智能制造環(huán)境下的工業(yè)控制系統(tǒng)安全防護(hù)

智能制造背景及介紹智能制造安全需求分析智能制造安全防護(hù)建議智能制造背景介紹從■,制造"到,,智造”促進(jìn)了工控生產(chǎn)方式的轉(zhuǎn)變商業(yè)模式,運(yùn)營(yíng)模式制造模式,制造思維的轉(zhuǎn)變智能制造介紹智能制造智能制造的核心是互聯(lián)互通和信息集成！是“中國(guó)制造2025”的主攻方向!是基于新一代信息技術(shù)，貫穿設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等制造活動(dòng)各個(gè)環(huán)節(jié)，具有信息深度自感知、智慧優(yōu)化自決策、精準(zhǔn)控制自執(zhí)行等功能的先進(jìn)制造過(guò)程、系統(tǒng)與模式的總稱(chēng)。具有一智能工廠為載體，以關(guān)鍵制造環(huán)節(jié)智能化為核心，以端到端數(shù)據(jù)流為基礎(chǔ)，以網(wǎng)絡(luò)互聯(lián)為支撐等特征，可有效縮短產(chǎn)品研制周期、降低運(yùn)營(yíng)成本、提高生產(chǎn)效率、提升產(chǎn)品質(zhì)量、降低資源能源消耗。其內(nèi)涵是實(shí)現(xiàn)整個(gè)制造業(yè)價(jià)值鏈的智能化和創(chuàng)新，是信息化與工業(yè)化深度融合的進(jìn)一步提升O、先進(jìn)制造技術(shù)、自動(dòng)化技術(shù)和人工智能技術(shù)。智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家系統(tǒng)層級(jí)我國(guó)智能制造系統(tǒng)架構(gòu)三個(gè)維度資源要素系統(tǒng)集成新興業(yè)態(tài)智能功能協(xié)同企業(yè)控制設(shè)備A信息融合I網(wǎng)絡(luò)安全專(zhuān)家互聯(lián)互通王欷期銷(xiāo)售智能制造維度點(diǎn)PLC已制定的PLC標(biāo)準(zhǔn):?

GB/T15969.1可編程序控制器第1部分：通用信息應(yīng)用和實(shí)現(xiàn)導(dǎo)則?

IEC/TR61131-9可編程序控制器第9部分：小型傳感器和執(zhí)行器的單量數(shù)字通信接口(SDCI)正在制定的PLC標(biāo)準(zhǔn):?

20132546-T-604大規(guī)模PLC性能評(píng)定方法?

20132545-T-604大規(guī)模PLC檢查和例行試驗(yàn)方法?

20130787-T-604可編程邏輯控制器（PLC安全要求系統(tǒng)層級(jí)系銃集或互聯(lián)互通信息融合新興業(yè)態(tài)智能功能企業(yè)資源要素控制智能制造維度線---T業(yè)機(jī)器人已發(fā)布的工業(yè)機(jī)器人標(biāo)準(zhǔn):?

GB/T19399-2003工業(yè)機(jī)器人編程和操作圖形用戶(hù)接口?

GB/Z20869-2007工業(yè)機(jī)器人用于機(jī)器人的中間代碼正在制定的工業(yè)機(jī)器人標(biāo)準(zhǔn):?

20120878-T-604機(jī)器人仿真開(kāi)發(fā)環(huán)境接口?

20112051-T-604開(kāi)放式機(jī)器人控制接口規(guī)范系統(tǒng)層級(jí)互聯(lián)互通設(shè)備資源要素信息融合新興業(yè)態(tài)智能功能協(xié)同企業(yè)八工業(yè)/工業(yè)機(jī)器人智能制造維度面---T業(yè)互聯(lián)網(wǎng)系統(tǒng)集成互聯(lián)互通智能功能t系統(tǒng)層級(jí)車(chē)間協(xié)同企業(yè)信息融合新興業(yè)態(tài)設(shè)計(jì)資源要素控制設(shè)備y已發(fā)布的工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn):?

GB/T20171-2006用于工業(yè)測(cè)量與控制系統(tǒng)的EPA系統(tǒng)結(jié)構(gòu)與通信規(guī)范?

GB/T26790.1-2011工業(yè)無(wú)線網(wǎng)絡(luò)WIA規(guī)范第1部分：用于過(guò)程自動(dòng)化的WIA系統(tǒng)結(jié)構(gòu)與通信規(guī)范?

GB/T25105-2014工業(yè)通信網(wǎng)絡(luò)現(xiàn)場(chǎng)總線規(guī)范類(lèi)型10:PROFINETI。規(guī)范?

GB/T19760-2008CC-Link控制與通信網(wǎng)絡(luò)規(guī)范?

GB/T31230-2014工業(yè)以太網(wǎng)現(xiàn)場(chǎng)總線EtherCAT?

GB/T19582-2008基于Modbus協(xié)議的工業(yè)自動(dòng)化網(wǎng)絡(luò)規(guī)范中國(guó)制造業(yè)的戰(zhàn)略發(fā)展歷程十二五期間2015年"中國(guó)制造2025"〃兩化深度融合”工業(yè)化信息化X匡恩網(wǎng)絡(luò)“互聯(lián)網(wǎng)+“■

2015年3月，李克強(qiáng)總理在政府工作報(bào)告中首次提出"互聯(lián)網(wǎng)+〃行動(dòng)計(jì)劃。■

“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃將重點(diǎn)促進(jìn)以于計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與現(xiàn)代制造業(yè)、生產(chǎn)性服務(wù)業(yè)等的融合創(chuàng)新，為產(chǎn)業(yè)智能化提供支撐，為經(jīng)濟(jì)發(fā)展提供新動(dòng)力?！鰝鹘y(tǒng)產(chǎn)業(yè)與互聯(lián)網(wǎng)是〃互聯(lián)網(wǎng)+〃，而不再是“+互聯(lián)網(wǎng)”〃互聯(lián)網(wǎng)+傳統(tǒng)行業(yè)"？我想站在“互聯(lián)網(wǎng)+”的風(fēng)口上順勢(shì)而為，會(huì)使中國(guó)經(jīng)濟(jì)飛起來(lái)！智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家中國(guó)制造2025總體規(guī)劃：三十年，三步走中國(guó)制造2045中國(guó)制造2035國(guó)制造2025/T/強(qiáng)國(guó)中位/制造業(yè)強(qiáng)國(guó)“五九十”?五大工程?九大任務(wù)?十大領(lǐng)域■第一個(gè)十年的行動(dòng)綱領(lǐng)■三步走戰(zhàn)略目標(biāo)■制造業(yè)發(fā)展的頂層設(shè)計(jì)/強(qiáng)國(guó)之列/制造業(yè)大國(guó)/世界強(qiáng)國(guó)/強(qiáng)國(guó)領(lǐng)先地位I〃中國(guó)制造2025”的核心：信息化與工業(yè)化深度融合！氏匡恩網(wǎng)絡(luò)智能工業(yè)￡齒譌中國(guó)制造衫025中國(guó)制造2025X匡恩網(wǎng)絡(luò)5大工程強(qiáng)國(guó)戰(zhàn)略規(guī)劃，遠(yuǎn)超制造本身加強(qiáng)質(zhì)量品牌建設(shè)積極發(fā)展服務(wù)型制造和生產(chǎn)性服務(wù)業(yè)全面推行綠色制造提高制造業(yè)國(guó)際化發(fā)展水平軌道交通裝備大力推動(dòng)重點(diǎn)領(lǐng)域突破發(fā)展深入推進(jìn)制造業(yè)結(jié)構(gòu)調(diào)整農(nóng)業(yè)機(jī)械裝備國(guó)家制造吉端奘夂業(yè)創(chuàng)新中智能制造工業(yè)強(qiáng)基綠色制造高端裝備心建設(shè)創(chuàng)新提高國(guó)家制造業(yè)創(chuàng)新能力推進(jìn)信息化與工業(yè)化深度融合強(qiáng)化工業(yè)基礎(chǔ)能力新一代信高檔數(shù)控航空航天裝備海洋工程息通信技機(jī)床和機(jī)裝備及高1?術(shù)口口Ii器技術(shù)船舶節(jié)能與新能源汽車(chē)電力裝備新材料生物醫(yī)藥及高性能醫(yī)療器械強(qiáng)化工業(yè)基礎(chǔ)能力中、德、美對(duì)比戰(zhàn)略目標(biāo)技術(shù)IIII思路中國(guó)制造2025德國(guó)工業(yè)4.0美國(guó)工業(yè)互聯(lián)網(wǎng)移&戰(zhàn)制造業(yè)主導(dǎo)權(quán)維系制造業(yè)主導(dǎo)權(quán).匚■11■里獲制造業(yè)主導(dǎo)權(quán)信息技術(shù)與制造技術(shù)創(chuàng)新驅(qū)動(dòng)、質(zhì)量為先，綠色發(fā)展、結(jié)構(gòu)優(yōu)化構(gòu)建信息物理系統(tǒng)，提高生產(chǎn)效率提升產(chǎn)品質(zhì)量打破智慧與機(jī)器的邊界、節(jié)能降耗、提高效率、智能決策、快速響應(yīng)需求X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家全球工控網(wǎng)絡(luò)安全態(tài)勢(shì)I工業(yè)控制網(wǎng)絡(luò)安全事件呈逐年增加趨勢(shì)I工控網(wǎng)絡(luò)安全成為各國(guó)網(wǎng)絡(luò)空間主戰(zhàn)場(chǎng)和反恐新戰(zhàn)場(chǎng):?美國(guó)、歐盟等增加預(yù)算抵抗日益升級(jí)的網(wǎng)絡(luò)威脅?恐怖主義威脅滲透到工業(yè)控制系統(tǒng)，關(guān)鍵基礎(chǔ)設(shè)施成為主要攻擊目標(biāo)?國(guó)防網(wǎng)絡(luò)化和反恐網(wǎng)絡(luò)化將把工控網(wǎng)絡(luò)安全領(lǐng)域的對(duì)抗提升為國(guó)家核心競(jìng)爭(zhēng)力黑客侵入監(jiān)管加州電力傳輸系統(tǒng)的獨(dú)立運(yùn)營(yíng)商2001年美加電網(wǎng)大停電事國(guó)內(nèi)某電網(wǎng)停電事故故2003年2006年2008年伊朗核電站舉世聞名的〃震網(wǎng)〃事件〃HaveX〃導(dǎo)致多烏克蘭電網(wǎng)家能源企業(yè)單位被BlackEngery病毒感染，信息泄露德國(guó)核電站負(fù)責(zé)燃料裝卸系統(tǒng)遭惡意程序攻擊以色列電力供應(yīng)系統(tǒng)受到重大網(wǎng)絡(luò)攻擊2010年2014年2015年2016年美國(guó)斷網(wǎng)事件洞X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家黑客劫持南美洲的電網(wǎng)控制系統(tǒng)，敲詐政府西班牙智能電表被爆存在咼危漏烏克蘭最大機(jī)場(chǎng)遭網(wǎng)絡(luò)攻擊美國(guó)俄亥俄州核電廠控制網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)蠕蟲(chóng)所感染工控網(wǎng)絡(luò)安全事件發(fā)展趨勢(shì)工業(yè)控制網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)穩(wěn)步增長(zhǎng)的趨勢(shì)，2015年被ICS-CERT收錄的攻擊事件達(dá)到了295件。350300250200150100500數(shù)據(jù)來(lái)源：ICS-CERT工控安全事件所涉及的重要行業(yè)及分布2015年有97個(gè)安全事件是關(guān)于關(guān)鍵制造業(yè)的，占到全部事件的33%,成為本年度受攻擊最多的行業(yè)?！鐾ㄐ旁O(shè)施;13;4%■醫(yī)療設(shè)施;14;5%■政府機(jī)構(gòu);18;6%■商業(yè)設(shè)施;3;1%■信息技術(shù);6;2%■農(nóng)業(yè)設(shè)施;2;1%■財(cái)務(wù)系統(tǒng);2;1%■核工業(yè);7;2%■基礎(chǔ)工業(yè);2;1%■大壩;6;2%■運(yùn)輸系統(tǒng);23;8%■化學(xué)工業(yè);4;1%X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家國(guó)內(nèi)工控系統(tǒng)面臨高危風(fēng)險(xiǎn).暴露在互聯(lián)網(wǎng)上的西門(mén)子PLC設(shè)備分布情況數(shù)據(jù)來(lái)源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù)?其中11304個(gè)運(yùn)行FTP服務(wù)，占總數(shù)的70%；-其中4291個(gè)運(yùn)行SNMP服務(wù)，占總數(shù)的26%。暴露在互聯(lián)網(wǎng)上的VxWorks系統(tǒng)主機(jī)有16,202個(gè)數(shù)據(jù)來(lái)源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù)匡恩網(wǎng)絡(luò)19?中高危漏洞數(shù)量居高不下中危,65,60%咼危,33,31%數(shù)據(jù)來(lái)源：CNVD2015年新增工控漏洞?漏洞補(bǔ)丁不及時(shí)無(wú)補(bǔ)丁，23,30%有補(bǔ)丁，76,70%數(shù)據(jù)來(lái)源：CNVD2015年新增工控漏洞智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家形勢(shì)嚴(yán)峻目前面臨的安全形勢(shì)非常嚴(yán)峻，據(jù)相關(guān)調(diào)查結(jié)果顯示，在全國(guó)500。多個(gè)重要的工業(yè)控制系統(tǒng)中，95%以上的工控系統(tǒng)操作系統(tǒng)均是采用的國(guó)外產(chǎn)品，這一位著國(guó)內(nèi)的生產(chǎn)系統(tǒng)很容易受到國(guó)夕卜黑客的攻擊。并且，有80%的企業(yè)從來(lái)不對(duì)工控系統(tǒng)進(jìn)行升級(jí)和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)、甚至互聯(lián)網(wǎng)連接，一些存在漏洞的國(guó)外卜工控產(chǎn)品依然在國(guó)內(nèi)某些重要裝置上使用。可見(jiàn)，我國(guó)在工控安全的意識(shí)上并不明顯。X匡恩網(wǎng)絡(luò)20智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家工業(yè)控制系統(tǒng)的威脅來(lái)源隨著"工業(yè)4.0”時(shí)代的來(lái)臨和"兩化融合”腳歩的加快，越來(lái)越多的網(wǎng)絡(luò)安全隱患被帶入了工業(yè)控制系統(tǒng)幾個(gè)案例2013年底-2014年初，某軍工企業(yè)在廣州采購(gòu)了大批的高端數(shù)控機(jī)床運(yùn)到蘭州，到蘭州開(kāi)機(jī)后卻無(wú)法運(yùn)行，被鎖住了,企業(yè)在與廣州的代理廠商溝通后,代理廠商質(zhì)疑的機(jī)床采購(gòu)地點(diǎn)在廣州，操作使用地點(diǎn)在蘭州，需要報(bào)備申請(qǐng)才可以使用。外國(guó)設(shè)備后門(mén)廣泛存在X匡恩網(wǎng)絡(luò)an應(yīng)用于我國(guó)西氣東輸調(diào)度網(wǎng)絡(luò)系統(tǒng)施耐德PLC被爆出存在漏洞后，施耐德推出了修復(fù)該漏洞的固件版本，版本仍存在默認(rèn)密碼后門(mén)。上海0W16MA西氣東洵二線工程無(wú)線應(yīng)用?某些重要企業(yè)單位依賴(lài)國(guó)外維護(hù)人員在維護(hù)DMG,通過(guò)維護(hù)人員平板直接連接數(shù)控機(jī)床進(jìn)行調(diào)試，不需要物理鏈路直連，采用無(wú)線模塊在近距離連接直接調(diào)試。?隨著無(wú)線技術(shù)的發(fā)展，無(wú)線技術(shù)以其卓越的便捷性快速融入各行業(yè)。）旁路控制）完整性破壞）違反授權(quán)，信息泄露）拒絕服務(wù)工控網(wǎng)絡(luò)安全危及國(guó)家安全I(xiàn)工控網(wǎng)絡(luò)安全I(xiàn)1衛(wèi)生事業(yè)X匡恩網(wǎng)絡(luò)代碼即武器，美國(guó)政府控制漏洞市場(chǎng)黑客入侵藥泵,輸出致命劑量/危害人身安全電廠遭USB病毒攻擊，大量機(jī)密數(shù)據(jù)泄漏數(shù)控機(jī)床關(guān)鍵數(shù)據(jù)被竊取，損失難以估量德國(guó)鋼廠熔爐控制系統(tǒng)受攻擊，導(dǎo)致熔爐無(wú)法正常關(guān)閉黑客遠(yuǎn)程入侵智能汽車(chē)，汽車(chē)也可能隨時(shí)”遭遇〃恐怖襲擊〃智能制造o污水處理廠遭非法入侵，污水直接排入自然水系智能制造、"兩化〃融合帶來(lái)的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)一/工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的，但近年來(lái)為了實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，滿足"兩化融合"的需求和管理的方便，通過(guò)邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進(jìn)行通信，而企業(yè)管理系統(tǒng)一般直接連接Internet，在這種情況下，工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng)，而且面臨著來(lái)自Internet的威脅。智能制造、"兩化〃融合帶來(lái)的風(fēng)險(xiǎn)利用軟件技術(shù)加強(qiáng)研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)軟件成企業(yè)智能制造突破口軟件技術(shù)MESPLMCAESCMDNCCAMERPCADCRMCAPPPDM利用軟件技術(shù)加強(qiáng)研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理等全流程和全產(chǎn)業(yè)鏈的信息化和智能化，實(shí)現(xiàn)智能管控匡恩網(wǎng)絡(luò)智能工業(yè)扌制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)已形成制造企業(yè)所具備的網(wǎng)絡(luò)架構(gòu)X匡恩網(wǎng)絡(luò)111III0O111~T^111丨丨聲O制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)方式1:未聯(lián)網(wǎng)設(shè)計(jì)網(wǎng)（高密）和生產(chǎn)網(wǎng)（低密）被禁止互聯(lián)互通設(shè)計(jì)網(wǎng)（高密）和生產(chǎn)網(wǎng)（低密）被禁止互聯(lián)互通，設(shè)計(jì)部門(mén)開(kāi)發(fā)的數(shù)控加工代碼就只能通過(guò)U盤(pán)拷貝甚至刻光盤(pán)的方法下發(fā)到生產(chǎn)車(chē)間，效率及其低下。方式2:數(shù)控機(jī)床與管理主機(jī)直連管理主機(jī)與高端數(shù)控機(jī)床直連的方式進(jìn)行數(shù)控?cái)?shù)據(jù)傳輸，加工代碼通常使用FTP，網(wǎng)上鄰居共享或者私有通信協(xié)議的方式傳輸至數(shù)控機(jī)床中隨后通過(guò)HMI進(jìn)行加工操作智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)已形成制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)方式3:數(shù)控機(jī)床DNC聯(lián)網(wǎng)些研究機(jī)構(gòu)及企業(yè)已完成DNC組網(wǎng)保護(hù)方案,有些研究機(jī)構(gòu)及企業(yè)已向主管單位提交DNC組網(wǎng)方案申請(qǐng)，甚至開(kāi)始嘗試數(shù)DNC網(wǎng)絡(luò)與設(shè)計(jì)網(wǎng)絡(luò)互聯(lián)試驗(yàn)測(cè)試，為提高生產(chǎn)制造效率為嘗試研究匡恩網(wǎng)絡(luò)高端制造數(shù)控系統(tǒng)主要相關(guān)廠商高端數(shù)控機(jī)床：-目前在中國(guó)高端數(shù)控機(jī)床CNC系統(tǒng)市場(chǎng)中，主要是國(guó)外品牌發(fā)那科FANUC（日本）、西門(mén)子SIEMEMS（德國(guó)）、海德漢HEIDENHAIN（德國(guó)）、哈斯HAAS（美國(guó)）、馬扎克MAZAK（日本）占據(jù)主導(dǎo)地位，無(wú)法自主可控，存在預(yù)留后門(mén)的危險(xiǎn)。精密測(cè)量?jī)x器：-目前在中國(guó)精密測(cè)量?jī)x器應(yīng)用市場(chǎng)中，主要是國(guó)外品牌占據(jù)主導(dǎo)地位，?？怂箍礖exagon（美國(guó)）市場(chǎng)份額占55%，蔡司ZEISS（德國(guó)）市場(chǎng)份額占20%,國(guó)外品牌無(wú)法自主可控，存在預(yù)留后門(mén)的危險(xiǎn)。聯(lián)網(wǎng)整體解決方案：-目前在中國(guó)聯(lián)網(wǎng)整體解決方案應(yīng)用市場(chǎng)中，北京蘭光代理的CIMCO（丹麥）以及上海蓋勒普代理美國(guó)的Predator市場(chǎng)份額占90%，市場(chǎng)一直處于壟斷地位，國(guó)外品牌無(wú)法自主可控，存在預(yù)留后門(mén)的危險(xiǎn)。存在冋題全國(guó)工控安全大檢查1操作系統(tǒng)、控制器、組態(tài)軟件等存在大量未修復(fù)的漏洞工控系統(tǒng)?上位機(jī)大量使用的WINDOWSXP、WINDOWSSERVERS2003等操作系統(tǒng)?河南某企業(yè)工程師站發(fā)現(xiàn)4個(gè)危急漏洞?新疆某機(jī)場(chǎng)安檢系統(tǒng)發(fā)現(xiàn)10個(gè)危急漏洞和15個(gè)高危漏洞?四川某水廠發(fā)現(xiàn)西門(mén)子S7-300PLC存在135個(gè)中危漏洞?某水庫(kù)控制系統(tǒng)5臺(tái)施耐德M340PLC中存在32個(gè)漏洞?某發(fā)電廠9臺(tái)施耐德PLC中有600個(gè)中危漏洞?四川某鋼廠ORACLE數(shù)據(jù)庫(kù)有52個(gè)漏洞、組態(tài)軟件WINCC共有330個(gè)中危漏洞。智能工業(yè)控制網(wǎng)絡(luò)警專(zhuān)家開(kāi)通3389端口X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家Teamview遠(yuǎn)程維護(hù)存在冋題2、操作站和工程師站存在較多遠(yuǎn)程維護(hù)端口和后門(mén)，系統(tǒng)運(yùn)維嚴(yán)重依賴(lài)于廠家丿兀<::::::::::::::::2::::::存在冋題3、日常運(yùn)行維護(hù)過(guò)程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護(hù)\___________________________________________________________________________________________________________________________________________________________________)封條方式網(wǎng)口和USB未采用任何方式智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家存在冋題4、普遍存在賬號(hào)共享、權(quán)限劃分不明確、弱口令、未定期更改密碼的問(wèn)題\___________________________________________________________________________________________________________________________________________________________________)所有維護(hù)人員共用一個(gè)賬號(hào)管理智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家存在冋題5、工控網(wǎng)、管理網(wǎng)以及上級(jí)管理網(wǎng)之間缺乏系統(tǒng)有效的防護(hù)策略,現(xiàn)有防火墻、網(wǎng)閘等安全措施形同虛設(shè)policy5[Mnyany田nyanyanyMvsayspermi七policy1gelgeJanyanyanyalwayspermit,enableprofile二次系統(tǒng)安全防護(hù)表.policy2ge2ge3anyanyanyalwayspermit.enableprofile二次系統(tǒng)安全防護(hù)表policy3ge3ge1anyanyanyalwayspermitenableprofile二次系統(tǒng)安全防護(hù)表policy4ge3ge2anyanyanyalwayspermit.enableprofile二次系統(tǒng)安全防護(hù)表Il一.j—r,r—■?-r——■j—r—

.—一..—一.—■—■?—一.策略配置不到位工控網(wǎng)可訪問(wèn)互聯(lián)網(wǎng)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家存在冋題6、大部分上位機(jī)系統(tǒng)未安裝殺毒軟件，即使安裝，病毒庫(kù)更新嚴(yán)重滯后7、對(duì)第三方運(yùn)維缺乏管理監(jiān)督手段8、控制網(wǎng)與辦公網(wǎng)網(wǎng)絡(luò)邊界不清晰，控制網(wǎng)存在多個(gè)數(shù)據(jù)出口且無(wú)防護(hù)措施9、無(wú)線設(shè)備管理不完善X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家國(guó)內(nèi)外工控網(wǎng)絡(luò)安全防護(hù)理念的演變歷程強(qiáng)調(diào)隔離物理隔離的變種，網(wǎng)關(guān)、網(wǎng)閘、單向隔離，隔離背后是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是針對(duì)隔離系統(tǒng)的丿V______________________________氏匡恩網(wǎng)絡(luò)縱深防御體系由傳統(tǒng)信息安全廠商提出的，大多數(shù)項(xiàng)目演變?yōu)樾畔踩a(chǎn)品的簡(jiǎn)單堆砌，不能完全適應(yīng)工業(yè)網(wǎng)絡(luò)安全的特點(diǎn)丿丿由工業(yè)控制系統(tǒng)內(nèi)部生長(zhǎng)的持續(xù)性防御體系適應(yīng)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)，通過(guò)基礎(chǔ)硬件創(chuàng)新來(lái)實(shí)現(xiàn)，低延時(shí)，高可靠，可定制化，持續(xù)更新，簡(jiǎn)單化的實(shí)施和操作等以攻為守的國(guó)家戰(zhàn)略以美國(guó)、以色列為代表，在國(guó)家層面注重攻擊技術(shù)的研究、實(shí)驗(yàn)、突破和攻防演示實(shí)驗(yàn)室的建設(shè)，以攻擊技術(shù)的提高，帶動(dòng)防御技術(shù)的提高，以攻擊威懾力，換取安全性\___________丿控制工業(yè)控制系統(tǒng)的“4+T安全性行為性本體性外持續(xù)性智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家rK1工控安全'保瞳體系」基因安全X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專(zhuān)家本體安全存在問(wèn)題外國(guó)設(shè)備后門(mén)工控高危漏洞DCScnIbgoocom解決辦法補(bǔ)償性措施SCADA保護(hù)性措施行為安全外部行為\|威脅隱患Nx匡恩網(wǎng)絡(luò)內(nèi)部行為工控系統(tǒng)網(wǎng)絡(luò)安全國(guó)家政策趨勢(shì)工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》2016,政策背景/2015年9月，根據(jù)中編辦文件，工控安全相關(guān)工作正式納入工信部的職責(zé)范圍，工信部以信息化和軟件服務(wù)司為主管司局，開(kāi)始加快工控安全的保障工策作。/2016年5月，國(guó)務(wù)院發(fā)布《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》將"提高工業(yè)信息系統(tǒng)安全水平”作為十大任務(wù)之一。行業(yè)背景/工控安全相關(guān)標(biāo)準(zhǔn)規(guī)范相繼出臺(tái)/工控安全相關(guān)技術(shù)不斷更新/工控安全相關(guān)服務(wù)商不斷涌現(xiàn)智能工業(yè)扌我國(guó)工控系統(tǒng)信息安全政策-《指南》發(fā)布背景介紹01發(fā)布的對(duì)象/主管部門(mén)：地方工業(yè)和信息化主管部門(mén)/工業(yè)企業(yè)：工業(yè)控制系統(tǒng)應(yīng)用企業(yè)/服務(wù)商：從事工控系統(tǒng)規(guī)劃設(shè)計(jì)建設(shè)運(yùn)維評(píng)估的單位/明確工業(yè)和信息化部指導(dǎo)和管理全國(guó)工業(yè)企業(yè)工控安全防護(hù)和保障工作02發(fā)布的目的/指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控安全防護(hù)實(shí)施方案-------,推動(dòng)企業(yè)分期分批達(dá)到本指南相關(guān)要求《指南》目錄《指南》共分為11個(gè)大項(xiàng)30個(gè)條目，涵蓋了安全技術(shù)要求和安全管理要求十供應(yīng)鏈管理九數(shù)據(jù)安全八資產(chǎn)安全亠八遠(yuǎn)程訪問(wèn)安全五身份認(rèn)證四物理和環(huán)境安全防護(hù)三邊界安全防護(hù)配置和補(bǔ)丁管理安全軟件選擇與管理七安全監(jiān)測(cè)和應(yīng)急預(yù)案演練落實(shí)責(zé)任―、安全軟件選擇與管理(―)在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。(二)建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。/2個(gè)產(chǎn)品選擇：防病毒軟件和應(yīng)用程序白名單軟件，根據(jù)不同場(chǎng)景進(jìn)行選擇，在主解析機(jī)應(yīng)用程序變更頻繁且安全要求不高的主機(jī)，可選擇防病毒軟件；在主機(jī)應(yīng)用程序比較穩(wěn)定或安全要求較高的主機(jī)，可選擇應(yīng)用程序白名單。/1個(gè)管理要求：防惡意軟件管理制度，制度的內(nèi)容包括，生產(chǎn)設(shè)備定期進(jìn)行病毒查殺和樣本庫(kù)更新，臨時(shí)接入的設(shè)備要做病毒查殺，安全軟件要在離線環(huán)境中充分驗(yàn)證其功能性、安全性、兼容性等。二、配置和補(bǔ)丁管理配（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。（二）對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。（三）密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證系統(tǒng)配置的管理要求X匡恩網(wǎng)絡(luò)/T1'/安全配置/配置清單/配置變更/漏洞補(bǔ)丁網(wǎng)絡(luò)設(shè)備、主機(jī)終端、控制設(shè)備的安全配置檢查審計(jì)配置清單檢查審計(jì)計(jì)劃、分析、測(cè)試密切關(guān)注、及時(shí)升級(jí)、安全評(píng)估、測(cè)試驗(yàn)證三、邊界安全防護(hù)（-）分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境。（二）通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。結(jié)構(gòu)安全的技術(shù)要求/分區(qū)隔離：通過(guò)隔離設(shè)備將開(kāi)發(fā)、測(cè)試和生產(chǎn)網(wǎng)絡(luò)進(jìn)行邏輯或物理隔離/工控網(wǎng)邊界：使用工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備隔離，強(qiáng)調(diào)工控設(shè)備/工業(yè)防火墻：強(qiáng)調(diào)工控設(shè)備/工業(yè)網(wǎng)閘：強(qiáng)調(diào)工控設(shè)備X匡恩網(wǎng)絡(luò)四、物理和環(huán)境安全防護(hù)(―)對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制、視頻監(jiān)控、專(zhuān)人值守等物理安全防護(hù)措施。(二)拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制。物理環(huán)境安全的管理和技術(shù)要求解析,為風(fēng)險(xiǎn)評(píng)估提供很好的依據(jù)/外設(shè)安全提到管理技術(shù)手段，即需要管理+技術(shù)手段控制五、身份認(rèn)證（―）在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)于平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪問(wèn)采用多因素認(rèn)證。（二）合理分類(lèi)設(shè)置賬戶(hù)權(quán)限，以最小特權(quán)原則分配賬戶(hù)權(quán)限。（三）強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶(hù)及密碼，

弱口令，定期更新口令。（四）加強(qiáng)對(duì)身份認(rèn)證證書(shū)信息保護(hù)力度,禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。業(yè)務(wù)系統(tǒng)身份認(rèn)證管理要求,多因素認(rèn)證：應(yīng)使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認(rèn)證手段的組合/最小特權(quán)原則：僅限于工作需要賬戶(hù)權(quán)限，并定期審計(jì)/加強(qiáng)證書(shū)保護(hù)力度：硬件介質(zhì)存放、證書(shū)管理制度等方面加強(qiáng)解析X匡恩網(wǎng)絡(luò)六、遠(yuǎn)程安全訪問(wèn)（―）原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。（二）確需遠(yuǎn)程訪問(wèn)的，采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加,對(duì)訪問(wèn)時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。（三）確需遠(yuǎn)程維護(hù)的，采用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行。（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。緊密結(jié)合工控業(yè)務(wù)場(chǎng)景的技術(shù)要求解析,明確了禁止的應(yīng)用為：HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù),單向訪問(wèn)控制策略：?jiǎn)蜗蚋綦x裝置需要支持的策略要求，時(shí)限、加標(biāo)鎖定等策略,VPN:支持認(rèn)證加密的VPN產(chǎn)品,操作過(guò)程的安全審計(jì)：保留日志，定期審計(jì)七、安全監(jiān)測(cè)與應(yīng)急演練（―）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。（二）在重要工業(yè)控制