部署工控運維審計平臺-第六屆工業(yè)控制系統(tǒng)信息安全峰會

1、眼見為實工控網(wǎng)絡七大安全隱患和解決方案工控系統(tǒng)普遍存在的七大安全隱患6.執(zhí)行關(guān)鍵操作，缺乏日志記錄5.執(zhí)行服務器操作，缺乏系統(tǒng)審計4.工控設備存在諸多漏洞，RTU/PLC安全隱患突出3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設備2.系統(tǒng)極少升級，易受病毒攻擊感染1.開放對外接口，帶來安全隱患7.網(wǎng)絡流量異常，導致設備工作異常!工控系統(tǒng)網(wǎng)絡拓撲圖（以發(fā)電廠為例）1.開放對外接口，帶來安全隱患外來接入設備外來接入設備：1、供應商遠程維護2、工程師遠程操作3、數(shù)據(jù)遠程傳輸4、國能安全【2015】36號文件5、綜合安全防護：廠級關(guān)鍵監(jiān)控應用系統(tǒng)服務器，應該使用安全加固的操作系統(tǒng)。非控制區(qū)的安全設備應當進行身份

2、鑒別、權(quán)限控制等安全配置加固。1.開放對外接口，帶來安全隱患2.系統(tǒng)極少升級，易受病毒攻擊感染病毒入侵途徑：1、遠程維護外來接入設備2、本地維護外來接入設備3、移動媒質(zhì)4、釣魚軟件5、國能安全【2015】36號文件5、綜合安全防護：安全加固：采用專用軟件強化操作系統(tǒng)訪問控制能力及配置安全的應用程序，其中配置的更改和補丁安裝應當經(jīng)過測試。2.系統(tǒng)極少升級，易受病毒攻擊感染3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設備遺忘設備惡意設備未知設備來源：1、新舊系統(tǒng)交替2、來自內(nèi)部的破壞3、系統(tǒng)設備管理失誤4、國能安全【2015】36號文件5、綜合安全防護：入侵檢測：合理設置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界

3、正常信息流中的入侵行為，分析潛在威脅并進行安全審計。3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設備4.工控設備存在諸多漏洞，RTU/PLC安全隱患突出工控設備安全隱患：1、通信協(xié)議明文傳輸2、通信協(xié)議缺乏認證加密機制3、通信健壯性脆弱4、非法惡意報文可導致設備崩潰5、設備固件從不更新6、國能安全【2015】36號文件5、綜合安全防護：入侵檢測：分析潛在威脅并進行安全審計；惡意代碼防范：應當及時更新特征碼，查看查殺記錄；漏洞整改：應當加強相關(guān)系統(tǒng)及設備的運行管理和安全防護；4.工控設備存在諸多漏洞，RTU/PLC安全隱患突出5.執(zhí)行服務器操作，缺乏系統(tǒng)審計服務器操作：1、安裝/更新組態(tài)軟件2、配置/修改

4、軟件參數(shù)3、增加/刪減用戶4、國能安全【2015】36號文件5、綜合安全防護：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權(quán)限進行訪問控制。操作行為安全審計，抗抵賴，安全審計。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄關(guān)鍵操作：1、開關(guān)控制2、調(diào)節(jié)檔位3、國能安全【2015】36號文件5、綜合安全防護：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權(quán)限進行訪問控制。操作行為安全審計，抗抵賴，安全審計。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄關(guān)鍵操作：1、下裝邏輯程序2、組態(tài)變更3、國能安全【2015】36號文件5、綜合安全防護：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進行

5、身份認證，根據(jù)身份與權(quán)限進行訪問控制。操作行為安全審計，抗抵賴，安全審計。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄7.網(wǎng)絡流量異常，導致設備工作異常網(wǎng)絡流量異常發(fā)生的原因：1、網(wǎng)卡硬件異常導致廣播風暴2、交換機配置錯誤導致回環(huán)3、拒絕服務式網(wǎng)絡攻擊(DOS)4、國能安全【2015】36號文件2、基本原則：安全分區(qū)：根據(jù)系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)及非控制區(qū)，重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)的系統(tǒng)。網(wǎng)絡專用：電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)。7.網(wǎng)絡流量異常，導致設備工作異常立思辰安全解決方案解決問題的依據(jù)1ISA99/IEC62443IEC-624

6、43-1-1術(shù)語，概念和模型IEC-62443-1-2術(shù)語和縮略語IEC-62443-1-3系統(tǒng)信息安全合規(guī)度量IEC-62443-1-1建立IACS安全規(guī)劃IEC-62443-1-1實施IACS安全規(guī)劃IEC-62443-1-1IACS環(huán)境中補丁更新管理IEC-62443-2-4IACS制造商安全政策和實踐的認證IEC-62443-1-1IACS安全技術(shù)IEC-62443-1-1產(chǎn)品開發(fā)要求IEC-62443-1-1IACS產(chǎn)品的安全技術(shù)要求IEC-62443-1-1區(qū)域和通道的安全保障等級IEC-62443-1-1系統(tǒng)安全要求和保障等級通用資產(chǎn)擁有者系統(tǒng)集成商部件提供商解決問題的依據(jù)2等級

7、保護技術(shù)規(guī)范等級保護管理要求技術(shù)要求系統(tǒng)運維管理數(shù)據(jù)安全與備份恢復應用安全網(wǎng)絡安全主機安全物理安全系統(tǒng)建設管理人員安全管理安全管理機構(gòu)安全管理制度安全咨詢服務立思辰產(chǎn)品與服務環(huán)境監(jiān)控系統(tǒng)電力工控安全入侵檢測系統(tǒng)第三方邊界防護主機加固電力工控安全入侵檢測節(jié)點運維審計平臺主機加固解決問題的依據(jù)基本要求：安全分級安全管理基本要求技術(shù)要求安全檢查測試方法評估工作包括從組織機構(gòu)管理工業(yè)控制系統(tǒng)能力（技術(shù)）GB/T30976.1評估規(guī)范驗收流程驗收內(nèi)容驗收方法及要求驗收測試驗收準備風險分析與處置能力確認GB/T30976.2驗收規(guī)范我國正式頒布的工業(yè)控制系統(tǒng)信息安全國家標準第一部分和第二部分解決問題的依據(jù)

8、4國家能源局國能安全【2015】36號文件2015年2月4日，國家能源局發(fā)布國能安全【2015】36號文，為了加強發(fā)電廠電力監(jiān)控系統(tǒng)安全防護，抵御黑客及惡意代碼等對發(fā)電廠監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止發(fā)電廠電力監(jiān)控系統(tǒng)癱瘓和失控，和由此導致的發(fā)電廠一次系統(tǒng)事故和其他事故，制定了36號文。安全解決方案四步解決網(wǎng)絡安全加固1部署電力工控安全入侵檢測節(jié)點及電力工控安全入侵檢測系統(tǒng)2主機加固3部署工控運維審計平臺4部署第三方邊界防護電力工控安全入侵檢測系統(tǒng)主機加固工控運維審計平臺第三方邊界防護電力工控安全入侵檢測節(jié)點基于36號文的項目實施方案與解決的安全隱患電力工控安全入侵檢測系

9、統(tǒng)電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點安全加固第一步：部署電力工控安全入侵檢測節(jié)點及電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點及電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測系統(tǒng)工控協(xié)議深度解析DOS洪水攻擊防護IP/MAC訪問控制RTU/PLC漏洞防護網(wǎng)絡流量異常監(jiān)測關(guān)鍵操作日志記錄智能學習控制指令可視化實時監(jiān)控電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點及電力工控安全入侵檢測系統(tǒng)解決的安全隱患安全加固第二步：主機加固主機加固主機加固主機加固主機加固主機加固主機加固主機加固主機加固電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測

10、節(jié)點電力工控安全入侵檢測節(jié)點主機加固徹底杜絕病毒木馬微軟簽名國密算法重點目錄監(jiān)測程序動態(tài)庫驅(qū)動檢測注冊表保護運行動態(tài)監(jiān)測外設及網(wǎng)絡檢測遠程報警中心聯(lián)動主機加固主機加固解決的安全隱患安全加固第三步：部署工控運維審計平臺工控運維審計平臺電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點主機加固主機加固主機加固主機加固主機加固主機加固主機加固主機加固工控運維審計平臺上位機操作行為審計工作站操作行為審計服務器操作行為審計操作權(quán)限審計賬號管理訪問控制支持高清格式屏幕錄像設置命令黑白名單支持標準協(xié)議工控運維審計平臺工控運維審計平臺解決的安全隱患工控運維審計平臺安全加固第四步：部署第三方邊界防護電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點電力工控安全入侵檢測節(jié)點第三方邊界防護主機加固主機加固主機加固主機加固主機加固主機加固主機加固主機加固網(wǎng)絡物理隔離安全數(shù)據(jù)傳輸雙重操作系統(tǒng)支持地址轉(zhuǎn)換高強度加密算法雙重安全掃描檢測支持客戶端IP白名單杜絕病毒木馬感染第三方邊界防護第三方邊界防護解決的安全隱患解決方案仿真演示1：“開放對外接口，帶來安全隱患”