工业控制网络安全防护的必要性.pptx
- 文档编号:8549313
- 上传时间:2023-05-13
- 格式:PPTX
- 页数:38
- 大小:17.24MB
工业控制网络安全防护的必要性.pptx
《工业控制网络安全防护的必要性.pptx》由会员分享,可在线阅读,更多相关《工业控制网络安全防护的必要性.pptx(38页珍藏版)》请在冰点文库上搜索。
工业控制网络安全防护的必要性,公司简介,产品列表,行业背景,技术原理及特点,解决方案,公司简介,北京力控华康科技有限公司正式成立于2008年,是专业从事工业网络通讯和网络安全产品与服务,已获得“双软”认证。
公司凭借在工业通信以及网络安全领域积累的丰富经验,同时依托于力控系列软件平台,成功研发出真正适用于工业控制系统的工业网络安全防护网关pSafetyLink以及工业通信网关pFieldComm等系列产品。
公司立足于自主研发、专注于工业信息安全市场,树立以“坚持以客户为中心,不断为客户创造价值”服务理念,为石油、石化、冶金、电力、市政等多个行业控制系统的信息安全接入和数据实时交换提供解决方案,并力争成为具备领先技术水平的工业信息安全领导者。
2005年,2008年,2010年,2011年,推出pFieldcomm通信网关,pSafetyLink安全防护网关推出,力控华康成立,发展至今,发展史,公司简介,产品列表,行业应用,产品特点,案例解析,安全网关,隔离网关,通信网关,保障工业网络安全互联,产品分类,通信网关,通讯协议转换器现场总线及工业以太网网关通信前置管理机能源数据采集站楼宇控制设备集成网关环保数据传输管理仪,产品应用:
工业网络安全隔离网关,电力系统二次防护冶金行业能源管理数字城市管网煤矿综合自动化石油/石化工业控制网络安全防护,公司简介,产品列表,行业应用,产品特点,案例解析,自动化系统发展趋势,大型化/一体化:
随着计算机网络技术在PCS系统中的深入应用,以及MAV理念逐步得到认可,自动控制系统仅为“信息孤岛“的时代已经过去。
大型化、集成化的PCS系统是历史发展的必然趋势!
智能化/信息化:
随着数字技术向控制系统和现场仪表的不断延伸,数据总线处理信息的安全传输和合理利用,将是自动控制系统面临的重要考验!
成本控制/网络安全:
大量商用计算机及网络技术将逐步替代自动控制系统固有的软硬件设备。
保证PCS系统的安全可靠将是工程公司及制造商共同面对的重要课题!
集成自动化系统网络,工厂信息网(ERP),过程控制网络(PCS),生产管理网络(MES),集成自动化系统网络,自动化系统网络主要安全威胁,历史事件回顾:
Stuxnet,“震网”病毒-StuexNET,历史事件回顾:
美国停电,历史事件回顾:
电力二次防护,工业控制网络与商用网络对比,工业控制网络与商用网络对比,网闸的出现,GAP技术GAP技术是综合安全技术的高度集成,他涵盖了安全系统内核技术、强协议分析处理技术、身份认证、芯片处理技术、硬件编码技术、物理隔离开关技术和访问控制技术等等。
其安全核心是:
采用专用的物理隔离部件实现两个网络的断开(协议和链路断开的完整结合),同时在两个网络间可控的安全的传输应用数据。
网闸技术主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享的技术。
其基本原理是中断网络的直接连接,将数据还原成最原始的数据(文件),对数据进行安全审查,在异构介质上重构数据,然后进行传递,完成数据的交换。
其重点是:
安全第一,应用第二,安全与应用的完整结合。
与防火墙的区别,网关(Gateway)在互联网络中起到高层协议转换的作用,工作在OSI模型的应用层;网关在计算机上通过使用软件实现。
防火墙(Firewall)Internet和Intranet之间的安全之墙,阻止未授权或未验证的访问,高级的防火墙能设置DMZ区域。
保证数据能够正常交换的前提下网络尽量安全。
由于网络管理人员更重视网络的通畅,从而降低了对安全策略的部署,让更多潜在的危机存在于网络。
安全隔离网关(pSafetyLink)真正意义上的物理层的断开,意味着“不能基于一个物理层的连接,来完成一个OSI模型中的数据链路的建立”。
网闸的安全区完全不支持TCP/IP协议,在网闸中基于协议的数据包被还原成最原始的数据(文件)。
这样,就可以完全阻断基于TCP/IP的攻击。
保证网络绝对安全的前提下,完成对数据的交换。
对于网闸,他只处理必要的、需要的数据,强调对安全的重视。
绝对安全与相对安全,我们如果要着手评估或规划一个工业网络的安全防护系统,首要的工作是定义究竟哪些数据是可以允许通过。
如果你要使用普通的防火墙达到目的,那你就须要配置防火墙,来限制所有除“绝对必需”通信业务以外的通信业务,但事实上很难做到。
“绝对必需的业务”的意思是,与业务不相关的数据均不允许通过,即使认为是安全的!
例如,许多用户认为允许SQL通过防火墙与历史数据服务器交互数据是安全的。
不幸的是,SQL也同样受到了蠕虫病毒“Slammerworm”的威胁。
许多重要的协议用于工业网络,例如HTTP,FTP,OPC/DCOM,EtherNet/IP,MODBUS/TCP,但这些都有着明显的安全漏洞。
比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。
对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。
黑客可以很轻松的获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。
水闸原理,水闸由闸室、上游连接段和下游连接段组成。
闸室是水闸的主体,闸门用来挡水和控制过闸流量。
闸室分别与上下游连接段和两岸或其他建筑物连接。
上游连接段用以引导水流平顺地进入闸室,下游连接段用以引导出闸水流均匀扩散,稳定性,压缩性大以及水头低而水位变幅大是水闸的主要工作特点。
非典原理,在研究SARS病原体的过程中,人们动用了一种很高级的实验室,这种实验室既要保证非相关微生物不得入内,又要保证试验用微生物不得从试验室中出来。
于是,研究人员进入实验室的时候,首先通过一道门进入消毒间,并关闭此门,此时研究人员被完全封闭在消毒间中;完成消毒后,通往实验室的门方打开;试验完毕,研究人员同样先进入消毒间,并关闭通往实验室的门,完成消毒后,方打开通向外部的门。
在这里,可以将研究人员可能携带的微生物看作病毒,实验室和外部可以分别看作两个网:
网A和网B,研究人员就是中间传递的数据D,消毒可以看作对原始数据进行安全审查及杀毒等处理。
可以发现,任何一个时刻,实验室和外部都是不相通的,消毒室的门不能同时向外部和实验室打开。
研究人员每次进出试验室都要在一个封闭空间中进行严格的消毒。
公司简介,产品列表,行业应用,产品特点,案例解析,产品特点,高安全性的“2+1”系统架构为了满足“两化融合”的需要,某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。
但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故,因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。
基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。
系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。
内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统基于PSL技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。
基于PSL的实时数据交换技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,保证数据交换延迟时间低于1ms,从而满足了用户对高性能安全隔离网闸的需求以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为工业控制系统网络间数据交换提供了“绿色通道”。
基于高效的IO调度模型,多重冗余方案,支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。
技术原理,产品特点,安全的物理隔离“2+1”系统架构独立的运算单元和存储单元,各自运行独立的操作系统和应用系统安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议私有的定制操作系统,具备完善的身份认证管理与安全审计功能,保证了系统的机密性、完整性和不可否认性强大的数据交换能力和多种工业通信协议支持工业通信协议,OPC/MODBUS/60870-5-104/断线缓存,续传实时数据交换,数据吞吐量10,000点/秒完整的安全策略部署访问控制身份认证安全审计数据完整性可靠的冗余方案和故障自诊断技术多重冗余协议,支持端口冗余、链路聚合、双机热备、负载均衡看门狗技术,产品目录,公司简介,产品列表,行业应用,产品特点,案例解析,乌石化MES应用,昆仑燃气生产指挥调度系统应用,心连心化肥厂MES/PIMS应用,部分典型应用业绩,中石油乌鲁木齐石化MES中石油昆仑燃气有限公司昆仑燃气生产指挥系统中石油昆仑燃气甘肃张掖城市燃气调度中心中石油昆仑燃气山西介休城市燃气调度中心中石油昆仑燃气江苏泰州城市燃气调度中心中石油昆仑燃气江苏仪征城市燃气调度中心中石化胜利油田胜利热电联供中心生产调度中石化胜利油田油气集输总厂生产调度中海油深圳分公司MES河南心连心化肥有限公司二分公司PIMS系统大唐国际风电远程监控系统新奥集团新能能源有限公司年产60万吨甲醇生产自动化调度管理系统太原蓝星化工厂生产自动化调度监控系统江苏镇江大港热电厂PIMS系统新疆国投罗钾调度系统青岛钢铁能源管理系统中国安全生产研究院神华集团内蒙古准格尔能源集团生产调度昌乐世纪阳光纸业计量系统,Thanks,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 控制 网络安全 防护 必要性