產品安全

橫河電機提供安全控制系統產品。

Challenges for Customers:  Plant and control systems are targeted by malicious cyber-attackers.

客戶面臨的挑戰

工廠和控制系統成為惡意網絡攻擊的目標。

  • 惡意攻擊開始關注工廠和控制系統。
  • 惡意襲擊控制系統的事件不斷增加。
  • 客戶希望引進更多的安全控制系統產品。

橫河的解決方案

橫河電機提供安全控制系統產品。

  • 通製引進安全部署生命周期、獲取安全性認證等,橫河電機提供的安全控制系統產品。使客戶在不用製分擔心的情況下安全經營工廠。
Our Solutions: Yokogawa provides secure control system products.
Customer Benefits: Customers can build a more secure control system by using our secure control system products.

客戶獲得的收益

使用我們的安全控制系統,客戶可以構建更加安全的控制系統。

  • 深度防禦策略使控制系統產品更加安全。
  • 這樣,客戶便可以構建更加安全的控制系統。

 

已實現的技術

提供安全控制系統產品的影響。

  • 引進安全發展生命周期(SDLC)。
  • 獲得各種安全性認證。
  • 內定安全性。
  • 通製與安全軟件供應商合作,橫河為其系統產品提供安全軟件。
  • 產品安全事故響應團隊(PSIRT)
  • 橫河安全谘詢報告(YSAR)

 

Enabling Technology: Effects of providing secure control system products

 

Details

安全發展生命周期(SDLC)

橫河電機引進了安全發展生命周期。

安全發展生命周期表示在發展製程中的各階段採取安全措施。目的是儘量減少每個開發階段產生的漏洞,並儘早發現漏洞。

Secure Development Lifecycle

橫河電機已獲得各種安全性證書。

  • ISASecure EDSA 證書
  • Wurldtech Achilles通信證書

 

ISASecure® Embedded設備安全保障(EDSA)證書

為了確保客戶所用產品的高可靠性,橫河電機獲得了ISASecure EDSA證書。

ISASecure EDSA證書是基於ISA/IEC 62443-4標準的嵌入式設備的安全證書。

ISASecure EDSA證書包含三個要素: 通信魯棒性測試(CRT)、功能安全評估(FSA)及軟件開發安全評估(SDSA)

CENTCENTUM VP 控制器 R6.01.00UM VP Controller R6.01.00

EDSA 2010.1 Level 1

August 7, 2015

CENTUM VP 控制器 R5.03.00

EDSA 2010.1 Level 1

2014年7月14日

 

ProSafe-RS 安全控制器 R3.02.10

EDSA 2010.1 Level 1

2013年12月24日

 

ProSafe-RS 安全控制器 R4.01.00

EDSA 2010.1 Level 1

2016年7月26日

 

exida發布的新聞: exida 將橫河電機的ProSafe-RS 安全控制器認證為 ISASecure™ EDSA Level 1

 

Wurldtech Achilles通信證書

為了確保用戶所用產品的高可靠性,橫河電機獲得了Achilles通信證書。該證書是關鍵基礎設施中嵌入式設備的安全性證書,可以確保控制器的終點安全性。

Achilles通信證書是關鍵基礎設施中嵌入式設備的安全性證書。

通信證書可以確保控制器端點的安全性。

CENTUM VP 廣域通信路由器 AW810D

Achilles Level 1證書

2014年4月

ProSafe-RS 安全控制器 SSC60D

Achilles Level 2證書

2014年2月

ProSafe-RS 安全控制器 SSC50D / SSC57D

Achilles Level 2證書

2014年2月

 

 

CENTUM VP 控制器 AFV30D

Achilles Level 1證書

2012年3月

CENTUM VP 控制器 AFV10D

Achilles Level 1證書

2012年3月

CENTUM VP Vnet 路由器AVR10D

Achilles Level 1證書

2012年3月

ProSafe-RS 安全控制器 SSC60D

Achilles Level 1證書

2011年3月

CENTUM CS 3000控制器AFV10D

Achilles Level 1證書

2007年2月

CENTUM CS 3000 Vnet路由器AVR10D

Achilles Level 1證書

2007年2月

ProSafe-RS安全控制器SSC50D

Achilles Level 1證書

2007年2月

Stardom FCJ控制器NFJT100

Achilles Level 1證書

2007年2月

 

Vnet/IP的安全性  

橫河電機生產控制系統和安全儀表系統中使用的Vnet/IP是基於以太網技術的控制網絡。

  • 授權:詐騙、篡改的對策權
    Vnet/IP使用密鑰交換方法,即使在周期性密鑰更新製程中也可以確保安全、持續的通信。
    在Vnet/IP中,將IP地址分配到構成冗餘系統的控制器所有端口,各端口將各自持續執行密鑰交換,在切換控制器或通信通道後可以理解重啟通信。
  • 丟棄數據包:控制器上DoS襲擊的對策
    控制器具有兩個CPU:一個進行控制,另一個進行通信。這樣通信層上的負載不會影響控制處理。將丟棄通信層較低級别的不必要數據包,以減少負載。如果雙通道中的其中一個接收到超出預設量的數據包,通製該通道的通信將停止一段時間,將通製另一個通道繼續進行。

IT安全工具

Windows OS具有各種功能,但是控制系統產品不使用的功能將被禁止,以阻止這些功能中的漏洞。另外,OS安全功能的恰當設定可以增強系統,不會影響系統運行。無需使用專用工具即可通製OS提供的工具進行設定。但是,要求的項目較為廣泛,步驟複雜,容易產生設定錯誤。
橫河電機的IT安全工具提供OS的自動化安全性設定,這樣可以減少設定錯誤以及其他人工錯誤,並減少這些錯誤造成的漏洞。

 

橫河電機是Intel Security(McAfee)OEM聯盟合作夥伴。
Intel Security和橫河電機的合作為橫河電機控制系統產品提供了安全軟件。該安全性軟件與橫河電機的終點安全性服務配合良好。

終端安全的標準反病毒軟件

終端安全的標準反病毒軟件(標準的AV軟件)為橫河電機的控制系統產品使用反病毒方法。
與橫河電機的終點安全性服務組合使用時,除了通常的反病毒軟件的功能,標準的AV軟件還具有以下特點。

  • 優化的配定
    橫河電機提供標準AV軟件的優化配定,與橫河電機的系統產品軟件組合使用。
  • 橫河電機IA控制系統穩定運行情況的確認
    IA控制系統的HMI和服務器要求實時響應和操作員操作或監管系統的數據採集具有穩定的生產能力。但是,由於其特性,反病毒軟件可能影響PC和服務器的性能。
    另外,新發布的的病毒定義文件可能會把正常的軟件錯誤檢測為惡意軟件(誤報),這些誤報可能會影響控制系統的運行。
    因此,橫河電機確認標準AV軟件和新發布的病毒定義文件和發動機與其控制系統產品相組合,以確保不會發生誤報錯誤,還會驗證控制系統產品的運行。

終端安全的標準白名單軟件

終端安全的標準白名單軟件(標準的WL軟件)為橫河電機的控制系統產品採用惡意軟件非激活措施。
與橫河電機的終點安全性軟件組合使用時,除了通常的白名單軟件的功能,標準WL軟件還具有以下特點。

  • 優化的配定
    橫河電機提供標準WL軟件的優化配定,與橫河電機的系統產品軟件組合使用。

橫河電機產品安全性事件響應團隊(PSIRT)

橫河電機PSIRT提供橫河電機產品漏洞支持。
作為一個焦點,橫河電機PSIRT與橫河電機內部和外部組織一起領導並管理橫河電機產品的漏洞信息。

  • 發布安全漏洞報告
    橫河電機PSIRT通製安全谘詢發布橫河電機產品的安全性報告,包括受影響產品、措施和相關信息。
  • 獲取可疑的安全漏洞上的信息
    橫河電機PSIRT從安全研究人員和客戶等漏洞信息報告人員獲取可疑的安全漏洞上的信息。

 

 

 

 

 

橫河電機安全谘詢報告

2019

2019年1月25日

YSAR-19-0001: 橫河產品許可證管理服務中訪問控制的漏洞

 

2018

2018年10月21日 YSAR-18-0008:  Vnet/IP開放式通信驅動程序中的拒絕服務(DoS)漏洞
2018年9月28日 YSAR-18-0007: STARDOM 控制器中漏洞
2018年8月17日 YSAR-18-0006: B橫河產品許可證管理功能存在緩衝區溢出漏洞
2018年8月17日 YSAR-18-0005:  Vnet/IP 網絡交換機中調試功能的漏洞
2018年5月21日 YSAR-18-0004:  STARDOM 控制器中硬編碼密碼漏洞
2018年9月27日 YSAR-18-0003:  Vnet/IP 網絡交換機中遠程管理功能的漏洞
2018年4月5日 YSAR-18-0002: 橫河系統組件2提供的計算機上遠程管理訪問控制的漏洞
2018年1月22日 YSAR-18-0001: CENTUM和 Exaop中的假警報和阻塞警報漏洞

 

2017

2017年8月10日 YSAR-17-0001: 在橫河系統組件上提供遠程管理計算機的控制漏洞(更新 : 2017年12月22日)

 

2016

2016年9月14日 YSAR-16-0002:  STARDOM中的任意命令執行漏洞
2016年3月23日 YSAR-16-0001: SNMP團體字符串中的Vnet/IP網絡交換機顯示管理員密碼(更新 : 2017年12月22日)

 

2015

2015年9月10日 YSAR-15-0003: Vulnerabilities of communication functions in CENTUM和其他橫河產品中通信功能的漏洞(更新 : 2017年12月22日)
2015年7月13日 YSAR-15-0002: authentication bypass vulnerability in Vnet/IP 網絡交換機中SNMPv3授權旁通漏洞 (更新: 2017年12月22日)
2015年2月16日 YSAR-15-0001: 橫河HART設備中DTM的緩衝區溢出漏洞 (更新: 2017年12月25日)

 

2014

2014年12月5日 YSAR-14-0005E: 橫河產品中加密數據的SSLv3協議漏洞(更新:2017年12月22日)
2014年11月28日 YSAR-14-0004E: FAST/TOOLS中的XML外部實體(XXE)處理漏洞(更新:2017年12月22日)
2014年9月17日 YSAR-14-0003E:  CENTUM系列產品和Exaopc中的隨機文件讀/寫漏洞 (更新: 2017年12月22日)
2014年7月7日 YSAR-14-0002E: CENTUM系統和Exaopc中的緩衝區溢出漏洞(更新:2017年12月22日)
2014年5月7日 YSAR-14-0001E: Vulnerabilities in CENTUM和其他橫河產品中通信功能的漏洞(更新: 2017年12月22日)

 

參考

摘要:

YSAR-16-0001: Vnet/IP network switches reveal administrator password in SNMP community string

摘要:

YSAR-15-0003: Vulnerability of communication functions in CENTUM and other Yokogawa products

摘要:

YSAR-15-0002: SNMPv3 authentication bypass vulnerability in Vnet/IP network switch

摘要:

YSAR-15-0001: Buffer overflow vulnerability in YOKOGAWA HART Device DTM

摘要:

YSAR-14-0005E: SSLv3 protocol vulnerability of decrypting the encrypted data in YOKOGAWA products

摘要:

YSAR-14-0004E: XML External Entity (XXE) processing Vulnerability in FAST/TOOLS

摘要:

YSAR-14-0003E: Arbitrary File Read/Write Vulnerability in CENTUM series and Exaopc

摘要:

YSAR-14-0001E: Vulnerabilities in CENTUM and other Yokogawa products

摘要:

YSAR-16-0002: Arbitrary command execution vulnerability in STARDOM

下載

想了解更多技術&解決方案嗎?

聯絡我們

置頂