2024發(fā)電行業(yè)電力監(jiān)控系統(tǒng)信息安全保護培訓

發(fā)電行業(yè)電力監(jiān)控系統(tǒng)信息安全保護培訓2024目

錄01發(fā)電行業(yè)政策法規(guī)標準介紹0302發(fā)電行業(yè)工控安全解決方案工業(yè)控制系統(tǒng)安全產(chǎn)品介紹第一部分發(fā)電行業(yè)安全政策和標準介紹01為什么要開展工業(yè)控制系統(tǒng)信息安全建設(1/4)一．

互聯(lián)互通趨勢新技術(shù)的應用使得原來封閉的工業(yè)控制系統(tǒng)網(wǎng)絡越來多的縱向開放，在工業(yè)4.0、兩化融合、智能制造的大趨勢下工業(yè)控制網(wǎng)絡不可避免會遭遇更多的網(wǎng)絡威脅。二．

通用設備普及工業(yè)控制系統(tǒng)逐漸從專用的硬件、軟件和通信協(xié)議過渡到通用普及的商用軟硬件及更開放的TCP/IP協(xié)議，傳統(tǒng)信息網(wǎng)絡的威脅對工控網(wǎng)絡變得有效。為什么要開展工業(yè)控制系統(tǒng)信息安全建設(2/4)三．

重大事件驅(qū)動全球工控安全事件高發(fā)，2014年245起，2015年295起，2016年278起，平均是2010年伊朗震網(wǎng)事件爆發(fā)時的7倍多。伊朗震網(wǎng)事件烏克蘭電網(wǎng)事件勒索病毒事件為什么要開展工業(yè)控制系統(tǒng)信息安全建設(3/4)四．

國家頂層設計第三十一條

國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域…關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護?！吨腥A人民共和國網(wǎng)絡安全法》第三章（第二節(jié)）隨著信息技術(shù)的發(fā)展，GB/T

22239—2008在時效性、易用性、可操作性上需要進一步完善，為了適應工業(yè)控制系統(tǒng)下網(wǎng)絡安全等級保護工作的開展，需對GB/T

22239—2008進行修訂，本部分的修訂的思路和方法是提出了工業(yè)控制系統(tǒng)安全擴展要求?！缎畔踩夹g(shù)

網(wǎng)絡安全等級保護基本要求》第5部分工業(yè)控制系統(tǒng)安全擴展要求《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》《工業(yè)控制系統(tǒng)信息安全防護指南》工業(yè)控制系統(tǒng)信息安全事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護水平，保障工業(yè)控制系統(tǒng)安全，制定本指南。網(wǎng)絡安全法具體要求第二十一條

國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務第三十一條

國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域…關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。第三十八條

關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估。第五十七條

因網(wǎng)絡安全事件，發(fā)生突發(fā)事件或者生產(chǎn)安全事故的，應當依照《中華人民共和國突發(fā)事件應對法》、《中華人民共和國安全生產(chǎn)法》等有關法律、行政法規(guī)的規(guī)定處置。第三章（第一節(jié)）第三章（第二節(jié)）第三章（第二節(jié)）第五章第五十九條

關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。第六章電力監(jiān)控系統(tǒng)安全防護總體方案（36號文）控制區(qū)與非控制區(qū)之間應采用邏輯隔離措施，實現(xiàn)兩個區(qū)域的邏輯隔離、報文過濾、訪問控制等功能，其訪問控制規(guī)則應當正確有效。生產(chǎn)控制大區(qū)應當選用安全可靠硬件防火墻，其功能、性能、電磁兼容性必須經(jīng)過國家相關部門的檢測認證。生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計系統(tǒng)，能夠及時發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為。應當及時更新經(jīng)測試驗證過的特征碼，查看查殺記錄。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務器。（使用”白名單“安全機制替代傳統(tǒng)殺毒軟件，更滿足工控系統(tǒng)安全防護特點）

。生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，應當合理設置檢測規(guī)則，及時捕獲網(wǎng)絡異常行為、分析潛在威脅、進行安全審計。邏輯隔離安全審計惡意代碼的防范入侵檢查能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計量系統(tǒng)及電力市場運營系統(tǒng)等業(yè)務系統(tǒng)，應當逐步采用電力調(diào)度數(shù)字證書，對用戶登錄本地操作系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證，根據(jù)身份與權(quán)限進行訪問控制，并且對操作行為進行安全審計。訪問控制信息安全等級保護基本要求網(wǎng)絡安全摘錄

a)

應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；………………c)

應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層等協(xié)議命令級的控制；……………….摘錄

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；主機安全摘錄

應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；應用安全數(shù)據(jù)安全摘錄

應提供本地數(shù)據(jù)備份與恢復功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地；工業(yè)控制系統(tǒng)安全防護指南在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。做好工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護。拆除或封閉工業(yè)主機上不必要的

USB、光驅(qū)、無線等接口。若確需使用，通過主機外設安全管理技術(shù)手段實施嚴格訪問控制。4.1

安全軟件選擇與管理4.2配置和補丁管理4.3

邊界安全防護4.4

物理和環(huán)境安全防護1）在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。2）在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。4.7

安全監(jiān)測和應急預案演練第二部分發(fā)電行業(yè)工控安全解決方案02發(fā)電廠常見安全威脅從互聯(lián)網(wǎng)而來的非法訪問遠程維護通道用戶有意無意的非法操作移動存儲介質(zhì)濫用針對漏洞的攻擊……風力發(fā)電系統(tǒng)案例Bachmann

MX213

PLC安全漏洞該PLC開啟了Telnet、FTP、HTTP以及RPC服務，這些服務均存在嚴重的安全漏洞。利用FTP漏洞登錄后甚至能夠獲取該PLC內(nèi)部的任意文件包括Vxworks的內(nèi)核文件。研華-TPC-651H

HMI安全漏洞該HMI開啟了Telnet、RDP遠程桌面服務（3389）、windows共享等服務，且部分服務存在嚴重的安全漏洞。通過利用這些漏洞可以成功的獲取具有系統(tǒng)管理員權(quán)限的命令行權(quán)限甚至完全控制該設備。水力發(fā)電系統(tǒng)案例梯調(diào)系統(tǒng)中的安全問題某縱向認證設備，用戶名、密碼明文存儲在數(shù)據(jù)庫中。某縱向認證設備，登陸界面存在格式化字符串溢出漏洞，導致設備重啟。船閘系統(tǒng)中的安全問題西門子S7-400

PLC存在安全認證問題，黑客可繞過上位機直接控制該PLC，惡意的CPU-STOP命令可關閉該PLC，導致船閘失控。西門子OSM交換機，snmp服務采用默認的口令admin/admin，web管理員界面的默認口令admin/admin、user/user、登陸可繞過?；鹆Πl(fā)電系統(tǒng)案例ABB

Symphony系列DCS通訊協(xié)議存在設計缺陷攻擊者也能夠進行重放攻擊改變DCS的工作模式，從而影響工藝的正常運行造成非常嚴重的后果。ABB

Symphony系列DCS拒絕服務漏洞該漏洞被利用將導致IET

800卡件癱瘓并自動重啟。在重啟過程中所有的以太網(wǎng)數(shù)據(jù)交互都將受到影響?，F(xiàn)在工控安全都有哪些問題(非法內(nèi)外聯(lián))案例某新能源企業(yè)由于生產(chǎn)現(xiàn)場地理位置比較偏遠，設備維護的工程技術(shù)人員了方便操作，違規(guī)保留遠程維護通道，有安全檢查時，就將通道臨時關閉，打游擊戰(zhàn)。案例某民營電廠為方便領導實時掌握生產(chǎn)信息，將重要的生產(chǎn)管理服務器違規(guī)接入互聯(lián)網(wǎng)，而同時該服務器又和生產(chǎn)控制系統(tǒng)、辦公網(wǎng)絡互連。在現(xiàn)場安全檢查時，發(fā)現(xiàn)該服務器有活躍的境外IP訪問，并且有數(shù)據(jù)的交互。圖：境外IP訪問生產(chǎn)服務器圖：上位機安裝遠程維護工具現(xiàn)在工控安全都有哪些問題(遠程訪問)案例在數(shù)個發(fā)電廠發(fā)現(xiàn)，生產(chǎn)控制大區(qū)內(nèi)部SIS系統(tǒng)和控制系統(tǒng)開啟遠程桌面服務，此服務的開啟為攻擊者開辟了一條攻擊的路徑和權(quán)限?，F(xiàn)在工控安全都有哪些問題(私接無線路由)案例在華中某熱電廠發(fā)現(xiàn)，操作員站私接無線WiFi，導致與互聯(lián)網(wǎng)連通，把整個控制網(wǎng)絡暴露在互聯(lián)網(wǎng)下。現(xiàn)在工控安全都有哪些問題（病毒泛濫）案例I某國有電廠操作員工作站上一方面有病毒感染，另一方面部分安裝了游戲娛樂軟件。主機USB接口貼有封條，但是形同虛設，需要時就會揭開使用。案例II某城市供水集團的下屬水廠的所有操作員站、數(shù)據(jù)服務器沒有任何防護措施，同時生產(chǎn)網(wǎng)和辦公網(wǎng)混合，主機等同于直接暴露在公網(wǎng)上。案例III某抽水蓄能電站的工程師站和操作員站大部分是Windows

XP的操作系統(tǒng)，一方面這些主機運行緩慢，另一方面操作系統(tǒng)已經(jīng)停止維護。圖：Windows

XP系統(tǒng)的上位機圖：現(xiàn)場發(fā)現(xiàn)馬吉斯病毒現(xiàn)在工控安全都有哪些問題（移動存儲介質(zhì)濫用）案例在某變電站,操作主機上發(fā)現(xiàn)大量USB插拔記錄，用戶解釋為外協(xié)維護工程人員使用U盤，但實際上能看出有大量手機插拔記錄。現(xiàn)在工控安全都有哪些問題（安全配置缺失）案例在配合執(zhí)法部門進行安全檢查時，在多個行業(yè)的現(xiàn)場發(fā)現(xiàn)：工業(yè)主機操作系統(tǒng)安全配置基本為空白狀態(tài)，操作用戶計算機水平參差不齊，主機自身健康狀態(tài)堪憂現(xiàn)在工控安全都有哪些問題（關鍵控制設備無安全防護）現(xiàn)場控制設備無防護現(xiàn)場控制設備無防護案例在眾多工業(yè)企業(yè)用戶現(xiàn)場發(fā)現(xiàn)，重要工業(yè)控制設備前端無任何安全防護設備，冒用、篡改、攻擊都會直接作用于工控設備。案例在配合執(zhí)法部門進行安全檢查時，在多個行業(yè)的現(xiàn)場發(fā)現(xiàn)：工控系統(tǒng)的安全管理制度不完善是個普遍問題（如：弱口令現(xiàn)象普遍存在），人員的安全意識也亟待提升。曾經(jīng)在不同的工業(yè)現(xiàn)場發(fā)現(xiàn)重要的密碼貼在桌面或者電腦機箱上?，F(xiàn)在工控安全都有哪些問題（弱口令問題）圖：控制系統(tǒng)弱口令解決方案設計依據(jù)《電力監(jiān)控系統(tǒng)安全防護總體方案》(國能安全[2015]36號文)《

GB/T

22239-2008

信息安全技術(shù)

信息系統(tǒng)安全等級保護基本要求》《

GB/T

25070-2010

信息安全技術(shù)

信息系統(tǒng)等級保護安全設計技術(shù)要求》《

信息安全技術(shù)網(wǎng)絡安全等級保護基本要求

第5部分：工業(yè)控制系統(tǒng)安全擴展要求》《

信息安全技術(shù)網(wǎng)絡安全等級保護測評要求

第5部分：工業(yè)控制系統(tǒng)安全擴展要求》《

信息安全技術(shù)

網(wǎng)絡安全等級保護安全設計技術(shù)要求

第5部分：工業(yè)控制系統(tǒng)安全擴展要求》《

工業(yè)控制系統(tǒng)信息安全防護指南》本方案重點解決以上政策標準中的核心問題發(fā)電廠工控網(wǎng)絡安全解決方案設計依據(jù)威努特工控解決方案模型國內(nèi)首家提出工業(yè)網(wǎng)絡安全“白環(huán)境”解決方案體系的工控安全廠商，迄今已為上百家關鍵行業(yè)客戶建立自主可控、安全可靠的工控安全整體防護體系核心技術(shù)理念：縱深防御白名單機制工業(yè)協(xié)議深度解析實時監(jiān)控審計統(tǒng)一平臺管理只有可信任的設備，才能接入控制網(wǎng)絡只有可信任的消息，才能在網(wǎng)絡上傳輸只有可信任的軟件，才允許被執(zhí)行方案核心安全理念技術(shù)亮點及創(chuàng)新點創(chuàng)新性提出了建立工控系統(tǒng)的可信任網(wǎng)絡白環(huán)境和工控軟件白名單的理念為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護體系，保護國家基礎設施安全。從“黑”到“白”從“被動防御”到“主動防護”工業(yè)控制系統(tǒng)“白環(huán)境”解決方案理念國能安全36號文介紹國能安全[2015]36號附件1電力監(jiān)控系統(tǒng)安全防護總體方案附件2省級以上調(diào)度中心監(jiān)控系統(tǒng)安全防護方案附件3地級調(diào)度中心監(jiān)控系統(tǒng)安全防護方案附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護方案附件5變電站監(jiān)控系統(tǒng)安全防護方案附件6配電監(jiān)控系統(tǒng)安全防護方案附件7電力監(jiān)控系統(tǒng)安全防護評價規(guī)范為了加強電力監(jiān)控系統(tǒng)安全防護工作，根據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（國家發(fā)展和改革委員會2014年第14號），國家能源局制定了《電力監(jiān)控系統(tǒng)安全防護總體方案》等安全防護方案和評估規(guī)范，即國能安全[2015]36號。附件：《電力監(jiān)控系統(tǒng)安全防護總體方案》《省級以上調(diào)度中心監(jiān)控系統(tǒng)安全防護方案》《地級調(diào)度中心監(jiān)控系統(tǒng)安全防護方案》《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》《變電站監(jiān)控系統(tǒng)安全防護方案》《配電監(jiān)控系統(tǒng)安全防護方案》《電力監(jiān)控系統(tǒng)安全防護評價規(guī)范》安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證邊界安全防護分類分類基本要求國能安全[2015]36號發(fā)電廠監(jiān)控系統(tǒng)安全防護方案-4邊界安全防護4.1橫向邊界防護4.1.1

生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護；4.1.2

控制區(qū)（安全區(qū)I）與非控制區(qū)（安全區(qū)II）邊界安全防護；41.3

系統(tǒng)間安全防護火電廠內(nèi)同屬于控制區(qū)的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、統(tǒng)一機組的不同監(jiān)控系統(tǒng)之間，同屬于非控制區(qū)的各系統(tǒng)之間，各不同位置的場站網(wǎng)絡之間，采用一定強度的邏輯訪問控制措施；4.2縱向邊界防護電廠控制大區(qū)系統(tǒng)與調(diào)度系統(tǒng)通過電力調(diào)度數(shù)據(jù)網(wǎng)進行遠程通信時，采用認證、加密訪問控制、加密等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護；參與系統(tǒng)AGC、AVC調(diào)節(jié)的電廠應當在電力調(diào)度數(shù)據(jù)網(wǎng)的邊界配置縱向加密認證裝置進行安全防護；對于不具備建立調(diào)度數(shù)據(jù)網(wǎng)的小型火電廠可以通過遠程撥號、無線等方式接入相應調(diào)度機構(gòu)的安全接入?yún)^(qū)。4.3第三方邊界安全防護a) 火電廠控制大區(qū)中的業(yè)務系統(tǒng)與環(huán)保、安全等政府部門進行數(shù)據(jù)通信時，其邊界應采用與生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的防護方式進行隔離；信息管理大區(qū)與外部網(wǎng)絡之間采用防火墻、VPN等保證邊界數(shù)據(jù)傳輸?shù)陌踩?禁止外部系統(tǒng)直接與生產(chǎn)控制大區(qū)的業(yè)務系統(tǒng)或設置采用遠程撥號等方式直接訪問，而不經(jīng)過安全隔離。邊界隔離（Ⅰ區(qū)和Ⅱ區(qū)之間）從Ⅱ區(qū)而來的非法訪問，可能引起Ⅰ區(qū)實時網(wǎng)絡的異常部署對工業(yè)協(xié)議深度解析的隔離阻斷裝置實現(xiàn)網(wǎng)絡分層分區(qū)，邊界訪問控制，避免無授權(quán)設備對區(qū)域的訪問部署對工業(yè)協(xié)議深度解析的隔離阻斷裝置實現(xiàn)基于通信“白環(huán)境”邊界攻擊防御和過濾工業(yè)防火墻區(qū)域隔離（

生產(chǎn)控制大區(qū)內(nèi)部）工業(yè)防火墻針對某個區(qū)域指定的非法攻擊區(qū)域內(nèi)部問題影響至其他區(qū)域部署對工業(yè)協(xié)議深度解析的隔離阻斷裝置實現(xiàn)基于區(qū)域和功能的區(qū)域網(wǎng)絡劃分及隔離部署對工業(yè)協(xié)議深度解析的隔離阻斷裝置實現(xiàn)對工業(yè)專有協(xié)議深度解析，建立通訊“白環(huán)境“

，阻止區(qū)域間的越權(quán)訪問，病毒、蠕蟲擴散和入侵，將危險源控制在有限范圍內(nèi)主機與設備安全防護分類分類基本要求發(fā)電廠廠級信息監(jiān)控系統(tǒng)等關鍵應用系統(tǒng)的主服務器，以及網(wǎng)絡邊界處的通信網(wǎng)關機、web服務器等主機加固應當使用安全加固的操作系統(tǒng)。加固方式包括：安全配置、安全補丁、采用專用軟件強化操作系統(tǒng)訪問控制能力以及配置安全的應用程序，其中配置的更改和補丁的安裝應當經(jīng)過測試。國能安全[2015]36號發(fā)電廠監(jiān)控系統(tǒng)安全防護方案-5.2主機與網(wǎng)絡設備加固網(wǎng)絡設備加固非控制區(qū)的網(wǎng)絡設備與安全設備應當進行身份鑒別、訪問權(quán)限控制、會話控制等安全配置加固。可以應用電力調(diào)度數(shù)字證書，在網(wǎng)絡設備和安全設備實現(xiàn)支持HTTPS的縱向安全web服務，能夠?qū)g覽器客戶端訪問進行身份認證及加密傳輸。生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，應當禁止具有無線通信功能的設備；管理信息大區(qū)業(yè)務系統(tǒng)使用無線網(wǎng)絡傳輸業(yè)務信息時，應當具備接入認證、加密等安全機制。外設管控應當對外部存儲器、打印機等外設的使用進行嚴格管理。主機安全防護應用白名單軟件病毒、木馬感染上位機，甚至0-day漏洞的利用導致系統(tǒng)不可用上位機系統(tǒng)安全策略缺失，引起系統(tǒng)或用戶行為失當，導致安全風險部署應用白名單軟件建立可執(zhí)行文件“白名單”，阻止惡意軟件執(zhí)行，甚至是0-day漏洞的利用通過應用白名單軟件對操作系統(tǒng)進行加固，如注冊表、配置文件等通過應用白名單軟件實現(xiàn)阻止未授權(quán)軟件的安裝主機加固個人計算機使用水平參差不齊，安全意識存在差異計算機自身安全脆弱，容易成為被攻擊的對象，且缺少統(tǒng)一配置的手段通過主機加固類的產(chǎn)品統(tǒng)一工業(yè)主機操作系統(tǒng)安全配置提高工業(yè)主機操作系統(tǒng)訪問控制能力，如提高至強制訪問控制對操作事件如登陸、功能停用等，并提供日志的查詢、刪除、備份和導出主機加固綜合安全防護分類分類基本要求國能安全[2015]36號發(fā)電廠監(jiān)控系統(tǒng)安全防護

方案-5綜合安全防護5.1

入侵檢測生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，應當合理設置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計；5.3應用安全控制發(fā)電廠廠級信息監(jiān)控系統(tǒng)等業(yè)務系統(tǒng)應當逐步采用用戶數(shù)字證書技術(shù)，對用戶登錄失敗處理功能，根據(jù)身份與權(quán)限進行訪問控制，并且對操作系統(tǒng)行為進行安全審計。對于發(fā)電廠內(nèi)部遠程訪問業(yè)務系統(tǒng)的情況，應當進行會話控制，并采用會話認證、加密與抗抵賴等安全機制。5.4

安全審計生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作進行記錄、分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統(tǒng)中的操作行為，應該進行嚴格的安全審計。5.5

專用安全產(chǎn)品的管理安全防護工作中涉及使用橫向單向安全隔離裝置、縱向加密認證裝置、防火墻、入侵檢測系統(tǒng)等專用安全產(chǎn)品的，應當按照國家有關要求做好保密工作，禁止關鍵技術(shù)和設備的擴散。5.7

惡意代碼防范應當及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當經(jīng)過測試。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)公用一套防惡意代碼管理服務器；5.8

設備選型與漏洞整改發(fā)電廠電力監(jiān)控系統(tǒng)在設備選型及配置時，應當禁止選用經(jīng)國家相關管理部門檢測認定并經(jīng)國家能源局通報存在漏洞的風險的系統(tǒng)及設備；對于已經(jīng)投入運行的系統(tǒng)及設備，應當按照國家能源局及其派出機構(gòu)的要求及時進行整改，同時應當加強相關系統(tǒng)與設備的運行管理和安全防護。工控網(wǎng)絡監(jiān)測與審計工控安全監(jiān)測與審計平臺隱蔽不可知的惡意流量部署監(jiān)測與審計平臺記錄工控協(xié)議通信，建立正常通信行為模型，對異常操作進行告警識別并檢測工控協(xié)議攻擊、TCP/IP攻擊、網(wǎng)絡風暴、參數(shù)閾值檢測對工程師站組態(tài)并更、操控指令變更、PLC程序下裝以及負載變更等關鍵事件告警文件安全傳遞安全U盤普通U盤隨意插拔，帶來未知病毒等通過U盤帶入與工作無關數(shù)據(jù)，如游戲、視頻、程序等，導致系統(tǒng)不可用采用安全U盤，僅能在內(nèi)部使用，外部無法使用，自帶硬件安全芯片，數(shù)據(jù)安全存儲針對普通U盤，控制普通U盤的使用權(quán)限，包括禁止使用、只讀使用、不控制應用數(shù)據(jù)安全之網(wǎng)絡設備防護&審計&身份鑒別阻止非授權(quán)用戶訪問網(wǎng)絡、安全設備阻止非授權(quán)的用戶遠程維護服務器、工作站、網(wǎng)絡設備、安全設備等全程記錄維護行為，對惡意維護行為進行取證對遠程維護行為操作進行監(jiān)測、審計，阻止誤操作、惡意操作堡壘機入侵檢測國能安全[2015]36號：生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，應當合理設置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計隱藏于流經(jīng)網(wǎng)絡邊界的入侵行為部署入侵檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計入侵檢測統(tǒng)一安全管理集中管理安全設備：如工業(yè)防火墻、工控主機衛(wèi)士、工控安全檢測與審計平臺，實現(xiàn)工控網(wǎng)絡的拓撲管理、安全配置及安全策略管理、設備狀態(tài)監(jiān)控、告警日志等集中的安全日志審計工作站終端異常實時報警分級分權(quán)限管理網(wǎng)絡安全總體防護方案部署示意圖網(wǎng)絡安全-邊界安全防護《工業(yè)控制系統(tǒng)信息安全防護指南》第三條“邊界安全防護”（一）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。（二）通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。（三）通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護?！?6號》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》第四部分

4.1.2

控制區(qū)（安全I區(qū)）與非控制區(qū)（安全II區(qū)）邊界安全防護安全I區(qū)與安全II區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備、安全可靠的硬件防火墻或者相當功能的設備，實現(xiàn)邏輯隔離、報文過濾、訪問控制等功能。《GB/T

28448-2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求》應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；………………應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層等協(xié)議命令級的控制；……………….網(wǎng)絡安全-安全審計《工業(yè)控制系統(tǒng)信息安全防護指南》第三條“安全監(jiān)測與應急演練”（一）在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。（二）在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作?！?6號》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》第五部分綜合防護5.4小節(jié)安全審計中明確要求在生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計系統(tǒng)，能夠及時發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為?！禛B/T

28448-2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求》安全審計中相關測試要求明確提出可以對網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測?！豆I(yè)控制系統(tǒng)信息安全防護指南》第一條“安全軟件選擇與管理”（一）在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施?！?6號》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》第五部分綜合防護5.7小節(jié)惡意代碼防范中明確要求，應及時更新特征碼、查看查殺記錄。

（使用”白名單“安全機制替代傳統(tǒng)殺毒軟件，更滿足工控系統(tǒng)安全防護特點）《GB/T

28448-2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求》惡意代碼防范中相關測試要求明確提出可以對主要服務器、主機等是否安裝了實時檢測與查殺惡意代碼的軟件產(chǎn)品。主機安全-惡意代碼《工業(yè)控制系統(tǒng)信息安全防護指南》第四條“物理和環(huán)境安全防護”（一）對重要工程師站、數(shù)據(jù)庫、服務器等核心工控控制軟硬件所在區(qū)域采用訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。（二）拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機外設安全管理技術(shù)手段實施嚴格訪問控制”?！?6號》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》第五部分綜合防護5.2小節(jié)主機與網(wǎng)絡設備加固中明確要求“應當對外部存儲器、打印機等外設的使用進行嚴格管理。《GB/T

28448-2012

信息安全技術(shù)

信息系統(tǒng)安全等級保護測評要求》主機安全測評單元也有明確要求“未拆除主機的軟盤驅(qū)動,光盤驅(qū)動,USB接口等”，如果不能拆除應通過技術(shù)手段對外接移動存儲設備進行安全管控。主機安全-外部接口關鍵步驟：使用邏輯隔離產(chǎn)品進行安全分區(qū)。網(wǎng)絡全流量、操作行為的監(jiān)控、記錄、審計。重要設備使用安全產(chǎn)品進行重點保護。配置管理病毒防護安全產(chǎn)品集中管理解決問題：移動存儲介質(zhì)濫用配置管理、病毒防護安全產(chǎn)品統(tǒng)一管理12345統(tǒng)一管理安全分區(qū)主機防護重點防護安全審計安全產(chǎn)品:工控安全監(jiān)測與審計系統(tǒng)工控主機衛(wèi)士統(tǒng)一安全管理平臺從互聯(lián)網(wǎng)而來的非法訪問遠程維護通道遠程維護通道針對漏洞的攻擊用戶有意無意的惡意操作解決方案總結(jié)工業(yè)防火墻網(wǎng)閘工業(yè)防火墻網(wǎng)閘堡壘主機第三部分工業(yè)控系統(tǒng)信息安全產(chǎn)品介紹03工控信息安全專用產(chǎn)品總述工控網(wǎng)絡安全產(chǎn)品分類趨易重要邊界防護類攻主擊機安全類監(jiān)測審計類基安礎全薄管弱理類目標安全檢測類邊界防護類-工業(yè)防火墻

此類產(chǎn)品多采用工業(yè)級的架構(gòu)，采用低功耗、無風扇設計，來滿足工業(yè)現(xiàn)場特殊的環(huán)境需求；部署方式通常以串接方式工作，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡之間、廠區(qū)不同區(qū)域之間，控制層與現(xiàn)場設備層之間。通過一定的訪問控制策略，對工控系統(tǒng)邊界、工控系統(tǒng)內(nèi)部區(qū)域進行邊界保護；工控防火墻、工控隔離產(chǎn)品均屬于邊界防護類。機架式工業(yè)防火墻導軌式工業(yè)防火墻威努特工業(yè)防火墻功能特點支持工業(yè)協(xié)議能夠?qū)I(yè)通信協(xié)議進行解析，如主流的OPC、Siemens

S7

、Modbus等協(xié)議的深度報文解析，彌補傳統(tǒng)IT防火墻對于工業(yè)協(xié)議解析的空白傳統(tǒng)防火墻基礎功能繼承傳統(tǒng)防火墻的基本訪問控制功能，具備對源、目的IP，源、目的端口，協(xié)議類型5元組的控制能力白O名P單C只機讀制審計大內(nèi)多置采OP用C“只白讀名模單板”，機對制非對只邊讀界操進作行進安行全審防計護并，告即警將信任的數(shù)據(jù)、協(xié)議放入到可信列表中，拒絕一切非可信任流量細更顆符粒合度工協(xié)業(yè)議現(xiàn)審場特計點深一度般解支析持學工習控、協(xié)告議警，、實阻現(xiàn)斷操三作種工對作象模值式域，審計符合工業(yè)用戶對邊界防護產(chǎn)品的心理需求對工業(yè)防火墻功能認識誤區(qū)工業(yè)防火墻就是傳統(tǒng)防火墻換上工業(yè)外殼過分依賴自學習，缺乏人工配置一部分用戶會認為工業(yè)防火墻就是傳統(tǒng)防火墻換了工業(yè)的外殼，功能沒啥區(qū)別，換湯不換藥，但實際上工業(yè)防火墻與傳統(tǒng)防火墻在設計原則、工作機制、功能配置等方面有巨大差異，對工業(yè)協(xié)議的深度解析，對工業(yè)網(wǎng)絡流量自學習建模的工作機制是工業(yè)防火墻獨有的特點。自學習確實是形成白名單的一種很好的方式，但卻容易受到不固定因素的影響，如學習時間不足、部分業(yè)務數(shù)據(jù)只有在特殊的情況下才能產(chǎn)生，這些因素都直接影響白名單策略的完整性，所以自學習+人工配置形成的白名單策略才能更好的應用于工業(yè)現(xiàn)場。對于工業(yè)防火墻，普遍存在下面2個誤區(qū)：12邊界防護類-隔離產(chǎn)品

隔離產(chǎn)品一般泛指網(wǎng)閘,目前在電力行業(yè)、石油行業(yè)應用較多，從功能角度可劃分雙向隔離網(wǎng)閘和單向隔離網(wǎng)閘；部署方式通常以串接方式工作，部署在生產(chǎn)控制網(wǎng)與管理網(wǎng)之間。如部署在電廠的I,II區(qū)與III,IV區(qū)之間。滿足通用工業(yè)控制系統(tǒng)由管理網(wǎng)與辦公網(wǎng)之間單項傳輸?shù)募夹g(shù)要求；目前網(wǎng)閘產(chǎn)品因其功能的特殊性，僅適用于傳統(tǒng)網(wǎng)絡和工業(yè)網(wǎng)絡的一些特殊場景。威努特網(wǎng)閘設備產(chǎn)品特點架構(gòu)特殊網(wǎng)閘設備內(nèi)部設置兩套獨立主機，每個主機運行獨立的安全操作系統(tǒng)和應用系統(tǒng)，這兩套主機分別通過網(wǎng)絡連接生產(chǎn)控制區(qū)網(wǎng)絡和管理信息大區(qū)網(wǎng)絡協(xié)議隔離隔離裝置的內(nèi)外網(wǎng)主機之間不提供反向數(shù)據(jù)通道通信，可以阻斷管理信息大區(qū)到生產(chǎn)控制大區(qū)通信途徑，同時支持1bit返回模式，以進行數(shù)據(jù)驗證關鍵操作檢測隔離裝置通過數(shù)據(jù)代理的方式來禁止生產(chǎn)控制區(qū)網(wǎng)絡應用程序與管理信息大區(qū)應用程序之間進行直接連接，從而在一定程度上杜絕了病毒及木馬攜帶傳輸?shù)目赡苄跃W(wǎng)閘VS工業(yè)防火墻防火墻是以應用為主、安全為輔，在支持盡可能多的應用的前提下，來保證使用的安全；在安全方面，能夠?qū)?shù)據(jù)包進行深度解析，甚至做到指令集解析；對數(shù)據(jù)轉(zhuǎn)發(fā)延遲性小，更適合工業(yè)網(wǎng)絡環(huán)境。網(wǎng)閘產(chǎn)品以安全為主，在保證安全的前提下，支持盡可能多的應用；在安全方面，雖然對數(shù)據(jù)包進行了拆包處理，但對于數(shù)據(jù)的載荷部分未做深度解析，形成安全空白區(qū)；對于數(shù)據(jù)的轉(zhuǎn)發(fā)延遲性高，不適用于對數(shù)據(jù)傳輸?shù)脱舆t性要求高的場景。工業(yè)防火墻產(chǎn)品網(wǎng)閘產(chǎn)品與防火墻產(chǎn)品無法衡量其好與壞，更多的區(qū)別在于應用場景的不同，防火墻適用于多種業(yè)務場景，而網(wǎng)閘產(chǎn)品只適用于對數(shù)據(jù)延遲性要求不高的業(yè)務場景。監(jiān)測審計類導軌式監(jiān)測審計系統(tǒng)機架式監(jiān)測審計系統(tǒng)此類產(chǎn)品多采用工業(yè)級的硬件架構(gòu)，采用低功耗、無風扇設計，來滿足工業(yè)現(xiàn)場特殊的環(huán)境需求，如低溫、高濕等；此類產(chǎn)品通過鏡像接口分析網(wǎng)絡流量，及時發(fā)現(xiàn)網(wǎng)絡流量或設備的異常情況并告警，通常不會主動去阻斷通信；旁路的部署方式，也使得這類產(chǎn)品不會因為自身的故障而影響工控系統(tǒng)的正常運行，這樣的部署方式更容易讓工業(yè)用戶接受。監(jiān)測審計系統(tǒng)功能特點自學習建立通信模型利用白名單的方式，

建立可信任的業(yè)務數(shù)據(jù)流模型，通過該模型來判斷通信的合法性。部分工控協(xié)議的解析為指令級,對于工業(yè)現(xiàn)場來說，

意義較大，

可以脫離于系統(tǒng)原有廠商的監(jiān)控系統(tǒng)，

作為第三方監(jiān)控手段對事后追溯提供依據(jù)無需更新特征庫利用白名單的方式，

擺脫原有IT系統(tǒng)中涉及的IDS，IPS需要不斷升級“庫”來滿足安全需求的束縛關鍵操作檢測由白名單機制衍生出來的對工業(yè)現(xiàn)場業(yè)務中的關鍵操作（

如對工程師站組態(tài)變更、操控指令變更、PLC下裝、負載變更等）

違規(guī)報警、無流量，

異常流量報警等更加符合工業(yè)現(xiàn)場需求對監(jiān)測審計系統(tǒng)的認識誤區(qū)僅是換了一個工業(yè)外殼與工業(yè)防火墻面臨同樣問題，一部分用戶會認為監(jiān)測換了工業(yè)的外殼，功能沒啥區(qū)別，換湯不換藥，但實際上其設計原則、工作機制、功能配置等方面有巨大差異，對工業(yè)協(xié)議的深度解析，對工業(yè)網(wǎng)絡流量自學習建模的工作機制是工控監(jiān)測審計獨有的特點。對于監(jiān)測審計系統(tǒng)，普遍存在下面2個誤區(qū)：1入侵檢測系統(tǒng)（IDS）主機安全類工控系統(tǒng)中的主機設備，如工程師站、操作員站等是工控系統(tǒng)的風險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機類設備進入工控系統(tǒng)。白名單防護類通過在主機上安裝客戶端程序，確保只有可信的程序、進程才允許運行，防止惡意程序的侵入；主機加固類結(jié)合等級保護合規(guī)性要求，對主機操作系統(tǒng)進行策略性安全加固，增強主機安全防護能力。主流主機安全防護產(chǎn)品主機安全產(chǎn)品功能特點白名單產(chǎn)品加固式產(chǎn)品采用「白名單」技術(shù)，為工作站即電腦主機創(chuàng)造一個安全可控的環(huán)境，主要功能是對可執(zhí)行文件保護、U盤的使用控制等。因工業(yè)現(xiàn)場業(yè)務環(huán)境相對”確定”，所以白名單產(chǎn)品容易被工業(yè)用戶接受，既防止了惡意程序的入侵，也避免的傳統(tǒng)主機安全防護產(chǎn)品（殺毒軟件）誤差、漏殺的問題；利用動態(tài)跟蹤安裝包安裝技術(shù)自動將安裝過程中的可執(zhí)行文件或臨時釋放的臨時可執(zhí)行文件識別并添加到白名單庫中，滿足工業(yè)現(xiàn)場軟件升級的需求。加固式產(chǎn)品主要是對主機的內(nèi)核級安全加固防護，通過對文件、目錄、進程、注冊表和服務進行的強制訪問控制，制約和分散原有系統(tǒng)管理員的權(quán)限，把普通的操作系統(tǒng)從體系上升級，從而滿足等級保護標準中對于主機安全的要求。對主機安全產(chǎn)品的認識誤區(qū)也會存在掃描、查殺等動作，影響系統(tǒng)運行從原理的角度白名單軟件是工作在操作系統(tǒng)層面的，是完全沒有可能影響系統(tǒng)的運行；而主機加固軟件是工作在驅(qū)動層面的，那么是否影響系統(tǒng)的運行，還要取決于硬件、軟件的驅(qū)動。如出現(xiàn)驅(qū)動問題，也會出現(xiàn)影響系統(tǒng)

運行的情況。從工作方式、工作原理的角度，白名單軟件和主機加固軟件采用主動防御的方式，均不存在掃描、查、殺的動作，故不會出現(xiàn)影響系統(tǒng)運行的情況。對于主機安全防護產(chǎn)品，普遍存在下面2個誤區(qū)：2白名單軟件或主機加固軟件會1 不會也如殺毒軟件一般，不適用于工業(yè)現(xiàn)場監(jiān)測審計類-堡壘機威努特

堡壘機一般部署在工業(yè)網(wǎng)絡中管理大區(qū)，主要的作用是對運維人員維護過程的全面跟蹤、控制、記錄、回放，同時對自然人的身份進行統(tǒng)一授權(quán)；在工業(yè)現(xiàn)場移動設備的交叉使用，把病毒、木馬引入到原本脆弱的工控系統(tǒng)；運維人員的不當操作，引起生產(chǎn)事故，以及工控設備配置文件無備份。都給工控系統(tǒng)帶來很大的風險，所以在此背景下，為有效解決工業(yè)控制系統(tǒng)現(xiàn)場運維風險，堡壘機應運而生。安全管理類-管理平臺威努特

安全管理類產(chǎn)品主要的用途是對部署在工業(yè)網(wǎng)絡中的安全設備進行集中監(jiān)測、統(tǒng)一管理，在工業(yè)網(wǎng)絡中有諸多無人場景，如市政燃氣、油田等行業(yè)現(xiàn)場均有無人值守站；安全管理類產(chǎn)品一般部署在中心級測，如生產(chǎn)區(qū)的機房、管理區(qū)的機房，是非高溫、非高濕的工作環(huán)境，所以安全管理類產(chǎn)品在設計時大多采用傳統(tǒng)X86架構(gòu)。管理平臺的功能特點安全設備集中管理集中管理工控網(wǎng)絡中的安全設備，

包括設備狀態(tài)監(jiān)控、拓撲管理、系統(tǒng)配置管理、日志管理等主機安全統(tǒng)一管理統(tǒng)一管理工控網(wǎng)絡中的主機安全軟件，

包括模板配置、策略下發(fā)、主機狀態(tài)監(jiān)測、日志管理等日志管理分析對工控網(wǎng)絡中的安全日志（

如：攻擊日志、流量日志、訪問日志、主機日志、系統(tǒng)日志）

進行匯總、關聯(lián)分析并形成報告，

為工控網(wǎng)絡安全事件分析和調(diào)查取證提供依據(jù)安全檢測類-漏洞挖掘&漏洞掃描漏洞挖掘和漏洞掃描產(chǎn)品均屬于安全檢測類產(chǎn)品，一些廠家將兩者合一，以一個產(chǎn)品形態(tài)出現(xiàn)；漏洞挖掘其存在的價值在于解決在工業(yè)控制系統(tǒng)潛在的未知漏洞，對SCADA系統(tǒng)、DCS系統(tǒng)、PLC控制器等工業(yè)控制系統(tǒng)、設備進行漏洞挖掘；漏洞掃描其存在的價值在于檢測工業(yè)控制系統(tǒng)的已知漏洞，

可以支持對西門子、施耐德、GE

等工控廠商的SCADA/HMI軟件、DCS系統(tǒng)、PLC控制器進行掃描、識別，檢測工業(yè)控制系統(tǒng)存在漏洞并生成相應的報告，清晰定性安全風險，給出修復建議和預防措施，并對風險控制策略進行有效審核，從而在漏洞全面評估的基礎上實現(xiàn)安全自主掌控。威努特漏洞挖掘平臺漏洞掃描平臺威努特漏洞挖掘VS漏洞掃描基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算系統(tǒng)（主機、控制器等）的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的已知漏洞的一種安全檢測（滲透攻擊）產(chǎn)品。漏洞掃描產(chǎn)品基于模糊測試技術(shù)，通過向目標系統(tǒng)提供非預期的輸入并監(jiān)控輸出中的異常來發(fā)現(xiàn)目標系統(tǒng)的未知漏洞的一種安全檢測產(chǎn)品。漏洞挖掘產(chǎn)品≠安全檢測類-工控態(tài)勢感知2017年2月在“2017工業(yè)互聯(lián)網(wǎng)峰會”表示，工信部正在研究制定工業(yè)互聯(lián)網(wǎng)發(fā)展路徑，將進一步形成我國工業(yè)互聯(lián)網(wǎng)發(fā)展的頂層設計。這也更加促進了“工控態(tài)勢感知”的發(fā)展。工控態(tài)勢感知功能特點工控系統(tǒng)漏洞感知實時發(fā)現(xiàn)全球互聯(lián)網(wǎng)上暴露的工業(yè)網(wǎng)絡漏洞數(shù)量，及其嚴重程度工控網(wǎng)絡資產(chǎn)在線探測支持全球工控設備、網(wǎng)絡設備、物聯(lián)網(wǎng)設備、工控網(wǎng)絡協(xié)議及常規(guī)服務的探測與定位全O網(wǎng)PC威只脅讀態(tài)勢審可計視化多內(nèi)維置度O展PC示只掃讀描模分板析，結(jié)果對，非只讀操作進行審計并并告以警地域圖、柱狀圖、餅狀圖、雷達圖等形式展現(xiàn)協(xié)議審計工控細網(wǎng)顆粒絡度安全態(tài)勢感知深全度面解診析斷工控系協(xié)統(tǒng)議協(xié)，議實、現(xiàn)操作對象值域?qū)徲嫹?、漏洞及威脅分布，智能分析工控系統(tǒng)資產(chǎn)，客觀評估網(wǎng)絡安全態(tài)勢工控態(tài)勢感知體系架構(gòu)①

工業(yè)網(wǎng)絡安全態(tài)勢感知系統(tǒng)需要能夠包含企業(yè)網(wǎng)絡外部和內(nèi)部的安全感知，能夠適用于企業(yè)內(nèi)部網(wǎng)絡和企業(yè)外部互聯(lián)網(wǎng)絡兩種場景下使用②

在內(nèi)部部署前端采集裝置，在后臺系統(tǒng)實現(xiàn)安全態(tài)勢的收集、分析、展示和預警③

系統(tǒng)分工控態(tài)勢感知主動探測子系統(tǒng)、工控態(tài)勢感知審計子系統(tǒng)、工控態(tài)勢感知蜜網(wǎng)子系統(tǒng)三個子系統(tǒng)進行建設工控安全產(chǎn)品與傳統(tǒng)信息安全產(chǎn)品的差異工控安全特殊性網(wǎng)絡通訊協(xié)議不同：大量的工控系統(tǒng)采用私有協(xié)議系統(tǒng)穩(wěn)定性要求高：網(wǎng)絡安全造成誤報等同于攻擊系統(tǒng)運行環(huán)境不同：工控系統(tǒng)運行環(huán)境相對落后網(wǎng)絡結(jié)構(gòu)和行為相對穩(wěn)定：不能頻繁變動調(diào)整安全防護要求高：無法通過補丁來解決安全問題防護目標區(qū)別完整性21可用性33保密性12工控安全在不利條件下維護生產(chǎn)系統(tǒng)功能正?？捎么_保信息實時下發(fā)傳遞防范外部、內(nèi)部的網(wǎng)絡攻擊保護工控系統(tǒng)免受病毒等惡意代碼的侵襲避免工控系統(tǒng)遭受有意無意的違規(guī)操作安全事件發(fā)生后能迅速定位找出問題根源在不利條件下保證不出現(xiàn)信息泄露保護信息資產(chǎn)的完整性基本不考慮信息傳遞實時性防范外部、內(nèi)部的網(wǎng)絡攻擊保護信息系統(tǒng)免受病毒等惡意代碼的侵襲安全事件發(fā)生后能迅速定位找出問題根源傳統(tǒng)安全防護手段區(qū)別工控安全傳統(tǒng)安全主動防護白名單機制旁路機制保證網(wǎng)絡暢通抵御已知未知病毒學習建立防護策略五元組+協(xié)議解析被動防御黑名單機制冗余熱備保證網(wǎng)絡暢通識別清除已知病毒預先設置防護策略五元組VS網(wǎng)絡架構(gòu)區(qū)別工控安全傳統(tǒng)安全網(wǎng)絡復雜，多種網(wǎng)絡混合，包含有線、無線、衛(wèi)星通信、無線電通信、移動通訊等通信協(xié)議復雜，包含很多專用通訊協(xié)議及私有協(xié)議設備復雜，網(wǎng)絡