工業(yè)控制系統(tǒng)信息安全整體解決方案課件

工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術有限公司總經(jīng)理：龍國東工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術有限公司總經(jīng)理內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念公司簡介

北京威努特技術有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡安全產(chǎn)品與解決方案研發(fā)的創(chuàng)新型高科技公司。公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務，幫助企業(yè)客戶識別工控系統(tǒng)安全風險，掌控工控安全現(xiàn)狀與趨勢，提高工控安全防護與事件響應能力。公司組建了一支由業(yè)界知名信息安全專家、工控系統(tǒng)專家、成熟產(chǎn)品研發(fā)團隊以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團隊

?？蔀槠髽I(yè)客戶提供：穩(wěn)定可靠的工控安全防護產(chǎn)品；專業(yè)深度的工控安全咨詢培訓；全方位的安全服務：風險評估/漏洞挖掘/滲透測試/攻防演練；幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護體系。公司簡介北京威努特技術有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡公司市場地位—產(chǎn)品為王國內(nèi)第一款“白名單主動防御”主機防病毒軟件，比肩美國Bit9的創(chuàng)新產(chǎn)品；國內(nèi)第一款“千兆工業(yè)防火墻”，性能10-20倍業(yè)界一般水平；與國內(nèi)外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家；成功替代McAfee的國內(nèi)工控安全廠商；公司市場地位—產(chǎn)品為王國內(nèi)第一款“白名單主動防御”主機防病毒內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念工控安全標準解讀國際工控安全標準組織：1.國際電工委員會（IEC，InternationalElectroTechnicalCommission）2.國際自動化協(xié)會（ISA，theInternationalSocietyofAutomation）3.美國國家標準技術研究院（NIST，NationalInstituteofStandardsandTechnology）我國工控安全標準組織：全國信息安全標準化技術委員會（TC260）全國工業(yè)過程測量和控制標準化技術委員會（TC124）全國電力系統(tǒng)管理及其信息交換標準化技術委員會（TC82）全國電力監(jiān)管標準化技術委員會（TC296）工控安全標準解讀國際工控安全標準組織：工控安全標準解讀—IEC62443工控安全定義信息安全(Security)

IEC62443針對工控系統(tǒng)信息安全的定義是：A、保護系統(tǒng)所采取的措施；B、由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；C、能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失。D、基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止；E、防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。工控安全標準解讀—IEC62443工控安全定義信息安全(Se工控安全標準解讀—IEC62443總體框架工控安全標準解讀—IEC62443總體框架工控安全標準解讀—IEC62443工控安全模型區(qū)域：是一組物理或邏輯上的資產(chǎn)，基于重要性或事故影響，它們具有相同的安全需求。管道：是“區(qū)域”之間信息交換的通道，除了網(wǎng)絡通道外，USB移動存儲介質(zhì)、遠程撥號鏈接等也需要考慮。管道和區(qū)域，劃分出了縱深防御的網(wǎng)絡結構。工控安全標準解讀—IEC62443工控安全模型區(qū)域：是一組物內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控安全差異點分類傳統(tǒng)信息安全工控安全性能非實時

高吞吐量

高延遲或抖動可接受實時適度的吞吐量高延遲或抖動不可接受可用性重新啟動可以接受

可用性的缺陷往往可以容忍重新啟動不可接受可用性要求可能需要冗余系統(tǒng)停機必須有計劃和提前預定時間高可用性要求充分的部署前測試風險管理機密性、完整性是最重要的容錯不是太重要，臨時停機不是主要風險主要的風險影響是業(yè)務操作的推遲人身安全是最重要的，其次是過程保護容錯是必須的，即使瞬間的停機也可能不可接受主要的風險影響是不合規(guī)，環(huán)境影響，生命、設備或生產(chǎn)損失架構的安全重點首要重點是保護IT資產(chǎn)，及這些資產(chǎn)上存儲的傳輸?shù)男畔⑹滓攸c是保護邊緣設備，如現(xiàn)場設備、過程控制器中央服務器的保護也很重要信息安全方案信息安全方案圍繞典型的IT系統(tǒng)進行設計安全產(chǎn)品必須先測試，例如在離線工控系統(tǒng)上測試，以保它們不會影響工控系統(tǒng)的正常運行快速反應快速反應不太重要可以根據(jù)必要的安全程度實施嚴格的訪問控制人機交互及緊急情況下快速反應是關鍵應嚴格控制對工控系統(tǒng)的訪問，但不應妨礙或干預人機交互系統(tǒng)運行使用典型的操作系統(tǒng)采用自動部署工具使得升級非常簡單專用的操作系統(tǒng)，往往沒有內(nèi)置的安全功能軟件變更必須慎重，通常由軟件供應商操作資源限制資源充足，能支持增加第三方功能，如信息安全功能系統(tǒng)被設計為支持預定的工業(yè)過程，可能沒有足夠的資源支持增加安全功能通信標準通信協(xié)議主要是有線網(wǎng)絡，捎帶一些本地無線功能許多專有的和標準的通信協(xié)議使用多種類型網(wǎng)絡，包括有線、無線（無線電和衛(wèi)星）技術支持允許多方提供技術支持通常由單一供應商提供技術支持生命周期3-5年15-20年組件訪問組件通常在本地，可方便地訪問組件可能是隔離的，遠程的，需要大量的物力才能獲得對其的訪問威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為工控設備由于長期忽視信息安全設計，存在應對攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會直接導致設備崩潰，影響實際生產(chǎn)。工控安全≠漏洞掃描工控安全≠打補丁給工控設備打補丁是個很困難的事。工控網(wǎng)常常擔負著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會產(chǎn)生巨大的成本以及運營風險。因此，集中式的自動化的補丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補丁都必須手動下載并安裝。而且很多情況下，只能由供應商認證的技術人員進行安裝。工控安全≠防病毒防病毒軟件在長年不更新病毒庫的工控網(wǎng)內(nèi)的實際作用非常有限，老舊的病毒庫無法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了。威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機密性”第一從而要求安全產(chǎn)品的軟硬件重新設計。例如：系統(tǒng)fail-to-open?？捎眯院蜋C密性的矛盾升級和兼容性的矛盾工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作依賴黑名單庫的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）不適用。工業(yè)協(xié)議的識別解析工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7）傳統(tǒng)安全產(chǎn)品支持IT通信協(xié)議（例如，HTTP、FTP），不支持工業(yè)控制協(xié)議。延時敏感工業(yè)控制系統(tǒng)對報文時延很敏感，而IT信息系統(tǒng)通常強調(diào)高吞吐量工控安全產(chǎn)品，必須從硬件選型、軟件架構設計上保證低時延。工業(yè)級硬件要求工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕）按照工業(yè)現(xiàn)場環(huán)境的要求專門設計硬件，做到全密閉、無風扇，支持﹣40℃～70℃等。威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)威努特工控安全理念—“安全白環(huán)境”為客戶構筑工控系統(tǒng)“安全白環(huán)境”整體防護體系，保護國家基礎設施安全只有可信任的設備，才能接入控制網(wǎng)絡；只有可信任的消息，才能在網(wǎng)絡上傳輸；只有可信任的軟件，才允許被執(zhí)行；1.2.3.核心安全理念技術亮點及創(chuàng)新點創(chuàng)新性的率先提出了建立工控系統(tǒng)的

和理念可信任網(wǎng)絡白環(huán)境工控軟件白名單創(chuàng)新的“軟可信”計算技術，降低方案成本，提高實用性；機器自學習“白環(huán)境”智能建模技術，降低維護成本，提高易用性；1.2.工控協(xié)議深度解析技術，具備高安全性，低時延影響；3.威努特工控安全理念—“安全白環(huán)境”為客戶構筑工控系統(tǒng)“安全白威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡無網(wǎng)絡準入措施，任意工控設備都可以輕松接入現(xiàn)有網(wǎng)絡，安全級別低；構建有效的網(wǎng)絡準入體系，是解決工控安全的首要之選。網(wǎng)絡準入網(wǎng)絡傳輸網(wǎng)絡傳輸層面臨諸多安全風險，現(xiàn)有工控網(wǎng)絡對此缺乏有效應對措施。對工控網(wǎng)絡數(shù)據(jù)傳輸進行有效監(jiān)管，攔截，可以防止大量潛在威脅；應用程序工控網(wǎng)絡功能確定，行為單一，應用可預期。對工控網(wǎng)絡的應用程序進行有效管控，阻止可疑、非法程序的運行，可以大幅度提高工控網(wǎng)絡的安全等級。威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡無網(wǎng)絡準入內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標準解讀21威努特工控安全理念威努特工控安全解決方案核心技術理念：縱深防護白名單機制工業(yè)協(xié)議深度解析實時監(jiān)控審計統(tǒng)一平臺管理威努特工控安全解決方案核心技術理念：威努特工控安全解決方案—白名單機制

“白名單”主動防御技術是通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進行動態(tài)行為判斷。通過對約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播。

“白名單”安全機制是一種安全管理規(guī)范，不僅應用于防火墻軟件的設置規(guī)則，也是在實際管理中要遵循的原則，例如在對設備和計算機進行實際操作時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份，未經(jīng)授權的行為將被拒絕。威努特工控安全解決方案—白名單機制“白名單”主動防御威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIPTCP傳統(tǒng)防火墻EthernetIPTCPMAP頭功能碼數(shù)據(jù)校驗工業(yè)防火墻ModbusTCP傳統(tǒng)防火墻工業(yè)防火墻過濾字段IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）Modbus功能碼Modbus線圈/寄存器Modbus讀寫值域Modbus只讀無法支持支持OPC動態(tài)端口無法支持支持威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIP威努特工控安全解決方案—可信邊界網(wǎng)關保護控制網(wǎng)與管理信息網(wǎng)之間的邊界，阻止來自管理信息網(wǎng)的安全威脅產(chǎn)品定位產(chǎn)品功能網(wǎng)絡邊界隔離：支持透明和路由工作模式；安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時間以及服務的狀態(tài)包過濾；數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運維人員配置難度；工業(yè)網(wǎng)絡可視化：網(wǎng)絡流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應嚴苛的工業(yè)現(xiàn)場；威努特工控安全解決方案—可信邊界網(wǎng)關保護控制網(wǎng)與管理信息網(wǎng)之威努特工控安全解決方案—可信區(qū)域網(wǎng)關保護工控網(wǎng)絡內(nèi)部不同安全區(qū)域的邊界，阻止來自該安全區(qū)域外的安全威脅產(chǎn)品定位產(chǎn)品功能安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時間以及服務的狀態(tài)包過濾；工控協(xié)議的深度解析：例如Modbus、DNP3、IEC104等；支持對Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜鸵约皡f(xié)議協(xié)議完整性、一致性檢查；支持對IEC104協(xié)議深度解析：包括遙信、遙測、遙控、設點以及電度等訪問控制；工業(yè)網(wǎng)絡可視化：網(wǎng)絡流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應嚴苛的工業(yè)現(xiàn)場；威努特工控安全解決方案—可信區(qū)域網(wǎng)關保護工控網(wǎng)絡內(nèi)部不同安全威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關REEN55022:2010CEEN55022:2010ESDIEC61000-4-2:2008RSIEC61000-4-3:2006+A1:2007+A2:2010EFT/BIEC61000-4-4:2004+A1:2010SURGEIEC61000-4-5:2005CSIEC61000-4-6:2008M/SIEC61000-4-8:2009DIPSIEC61000-4-11:2004威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關REEN5威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關關鍵參數(shù)威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關關鍵參數(shù)保護工作站（工程師站、操作員站等）的安全可控；保護服務器（應用服務器、實時數(shù)據(jù)服務器、歷史數(shù)據(jù)服務器、OPC服務器等）的安全可控；威努特工控安全解決方案—工作站可信衛(wèi)士保護工作站（工程師站、操作員站等）的安全可控；威努特工控安全當惡意軟件被用戶無意下載到本機之后，可信衛(wèi)士可阻斷惡意軟件的安裝及運行，同時生成審計日志，協(xié)助管理員發(fā)現(xiàn)病毒。威努特工控安全解決方案—工作站可信衛(wèi)士工作原理當惡意軟件被用戶無意下載到本機之后，可信衛(wèi)士可阻斷惡意軟件的有效抵御零日攻擊及高級持久性威脅（APT）；靈活配置白名單，增強安全的同時降低維護成本；完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報”；系統(tǒng)資源低開銷，不影響正常工控軟件運行；操作極致簡單，適合工控環(huán)境，減少安全生產(chǎn)事故；保護不受支持的MicrosoftWindowsXP等舊系統(tǒng)；全方位的日志審計，安全隱患一目了然；威努特工控安全解決方案—工作站可信衛(wèi)士核心優(yōu)勢核心優(yōu)勢有效抵御零日攻擊及高級持久性威脅（APT）；威努特工控安全解威努特工控安全解決方案—工作站可信衛(wèi)士產(chǎn)品界面威努特工控安全解決方案—工作站可信衛(wèi)士產(chǎn)品界面威努特工控安全解決方案—工控安全審計管理平臺監(jiān)控并記錄工控系統(tǒng)運行過