下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
多芬諾工業(yè)安全公司…多芬諾工業(yè)安全提供解決方案使控制系統(tǒng)獲得網(wǎng)絡(luò)安全多分諾工業(yè)安全公司多芬諾安全公司是世界領(lǐng)先的工業(yè)安全產(chǎn)品制造商,提供切實(shí)有效的工業(yè)網(wǎng)絡(luò)安全和SCADA安全產(chǎn)品。我們的旗艦產(chǎn)品,多芬諾?工業(yè)安全解決方案,是一個(gè)獨(dú)特的硬件和軟件安全系統(tǒng)。可以保護(hù)你的工業(yè)控制系統(tǒng)不會(huì)遭到攻擊與破壞。促進(jìn)對(duì)安全區(qū)的設(shè)備實(shí)施共同的安全要求(區(qū)級(jí)安全?)。
多芬諾的用戶都是一些大的石油和天然氣,核電廠,水廠,化工,醫(yī)藥,公用事業(yè),以及制造商等。OEM合作伙伴有以下公司:水處理事件,Harrisburg,PA2006年10月一部被感染的筆記本電腦(維修用的),讓黑客入侵訪問了在美國賓夕法尼亞州的哈里斯堡水處理廠的計(jì)算機(jī)系統(tǒng)。被攻破的筆記本電腦是通過互聯(lián)網(wǎng),然后與一個(gè)VPN連接作為切入點(diǎn)用來安裝病毒和間諜軟件在這工廠SCADA系統(tǒng)的PC里。雖然進(jìn)攻似乎並沒有目標(biāo)在水的質(zhì)量上,但此事如果沒有被發(fā)現(xiàn)的話,惡意軟件隨時(shí)可以干擾了工廠的業(yè)務(wù)。2005年8月13日美國的佳士拿汽車工廠被一個(gè)簡單的電腦病毒關(guān)閉了。盡管公司網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間已安裝了專業(yè)防火墻,病毒依然能進(jìn)入了工廠的控制系統(tǒng)(可能是通過一臺(tái)筆記本電腦)。一旦進(jìn)入了控制系統(tǒng),病毒就能夠在幾秒鐘之內(nèi)從一個(gè)車間感染到另一個(gè)車間。大約50,000流水線工人因此要暫停工作在這期間。該事故的原因是什么?就是一個(gè)小小的病毒經(jīng)過第二通道進(jìn)入了網(wǎng)絡(luò)。估計(jì)損失影響為1,400萬美元。佳士拿汽車工廠事件-多個(gè)地點(diǎn)受影響2006年8月因反應(yīng)堆在‘高功率、低流量條件’的危險(xiǎn)情況下,
BrownsFerry核電廠所有人員不得不全部撤離??刂蒲h(huán)水系統(tǒng)的冗余驅(qū)動(dòng)器失效了,原因是控制網(wǎng)絡(luò)上“過量交通”的緣故??赡苁莾煞N不同供應(yīng)商的控制產(chǎn)品產(chǎn)生了通訊過荷現(xiàn)像。該事故的原因是什么?不當(dāng)和過度的交通在控制網(wǎng)絡(luò)上。核電廠因此停機(jī)2天,估計(jì)損失的費(fèi)用約60萬美元。美國BrownsFerry核工廠的“安全”事件:這些事件有什么共同點(diǎn)?‘軟'目標(biāo):大多數(shù)控制網(wǎng)絡(luò)中在運(yùn)行的電腦,很少或沒有機(jī)會(huì)安裝全天候病毒防護(hù)或更新版本??刂破鞯脑O(shè)計(jì)都以優(yōu)化實(shí)時(shí)的I/O功用為主,而並不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能。多個(gè)網(wǎng)絡(luò)端口切入點(diǎn):在多個(gè)網(wǎng)絡(luò)安全事件中,事由都源于對(duì)多個(gè)網(wǎng)絡(luò)端口進(jìn)入點(diǎn)疏于防護(hù)。USB鑰匙,維修連接,筆記本電腦等.疏露的網(wǎng)絡(luò)分割設(shè)計(jì):許多控制網(wǎng)絡(luò)都是“敞開的”,與不同的子系統(tǒng)之間都沒有有效的隔離。問題因此通過網(wǎng)絡(luò)迅速蔓延?!?目標(biāo):RTU,PLC或DCS系統(tǒng)都是非常容易受到攻擊。任何黑客初學(xué)者都容易獲取入侵的工具。我們要如何保護(hù)這些控制系統(tǒng)呢?對(duì)測試結(jié)果的歐洲粒子物理研究所控制餅圖安全堡壘的模型:工業(yè)安全的一個(gè)普遍的解決方案,就-是在企業(yè)與控制系統(tǒng)之間安裝單一的防火墻。采用獨(dú)一網(wǎng)絡(luò)端口方式,這稱為堡壘模型。其他堡壘模型的例子如:中國的長城歐洲的馬其諾防線壞人如何成功入侵...透過企業(yè)廣域網(wǎng)和商用網(wǎng)絡(luò)直接從萬維網(wǎng)進(jìn)入受信任的第三方受感染的筆記本電腦連接到這個(gè)電腦網(wǎng)絡(luò)上。MalwareonSimensPLC為什么要多芬諾??傳統(tǒng)的防火墻并非專為控制系統(tǒng)或工業(yè)環(huán)境而設(shè)計(jì)的,這樣會(huì)把一切工廠設(shè)備和系統(tǒng)都暴露在黑客威嚇之下。每年,從網(wǎng)絡(luò)攻擊事件和主要基礎(chǔ)設(shè)施的被破壞,損失高達(dá)數(shù)十億美元。多芬諾?為你提供貼身制定的防火墻,提供對(duì)設(shè)備的保護(hù)區(qū)-區(qū)級(jí)安全?.安全保護(hù)超越一般傳統(tǒng)的防火墻。ANSI/ISA-99:將控制系統(tǒng)劃分在新ANSI/ISA-99安全標(biāo)準(zhǔn)的核心理念是“區(qū)域和渠道”采用同一水平的分割,控制系統(tǒng)內(nèi)部的通訊水平。根據(jù)控制功能將網(wǎng)絡(luò)分層或區(qū)域。多分區(qū)隔有助于提供“縱深防御”。ANSI/ISA-99:區(qū)域的連接區(qū)域之間的連接被稱為管道,這些必須要有安全管制:進(jìn)入?yún)^(qū)域的管制采用抵御拒絕服務(wù)(DoS)防范攻擊或惡意軟件的轉(zhuǎn)移。屏蔽其他網(wǎng)絡(luò)系統(tǒng)保護(hù)網(wǎng)絡(luò)流量的完整性和保密性。重要的是要了解和管理好系統(tǒng)的所有區(qū)域之間的管道,而不只是注意明顯的管道。安全區(qū)的定義:“安全區(qū):歸類邏輯資產(chǎn)或?qū)嵨镔Y產(chǎn),有著共同的安全要求”[ANSI/ISA-99.01.01–2007-3.2.116]每個(gè)區(qū)域有一個(gè)明確的邊界(或邏輯或物理),這是邊界之間的包含和排除要素。HMIZonePLCZone管道一個(gè)渠道是對(duì)兩個(gè)地區(qū)之間的數(shù)據(jù)流路徑??梢蕴峁┌踩雷o(hù)功能,允許不同的區(qū)域進(jìn)行安全的通信。任何區(qū)域之間的通信必須有一個(gè)渠道。HMIZonePLCZone渠道采用區(qū)域及管道來保護(hù)網(wǎng)絡(luò)
每一個(gè)服務(wù)管道,防火墻只允許正確設(shè)備操作所必需的通信。HMIZonePLCZoneFirewall區(qū)域的設(shè)計(jì):一座煉油廠為例區(qū)域的劃分:管道的設(shè)定:主要的Tofino?組件Tofino?SecurityAppliance(TSA)
多芬諾?安全設(shè)備模塊
(TSA)Tofino?LoadableSecurityModules(LSM)
多芬諾?可裝載安全軟插件(LSM):Tofino?CentralManagementPlatform(CMP)
多芬諾?中央管理平臺(tái)(CMP)Tofino
結(jié)構(gòu)多芬諾安全設(shè)備模塊(LSA):區(qū)級(jí)安全TSA-100硬件規(guī)格:外形類似普通的I/O模塊和隔離器溫度-40°C到+70°C雙電源輸入2路,開關(guān)量輸入二區(qū)保護(hù),具備FM和ATEX認(rèn)證MUSIC安全認(rèn)證DIN導(dǎo)軌安裝以太網(wǎng)端口雙電源9-32VDC2路開關(guān)量輸入
安全USB端口TSA-220硬件規(guī)格:
外形類似普通的I/O模塊和隔離器溫度0°C到60°C雙電源輸入12-60VDC繼電器開關(guān)輸出銅和/或光纖網(wǎng)絡(luò)接口MUSIC安全認(rèn)證DIN導(dǎo)軌安裝雙電源輸入12-60VDC繼電器開關(guān)輸出安全USB端口銅和/或光纖網(wǎng)絡(luò)接口
零配置安裝模式現(xiàn)場技術(shù)人員只需要做的::連接防火墻到導(dǎo)軌上連接電源插入網(wǎng)絡(luò)電纜離開…多芬諾?在啟動(dòng)過程上對(duì)網(wǎng)絡(luò)系統(tǒng)是完全透明的第二層(以太網(wǎng))橋接指在網(wǎng)絡(luò)架構(gòu)上無需更改或現(xiàn)有設(shè)備無需作地址的處理。多芬諾?可裝載安全軟插件(LSM):LSM是軟件插件,提供諸如安全服務(wù):防火墻穩(wěn)固資產(chǎn)管理內(nèi)容檢測VPN加密每個(gè)LSM插件是可下載到多芬諾?安全設(shè)備模塊(TSA)里,使它能夠提供可定制的安全功能,這取決于控制系統(tǒng)的要求。組態(tài),管理和監(jiān)測所有多芬諾?安全設(shè)備模塊(TSA)從一個(gè)工作站上。內(nèi)置的網(wǎng)絡(luò)編輯器可讓你快速的組態(tài)你的控制網(wǎng)絡(luò)。視覺拖放的編輯器,讓你快捷制定網(wǎng)絡(luò)安全規(guī)則與配置。多芬諾?中央管理平臺(tái)(CMP):集中式安全管理多芬諾?中央管理平臺(tái)(CMP):
操作簡單容易找尋多芬諾?安全設(shè)備模塊(TSA),控制器和個(gè)人電腦在整個(gè)系統(tǒng)里。網(wǎng)絡(luò)地圖可拖放模塊、通訊協(xié)議等來制定你的網(wǎng)絡(luò)規(guī)則。測試部署監(jiān)控和管理多芬諾?安全資產(chǎn)管理(SAM):追蹤和保護(hù)網(wǎng)絡(luò)設(shè)備查找位于無息資產(chǎn)過程中的網(wǎng)絡(luò)設(shè)備,並不需要任何網(wǎng)絡(luò)設(shè)備中斷或停止。輔助規(guī)則生成向?qū)?容易指導(dǎo)用戶去創(chuàng)建防火墻的規(guī)則從”封鎖交通”的報(bào)告中。新發(fā)現(xiàn)的設(shè)備也成為一個(gè)安全報(bào)警傳送到多芬諾管理平臺(tái)(CMP)。備有ANSI/ISA-99和自然環(huán)境研究理事會(huì)目前的標(biāo)準(zhǔn)和詳細(xì)的庫存清單??刂破髂0孱A(yù)定義超過25個(gè)預(yù)定義的控制器模板定義通訊協(xié)議在必要時(shí),可制定特殊規(guī)則以堵塞漏洞。在網(wǎng)絡(luò)編輯器里,可采用拖放手段操作。每個(gè)新版本都自動(dòng)更新控制工程師可制定通訊規(guī)則。自動(dòng)阻止并報(bào)告任何流量不匹配您的規(guī)則。簡單的規(guī)則定義可使用圖形拖放來編輯。多芬諾?LSM內(nèi)的防火墻:工業(yè)網(wǎng)絡(luò)的通訊管制警察直觀的規(guī)則編輯器預(yù)配置能夠阻止已知設(shè)備的缺陷在全球范圍內(nèi)控制特定類型的通信創(chuàng)建一個(gè)設(shè)備列表給可以“交連”受保護(hù)的設(shè)備,并選擇協(xié)議控制通信協(xié)議:多芬諾?過濾器支持的主要控制協(xié)議:MODBUS/TCPEthernet/IP(Rockwell)GE-FanucHoneywellYokogawaEmersonMitsubishiPIOPC還有更多?。ǔ^50種)含有內(nèi)建的協(xié)議向?qū)?能很容易地添加新的協(xié)議。控制工程師可定義允許的Modbus指令,寄存器和線圈名單列表。自動(dòng)阻止并報(bào)告任何流量不匹配您的規(guī)則。協(xié)議要通過'完整性檢查',這可阻擋任何不符合Modbus標(biāo)準(zhǔn)的通信。多芬諾?ModbusTCP執(zhí)行機(jī)構(gòu):Modbus協(xié)議的內(nèi)容督察多芬諾?ModbusTCP協(xié)議執(zhí)行機(jī)構(gòu)例如:2臺(tái)HMI對(duì)PLC的訪問人機(jī)界面#1容許具有完全的讀/寫訪問人機(jī)界面#2只容許讀訪問所有非必要功能碼都被封鎖建立安全可靠的交連:多芬諾模塊之間、多芬諾模塊與個(gè)人電腦之間,以及多芬諾與支持的第三方設(shè)備之間。簡單的設(shè)置和管理可與其他多芬諾LSM(如防火墻,ModbusTCP數(shù)據(jù)執(zhí)行機(jī)構(gòu))的安全功能相結(jié)合相互操作。多芬諾的VPN:安全的通道在不可信的網(wǎng)絡(luò)世界里多芬諾安全設(shè)備模塊(TSA)可同時(shí)記錄事件,以下列任何一項(xiàng):系統(tǒng)日志服務(wù)器多芬諾CMP工作站本地內(nèi)存-通過USB卸載啟動(dòng)中央的事件記錄在沒有多芬諾CMP存在的控制網(wǎng)絡(luò)內(nèi)。多芬諾事件記錄器:三重保護(hù)事件日志記錄多芬諾?有三種工作模式:被動(dòng)式-允許任何的交連,歷史記錄關(guān)閉測試式-允許任何的交連,歷史記錄啟動(dòng)操作式-防火墻規(guī)則適用在操作模式時(shí),多芬諾?將阻止任何沒有'允許規(guī)則‘許可的傳送與連接。測試模式允許任何的交連,但會(huì)報(bào)告被刪除的傳送與連接。工藝友好的測試模式安全資產(chǎn)管理(SAM)會(huì)執(zhí)行一個(gè)向?qū)В笇?dǎo)用戶從防火墻警報(bào)列表中建立用戶新的防火墻規(guī)則。余漏一些規(guī)則?沒問題行政和全球管理一個(gè)管理站可以監(jiān)控和管理幾百千多芬諾安全模塊,在本地和遠(yuǎn)程地點(diǎn)的部署。多芬諾?安全模塊會(huì)像’心脈’這樣不停地把狀態(tài)和記錄報(bào)告?zhèn)骰貋?。‘心脈’的數(shù)據(jù)可傳達(dá)至系統(tǒng)日志或SQL數(shù)據(jù)庫以產(chǎn)生主動(dòng)報(bào)警。報(bào)警方式可以是電郵、傳呼機(jī)等。可加載的安全較插件(LSM)可允許多種安全功能同時(shí)間在同一臺(tái)設(shè)備上部署:支持安全功能有:防火墻安全資產(chǎn)管理Modbus執(zhí)行機(jī)構(gòu)VPN/加密客戶端和服務(wù)器事件記錄未來的安全功能有:OPC執(zhí)行機(jī)構(gòu)隨時(shí)可以加入新的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 上海工程技術(shù)大學(xué)《地下水科學(xué)概論》2023-2024學(xué)年第一學(xué)期期末試卷
- 上海對(duì)外經(jīng)貿(mào)大學(xué)《環(huán)境景觀規(guī)劃設(shè)計(jì)》2023-2024學(xué)年第一學(xué)期期末試卷
- 城市社區(qū)治理與服務(wù)創(chuàng)新研究報(bào)告
- 上海電影藝術(shù)職業(yè)學(xué)院《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)》2023-2024學(xué)年第一學(xué)期期末試卷
- 電子商務(wù)平臺(tái)運(yùn)營實(shí)踐
- 托育舞蹈主題課程設(shè)計(jì)
- 數(shù)值課程設(shè)計(jì)
- 恒壓供水課程設(shè)計(jì)plc
- 云電話會(huì)議系統(tǒng)合作經(jīng)營協(xié)議
- 撥叉ca6140課程設(shè)計(jì)831007
- 吊裝作業(yè)施工方案(模板)
- 初中綜合實(shí)踐課程標(biāo)準(zhǔn)
- 日本江崎格力高歷史
- 初物管理辦法及規(guī)定
- 代扣服務(wù)協(xié)議
- 某燃煤采暖鍋爐煙氣除塵系統(tǒng)設(shè)計(jì)1
- 中心試驗(yàn)室標(biāo)準(zhǔn)化管理辦法
- 龍王廟煤礦消防工作匯報(bào)
- 一些常見物質(zhì)的安托因常數(shù)
- 庫存盤點(diǎn)盈虧處理申請(qǐng)表xls
- 35kV及以下架空電力線路施工及驗(yàn)收規(guī)范
評(píng)論
0/150
提交評(píng)論