实战经验 | 工业控制系统安全检测实例--控制网

实战经验 | 工业控制系统安全检测实例
企业:北京威努特技术有限公司 日期:2017-12-17
领域: 点击数:384

汽车产业是我国工业体系的重要支柱产业,汽车制造业的自动化系统和IT系统功能日益强大,技术融合度越来越高,高度智能化制造技术将会成为未来的发展方向。随着自动化技术和工业以太网的发展,给工业控制系统带来了一些工控信息安全的风险和隐患。诸如工业控制系统下的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、生产核心数据被窃取、破坏生产设备等恶意行为,可能会造成生产线的瘫痪,生产数据被破坏、窃取等威胁,从而造成生产安全事故。

1.JPG

某汽车制造厂家使用了高度自动化、智能化和网络化的生产线控制和管理系统,广泛地应用了自动化总线技术、PLC、变频器、机器人等汽车制造行业的自动化设备。通过将信息管理系统、MES系统、生产线自动化控制系统、WMS物流仓储系统等互联互通,信息共享,生产管理集中管控,实现企业信息管理和生产管理的统一。

2.JPG

该厂的上级集团公司信息安全要求,结合公司生产控制系统信息安全需求的实际情况,需要加强公司工业控制系统的安全防护工作,加大安全管理力度,保障安全生产,杜绝安全隐患的发生。

2017年下半年,该汽车制造厂家生产线频频出现终端主机死机、蓝屏等异常现象,经从生产安全及传统信息安全角度,历时半年的排查,均未发现问题根源所在。

3.JPG

威努特临危受命,委派北京总部专家,紧急召集上海分公司专业技术人员连夜奋战,经过了解客户现场网络环境和异常现象、进行现场网络环境勘察、制定检查计划及应急预案、采用监测审计平台定位异常主机、对锁定的异常主机进行针对性的病毒检测。最终为厂家查清了问题所在,并提供了全套工控信息安全解决方案。以此为例,为大家分享该工业控制系统安全检测实例。     

首先,与动态变化的传统信息网络相比,工业控制网络由于生产工艺长时间保持一致,网络流量比较平稳,一般的病毒传播或黑客攻击都会造成工业控制网络的流量较大变化。因此,在工业控制网络中通过监测网络流量,就可以有效发现工业控制网络中的异常行为。威努特通过监测审计平台分析网络实时流量,查看流量波动情况,如下图: 

4.JPG

图一 网络实时流量图

其次,针对实时流量异常波动的情况,进行更详细的流量统计分析,从而锁定异常主机范围,如下图:

5.JPG

图二 流量统计图

再次,对异常范围内主机的端口进行统计分析,如下图:

6.JPG

图三 端口统计图

最后,对锁定的异常主机进行针对性的病毒检测,如下图:

7.JPG

图四 检测结果

发现的主要问题及分析:

发现现场上位机发送大量数据包,经分析是由于上位机的DLL文件被篡改,造成广播探测,探测的目的疑似向外网发送内部信息。

终端主机发送大量广播报文,经分析是由于终端感染病毒所造成的。

通过对终端主机硬盘的病毒筛查,发现了大量恶意软件。

通过专业的工控安全产品的检查,在检查过程中发现了生产网缺乏分区分域措施和机制、工控系统安全漏洞、缺乏工控安全审计、生产网中存在大量的恶意软件,充分说明了工业控制系统安全防护工作已迫在眉睫。

  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: