2024工控安全解決方案

工控安全解決方案工控安全解決方案02基于白名單技術(shù)的工控安全方案CONTENTS02基于白名單技術(shù)的工控安全方案01工業(yè)現(xiàn)場的安全問題及應(yīng)對策略01工業(yè)現(xiàn)場的安全問題及應(yīng)對策略目錄03“白環(huán)境”方案典型案例分享03“白環(huán)境”方案典型案例分享01工業(yè)現(xiàn)場的安全問題及應(yīng)對策略01土耳其原油輸送管道爆炸事件回顧2014年12月4日，土耳其境內(nèi)，由伊拉克向土耳其輸送原油的輸油管道爆炸。為監(jiān)控從里海通向地中海的1099英里的石油管道，在管道內(nèi)安裝了探測器和攝像頭，然而管道爆炸前，卻沒有上報一個遇險信號，原因是黑客關(guān)閉了警報、切斷了通信。4.控制操作員站

視頻服務(wù)器

器，關(guān)閉警報管道壓力

管道爆炸

通過其它視頻監(jiān)控網(wǎng)現(xiàn)在石油管道附近烏克蘭電網(wǎng)事件回顧 2015年12月23停電的網(wǎng)絡(luò)攻擊；以BlackEnergy入口；通過遠(yuǎn)程控制SCADA以摧毀破壞SCADA以DDoS社會混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。臺積電勒索病毒事件回顧造成經(jīng)濟(jì)營業(yè)損失約2.55億美元

2018年8月3日，臺積電感染W(wǎng)annaCry病毒病毒影響范圍：感染的廠區(qū)包括竹科Fab12、中科Fab15、南科Fab14等；病毒特征及傳播：WannaCry變種病毒通過445端口進(jìn)行傳輸；將word，excel，ppt，rar，pdf，txt等進(jìn)行加密，無法打開；電腦主機(jī)出現(xiàn)宕機(jī)或不斷的重新啟動。感染病毒原因：新機(jī)臺接入時，未進(jìn)行隔離，確認(rèn)無病毒，直接聯(lián)網(wǎng)；取消了各廠區(qū)間的防火墻；主機(jī)設(shè)備及系統(tǒng)過于陳舊，未進(jìn)行升級，未安裝防病毒軟件。工業(yè)現(xiàn)場病毒情況統(tǒng)計行業(yè)病毒統(tǒng)計

病毒發(fā)現(xiàn)率140樣本單位數(shù) 發(fā)現(xiàn)病毒單位數(shù)

未發(fā)現(xiàn)12010012010080604020樣本單位數(shù)發(fā)現(xiàn)病毒單位數(shù)量13 52 28 10 4 3 1 17 0 7 0 1 1 1

發(fā)現(xiàn)病毒率 未發(fā)現(xiàn)

發(fā)現(xiàn)病毒率0市政發(fā)電0市政發(fā)電石油石化煙草軌交鋼鐵制藥智能制造電網(wǎng)煤炭軍工冶金化工公路交通1812534101731231184112電力行業(yè)暴漏在互聯(lián)網(wǎng)上的設(shè)備漏洞監(jiān)測發(fā)現(xiàn)暴露在公共互聯(lián)網(wǎng)上的電力行業(yè)網(wǎng)絡(luò)資產(chǎn)1147個，其中，設(shè)備資產(chǎn)556個，涉及ABB、Siemens、Delta、Rockwell等多家工控設(shè)備廠商。

CNVD漏洞庫收錄能源電力相關(guān)漏洞89條，其中高危漏洞51條，中危漏洞37條，低危漏洞1條，涉及SCADA系統(tǒng)、可編程邏輯控制器、HMI、工業(yè)網(wǎng)絡(luò)設(shè)備、工業(yè)應(yīng)用軟件等多種類型的軟硬件產(chǎn)品。監(jiān)測到來自境外重點(diǎn)探測組織針對IEC-104、Modbus測事件共2880316起，涉及到境外81個IP地址，分布在美歐地區(qū)。監(jiān)測到來自境外重點(diǎn)探測組織針對IEC-104、Modbus測事件共2880316起，涉及到境外81個IP地址，分布在美歐地區(qū)。工業(yè)現(xiàn)場的安全問題現(xiàn)象 結(jié)論1、50%以上工控系統(tǒng)帶毒運(yùn)行工控安全形勢嚴(yán)峻1、50%以上工控系統(tǒng)帶毒運(yùn)行工控安全形勢嚴(yán)峻2、100%工控系統(tǒng)帶漏洞運(yùn)行在有漏洞的前提下做工控安全2、100%工控系統(tǒng)帶漏洞運(yùn)行在有漏洞的前提下做工控安全如何在有漏洞的前提下做工控安全阻斷威脅如何檢測并阻斷威脅威脅管理：檢測與阻斷網(wǎng)絡(luò)戰(zhàn)或高級攻擊中，通常利用0day漏洞，IDS/IPS的原理決定了它無法防御。威脅管理：檢測與阻斷網(wǎng)絡(luò)戰(zhàn)或高級攻擊中，通常利用0day漏洞，IDS/IPS的原理決定了它無法防御。IDS/IPS：檢測并阻斷網(wǎng)絡(luò)攻擊報文。下一代防火墻：檢測并阻斷網(wǎng)絡(luò)攻擊報文、網(wǎng)絡(luò)病毒。漏洞管理：檢測與修復(fù)漏洞掃描產(chǎn)品：檢測系統(tǒng)的安全漏洞，并提供修復(fù)建議。補(bǔ)丁管理軟件：檢測新的安全補(bǔ)丁，并提供自動修復(fù)功能。防病毒軟件用于工控系統(tǒng)存在不足無法防御利用0day漏洞的高級病毒無法防御利用0day漏洞的高級病毒網(wǎng)絡(luò)戰(zhàn)或高級攻擊中，通常利用0day漏洞，例如震網(wǎng)病毒利用了4個0day漏洞。工控系統(tǒng)通常無法及時更新病毒庫工控系統(tǒng)通常無法及時更新病毒庫工業(yè)控制系統(tǒng)通常不允許在生產(chǎn)運(yùn)行期間進(jìn)行系統(tǒng)升級。工控網(wǎng)絡(luò)通常不允許連接互聯(lián)網(wǎng)，不具備及時更新病毒庫的條件。測試證明：普遍存在對工控軟件的誤殺測試證明：普遍存在對工控軟件的誤殺誤殺在工業(yè)控制系統(tǒng)中可能產(chǎn)生致命的后果，所以現(xiàn)在大量工作站“裸奔”。IDS/IPS用于工控系統(tǒng)存在不足無法防御利用0day漏洞的高級攻擊網(wǎng)絡(luò)戰(zhàn)或高級攻擊中，通常利用0day漏洞，IDS/IPS的原理決定了它無法防御。工控系統(tǒng)通常無法及時更新攻擊庫工業(yè)控制系統(tǒng)通常不允許在開車期間進(jìn)行系統(tǒng)升級。工控網(wǎng)絡(luò)通常不允許連接互聯(lián)網(wǎng)，不具備及時更新攻擊庫的條件。IDS/IPS的誤報無法滿足工控系統(tǒng)要求IDS/IPS的誤報無法滿足工控系統(tǒng)要求IDS的高誤報率一直是制約它廣泛應(yīng)用的主要因素。IPS為了降低誤報，很大程度上是以犧牲檢出率為代價。實(shí)踐證明：白名單技術(shù)更適應(yīng)于工控系統(tǒng)名單機(jī)制不完全適應(yīng)；單（流量、訪問、應(yīng)用程序白名單）。02基于白名單技術(shù)的工控安全方案021.應(yīng)用白名單代替防病毒軟件；2.工業(yè)防火墻1.應(yīng)用白名單代替防病毒軟件；2.工業(yè)防火墻代替IT防火墻；3.工控網(wǎng)絡(luò)異常檢測代替IDS。產(chǎn)品亮點(diǎn)及創(chuàng)新點(diǎn)1.只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；2.1.只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；2.只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；3.只有可信任的軟件，才允許被執(zhí)行；方案創(chuàng)新安全理念白名單技術(shù)的發(fā)展演進(jìn)對象白名單對象白名單行為白名單控制邏輯白名單系統(tǒng)邊界隔離“白名單”報文接收ACL報文接收ACL策略庫包過濾檢測包過濾檢測協(xié)議規(guī)約白名單包過濾檢測審計模塊包過濾檢測包過濾檢測用戶身份管理資源管理標(biāo)記管理、授權(quán)管理、策略管理審計策略審計數(shù)據(jù)安全管理中心策略管理模塊在業(yè)務(wù)系統(tǒng)的邊界對進(jìn)出業(yè)務(wù)系統(tǒng)的應(yīng)用協(xié)議深度解析功能，根據(jù)安全管理中心下發(fā)的應(yīng)用協(xié)議規(guī)約白名單模板，對流經(jīng)邊界的數(shù)據(jù)報文進(jìn)行包過濾檢測，對通過檢測的數(shù)據(jù)報文進(jìn)一步進(jìn)行協(xié)議規(guī)則檢查，阻斷不符合協(xié)議規(guī)則的異常報文。檢查內(nèi)容如下：策略管理模塊應(yīng)用協(xié)議深層次解析標(biāo)準(zhǔn)5元組過濾，源IP，源MAC，目的IP，目的MAC，協(xié)議；應(yīng)用協(xié)議深層次解析協(xié)議格式完整性；協(xié)議要素信息，包括指令類型、關(guān)鍵信息值等信息。邊界完整性保護(hù)通過交換機(jī)和網(wǎng)絡(luò)設(shè)備設(shè)置端口的IP、MAC綁定，只允許合法設(shè)備接入網(wǎng)絡(luò)。對接入網(wǎng)絡(luò)的終端設(shè)備采用802.1X認(rèn)證，由安全管理中心對接入終端身份進(jìn)行驗(yàn)證，防止非法外聯(lián)。通過主機(jī)安全軟件嚴(yán)格控制非法外設(shè)的啟用，阻止非法程序執(zhí)行，防止在計算節(jié)點(diǎn)啟用無線網(wǎng)卡等硬件。對接入工業(yè)系統(tǒng)網(wǎng)絡(luò)的計算節(jié)點(diǎn)下發(fā)互聯(lián)策略，只有符合互聯(lián)策略的通信才允許通過來防止非法內(nèi)聯(lián)。網(wǎng)絡(luò)通信異常檢測“白名單”網(wǎng)絡(luò)數(shù)據(jù)安全管理平臺網(wǎng)絡(luò)數(shù)據(jù)安全管理平臺工控監(jiān)測與審計系統(tǒng)協(xié)議分析模型匹配安全通信模型流量分析策略配置中心安全審計數(shù)據(jù)采集層負(fù)責(zé)原始報文的采集、協(xié)議解析（包括TCP/IP協(xié)議棧的解析及工業(yè)控制協(xié)議的深度解析）、初步攻擊檢測及信息匯聚與統(tǒng)計。分析檢測層對來自數(shù)據(jù)采集層的報文解析結(jié)果、檢測結(jié)果及匯總統(tǒng)計信息，進(jìn)行工控網(wǎng)絡(luò)通信行為建模，并對TCP/IP異常事件、工控指令異常事件、工控關(guān)鍵事件、網(wǎng)絡(luò)會話異常事件等進(jìn)行分析檢測。主機(jī)計算環(huán)境“白名單”程序進(jìn)程請求啟動

是hash值安全管理中心系統(tǒng)管理&安全管理安全管理中心

否是否符合

否審計管理

拒絕啟動審計本地允許啟動中心

自動掃描、跟蹤軟件安裝及升級、保證只白名單管理阻止惡意程序執(zhí)行白名單管理識別、阻止任何白名單外的程序運(yùn)行，阻止病毒、木馬、惡意程序運(yùn)行和傳播，保證只有經(jīng)過認(rèn)證的業(yè)務(wù)軟件可以執(zhí)行。終端外設(shè)管控通過對外設(shè)的管控，阻止移動介質(zhì)的濫用，從而防止向系統(tǒng)內(nèi)部引入風(fēng)險移動介質(zhì)“白名單”非法外聯(lián)設(shè)備 默認(rèn)拒絕一切非法外聯(lián)設(shè)備，如3G,4G無線上網(wǎng)卡等。辦公網(wǎng)辦公終端注冊授權(quán)訪問控制權(quán)限控制數(shù)據(jù)加密日志審計辦公網(wǎng)辦公終端注冊授權(quán)訪問控制權(quán)限控制數(shù)據(jù)加密日志審計終端A 終端B數(shù)據(jù)交換服務(wù)器3G上網(wǎng)卡 安全U盤 非安全U盤安全U安全U盤安全U盤分為兩個區(qū)域：安全區(qū)和普通區(qū)；安全區(qū)：無法識別。安全U盤的安全區(qū)主要用于系統(tǒng)內(nèi)部計算節(jié)點(diǎn)文件擺渡。普通區(qū)：能夠讀，無法寫。安全U盤普通區(qū)用于由系統(tǒng)內(nèi)部向外部進(jìn)行文件傳遞。典型工控網(wǎng)絡(luò)部署方案工控安全態(tài)勢感知平臺企業(yè)集團(tuán)企業(yè)集團(tuán)方案優(yōu)勢：全防護(hù)，非常適用于工控系統(tǒng)；APT攻擊、0day攻擊；機(jī)計算環(huán)境，多重保護(hù)；自主可控、安全可靠，已經(jīng)在工業(yè)現(xiàn)場運(yùn)行近4年，服務(wù)500+全系列工控安全產(chǎn)品多行業(yè)定制化解決方案智能制造

軌道交通

測評機(jī)構(gòu)煙草軍工石油石化 市政電力 科研院校全生命周期工控安全服務(wù)安全咨詢工控安全技術(shù)體系建設(shè)工控安全管理體系建設(shè)安全培訓(xùn)工控安全意識宣貫

安全運(yùn)維

安全應(yīng)急工控安全事件響應(yīng)工控安全事件處理工控安全事件回溯

風(fēng)險評估

安全建設(shè)

常規(guī)安全運(yùn)維工控系統(tǒng)資產(chǎn)識別工控系統(tǒng)脆弱性識別

安全檢查合規(guī)性檢查

建立工控安全業(yè)務(wù)模型建立安全監(jiān)控預(yù)警平臺建立工控安全防護(hù)平臺03“白環(huán)境”方案典型案例分享03項目背景某發(fā)電有限責(zé)任公司

問題現(xiàn)象兩臺1000MW超超臨界機(jī)組，西門子DCS系統(tǒng)；SIS與DCS連接后，不定時出現(xiàn)DCS主備服務(wù)器先后故障，DCS失去監(jiān)控；客戶先后找了2家安全公司幫忙調(diào)查故障原因未果，還因?yàn)槭褂脗鹘y(tǒng)漏掃工具掃描，對控制系統(tǒng)造成破壞；客戶第三家找到威努特公司幫忙調(diào)查故障原因。項目過程與解決方案故障定位方案設(shè)計

病毒專殺服務(wù)Net-Worm.Win32.Kido.ih01整體安全解決方案改造實(shí)施0405工控安全運(yùn)維服務(wù)

0203DCS和SIS直連案例特色及客戶價值特色 等功能，保障了生產(chǎn)業(yè)務(wù)的連續(xù)性；價值結(jié)合運(yùn)行、管理、技術(shù)三個方面，建立起可管理、可控制、可信任的工控安全運(yùn)行管理體系，符價值合國能安全【2015】36號文、等保2.0、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的要求；有效抵御0day漏洞攻擊和APT威脅。案例特色及客戶價值肆虐全球的WannaCry，在工控網(wǎng)絡(luò)白環(huán)境方案面前束手無策，在不打補(bǔ)丁、不關(guān)閉445端口的情況下成功防御，變被動防御為主動防護(hù)。典型客戶列表已成功為國家重點(diǎn)行業(yè)五百余家客戶提供了全面有效的安全保障，贏得客戶一致好評申能集團(tuán)上電漕涇申能集團(tuán)外高橋第三發(fā)電廠華能集團(tuán)瀾滄江小灣水電廠國網(wǎng)新源新安江水力發(fā)電廠中國華電集團(tuán)構(gòu)皮灘水電站國核自儀攀枝花仁和潔源艾默生電氣集團(tuán)申能集團(tuán)上電漕涇申能集團(tuán)外高橋第三發(fā)電廠華能集團(tuán)瀾滄江小灣水電廠國網(wǎng)新源新安江水力發(fā)電廠中國華電集團(tuán)構(gòu)皮灘水電站國核自儀攀枝花仁和潔源艾默生電氣集團(tuán)華能新能源山西風(fēng)電電力發(fā)電中國石油新疆油田中國石油長慶油田中國石油大港油田中國石油華北油田中國石油青海油田中國石油長慶石化中國石油慶陽石化中國石化中科煉化中國石油大港石化中國石油西北銷售分公司石油石化北京地鐵上海申通地鐵廣州地鐵南京地鐵蘇州地鐵徐州地鐵南寧地鐵鄭州地鐵成都地鐵蕪湖單軌清遠(yuǎn)磁浮佛山地鐵軌道交通寶鈦集團(tuán)南京寶色中信重工共享集團(tuán)沈陽機(jī)床比亞迪北汽集團(tuán)一汽解放宇通客車生益科技創(chuàng)新齒輪智能制造典型客戶列表已成功為國家重點(diǎn)行業(yè)五百余家客戶提供了全面有效的安全