓撲,隱藏真實網絡拓撲和節點,給攻擊者呈現虛假的節點和網絡信息屬性,使攻擊者難以進行后續攻擊,且易暴露身份。并且適用于任何使用交換機的環境,包括工業以太網,與普通交換機相比較:可提供防滲透、抓內鬼、抗蠕蟲等功能。天盾安全防御交換機在部署上非常簡單,對于小規模的使用環境,可以直接替換原有交換機,同時可以級聯成一定數量的普通交換機,對于大規模已經部署較多交換機的使用環境,可以在匯聚交換機前端或者后端直接串接。 天盾無線智能阻斷系統使用自主研發芯片,完全擁有自主知識產權。可實現在2.4GHz和5.8GHz 頻段(即通常的ISM頻段,包括Wi-Fi、藍牙、ZigBee等)的無線信號通訊進行全面或者有選擇性的阻斷,具備配置無線白名單,保證合法信號數據正常安全通信,管理范圍可達到45-120米。實時對接入點AP設備和終端進行掃描監控,若發現非法接入,可遠程報警,并關閉非法接入。并且發射功率小,綠色環保,功耗低。 希望通過航天天盾工業控制系統安全解決方案的建設與實施,能夠幫助行業用戶建立起工業基礎設施信息安全保障體系,增強安全風險防范能力,促進工業控制系統安全、穩定運行,降低工業控制系統安全事件的發生概率。 更多工業控制安全資料:http://www.xxaq.org/html/ics 發帖加分:5 總共加分:5 | |