煙草行業(yè)等保2.0工業(yè)安全建設(shè)

1、煙草行業(yè)等保2.0工業(yè)安全建設(shè)落實等級保護規(guī)定，夯實工控安全基礎(chǔ)目錄等保2.0工控安全要求工控網(wǎng)絡(luò)安全解決方案煙草行業(yè)工控安全建設(shè)思考工業(yè)安全成為國家之間網(wǎng)絡(luò)戰(zhàn)的主戰(zhàn)場2019年3月7日，委內(nèi)瑞拉全國 23個州中的18個州電力供應(yīng)中 斷。停電給委內(nèi)瑞拉帶來了重大 損失，全國交通癱瘓，地鐵系統(tǒng) 關(guān)閉，醫(yī)院手術(shù)中斷，通訊線路 中斷，航班無法正常起降3月9日上午，全國70%的電力 供應(yīng)本已恢復(fù)，但隨后電力系統(tǒng) 再遭攻擊，導(dǎo)致再次發(fā)生大范圍 停電。2019年2月21日，一名伊朗高 級指揮官稱，伊朗曾經(jīng)成功滲 透進美國軍方指揮中心系統(tǒng)， 并控制了7至8架正在敘利亞和 伊拉克執(zhí)行飛行任務(wù)的美軍無 人機。2

2、019年6月，在伊朗擊落美國 一架無人機后，美國決定將網(wǎng) 絡(luò)戰(zhàn)作為打擊伊朗的首選項。2019年6月，紐約時報援引 美國現(xiàn)任和前任安全事務(wù)官員的 話稱，美國正在加大對俄羅斯電 網(wǎng)的網(wǎng)絡(luò)攻擊，“自2012年以 來，美國已將偵查探測程序植入 俄羅斯的電網(wǎng)系統(tǒng)之中，但在過 去一年中，這些行動的強度和規(guī) 模都在加大，美國的行動目標(biāo)已 經(jīng)從單純的警告考慮更多轉(zhuǎn)向為 進攻性的考慮?！眹腋叨戎匾暪I(yè)安全機構(gòu)時間政策文件政策說明全國人大2017.06中華人民共和國網(wǎng)絡(luò)安全法第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電 子政務(wù)等重要行業(yè)和領(lǐng)域 關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度

3、的基礎(chǔ)上， 實行重點保護。國務(wù)院2017.11關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工 業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見建立“工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”發(fā)展目標(biāo)。工信部2011.10關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通 知（451號） 加強重點領(lǐng)域工控信息系統(tǒng)安全管理措施，特別提到了與國計民生緊密相關(guān)領(lǐng)域的 控制系統(tǒng)，如核設(shè)施、電力、天然氣、鐵路、城市軌道交通、民航、城市供水等工信部2016.10工業(yè)控制系統(tǒng)信息安全防護指南（338 號）工業(yè)企業(yè)開展工控安全防護工作的整體性指導(dǎo)文件。工信部2017.06工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作 指南（122號）指導(dǎo)做好工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理

4、相關(guān)工作，保障工業(yè)控制系統(tǒng)信息安全。工信部2017.08工業(yè)控制系統(tǒng)信息安全防護能力評估工作 管理辦法（188號）檢驗338號文的實踐效果，綜合評價工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力。工信部2017.12工業(yè)控制系統(tǒng)信息安全行動計劃（2018- 2020）（316號）為全面落實國家安全戰(zhàn)略，提升工業(yè)企業(yè)工控安全防護能力，促進工業(yè)信息安全產(chǎn)業(yè) 發(fā)展，加快我國工控安全保障體系建設(shè)，制定本行動計劃。工信部2018.05工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018-2020 年）工業(yè)互聯(lián)網(wǎng)安全指導(dǎo)性文件，明確并落實企業(yè)主體責(zé)任， 建立針對重點行業(yè)、重點 企業(yè)的監(jiān)督檢查、信息通報、應(yīng)急響應(yīng)等管理機制。網(wǎng)信辦201

5、7.07關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意 見稿）第十八條 應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍：（一）政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公 用事業(yè)（供水、供熱、燃?xì)猓┑刃袠I(yè)領(lǐng)域的單位；公安部2019.05網(wǎng)絡(luò)安全等級保護基本要求針對共性安全保護需求提出安全通用要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè) 控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域的個性安全保護需求提出安全擴展要求，形成新 的網(wǎng)絡(luò)安全等級保護基本要求標(biāo)準(zhǔn)。工控安全明確納入等保2.0基本要求體系結(jié)構(gòu)安全技術(shù)要求安全管理要求安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理中心2019.05.10 “等保2.

6、0”2017.06.01從合規(guī)到合法一個中心三重防御擴展要求云計算移動互聯(lián)物聯(lián)網(wǎng)工控系統(tǒng)可信計算安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理等保三級 安全通用要求+工控安全擴展要求第三級安全要求（技術(shù)）潮防溫室護范復(fù)護護全惡數(shù)數(shù)數(shù)剩個控安全區(qū)域邊界安全計算環(huán)境安全通信網(wǎng)絡(luò)安全物理環(huán)境基本要求工業(yè)控制系統(tǒng)安全擴展要求信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求電系 統(tǒng)子防防水防濕電電外門盜雷防和靜度力磁設(shè)禁竊擊火防電控供防備制應(yīng)護防數(shù)單 網(wǎng)通可 據(jù)向 絡(luò)信信 加隔 架傳驗 密離 構(gòu)輸證 傳手輸段惡禁撥無邊訪入意安可止號線 界問侵代全信通使使 防控防碼審驗用用用 護制范防計證服控控范 務(wù)

7、 制 制身訪安入意 可據(jù)據(jù)據(jù)余人制份問全侵代 信完保備信信設(shè)鑒控審防碼 驗整密份息息備別制計范防 證性性恢保保安安全管理中心系審安集 統(tǒng)計全中 管管管管 理理理控工控安全擴展要求 控制點與要求項控制點（10）一級二級三級（22）四級安全物理環(huán)境室外控制設(shè)備防護2222安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)2333通信傳輸0111安全區(qū)域邊界訪問控制1222撥號使用控制0123無線使用控制2244安全計算環(huán)境控制設(shè)備安全2255安全建設(shè)管理產(chǎn)品采購和使用0111外包軟件開發(fā)0111安全運維管理安全事件處置0111工控安全擴展要求 要點工控安全擴展要求項安全域隔離 網(wǎng)絡(luò)架構(gòu)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個

8、區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段；涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與 其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。 訪問控制a) 應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越 區(qū)域邊界的E-Mail_ Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；控制非法外聯(lián) 無線使用控制b) 應(yīng)對所有參與無線通信的用戶（人員、軟件進程或者設(shè)備）進行授權(quán)以及執(zhí)行使用進行限制；安全功能上移8.5.4. 1 控制設(shè)備安全a) 如受條件限制控

9、制設(shè)備無法實現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實現(xiàn)同等功能或通 過管理手段控制；慎重更新補丁8.5.4. 1 控制設(shè)備安全b) 應(yīng)在經(jīng)過充分測試評估后，在不影響系統(tǒng)安全穩(wěn)定運行的情況下對控制設(shè)備進行補丁更新、固 件更新等工作；盡量關(guān)閉接口8.5.4. 1 控制設(shè)備安全c) 應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口或多余網(wǎng)口等，確需保留的應(yīng) 通過相關(guān)的技術(shù)措施實施嚴(yán)格的監(jiān)控管理；目錄等保2.0工控安全要求工控網(wǎng)絡(luò)安全解決方案煙草行業(yè)工控安全建設(shè)思考工控網(wǎng)絡(luò)安全三大痛點 - 工業(yè)主機“帶病運行”補丁打不上 漏洞百出擔(dān)心影響生產(chǎn)不想打主機不聯(lián)網(wǎng)無法升級系統(tǒng)老舊無補丁可打病毒殺不

10、完 帶病運行硬件配置太低裝不上殺毒軟件無法升級殺毒軟件病毒庫老舊擔(dān)心誤殺工業(yè)軟件，干脆不裝資產(chǎn)查不清 暗藏隱患工業(yè)主機家底不清楚資產(chǎn)配置分布不可視整體安全隱患不了解工控網(wǎng)絡(luò)安全三大痛點 不了解有什么安全隱患工控網(wǎng)絡(luò)安全三大痛點 不了解有什么安全隱患網(wǎng)絡(luò)空間正在發(fā)生什么？工控網(wǎng)絡(luò)安全三大痛點 傳統(tǒng)設(shè)備不適應(yīng)工業(yè)環(huán)境挑戰(zhàn)一：不支持工控協(xié)議挑戰(zhàn)四：不匹配運維要求挑戰(zhàn)三：不滿足高可靠性挑戰(zhàn)二：不適應(yīng)物理環(huán)境特有的工業(yè)協(xié)議（OPC、S7、 Modbus、DNP3等），以及存在 較多私有協(xié)議工控系統(tǒng)特有的安全漏洞，與IT系 統(tǒng)應(yīng)對機制不一樣工業(yè)現(xiàn)場環(huán)境相對比較惡劣（如 高低溫、粉塵、潮濕、酸堿等）， 要求

11、專門的硬件設(shè)計，做到全密 閉、無風(fēng)扇，支持4070寬溫平均無故障時間10年，使用壽命15-20年從IT“故障關(guān)閉”到OT“故障暢 通”，處理的原則不同不允許頻繁升級策略穩(wěn)妥實施，不允許現(xiàn)網(wǎng)調(diào)試試錯訪問控制對時延要求更為敏感傳統(tǒng)防火墻不適用工業(yè)控制網(wǎng)絡(luò)工控網(wǎng)絡(luò)安全解決方案企業(yè) 信息 層/L4生產(chǎn) 管理 層/L3過程 監(jiān)控 層/L2現(xiàn)場 控制 層/L1現(xiàn)場 設(shè)備 層/L0操作員站制絲車間操作員站卷包車間歷史數(shù)據(jù)庫工程師站HMI工藝MES打印機EmailWebOA INTERNET控制器/PLC控制器/PLC工業(yè)主機 安全防護工業(yè)主機防 護控制中心工業(yè)防火墻工業(yè)安全 監(jiān)測系統(tǒng)工業(yè)安全 監(jiān)測系統(tǒng)工業(yè)安

12、全監(jiān)測控 制平臺（ISDC）全 網(wǎng) 主 機 日 志工業(yè)資產(chǎn)狀況資產(chǎn)數(shù)量不清楚 資產(chǎn)類型不清楚 資產(chǎn)分布不清楚設(shè)備斷線難定位 設(shè)備停機難定位 異常操作難定位工業(yè)生產(chǎn)故障工業(yè)安全威脅誰有隱患不知道 誰被攻擊不知道 攻擊后果不知道工業(yè)資產(chǎn) 為核心的 風(fēng)險可視化恐懼源于未知，看見才能安全主機防護：應(yīng)用程序白名單&關(guān)卡式病毒攔截擴散攔截“永恒之藍(lán)”超前防御，防藍(lán)屏U盤管控，防止非授權(quán)外設(shè)引入病毒注 冊授 權(quán)審 計入口攔截一鍵設(shè)置白名單，無需升級關(guān) 閉告 警防 護三種模式一鍵切換，保障生產(chǎn)連續(xù)性運行攔截網(wǎng)絡(luò)防護，主機中毒后防止擴散日志審計，溯源攻擊主機和惡意程序白名 單漏 洞防 御日 志IP端口 應(yīng)用 程

13、序溯源 主機 惡意 軟件安全監(jiān)測：檢測網(wǎng)絡(luò)攻擊，識別安全風(fēng)險自動發(fā)現(xiàn)工控漏洞資產(chǎn)漏洞映射，開放端口，不安全協(xié)議支持3大漏洞庫CVE，CNVD，CNNVD覆蓋220+廠商, 3300+條漏洞IDS入侵檢測各種工業(yè)漏洞利用行為緩沖區(qū)溢出，拒絕服務(wù)攻擊檢測端口掃描、口令探測等滲透行為5000+條規(guī)則，持續(xù)更新檢測網(wǎng)絡(luò)病毒檢測病毒木馬，僵尸蠕蟲，及各種間諜軟件，及時告警提示識別控制器關(guān)鍵操作控制器組態(tài)下裝、上載，起動、停止、復(fù)位PLC程序下裝、上載，文件寫入，固件升級識別工業(yè)資產(chǎn)，建立資產(chǎn)清單設(shè)備類型 PLC，DCS， HMI， RTU品牌型號 西門子，施耐德，羅克韋爾，和利時軟件系統(tǒng) Win2000

14、，Win XP，Web站點設(shè)備屬性 IP，MAC，端口建立工控基線，監(jiān)測生產(chǎn)異常自學(xué)習(xí)業(yè)務(wù)行為，建立基線模型深度解析流量，發(fā)現(xiàn)異常行為安全監(jiān)測：建立工控基線，監(jiān)測生產(chǎn)異常建立動態(tài)行為基線設(shè)備之間通信模型相對固定協(xié)議，內(nèi)容，時間，頻次，流量偏離基線意味著發(fā)生異常多維數(shù)據(jù)構(gòu)建基線模型覆蓋制絲、卷包、集控、能動采集解析匯聚數(shù)據(jù)資源池機器學(xué)習(xí)梳理優(yōu)化通訊模型偏離基線生產(chǎn)異常監(jiān)測預(yù)警流量峰谷合規(guī)分析數(shù)據(jù)上傳時間頻次審計數(shù)據(jù)交互延遲判斷PLC健康度邊界防護：劃分安全區(qū)域，隔離控制企業(yè) 信息 層/L4生產(chǎn) 管理 層/L3過程 監(jiān)控 層/L2現(xiàn)場 控制 層/L1現(xiàn)場 設(shè)備 層/L0操作員站生產(chǎn)線操作員站生產(chǎn)線

15、歷史數(shù)據(jù)庫HMI工藝MES打印機EmailWebOA INTERNET控制器/PLC控制器/PLC工業(yè)防火墻工程師站工業(yè)防 火墻專有硬件防火墻工業(yè)網(wǎng)絡(luò)環(huán)境，寬溫，無風(fēng)扇，導(dǎo)軌/機架工業(yè)控制協(xié)議部署位置監(jiān)控網(wǎng)與控制網(wǎng)之間生產(chǎn)線上位機與控制設(shè)備之間導(dǎo)軌式適用控制現(xiàn)場機架式適用機房環(huán)境目錄等保2.0工控安全要求工控網(wǎng)絡(luò)安全解決方案煙草行業(yè)工控安全建設(shè)思考思考一：迎接技術(shù)變革，必先夯實基礎(chǔ)互 聯(lián) 網(wǎng) + 卷煙智能工廠CPS工業(yè)互聯(lián)網(wǎng)平臺 融合創(chuàng)新與產(chǎn)業(yè)升級數(shù)字化轉(zhuǎn)型工業(yè)互聯(lián)網(wǎng)邊界瓦解，設(shè)備聯(lián)網(wǎng)，工業(yè)上云，數(shù)據(jù)流動，老問題沒有消失，又迎來新挑戰(zhàn)數(shù)據(jù)的開放、共享、流動，增加了泄密風(fēng)險物理邊界用戶多樣化 設(shè)

16、備多樣化邊界瓦解平臺多樣化 業(yè)務(wù)多樣化數(shù)據(jù)分散在不同的業(yè)務(wù)應(yīng)用中并持續(xù)流動，流動加劇了大數(shù)據(jù)的風(fēng)險傳統(tǒng)的網(wǎng)絡(luò)邊界安全架構(gòu)忽視了內(nèi)部人員威脅安全意識？安全投入？安全措施？邊界安全架構(gòu)：為內(nèi)網(wǎng)中的人和設(shè)備預(yù)設(shè)了過多的信任互聯(lián)網(wǎng)廣域網(wǎng)數(shù)據(jù)中心辦公內(nèi)網(wǎng)DMZ每一次數(shù)據(jù)泄露“黑天鵝”事件背 后，都隱藏著“灰犀?！笔降奈C。滲透進來的 攻擊者別有用心的 內(nèi)部人員工業(yè)互聯(lián)網(wǎng)安全建設(shè)，基礎(chǔ)不牢，地動山搖思考二：工控安全建設(shè)，重在落實執(zhí)行某煙廠制絲車間，集控服務(wù) 器反復(fù)藍(lán)屏重啟，停產(chǎn)某煙廠卷包車間，U盤導(dǎo)致數(shù) 采主機中毒，批次無法跟蹤某煙廠數(shù)據(jù)中心，錯誤配置導(dǎo) 致直連互聯(lián)網(wǎng)，遭勒索攻擊近幾年與合作伙伴一起應(yīng)急服

17、務(wù)過上百起工業(yè)網(wǎng)絡(luò)攻擊事件，包括多家煙草企業(yè)， 多數(shù)發(fā)生工業(yè)主機藍(lán)屏，反復(fù)重啟，勒索加密，甚至生產(chǎn)停工安全事件：某智能制造企業(yè)遭網(wǎng)絡(luò)攻擊停產(chǎn)事件過程2018年9月，某大型智能制造企業(yè) 遭勒索病毒攻擊，數(shù)十臺工業(yè)主機藍(lán)屏 重啟，多條生產(chǎn)線停產(chǎn)，損失嚴(yán)重。工 業(yè)安全團隊提供緊急安服響應(yīng)，幫助快 速恢復(fù)生產(chǎn)。通過對現(xiàn)場網(wǎng)絡(luò)安全風(fēng)險 評估，發(fā)現(xiàn)多個安全漏洞。設(shè)備用途系統(tǒng)配置存在漏洞IMOOA服務(wù)器CentOS任意命令執(zhí)行漏洞MES生產(chǎn)管理服務(wù)器Win7 64 位“永恒之藍(lán)”漏洞上位機控制PLCWinXP SP3，組態(tài)王，雙網(wǎng) 卡配置遠(yuǎn)程堆溢出漏洞PLC控制器西門子300拒絕服務(wù)漏洞在實驗室仿真客戶環(huán)境

18、，還原攻擊過程。企業(yè) 信息 層/L4生產(chǎn) 管理 層/L3過程 監(jiān)控 層/L2現(xiàn)場 控制 層/L1現(xiàn)場 設(shè)備 層/L0MESIMO互聯(lián)網(wǎng)上位機生產(chǎn)線PLC馬達(dá)事件過程回溯分析企業(yè) 信息 層/L4生產(chǎn) 管理 層/L3過程 監(jiān)控 層/L2現(xiàn)場 控制 層/L1現(xiàn)場 設(shè)備 層/L0MES打印機EmailWebIMO互聯(lián)網(wǎng)上位機生產(chǎn)線PLC馬達(dá)攻擊者2. 攻陷MES服務(wù)器搜索內(nèi)網(wǎng)發(fā)現(xiàn)MES主機，利用MES存在的“永恒之藍(lán)”漏洞，獲取權(quán) 限；將勒索病毒樣本上傳至MES主機運行，病毒在內(nèi)網(wǎng)中蔓延傳播。3、攻陷上位機搜索內(nèi)網(wǎng)發(fā)現(xiàn)雙網(wǎng)卡配置的XPSP3上位機，利用上位機組態(tài)軟件的遠(yuǎn) 程堆溢出漏洞，獲取上位機權(quán)限。4、攻擊PLC繼續(xù)搜索發(fā)現(xiàn)西門子300控制器，向上位機投遞PLC攻擊軟件，程序 運行后向PLC發(fā)送特制攻擊報文，致使PLC進入Defeat狀態(tài)，其控制 的馬達(dá)（生產(chǎn)線）停轉(zhuǎn)。1. 攻陷IMO服務(wù)器攻擊者利用辦公網(wǎng)IMO服務(wù)器的任意執(zhí)行漏洞，發(fā)起攻擊獲得服務(wù)