工业控制系统信息安全整体解决方案.

Slidetitle:40-47ptSlidesubtitle:26-30ptColor::whiteCorporateFont:FrutigerNextLTMediumFonttobeusedbycustomersandpartners:Arial工业控制系统信息安全整体解决方案北京威努特技术有限公司总经理：龙国东威努特—工控安全专家内容提纲威努特公司介绍工控安全标准解读21威努特工控安全理念3威努特工控安全解决方案4行业案例5Page3威努特—工控安全专家公司简介北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。公司致力于为企业客户提供工控安全整体解决方案与服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队以及优秀企业管理人才组成的专业化团队。可为企业客户提供：稳定可靠的工控安全防护产品；专业深度的工控安全咨询培训；全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。Page4威努特—工控安全专家公司市场地位—产品为王国内第一款“白名单主动防御”主机防病毒软件，比肩美国Bit9的创新产品；国内第一款“千兆工业防火墙”，性能10-20倍业界一般水平；与国内外三家以上知名工控系统厂商合作的工控安全厂家；成功替代McAfee的国内工控安全厂商；威努特—工控安全专家内容提纲威努特公司介绍工控安全标准解读21威努特工控安全理念3威努特工控安全解决方案4行业案例5威努特—工控安全专家工控安全标准解读国际工控安全标准组织：1.国际电工委员会（IEC，InternationalElectroTechnicalCommission）2.国际自动化协会（ISA，theInternationalSocietyofAutomation）3.美国国家标准技术研究院（NIST，NationalInstituteofStandardsandTechnology）我国工控安全标准组织：1.全国信息安全标准化技术委员会（TC260）2.全国工业过程测量和控制标准化技术委员会（TC124）3.全国电力系统管理及其信息交换标准化技术委员会（TC82）4.全国电力监管标准化技术委员会（TC296）Page7威努特—工控安全专家工控安全标准解读—IEC62443工控安全定义信息安全(Security)IEC62443针对工控系统信息安全的定义是：A、保护系统所采取的措施；B、由建立和维护保护系统的措施所得到的系统状态；C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。Page8威努特—工控安全专家工控安全标准解读—IEC62443总体框架Page9威努特—工控安全专家工控安全标准解读—IEC62443工控安全模型区域：是一组物理或逻辑上的资产，基于重要性或事故影响，它们具有相同的安全需求。管道：是“区域”之间信息交换的通道，除了网络通道外，USB移动存储介质、远程拨号链接等也需要考虑。管道和区域，划分出了纵深防御的网络结构。威努特—工控安全专家内容提纲威努特公司介绍工控安全标准解读21威努特工控安全理念3威努特工控安全解决方案4行业案例5Page11威努特—工控安全专家威努特工控安全理念—工控安全≠传统信息安全传统信息安全与工控安全差异点分类传统信息安全工控安全性能非实时高吞吐量高延迟或抖动可接受实时适度的吞吐量高延迟或抖动不可接受可用性重新启动可以接受可用性的缺陷往往可以容忍重新启动不可接受可用性要求可能需要冗余系统停机必须有计划和提前预定时间高可用性要求充分的部署前测试风险管理机密性、完整性是最重要的容错不是太重要，临时停机不是主要风险主要的风险影响是业务操作的推迟人身安全是最重要的，其次是过程保护容错是必须的，即使瞬间的停机也可能不可接受主要的风险影响是不合规，环境影响，生命、设备或生产损失架构的安全重点首要重点是保护IT资产，及这些资产上存储的传输的信息首要重点是保护边缘设备，如现场设备、过程控制器中央服务器的保护也很重要信息安全方案信息安全方案围绕典型的IT系统进行设计安全产品必须先测试，例如在离线工控系统上测试，以保它们不会影响工控系统的正常运行快速反应快速反应不太重要可以根据必要的安全程度实施严格的访问控制人机交互及紧急情况下快速反应是关键应严格控制对工控系统的访问，但不应妨碍或干预人机交互系统运行使用典型的操作系统采用自动部署工具使得升级非常简单专用的操作系统，往往没有内置的安全功能软件变更必须慎重，通常由软件供应商操作资源限制资源充足，能支持增加第三方功能，如信息安全功能系统被设计为支持预定的工业过程，可能没有足够的资源支持增加安全功能通信标准通信协议主要是有线网络，捎带一些本地无线功能许多专有的和标准的通信协议使用多种类型网络，包括有线、无线（无线电和卫星）技术支持允许多方提供技术支持通常由单一供应商提供技术支持生命周期3-5年15-20年组件访问组件通常在本地，可方便地访问组件可能是隔离的，远程的，需要大量的物力才能获得对其的访问Page12威努特—工控安全专家威努特工控安全理念—工控安全三大误区漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为工控设备由于长期忽视信息安全设计，存在应对攻击数据包能力低下，协议栈不健全等问题，漏洞扫描会直接导致设备崩溃，影响实际生产。工控安全≠漏洞扫描工控安全≠打补丁给工控设备打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而停掉这些流程往往会产生巨大的成本以及运营风险。因此，集中式的自动化的补丁管理系统是不存在的。几乎所有的工控网补丁都必须手动下载并安装。而且很多情况下，只能由供应商认证的技术人员进行安装。工控安全≠防病毒防病毒软件在长年不更新病毒库的工控网内的实际作用非常有限，老旧的病毒库无法抵御新型病毒的攻击；安装防病毒软件只是自欺欺人的一厢情愿罢了。Page13威努特—工控安全专家威努特工控安全理念—传统信息安全产品解决不了工控安全问题工业控制系统“可用性”第一，而IT信息系统以“机密性”第一从而要求安全产品的软硬件重新设计。例如：系统fail-to-open。可用性和机密性的矛盾升级和兼容性的矛盾工业控制系统不能接受频繁的升级更新操作依赖黑名单库的信息安全产品（例如：反病毒软件，IDS/IPS）不适用。工业协议的识别解析工业控制系统基于工业控制协议（例如，OPC、Modbus、DNP3、S7）传统安全产品支持IT通信协议（例如，HTTP、FTP），不支持工业控制协议。延时敏感工业控制系统对报文时延很敏感，而IT信息系统通常强调高吞吐量工控安全产品，必须从硬件选型、软件架构设计上保证低时延。工业级硬件要求工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿）按照工业现场环境的要求专门设计硬件，做到全密闭、无风扇，支持﹣40℃～70℃等。Page14威努特—工控安全专家威努特工控安全理念—“安全白环境”为客户构筑工控系统“安全白环境”整体防护体系，保护国家基础设施安全只有可信任的设备，才能接入控制网络；只有可信任的消息，才能在网络上传输；只有可信任的软件，才允许被执行；1.2.3.核心安全理念技术亮点及创新点创新性的率先提出了建立工控系统的和理念可信任网络白环境工控软件白名单创新的“软可信”计算技术，降低方案成本，提高实用性；机器自学习“白环境”智能建模技术，降低维护成本，提高易用性；1.2.工控协议深度解析技术，具备高安全性，低时延影响；3.Page15威努特—工控安全专家威努特工控安全理念—工控安全的三大命门现有工控网络无网络准入措施，任意工控设备都可以轻松接入现有网络，安全级别低；构建有效的网络准入体系，是解决工控安全的首要之选。网络准入网络传输网络传输层面临诸多安全风险，现有工控网络对此缺乏有效应对措施。对工控网络数据传输进行有效监管，拦截，可以防止大量潜在威胁；应用程序工控网络功能确定，行为单一，应用可预期。对工控网络的应用程序进行有效管控，阻止可疑、非法程序的运行，可以大幅度提高工控网络的安全等级。威努特—工控安全专家内容提纲威努特公司介绍工控安全标准解读21威努特工控安全理念3威努特工控安全解决方案4行业案例5Page17威努特—工控安全专家威努特工控安全解决方案核心技术理念：纵深防护白名单机制工业协议深度解析实时监控审计统一平台管理Page18威努特—工控安全专家威努特工控安全解决方案—白名单机制“白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。“白名单”安全机制是一种安全管理规范，不仅应用于防火墙软件的设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员只信任可识别的身份，未经授权的行为将被拒绝。Page19威努特—工控安全专家威努特工控安全解决方案—工业协议深度解析EthernetIPTCP传统防火墙EthernetIPTCPMAP头功能码数据校验工业防火墙ModbusTCP传统防火墙工业防火墙过滤字段IP地址（源、目的）端口（源、目的）传输层协议类型（TCP/UDP）IP地址（源、目的）端口（源、目的）传输层协议类型（TCP/UDP）Modbus功能码Modbus线圈/寄存器Modbus读写值域Modbus只读无法支持支持OPC动态端口无法支持支持Page20威努特—工控安全专家威努特工控安全解决方案—可信边界网关保护控制网与管理信息网之间的边界，阻止来自管理信息网的安全威胁产品定位产品功能网络边界隔离：支持透明和路由工作模式；安全域分区：支持Trust、DMZ、Untrust以及local等安全域划分，灵活配置不同区域安全规则；访问控制：基于IP地址、端口、时间以及服务的状态包过滤；数采协议的深度解析：例如OPC，支持OPC动态端口解析、完整性检查、合法性检查；以及深入到OPC协议接口、方法的过滤；并提供一键式“OPC只读”模板，极大降低运维人员配置难度；工业网络可视化：网络流量、工业协议识别以及异常操作告警；工业级硬件：支持宽温、震动军用级使用环境，适应严苛的工业现场；Page21威努特—工控安全专家威努特工控安全解决方案—可信区域网关保护工控网络内部不同安全区域的边界，阻止来自该安全区域外的安全威胁产品定位产品功能安全域分区：支持Trust、DMZ、Untrust以及Local等安全域划分，灵活配置不同区域安全规则；访问控制：基于IP地址、端口、时间以及服务的状态包过滤；工控协议的深度解析：例如Modbus、DNP3、IEC104等；支持对Modbus协议深度解析：包括功能码控制、参数控制、异常回复以及协议协议完整性、一致性检查；支持对IEC104协议深度解析：包括遥信、遥测、遥控、设点以及电度等访问控制；工业网络可视化：网络流量、工业协议识别以及异常操作告警；工业级硬件：支持宽温、震动军用级使用环境，适应严苛的工业现场；Page22威努特—工控安全专家威努特工控安全解决方案—可信边界/区域网关REEN55022:2010CEEN55022:2010ESDIEC61000-4-2:2008RSIEC61000-4-3:2006+A1:2007+A2:2010EFT/BIEC61000-4-4:2004+A1:2010SURGEI