산업보안IEC 62443 에기반한산업제어시스템설계방법및지멘스보안플랫폼

www.industry.siemens.co.krSIEMENS KOREA 2020

SIEMENS KOREA 2020Page 2

목차

• 개요 3

• 산업제어시스템보안표준 - IEC 62443 4

• 보안설계를위한필수요소 6

• 지멘스엔터프라이즈보안플랫폼 12

SIEMENS KOREA 2020Page 3

OT환경에서 사이버보안의필요성은날로증가하고있습니다

• 기업들은자사의 OT 네트워크가차세대사이버공격의대상이될것으로생각합니다

• 연결성향상, IT-OT 협업• 강력한사이버보안프로그램을요구하는

자동화및데이터중심운영

• 주요산업국가에서중요인프라에대한보안지침을발표하고있습니다예를들어, IEC 62443, NERC CIP 규정.

공격빈도& 심각도

규제

디지털화

SIEMENS KOREA 2020Page 4

산업제어시스템보안요구사항관련다양한표준

IEC 62443

국가및지역의보안권장사항및표준의다양성으로인해, 지멘스산업보안은국제적으로가장포괄적인산업보안표준으로인정되는 IEC 62443 을준수합니다

사이버보안글로벌규제및가이드라인

가장포괄적인산업제어시스템보안표준

SIEMENS KOREA 2020Page 5

IEC 62443 에기반한지멘스산업보안

네트워크 보안• 셀보호, DMZ 및원격유지보수

• 방화벽및 VPN

시스템 무결성• 시스템강화• 패치관리• 공격감지• 인증및사용자관리

플랜트 보안• 물리적액세스보호• 프로세스및가이드라인보안• 생산공장을보호하는보안서비스

보안위협

지멘스보안컨셉 – “심층방어”

정책및절차기능적보안조치

능력

보안

IEC 62443–보안은기술, 프로세스및사람에관한것이며지속적인구현및발전이필요합니다

SIEMENS KOREA 2020Page 6

플랜트보안필수설계요소

IEC 62443은산업자동화환경을위한국제표준

IEC 62443은산업보안측면에서모든관련사항을다룹니다

지침및표준

물리적보안에는액세스제어,비디오감시및통합제어플랫폼이포함된다

접근제어관리는회사의중요영역을보호하는필수요소

물리적 보안

회사는사내산업보안조치를발전시킬수있는다양한요소들을개발/고려해야합니다.

책임, 인식, 교육및취약성관리에대한정의가포함됨

프로세스 및정책정의

지속적인분석과보안관련로그는보안현황에대한투명성을제공합니다.

로그지표의경우빠른대응을가능하게합니다.

통합보안 모니터링

SIEMENS KOREA 2020Page 7

네트워크보안필수설계요소

이중화된네트워크구조를통해신뢰성, 가용성및보안성향상

보안모듈의이중화구성

보안모듈 이중화

Securezone

DMZ-Zone

Insecurezone

DMZ(비무장지대)를이용한데이터교환을통해보호수준을강화함으로써자동화네트워크에대한직접액세스를차단

방화벽을통해다른네트워크와DMZ 간의모든데이터트래픽을제어합니다

DMZ인터넷또는모바일네트워크를통한원격액세스를보호함으로써스파이활동및불법행위를방지

보안모듈이나인터넷및모바일무선라우터를통한데이터전송암호화및액세스제어

안전한 원격접속

자체적인네트워크보안기능이없는장치들을자동화셀내에서보호

방화벽메커니즘을통한셀에대한액세스보안

셀보호

SIEMENS KOREA 2020Page 8

셀보호를통한네트워크보안

방화벽또는 VPN기능이있는제품

SIEMENS KOREA 2020Page 9

시스템무결성필수설계요소

노하우 보호

프로그램코드의지적재산보호

PLC 프로그램블록에대한노하우보호기능

Controller

Engineering Station*******

런타임프로그램코드의무단복제방지

PLC 프로그램과하드웨어시리얼번호(CPU 또는 SD 카드)의연결

복사방지

Controller Controller

Storage A Storage B

AA A

B

조작된통신데이터탐지

자동화장비간통신데이터의무결성탐지솔루션

통신무결성

Engineering Station

Controller HMI

무단액세스및구성변경방지

상이한액세스권한을이용한보호수준(protection level) 적용사용자인증및관리

액세스 보호

Engineering

Maintenance Operation

Remote control

SIEMENS KOREA 2020Page 10

안전한산업자동화시스템의 설계

방화벽또는 VPN기능이있는제품

SIEMENS KOREA 2020Page 11

여러분의산업제어시스템은 얼마나안전한가요?산업보안상태점검

SIEMENS KOREA 2020Page 12

데이터보안 – “심층방어”

OSI Layers Description

7 Application Layer • 응용프로그램에액세스(예 : 웹브라우저)

6 PresentationLayer

• 데이터유형; HTTPS –암호화서비스

5 Session Layer • 세션의시작, 종료및유지

4 Transport Layer • 포트및신뢰성정의

3 Network Layer • 논리적또는 IP 주소지정;대상의최적경로를결정

2 Data Link • 스위치• MAC 액세스

1 Physical Layer• 케이블• 네트워크인터페이스카드

– 전기신호

- 안전한 원격 액세스- 역할 기반액세스- 네트워크 세분화

Layer 4 – 7 보안- 차세대 방화벽- 침입 방지시스템

Layer 3 보안- 라우팅- 안전한 로컬 액세스- 침입 탐지시스템- 자산 관리

Layer 2 보안- 스위칭 사이버보안은네트워크보안뿐만

아니라네트워크에있는데이터에관한것입니다.

SEC

UR

E TH

E D

ATA

SIEMENS KOREA 2020Page 13

엔터프라이즈보안플랫폼

사용자인증및관리

지멘스산업보안솔루션엔터프라이즈 보안플랫폼

라우팅&

스위칭차세대 방화벽

자산탐지

및관리

안전한

원격및로컬

액세스

심층패킷검사

침입탐지시스템

침입방지시스템

10101010101010101010

10101010101010101010

10101010101010101010

10101010101010101010

10101010101010101010

10101010101010101010

SIEMENS KOREA 2020Page 14

지멘스산업보안솔루션엔터프라이즈 보안플랫폼

변칙기반침입탐지시스템

RUGGEDCOM 하드웨어에서

작동하는변칙기반IDS(Intrusion DetectionSystem)로보안취약성및

정교한사이버위협에대한

조기경고알림및경고를

제공합니다.

침입탐지시스템

RUGGEDCOM APE1808을

사용하는 DPI (Deep Packet

Inspection)는중요산업

네트워크에비침입적방법을

사용하여데이터패킷을검사

합니다. DPI는제어센터및

IT 네트워크와의통신을

보호합니다.

심층패킷분석

IPS (Intrusion PreventionSystem)는 NGFW 솔루션이

적용된경우 RUGGEDCOM

하드웨어에서사용할수있는

기능입니다. IPS는 WAN과

LAN 사이에위치하여보안

프로파일을기반으로알려진

위협을나타내는트래픽을

차단합니다.

침입방지시스템

단일통합플랫폼에서

차세대방화벽기능을갖춘

RUGGEDCOM 스위칭및

라우팅플랫폼은 IT

네트워크를중요한운영

네트워크에연결할때,

추가적인통합 DPI / IPS

기능과보안을제공합니다.

차세대방화벽

SIEMENS KOREA 2020Page 15

** RUGGEDCOM은 모든 OSI 계층에 걸쳐 포괄적인 사이버 보안 솔루션을 제공합니다

** 인증 파트너 응용 프로그램이 포함 된 RUGGEDCOM 멀티 서비스 플랫폼에서 제공되는 통합보안솔루션

OT 환경을위한통합* 사이버보안솔루션The Right Solution, in the Right Place

Key Solution Description

변칙기반침입탐지시스템 (IDS)**

• 통계 & 행위기반알고리즘• 비침입, 비서명기반

심층패킷분석(DPI)**• 프로토콜별명령에대한심층패킷검사

(e.g. S7, 61850, Modbus, …)

침입방지시스템(IPS)**

• 트래픽모니터링• 악성패킷의차단• 소스어드레스로부터의트래픽차단• 연결재설정

차세대방화벽(NGFW)**

• 어플리케이션레벨의탐지 & 보호(e.g. 멀웨어모니터링)

• 통합 IDS/DPI 기능• 멀티보안서비스및영역에대한확장가능한관리

RUGGEDCOMCROSSBOW –안전한원격접속솔루션

• 원격 IEC 액세스, 활동로깅및데이터관리• 현장에가지않고도현장장치에안전하게연결• RSA SecurID, Active Directory & RADIUS를통한강력한인증

5

4

3

2

1

SIEMENS KOREA 2020Page 16

IEC 62443 –보안설계를위한관계이해SIEMENS is your Trusted partner!

On site / site specific

Off site

운영및유지보수

자동화제품/솔루션공급업체

자산소유자

서비스공급자

산업자동화및제어시스템(IACS: Industrial Automation and Control System )

설계및배치시스템통합업체

IEC 62443관련부분

2-43-2

2-1

2-4

2-3

3-3

4-13-3

4-2

제품/솔루션개발

운영정책및절차

자동화솔루션

제어기능(Control functions)

안전기능(Safety functions)

보완기능(Complementary

functions)

유지보수정책및절차3-2

SIEMENS KOREA 2020Page 17