工業(yè)控制系統(tǒng)信息安全整體解決方案PPT課件

1、工業(yè)控制系統(tǒng)信息安全整體解決方案工業(yè)控制系統(tǒng)信息安全整體解決方案工業(yè)控制系統(tǒng)信息安全整體解決方案內(nèi)容提綱威努特公司介紹威努特公司介紹工控安全標(biāo)準(zhǔn)解讀工控安全標(biāo)準(zhǔn)解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案公司簡介p 北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品與解決方案研發(fā)的創(chuàng)新型高科技公司。p公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務(wù)，幫助企業(yè)客戶識別工控系統(tǒng)安全風(fēng)險，掌控工控安全現(xiàn)狀與趨勢，提高工控安全防護與事件響應(yīng)能力。p公司組建了一支由業(yè)界知名信息

2、安全專家、工控系統(tǒng)專家、成熟產(chǎn)品研發(fā)團隊以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團隊 。可為企業(yè)客戶提供：穩(wěn)定可靠的工控安全防護產(chǎn)品；穩(wěn)定可靠的工控安全防護產(chǎn)品；專業(yè)深度的專業(yè)深度的工控安全咨詢培訓(xùn)工控安全咨詢培訓(xùn)；全方位的安全服務(wù)：全方位的安全服務(wù)：風(fēng)險評估風(fēng)險評估/ /漏洞挖掘漏洞挖掘/ /滲透測試滲透測試/ /攻防演練；攻防演練；p幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關(guān)鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護體系。工業(yè)控制系統(tǒng)信息安全整體解決方案公司市場地位產(chǎn)品為王p國內(nèi)第一款“白名單主動防御”主機防病毒軟件，比肩美國Bit9的創(chuàng)新產(chǎn)品；p國內(nèi)第一款“千兆工業(yè)防火墻”，性

3、能10-20倍業(yè)界一般水平；p與國內(nèi)外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家；p成功替代McAfee的國內(nèi)工控安全廠商；工業(yè)控制系統(tǒng)信息安全整體解決方案內(nèi)容提綱威努特公司介紹威努特公司介紹工控安全標(biāo)準(zhǔn)解讀工控安全標(biāo)準(zhǔn)解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標(biāo)準(zhǔn)解讀國際工控安全標(biāo)準(zhǔn)組織：1. 國際電工委員會（ IEC ， International Electro Technical Commission ）2. 國際自動化協(xié)會（ ISA ， the Intern

4、ational Society of Automation ）3. 美國國家標(biāo)準(zhǔn)技術(shù)研究院（ NIST ， National Institute of Standards and Technology ）我國工控安全標(biāo)準(zhǔn)組織：1.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）2.全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會（TC124）3.全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會（TC82）4.全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會（TC296）工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標(biāo)準(zhǔn)解讀IEC62443工控安全定義信息安全(Security) IEC62443針對工控系統(tǒng)信息安全的定義是：A、保護系統(tǒng)所

5、采取的措施；B、由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；C、能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失。D、基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；E、防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標(biāo)準(zhǔn)解讀IEC62443總體框架工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標(biāo)準(zhǔn)解讀IEC62443工控安全模型區(qū)域：是一組物理或邏輯上的資產(chǎn)，基于重要性或事故影響，它們具有相同的安全需求。管道：是“區(qū)域”之間信息交換的通道，除了網(wǎng)絡(luò)通道外，USB

6、移動存儲介質(zhì)、遠程撥號鏈接等也需要考慮。管道和區(qū)域，劃分出了縱深防御的網(wǎng)絡(luò)結(jié)構(gòu)。工業(yè)控制系統(tǒng)信息安全整體解決方案內(nèi)容提綱威努特公司介紹威努特公司介紹工控安全標(biāo)準(zhǔn)解讀工控安全標(biāo)準(zhǔn)解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全傳統(tǒng)信息安全傳統(tǒng)信息安全與工控安全差異點分類傳統(tǒng)信息安全工控安全性能非實時 高吞吐量 高延遲或抖動可接受實時適度的吞吐量高延遲或抖動不可接受可用性重新啟動可以接受 可用性的缺陷往往可以容忍重新啟動不可接受可用性要求可能需要冗余系統(tǒng)停機必

7、須有計劃和提前預(yù)定時間高可用性要求充分的部署前測試風(fēng)險管理機密性、完整性是最重要的容錯不是太重要，臨時停機不是主要風(fēng)險主要的風(fēng)險影響是業(yè)務(wù)操作的推遲人身安全是最重要的，其次是過程保護容錯是必須的，即使瞬間的停機也可能不可接受主要的風(fēng)險影響是不合規(guī)，環(huán)境影響，生命、設(shè)備或生產(chǎn)損失架構(gòu)的安全重點首要重點是保護IT資產(chǎn)，及這些資產(chǎn)上存儲的傳輸?shù)男畔⑹滓攸c是保護邊緣設(shè)備，如現(xiàn)場設(shè)備、過程控制器中央服務(wù)器的保護也很重要信息安全方案信息安全方案圍繞典型的IT系統(tǒng)進行設(shè)計安全產(chǎn)品必須先測試，例如在離線工控系統(tǒng)上測試，以保它們不會影響工控系統(tǒng)的正常運行快速反應(yīng)快速反應(yīng)不太重要可以根據(jù)必要的安全程度實施嚴(yán)格的

8、訪問控制人機交互及緊急情況下快速反應(yīng)是關(guān)鍵應(yīng)嚴(yán)格控制對工控系統(tǒng)的訪問，但不應(yīng)妨礙或干預(yù)人機交互系統(tǒng)運行使用典型的操作系統(tǒng)采用自動部署工具使得升級非常簡單專用的操作系統(tǒng)，往往沒有內(nèi)置的安全功能軟件變更必須慎重，通常由軟件供應(yīng)商操作資源限制資源充足，能支持增加第三方功能，如信息安全功能系統(tǒng)被設(shè)計為支持預(yù)定的工業(yè)過程，可能沒有足夠的資源支持增加安全功能通信標(biāo)準(zhǔn)通信協(xié)議主要是有線網(wǎng)絡(luò)，捎帶一些本地?zé)o線功能許多專有的和標(biāo)準(zhǔn)的通信協(xié)議使用多種類型網(wǎng)絡(luò)，包括有線、無線（無線電和衛(wèi)星）技術(shù)支持允許多方提供技術(shù)支持通常由單一供應(yīng)商提供技術(shù)支持工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全三大誤區(qū)漏洞

9、掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為工控設(shè)備由于長期忽視信息安全設(shè)計，存在應(yīng)對攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會直接導(dǎo)致設(shè)備崩潰，影響實際生產(chǎn)。工控安全漏洞掃描工控安全打補丁給工控設(shè)備打補丁是個很困難的事。工控網(wǎng)常常擔(dān)負著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會產(chǎn)生巨大的成本以及運營風(fēng)險。因此，集中式的自動化的補丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補丁都必須手動下載并安裝。而且很多情況下，只能由供應(yīng)商認證的技術(shù)人員進行安裝。工控安全防病毒防病毒軟件在長年不更新病毒庫的工控網(wǎng)內(nèi)

10、的實際作用非常有限，老舊的病毒庫無法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題u工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機密性”第一從而要求安全產(chǎn)品的軟硬件重新設(shè)計。例如：系統(tǒng)fail-to-open?？捎眯院蜋C密性的矛盾升級和兼容性的矛盾u工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作依賴黑名單庫的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）不適用。工業(yè)協(xié)議的識別解析u工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7）傳統(tǒng)安全產(chǎn)品支持IT通信協(xié)議（例如，HTTP

11、、FTP），不支持工業(yè)控制協(xié)議。延時敏感u工業(yè)控制系統(tǒng)對報文時延很敏感，而IT信息系統(tǒng)通常強調(diào)高吞吐量工控安全產(chǎn)品，必須從硬件選型、軟件架構(gòu)設(shè)計上保證低時延。工業(yè)級硬件要求u工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕）按照工業(yè)現(xiàn)場環(huán)境的要求專門設(shè)計硬件，做到全密閉、無風(fēng)扇，支持4070等。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念“安全白環(huán)境”為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護體系，保護國家基礎(chǔ)設(shè)施安全只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行；1.2.3.核心安全理念技術(shù)亮點及創(chuàng)新點創(chuàng)新性的率先提出

12、了建立工控系統(tǒng)的 和 理念可信任網(wǎng)絡(luò)白環(huán)境工控軟件白名單創(chuàng)新的“軟可信”計算技術(shù)，降低方案成本，提高實用性；機器自學(xué)習(xí)“白環(huán)境”智能建模技術(shù)，降低維護成本，提高易用性；1.2.工控協(xié)議深度解析技術(shù)，具備高安全性，低時延影響；3.工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全的三大命門現(xiàn)有工控網(wǎng)絡(luò)無網(wǎng)絡(luò)準(zhǔn)入措施，任意工控設(shè)備都可以輕松接入現(xiàn)有網(wǎng)絡(luò)，安全級別低；構(gòu)建有效的網(wǎng)絡(luò)準(zhǔn)入體系，是解決工控安全的首要之選。網(wǎng)絡(luò)準(zhǔn)入網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)傳輸層面臨諸多安全風(fēng)險，現(xiàn)有工控網(wǎng)絡(luò)對此缺乏有效應(yīng)對措施。對工控網(wǎng)絡(luò)數(shù)據(jù)傳輸進行有效監(jiān)管，攔截，可以防止大量潛在威脅；應(yīng)用程序工控網(wǎng)絡(luò)功能確定，行為單一，應(yīng)用

13、可預(yù)期。對工控網(wǎng)絡(luò)的應(yīng)用程序進行有效管控，阻止可疑、非法程序的運行，可以大幅度提高工控網(wǎng)絡(luò)的安全等級。工業(yè)控制系統(tǒng)信息安全整體解決方案內(nèi)容提綱威努特公司介紹威努特公司介紹工控安全標(biāo)準(zhǔn)解讀工控安全標(biāo)準(zhǔn)解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案核心技術(shù)理念：n縱深防護n白名單機制n工業(yè)協(xié)議深度解析n實時監(jiān)控審計n統(tǒng)一平臺管理工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案白名單機制 “白名單”主動防御技術(shù)是通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡(luò)數(shù)據(jù)的交換，

14、在控制網(wǎng)到信息網(wǎng)之間進行動態(tài)行為判斷。通過對約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播。 “白名單”安全機制是一種安全管理規(guī)范，不僅應(yīng)用于防火墻軟件的設(shè)置規(guī)則，也是在實際管理中要遵循的原則，例如在對設(shè)備和計算機進行實際操作時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份，未經(jīng)授權(quán)的行為將被拒絕。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工業(yè)協(xié)議深度解析EthernetEthernetIPIPTCPTCPl傳統(tǒng)防火墻EthernetEthernetIPIPTCPTCPMAPMAP頭頭功能碼功能碼數(shù)據(jù)數(shù)據(jù)校驗校驗l工業(yè)防火墻Modbus TCP

15、傳統(tǒng)防火墻工業(yè)防火墻過濾字段IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）Modbus功能碼Modbus線圈/寄存器Modbus讀寫值域Modbus只讀無法支持支持OPC動態(tài)端口無法支持支持工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界網(wǎng)關(guān)保護控制網(wǎng)與管理信息網(wǎng)之間的邊界，阻止來自管理信息網(wǎng)的安全威脅產(chǎn)品定位產(chǎn)品功能網(wǎng)絡(luò)邊界隔離：支持透明和路由工作模式；安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時間

16、以及服務(wù)的狀態(tài)包過濾；數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運維人員配置難度；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場；工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信區(qū)域網(wǎng)關(guān)保護工控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域的邊界，阻止來自該安全區(qū)域外的安全威脅產(chǎn)品定位產(chǎn)品功能安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時

17、間以及服務(wù)的狀態(tài)包過濾；工控協(xié)議的深度解析：例如Modbus 、DNP3、IEC 104等；支持對Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜?fù)以及協(xié)議協(xié)議完整性、一致性檢查；支持對IEC104協(xié)議深度解析：包括遙信、遙測、遙控、設(shè)點以及電度等訪問控制；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場；工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界/區(qū)域網(wǎng)關(guān)RE EN55022:2010CE EN55022:2010ESD IEC61000-4-2: 2008RS IEC61000-4-3: 20

18、06+A1: 2007+A2: 2010EFT/B IEC61000-4-4: 2004+A1: 2010SURGE IEC61000-4-5: 2005CS IEC61000-4-6: 2008M/S IEC 61000-4-8: 2009DIPS IEC 61000-4-11: 2004工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界/區(qū)域網(wǎng)關(guān)關(guān)鍵參數(shù)工業(yè)控制系統(tǒng)信息安全整體解決方案 保護工作站（工程師站、操作員站等）的安全可控； 保護服務(wù)器（應(yīng)用服務(wù)器、實時數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)服務(wù)器、OPC服務(wù)器等）的安全可控；威努特工控安全解決方案工作站可信衛(wèi)士工業(yè)控制系統(tǒng)信息安全整體解

19、決方案當(dāng)惡意軟件被用戶無意下載到本機之后，可信衛(wèi)士可阻斷惡意軟件的安裝及運行，同時生成審計日志，協(xié)助管理員發(fā)現(xiàn)病毒。威努特工控安全解決方案工作站可信衛(wèi)士工作原理工業(yè)控制系統(tǒng)信息安全整體解決方案 有效抵御零日攻擊及高級持久性威脅（APT）； 靈活配置白名單，增強安全的同時降低維護成本； 完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報”； 系統(tǒng)資源低開銷，不影響正常工控軟件運行； 操作極致簡單，適合工控環(huán)境，減少安全生產(chǎn)事故； 保護不受支持的Microsoft Windows XP等舊系統(tǒng)； 全方位的日志審計，安全隱患一目了然；威努特工控安全解決方案工作站可信衛(wèi)士核心優(yōu)勢核心優(yōu)勢工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工作站可信衛(wèi)士產(chǎn)品界面工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工控安全審計管理平臺監(jiān)控并記錄工控系統(tǒng)運行過程中的一切操作行為，為事故追溯