第六工业控制系统信息安全峰会控制网

《第六工业控制系统信息安全峰会控制网》由会员分享，可在线阅读，更多相关《第六工业控制系统信息安全峰会控制网（51页珍藏版）》请在装配图网上搜索。

1、北京威努特技术有限公司火电厂工控网络安全防护整体解决方案03010204国家政策要求及行业监管要求发电厂安全事件及常见安全问题火电厂工控安全防护解决方案威努特安全产品与技术服务 第一部分火电厂安全事件及常见问题安全事件安全问题安全误区近年来的电厂工控安全事件2014年，美国俄亥俄州核电站受到SQL Slammer蠕虫病毒攻击，网络数据传输量剧增，导致系统变慢，控制计算机连续数小时无法工作。国外事件2010年，伊朗核燃料工厂遭遇“震网病毒”袭击，导致控制系统失效，1000台离心机损坏国外事件2015年乌克兰电网遭遇黑客攻击一事震惊世界，直接造成约70万个家庭在圣诞前夜陷入一片黑暗国外事件2000

2、年10月13日,四川二滩水电厂控制系统收到异常信号停机.7秒甩出力89万,川渝电网几乎瓦解国内事件2001年10月1日，某公司生产的故障录波装置被发现“时间逻辑炸弹”，全国共146套装置存在问题国内事件2003年12月30日，龙泉、政平、鹅城换流站计算机系统发现病毒,经调查确认是技术人员在系统调试中用笔记本电脑上网所致国内事件30%l中国是全球网络攻击最大受害国l自2009年以来网络攻击增长15倍l其中30%是针对国家基础设施l攻击的重点是则集中在电力行业电厂常见技术安全问题0102050403 第二部分国家政策要求及行业监管要求国务院工信部发改委国家能源局国家工控信息安全相关政策国务院国务院

3、工信部工信部网信办网信办国务院关于大力推进信息化发展和切实保障信息安全的若干意见，国发201223号。意见6-3明确指出保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统重要领域工业控制系统2011年工信部下发451号文件关于加强工业控制系统信息安全管理的通知，通知指出“加强工业控制系统安全，重点领域包括钢铁、化工、电力等与国计民生紧密相关领域，结合实际加强重点领域和重点环节”2016年7月全国范围关键信息基础设施网络安全检查工作启动，习近平总书记指出：“金融、能源、电力、通信、交通等领域是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标

4、”，要求“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”行业要求及命令行业工控信息安全相关政策国家能源局国家能源局l印发 国能安全201536号电力监控系统安全防护规定l制定了电力监控系统安全防护总体方案等7份文件l提出总体原则“安全分区、网络专用、横向隔离、纵向认证”发电厂监控系统安全防护方案摘录对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护发电厂内同属安全区的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间，尤其是机组监控系统与输变电部分控制系统之间，根据需要可以采取一定强度

5、的逻辑访问控制措施，如防火墙、VLAN等综合安全防护 应包含如下手段入侵检测、主机与网络设备加固、应用安全控制、安全审计、专用安全产品的管理、备用与容灾、恶意代码防范、设备选型及漏洞整改 第三部分火电厂工控安全防护解决方案区域防护安全加固监控审计漏洞扫描对于工控安全的误区一：网络隔离就安全工控网络的入侵途径：01误区二：传统的IT安全产品能解决工控安全问题02050403误区三：技术方案就能解决工控安全问题People（人）：是最关键的一个因素。不管是技术的实施和维护，流程的遵从、改善和管理，都离不开经过培训、有专业素质的人的参与。n 在信息安全中，People,Process和Technol

6、ogy三个要素互相作用，缺一不可：Process（流程）：工控安全的各项管理制度、规范。将人和技术结合在一起。Technology（技术）：是工控安全的技术支持和保证。是为人和流程服务的。l“安全分区、网络专用、横向隔离、纵向认证”纵向认证设备或措施正向安全隔离装置反向安全隔离装置电力监控系统安全防护总体原则电力二次系统安全防护总体原则安全分区纵向认证设备或措施正向安全隔离装置反向安全隔离装置实时VPN非实时VPN调度生产管理电力综合信息IP/语音视频电力二次系统安全防护总体原则网络专用电力二次系统安全防护总体原则横向隔离电力二次系统安全防护总体原则纵向认证火电厂生产控制大区和管理信息大区整体

7、拓扑管理信息大区生产控制大区生产控制区与管理信息区的横向隔离正向隔离装置反向隔离装置36号文要求（章节4.1.1）发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向隔离装置解决方案通过在生产控制大区和管理信息大区之间部署专用单向隔离装置，隔离装置分为正向隔离和反向隔离安全收益保护控制系统安全运行。实现横向逻辑隔离，保护更高安全级别的生产控制区安全。生产控制区安全区&区间的横向隔离36号文要求（章节4.1.2）安全区与安全区之间应当采用具有访问控制功能的的网络设备、安全可靠的硬件防火墙或者相当功能的设备实现逻辑隔离、报文过滤 解决方案通过部署工业防火墙，实现阻止来自区域之间的越权访

8、问，病毒、蠕虫恶意软件扩散和入侵攻击。解决方案保护控制系统安全运行。实现横向逻辑隔离，将危险源控制在有限范围内生产控制区系统间隔离36号文要求（章节4.1.3）发电厂内同属安全区的各机组监控系统之间、根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等 解决方案在包含主控、辅控的所有业务系统之间部署工控防火墙，智能学习工控操作指令和参数建立网络和通讯“白环境”。安全收益阻止来自区域之间的越权访问，病毒、蠕虫恶意软件扩散和入侵攻击，实现横向逻辑隔离，将危险源控制在区域内。生产控制区纵向认证36号文要求（章节4.2）发电厂生产控制大区与调度端系统通过电力调度数据网进行远程通信时，应当采

9、用认证、加密、访问控制等技术措施 解决方案位于电力控制系统的内部局域网与电力调度数据网络路由之间，提供上下级系统之间提供认证与加密服务。纵向加密认证装置纵向加密认证装置安全收益为本地安全区/提供一个网络屏障，实现数据传输的机密性、完整性保护。图要改36号文要求（章节4.3）如控制区系统与环保、安全等政府部门交互 其边界应采用生产控制大区和管理信息大区之间的安全防护措施。解决方案在控制区的网络边界放置单向隔离装置，利用单向隔离装置实现生产控制网数据单向流入。生产控制区第三方边界防护安全收益安全环保等政府机构，而这些第三方机构不能通过单向隔离装置向生产控制网发送数据综合安全防护入侵检测安全监测与审

10、计36号文要求（章节5.1）生产控制大区可以统一部署一套网络入侵检测系统，检测发现 入侵行为，分析潜在威胁并审计。解决方案在生产控制区边界处旁路部署工控入侵检测设备，实时监控各种数据报文及来自网络外部或内部的多种攻击行为。安全收益帮助用户在第一时间发现相关的威胁，并及时采取行动遏制恶意行为的破坏综合安全防护主机与网络设备加固36号文要求（章节5.2）发电厂SIS系统 Web服务器等应当使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专业的软件强化操作系统访问控制功能。解决方案在上位机及非控制区的服务器上安装操作系统加固的软件，根据策略要求对计算机安全配置等信息进行监控、管理。终端

11、加固系统安全收益实现配置核查，安全基线配置、安全补丁等安全管理和安全运维。对非控制区的设备和应用系统可以逐步采用多因子认证，最终引入PKI技术。综合安全防护应用安全控制36号文要求（章节5.3）发电厂SIS系统应当逐步采用数据证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能 并对操作系统为进行安全审计。解决方案逐步在非控制网内部署CA系统，实现对用户的身份鉴别，应用访问控制。CARA安全收益根据用户角色与权限进行访问控制。并对操作审计，同时如存在远程访问，应强制采用会话加密、抗抵赖安全措施。综合安全防护安全审计监测与审计系统（统一安全管理平台）36号文要求（章

12、节5.4）生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。解决方案在区域和边界旁路部署监测与审计的网络探针，收集全网工控设备、系统状态，向监测与审计系统集中汇报。安全收益 统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的设备状态、异常波动、告警信息等。网络堡垒机运维人员厂商人员第三方36号文要求（章节5.4）生产控制大区 能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种 攻击行为，对远程登陆应当严格审计。解决方案旁路部署网络堡垒机，接管

13、数据库、网络等设备的登录，运维人员、第三方人员统一在堡垒机上操作。旁路部署数据库审计设备，对应用系统的访问进行审计。综合安全防护安全审计数据库审计安全收益通过堡垒机进行权限分配，操作审计审计数据库活动，进行合规性管理，对风险行为进行告警。l 关键业务数据容灾定期对关键业务的数据进行备份，并实现历史归档数据异地保存。关键主机设备，网络设备或关键部件应当进行相应的冗余配置。管理信息大区生产控制大区n 业务系统冗余控制区尽量减少不必要的应用系统，尽量减少服务应用。为保障系统高可用性，控制区应当采用冗余方式。专用安全产品备用与冗余36号文要求（章节5.6）生产控制大区的监控系统应当具备安全审计功能，能

14、够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。专用安全产品生产控制大区恶意代码防范36号文要求（章节5.7）应当及时更新特征码，查看查杀记录 禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。解决方案在控制区应用系统和上位机部署可信安全卫士，自学习建立安全模型和安全基线，监控分析应用程序和人工操作的行为特征，生成白名单。安全收益通过“白名单”阻止所有非法软件的执行，在没有杀毒软件和杀毒软件更新不及时的环境下，病毒、蠕虫、木马等非法程序依然无法执行。工控主机卫士客户端防病毒系统专用安全产品管理信息大区恶意代码防

15、范36号文要求（章节5.7）应当及时更新特征码，查看查杀记录 禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。解决方案在管理信息区的终端电脑上部署防病毒软件并实现病毒库和杀毒引擎的及时更新安全收益综合应用病毒识别规则知识，实现自动判定病毒，达到主动防御的目的专用安全产品设备选型及漏洞整改36号文要求（章节5.8）禁止选择国家通报存在漏洞的设备及系统，对已经投入运行的应该及时整改。解决方案通过漏洞扫描和漏洞挖掘系统，对工控系统和工控产品进行漏洞扫描和挖掘，建立安全工控产品采购清单，从源头上控制安全风险。安全收益通过专用安全设备对工控系统和设备进行漏洞扫描，建立安全工控产品采购清单。另

16、一方面督促工控厂商修复漏洞。管理信息大区安全防护建议终端安全管理客户端终端安全管理对终端用户的网络访问、打印、刻录、移动存储介质、接口等操作行为进行监控与审计。对信息的传播途径进行管理，实现终端信息安全存储。终端安全运维对客户端计算机的补丁、病毒库、安全配置进行扫描，确保主机自身健康。对网内IT资产进行统计、审计。远程管理等。统一日志审计分析对网内终端行为日志、IT资产、操作系统日志等信息集中收集、管理。统一分析。终端管理系统网络准入设备管理信息大区安全防护建议网络准入认证l入网合法性认证通过与企业内部用户身份管理系统或LDAP等系统对接，对终端设备和用户进行合法性认证，通过认证的才能进入内网

17、。l入网合规性认证对入网的终端主机进行合规性状态检查，如杀毒软件、安全软件、系统安全配置、必备软件等，通过验证的进入内网，未通过的进入隔离区修复。l网络访问权限分配基于角色，对入网的用户进行访问访问权限分配，不同角色用户可以访问的网络区域及应用系统不同。n未来建议开展针对企业相关人员的工控安全培训工作，掌握国家政策、标准、规定，熟悉工控安全内容；搭建工控安全实验室，仿真真实现场环境，模拟攻防过程，为企业培养专门人才，提升企业竞争力。对工控产品进行漏洞扫描，建立安全工控产品采购清单，从源头控制工控安全风险；n方案重点增加工业单向网闸和网络防火墙，对不同的安全区之间以及和管理区边界进行安全防护，对

18、控制区、非控制区、管理大区等内部网络进行细分防护；控制网络内所有服务器进行主机安全加固，工作站部署应用白名单软件（代替传统防病毒软件）；增加网络安全监测及审计产品，实现入侵检测及网络审计功能，建立工控安全预警平台并提供事件回溯能力；对专用安全产品进行统一管理；逐步开展试点单位设备漏洞发掘工作。方案小结安全要求安全子项安全要求是否符合涉及产品安全区域划分控制区与控制相关的DCS、AGC、AVC、SIS等系统放置在控制区（安全区）符合NULL（安全区）非控制区非控制系统，与发电相关的调度、电能采集、录波等符合NULL（安全区）管理信息大区SIS的管理功能、报价辅助决策、ERP等符合NULL边界安全

19、防护横向边界防护生产控制大区与管理信息大区边界安全防护符合单向隔离装置控制区与非控制区边界安全防护符合工业防火墙（可信网关）系统间安全防护符合工业防火墙（可信网关）纵向边界防护发电厂与调度端的边界防护符合纵向加密装置第三方边界安全防护生产控制大区与管理信息大区边界安全防护符合单向隔离装置方案对标（1/3）安全要求安全子项安全要求是否符合涉及产品综合安全防护主机与网络设备加固应当使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专业的软件强化操作系统访问控制功能。符合配置核查软件应用安全控制应当逐步采用数据证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理

20、功能并对操作系统为进行安全审计。符合CA安全审计生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。符合堡垒机符合数据库审计方案对标（2/3）安全要求安全子项安全要求是否符合涉及产品专用安全产品的管理备份容灾管理信息大区做备份，生产控制大区做冗余符合NULL恶意代码防范要有代码防范机制符合工控主机卫士设备选型及漏洞整改禁止选用国家已认定有漏洞的产品，如已投产及时整改符合漏洞扫描漏洞挖掘方案对标（3/3）第四部分威努特安全产品与技术服务可信网关可信卫士监控审计漏洞扫描漏洞挖掘l专注

21、于工控网络安全产品与解决方案研发的创新型公司，总部设在北京，在上海、济南及郑州设有办事处l为工业客户l提供工控安全整体解决方案与服务l帮助企业客户识别工控系统安全风险l帮助企业客户掌控工控安全现状与趋势l提高工控安全防护与事件响应能力l致力于为工业客户提供l稳定可靠的工控安全防护产品；l专业权威的工控安全检测产品；l全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；公司介绍可信网关（工业防火墙）l产品定位l保护控制网与管理信息网的边界l阻止来自管理信息网的威胁l防止安全域内的攻击扩散l产品特点l国内第一款千兆工业防火墙lOPC深度白名单/OPC只读控制l低延迟 60us仅放开OPC动态

22、端口数采协议(如OPC)深度白名单数采协议(如OPC)的只读控制白名单智能学习1234状态检测防火墙静态路由与动态路由(OSPF)56违规报警及报告(支持短信)7统一可信组态管理平台8EthernetIPTCP?l传统防火墙EthernetIPTCPMAP头功能码数据校验l工业防火墙Modbus TCP传统防火墙工业防火墙过滤字段IP地址（源、目的）端口（源、目的）传输层协议类型（TCP/UDP）IP地址（源、目的）端口（源、目的）传输层协议类型（TCP/UDP）Modbus功能码Modbus线圈/寄存器Modbus读写值域Modbus只读无法支持支持OPC动态端口无法支持支持Unknown

23、工控防火墙区别于传统防火墙工控主机卫士国内首家利用“白名单”技术保护工控系统主机安全的主机安全加固软件。保证只有经过认证的“白名单”软件才可以运行，任何其他病毒、木马、违规软件都被阻止。应用白名单1实时报警2智能学习3自身保护4安全U盘5观察模式6日志审计7工控安全监测与审计平台l产品定位l监控并记录工控系统运行过程中的一切操作行为l为事故追溯、责任划分提供证据1网络异常检测忠实记录工控协议通信记录，自学习建立正常通信行为基线模型，对偏离基线异常操作行为进行告警上报；2网络攻击检测识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测3关键事件检测例对工程师站组态并更、操控指令变、P

24、LC程序下装以及负载变更等关键事件告警4工业网络可视化提供多维度网络流量视图，统计视图l产品特点l对工控网络“零影响”l忠实记录网络一切动态l“白名单”思想，无需升级 工控漏洞挖掘平台各类研究机构工业控制系统设备生产商评测中心/机构客户价值l 针对工业控制系统中各类设备进行通讯健壮性专业评测l 建立我国工控安全防护标准的理论支撑和测试工具l 完全国产自主知识产权，杜绝国外产品安全后门隐患l 提供了发现工业控制系统和设备零日漏洞的工具l 提供了设备漏洞根源分析和定位解决的工具l 能够有效丰富我国自有工业控制系统漏洞库l 增强产品出厂时的健壮性和安全性l 提高评测认证通过能力，提升生产效率l 减少

25、漏洞修补费用，降低产品召回风险统一安全管理平台l 针对工控网络安全设备提供统一的B/S管理界面l 集中收集工控网络安全设备日志，统一审计分析l 平台管理员支持三权分立，分权分级l 可对接其他厂商安全产品，实现工控“SOC”谛听（工控网络态势感知系统）l 工控系统扫描1.扫描全球暴露的工业控制系统2.精确定位工控网络物理位置l 工控网络攻击1.联动大数据平台，分析工控网络被攻击历史l 工控系统漏洞态势感知工控系统漏洞扫描，漏洞库覆盖CVE、CNNVD等国际和国家级漏洞库；1.工控系统漏洞、设备资产等智能分析及安全评分1.全球威胁可视化1.扫描全球网络的工控系统及常规服务；2.多维度展示扫描分析结果，并以地域图、柱状图、饼图、多层饼图等形式呈现。工控漏洞扫描系统l支持对西门子、施耐德、GE、亚控等主流工控厂商的SCADA/HMI软件的漏洞扫描；l支持西门子、施耐德、GE等主流工控厂商的DCS系统、PLC控制器的漏洞扫描；l支持Modbus、Profibus等主流现场总线的漏洞扫描；l支持Autodesk、Dassault等主流数字化设计制造软件平台的漏洞扫描；l支持工业控制系统漏洞生命周期管理、评估漏洞安全风险、漏洞验证、提供漏洞修复建议等。工控网络攻防演练平台