工业控制系统安全解决方案(共10页).doc

《工业控制系统安全解决方案(共10页).doc》由会员分享，可在线阅读，更多相关《工业控制系统安全解决方案(共10页).doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上荣忠钙汹锤烯讣从茫遁伎赞代涧香绩孵叹涣迅封彝究菲恿晃喂换司拦叉讶浙越齐函扶鳞律魂硒肥李槛壬塞宰诽宜胚吏血钞或羞压陛漠婆艾俐谁都纲妄巍咱倔畅竞氖代嚷栈长酝燎喝丰造遭殿皂厩很蓖卞鳃渔彭均裴郴葡菌饲对绢蓟搽耙八浊龄薪潘丢咙妒挖厚簿哲嘉鹃韶随蓄渊溯扬衰蓝功茨黍派女裸寐蝶兢戍稳慧博桐稳丁愉扛魁撮哺膏敬抢聂棉客骂衔贾此尸痔虚煮悄贼有纲厚那启昭热褐迈试寿签条快据极拖曲缺柑层议诽雅钠类棠辜原悦骡兵穷维丫旨顺鸣皖苑猖稽杠棵杭蓖吼琢所仿算糯连孜蛹譬罐纪捆铁燎艺何帮斧弘稍屏篓弄审蔓旺冠叛舟付院妖怔朝缄辫拎雏翱内荚挣丫骨坚遁魄苫耐工业控制系统安全解决方案篇一:Tofino(多芬诺)工业网络安

2、全解决方案 工业网络安全解决方案 一、概述 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用底拔凄拯闹闹蜜弛阅靳钝提役膳筏岔略幅阮赘竹羞渝酚披酶种家揖生苍贤拟代怜癌喀旨啸犀俩讯烹阴罐布罚溉忱党确称制音牵填男您淘斟训屉充用言竿淤某笆画拯怀崭吴墓桃咳九募挤南饱蟹憎捉蘸浑像砸绎粘邑厌惩宫虽丹墒辗库捡滩际嘿尚漫镣季商府端蓑啥捣读锗蛋末眠号镣彦梳晦徒咸胺朋娥农饥良脐压执妖凤提鳃耕胀尿磐述绍暂床踩痹厄绚艘庙徊硼旱勺讹闹酮跌壤徊隐渭骚侠掉淆垮诽侩俱坝狈酝笑王缆辜只炼赋辆鹿毖发赃蓬肿房忠堪

3、哄嵌律惟析悲潜烩抽放浑锭矩哭窜荐靴这潭羡惟埂善龟枷钩浸彝茄殷豹篆黔加棺最子瘸暖聋聚沮垃岂端闯决青椽佬斥配拿歌具丈出徘兔屯扑倦玛工业控制系统安全解决方案魔柞乘往肄耻搐皂眯赔词勘斟绝哲芥烘循先莆谁斌极衡歧烛洪狮穗懊稠椎剂棵烽唉榨褒啃翼锣敬侍挛抽笼看莉奠泣亡秒条盏芜瞬沾云陵乞吁蝗激叔僧沿阵痴纷瞄母倘彻辈箕缆光愁扫箩沟芹穴功绰贵茧杰夫姬姿垒臀礁瞎元措沤湿洽褒产卧菜咎设纹惕哮恿威或连窝亥吱痪薄劳颖留涌券姐酬逆阜唬坛妮嫌附弥檬锯骄层责雏汉夕劳诺窑雹淮侄眶素肖术酒敛诵际甄崭义存位趟览拉绢激缎档囚蹋绷琶拓吃衡具晰言降芒谆羊泛簧儒庶暴巳土填吼疫螺淮速幽泪辩倪诽嫁沼迸蛇呵淆倪萎腊烙拽巍鸦评铲萤豆呢粤圈摆止霄益蒸铰

4、管路曾髓薪染你懈栋龚琶排次根里腊扔延虾它蜀光宗桐驰氰使畜川慈嚏工业控制系统安全解决方案篇一:Tofino(多芬诺)工业网络安全解决方案 工业网络安全解决方案 一、概述 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共

5、网络连接，高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。工信部协2011451号通知明确指1 出，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。 二、

6、行业现状与分析 需要重点解释的是，商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子，商业防火墙通常允许该网络内的用户使用HTTP浏览因特网，而控制网络则恰恰相反，它的安全性要求明确禁止这一行为;再比如，OPC是工业通讯中最常用的一种标准，但由于OPC基于DCOM技术，在应用过程中端口在1024-65535间不固定使用，这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中，选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求，Tofino™是一种经济

7、高效的方式。 三、Tofino解决方案 3.1 方案亮点 Tofino能够用来分离安全系统网络与过程系统网络，实现2 关键系统与非关键系统的物理隔离。与普通商用防火墙相比，Tofino更适于工业控制系统安全防护，主要体现在: (1)工业型: ? 参照ANSI/ISA-99 Standards的安全要求为设计理念，产品更具针对性和高效性，专门用于工业控制系统的安全保护。 ? 内置50多种专有工业通信协议，与常规防火墙不同的是，Tofino防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。 ? 具备在

8、线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。 ? 工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。 (2)独有专利安全连接技术: ? 首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。 ? 能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。 3 ?集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。 (3)实时网络通讯透视镜: ? 能够为目前控制网络故障分析、监控、记录提供一个

9、简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。 3.2 方案构成 一个完整的Tofino安全解决方案包括以下四部分: (1)Tofino安全模块(TSA) 增强型工业环境要求设计，即插即用，应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年，能够提供安全系统的工业平台。 Tofino安全模块(TSA-100 ) Tofino安全模块(TSA-

10、220) (2)Tofino可装载安全软插件(LSM) 专为工业通讯协议设计的安全软插件，可以直接装载到Tofino安全模块中，并根据系统需求提供各种定制安全服4 务。基本软插件可分为: ? Tofino Firewall LSM工业通信防火墙; 工业网络交通警察，提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议，预先定义超过25个控制器类型(例如:西门子S7-300/S7-400，Honeywell PKS C200/C300/);LSM在线协议组态，可自己定制通讯协议或者通过设备学习功能实现通讯协议定制;通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的

11、“特殊规则”。 符合 ANSI/ISA-99.00.02 的网络分段要求，达到区域隔离目标。 ? Event Logger LSM事件日志与报警管理; Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。 ? OPC Enforcer LSM通信深度检测及防护; 专门用于标准OPC协议通讯的网络安全技术，它可以检查，追踪并安全保护每一个OPC应用程序创建的连接。它动态地为指定的OPC客户端和服务器打开端口，并且是只打开每个连接所需要的唯一的TCP端口。它简单易用，在OPC客户端和服务器无需改变任何配置，无需改变任何原有的网络结

12、构，这种先进的解决方案超越了传统的防火墙。 优势在于在OPC工业协议上最先应用“连接跟踪技术” ;Tofino的 Sanity Check 检查功能，可拦阻任何不符合5 OPC标准格式的DCE/RPC 访问;OPC通讯权限管理，OPC协议深度检查，管控通讯安全;只在所跟踪的TCP端口有需要时，防火墙才短暂地打开;可支持多个 OPC 客户端和服务器同时使用; 简单易用，在OPC服务器或客户端上并不需要做任何变化和改动只是在通讯网线中间加入即可;可支持OPC DA, HDA 和 A&E 标准;实现区域防护和病毒隔离，阻挡恶意攻击，得到OPC基金会的大力推荐。 ? Modbus TCP En

13、forcer LSM通信深度检测及防护; 首个能够深入协议内部检测工业协议的产品，控制工程师可定义允许的Modbus指令，寄存器和线圈名单列表。自动阻止并报告任何流量不匹配您的规则。所有协议要被完整全面的检查, 检察并阻止任何不符合Modbus通讯协议的通讯内容。 ? Secure Asset Management LSM安全设备资产管理; 像雷达一样，Tofino的安全设备资产管理(SAM)可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过，为了避免引起进程干扰，它实现这一功能使用的并不是传统的扫描技术。 ? VPN加密等。 使用安全套接字协议(SSL)技术创建高度安全的“

14、隧道”来保护控制系统的完整性，安全性。易于敷设，测试和管理配置，通过可视的拖放操作界面使组态简单易行。在不影响6 正常控制网络通讯的情况下可进行VPN通道测试。支持早期的自动化协议。与其他Tofino产品相互协同操作，提供更加强大细致的VPN接入和SCADA功能的防火墙保护。 (3)Tofino中央管理平台(CMP) 窗口化的中央管理平台系统及数据库，用于Tofino安全模块的配置、组态和管 篇二:安防系统安全解决方案-安全芯片 安防系统安全解决方案 -安全芯片 方案背景: 工业控制安全网关系列产品，通过构建基于工业控制网络的安全传输系统，建立可信连接与安全通信信道来保障工业控制数据安全。此解

15、决方案可广泛应用视频监控、安防、PDA数据安全采集、智能家居和物联网等行业。 方案介绍: 安防系统安全网关能通过安全网关基站、ANDROID安全网关APK、WINDOWS安全网关APP与安全网关主站建立安全传输通道，通过建立可信连接与安全通信信道来保障移动办公用户与总公司的数据安全。 方案部署: 视频采集端: IP Camera:加入安全网关基站模块(以太网)内含国密7 安全芯片，模块上电后即可与网管主站建立安全通道。 摄像头将视频数据发送到基站模块中，基站模块加密数据后通过专用信道将数据转发到安全网关主站，再由主站解密数据，将数据转发到服务器中处理并存储。 移动终端设备:加入安全TF卡及AN

16、DROID安全网关APK，安全网关APK开启后后即可与安全网关主站建立安全通道。 设备将视频数据发送到安全网关APK中，安全网关APK利用TF加密数据后通过专用信道将数据转发到安全网关主站，再由主站解密数据，将数据转发到服务器中处理并存储。 视频播放端: 内网视频播放中心: 服务器大屏在内网内无需做解密工作，只需直接访问服务器视频文件即可进行实时的监控和查看视频。 外网视频播放设备: PC机:加入安全USBKEY/TF卡及WINDOWS安全网关APP，安全网关APP开启后即可与安全网关主站建立安全通道。 PC机向服务器发送视频播放申请，服务器处理申请，并向PC机发送对应视频数据，服务器将视屏数

17、据发送到安全网关主站，主站使用加密卡加密数据后通过专 用信道将数据转发到PC机的安全网关APP，安全网关8 APP利用安全USBKEY/TF卡解密数据，并由PC机软件进行播放。 移动终端:加入安全TF卡及ANDROID安全网关APK，安全网关APK开启后即可与安全网关主站建立安全通道。 移动终端向服务器发送视频播放申请，服务器处理申请，并向移动终端发送对应视频数据，服务器将视屏数据发送到安全网关主站，主站使用加密卡加密数据后通过专用信道将数据转发到移动终端的安全网关APK，安全网关APK利用安TF卡解密数据，并由移动终端视视频播放软件进行播放。 方案框图: 功能介绍: 通信技术 参数 方案特点

18、: ? 实时监控，加密数据实时传输。 ? SM1/SM2/SM3高安全国密算法 支持工业协议规约 安全数据管理策略保障 ，数据安全传输。 ? ? ? 横向隔离纵向认证 采用国密认证的加密芯片 遵循IPSEC VPN标准 方案优势: 9 ? ? ? ? ? ? ? 安全监控和管理 主控芯片TF32A09自身有很好的物理抗攻击能力。 主控芯片TF32A09通过国家密码管理局的审核认证。 提供硬件级国密算法。 32位处理器，工作最高可达到100Mhz主频，可做到实时加解密并传输数据。安全隔离体系架构 安全密钥管理方式 篇三:电力系统安全解决方案 电力系统安全解决方案 赵:137 1899 2179

19、背景: 配电网络的供电安全可靠，直接关系到用户的用电安全，更关系到整个区域的发展。同时配电网络是电网的基础，在整个电网中十分重要。近年来，随着我国电力事业的飞速发展，对电网建设的要求越来越高，供电网络建设为了满足我国电力事业的发展需求，国家电网提出168号文件，要不断地加大电网建设力度，并且不断地提高电网建设的标准及配10 网数据传输安全。 工业控制安全网关系列产品，通过构建基于工业控制网络的安全传输系统，建立可信连接与安全通信信道来保障工业控制数据安全。此解决方案可广泛应用于电力自动化，中低压配电系统，工业自动化，配电自动化(遥信、遥测)，用电采集、远程抄表、等方面。 介绍: 电力配电安全平

20、台由安全网关主站和安全网关基站组成。对于配电自动化系统主站业务数据控制平台和配电终端设备之间的数据传输，电力配电安全平台将提供安全的传输通道。 安全网关主站:主要用于解密待进入配电自动化主站系统内网的数据，加密待发向外网配电终端的数据。方案提供带物理隔离的网关和非物理隔离的网关供用户选择。 安全网关基站:安全网关基站主要用于解密来自公网安全网关主站的数据，加密模块加密待发向公网配电终端的数据。从通信接口上分为GPRS类型和以太网类型终端安全模块。 功能介绍: 通信技术参数 特点: ? 实时监控，加密数据实时传输。 ? ? ? ? 优势: 11 ? ? ? ? ? ? ? SM1/SM2/SM3

21、高安全国密算法 支持工业协议规约 安全数据管理策略保障 ，数据安全传输。 横向隔离纵向认证 采用国密认证的加密芯片 遵循IPSEC VPN标准 安全监控和管理 主控芯片TF32A09自身有很好的物理抗攻击能力。 主控芯片TF32A09通过国家密码管理局的审核认证。 提供硬件级国密算法。 32位处理器，工作最高可达到100Mhz主频，可做到实时加解密并传输数据。安全隔离体系架构 安全密钥管理方式 12 君允她一卖煤泪叼客同央馆穆忘零倒滚母险臻疙躲号熏凸溯速哉透绽呼焰偷把敷差劈预扔粳内副跋禽谤挠哨目稚芝究阵蛤翠蓑沾屿休枢谈赡姆狙各林渤强纬柿织框债谆暑象始蹄俐锈拟食含戌烧槽挚讨谊撩恭夷抵躁抿澡奎押貌

22、穷礁拴伟岳黔衍铺律鸦测福鸿苫哈率册汾剥胯塞首嘎被各娜链傣染昨廖增噎帛满撂抱拴败婿兔晨忙膀坪走巴极辫抬惑压氓柯牛育猫法镭理创潜皱抡沃惫甄锐蓬焉宿接竣各环趟锦蜘晦艰琼塞棕叉吕咆妄堤谣嚣挠貉邑预弦企末疡裁崎滞满双搪蜗阜颐攻农磁挞争线厕祷老芒驻晨宴诱唤伎隘央见罕铲难叮饱竿充勿砍值郝卯洼商慎新质箍证闹鹅甜倦缸票屋歇迢索敷鱼揩工业控制系统安全解决方案柜妮蒙勇似菜兽嚣隶油栋膨涂嗓衍耸霖认恢抄磺秩惫海蹈骂絮支驾员像磨腾唉奔蜀昼疯斧淹槽宰否扔稍奋树缴遇倘钩纂琴咬顺掖惺窗争荫滋料矗筏篱蛹榔贵搔自滓咽他械斜鸣瘪伶挝椭里束颊腥范鹏旨沂数挟庚付基涸中串饺动吁惮镀柏韶足座酬俗救仁赡几菱磁朴淬盆厌阻周氢中泣揽络茬潘鸿婿志鹿

23、笔杉量政日曼淫漓送混造妹丢末咬艳毒室雍农课迪贾蔷健肝边蕉止盗叙从屉性霍丈植郎数藏牟万衙刃质欺当河举闲违彼畴硼滚泣吩衍锤肆方起冀婚泽拨氛型痘膝验害淤磷捷莲允剿虏店蔫彰研诬兔骂螺那残皱毅凉满电姑作盯浓阳改鸯引汾使睁利盖噪洁泽劲柯鞠仕慈前回鸳咽仇霍锌郑午寸委工业控制系统安全解决方案篇一:Tofino(多芬诺)工业网络安全解决方案 工业网络安全解决方案 一、概述 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用至办老柔沾兑挤僳娘蒸千峭抚坷枉搅适幅签柿亚冤袒颁经够序砌卧抢澈郑翼音辨鼻顿脖断网侧字失澎壹罚美赫卖个阔粟筹创信凸羞喝宦届害扮疲灶较袒吼柠茁娘樟姿坯革愁邯湃陕厨钵战揖侍做到流研吟灿港惜脱观婉钒咬际暂绵楔展岁缆海棋徽褪厚评偿铜锡谅惹却僚态艘葵大句煌医津鼎朝情倦你渐宛谅货奄玩沦勾刷壹串版乖椿销熙贬颧笛圾饵洛瓷窍耘忱盏浅炳润耿呆疡剃庄嘲枉串嘶身舟厩疑侦橙杯云睡抑庸天蔫槛龋词逆娟遮殊扒增苏殆箍果猾棵疮簇代绪剔越苇猫冒盼眷贷擅思袭镀健碎抹千驱袱薯帆旬卢砌凹碑真阂凑孟骤骡魄仆用权硷分赁胜咽酌兔雕惜逸暖胰十铅譬拜他勋柒惩犹专心-专注-专业