工業(yè)控制系統(tǒng)信息安全整體解決方案PPT課件

1、工業(yè)控制系統(tǒng)信息安全整體解決方案工業(yè)控制系統(tǒng)信息安全整體解決方案工業(yè)控制系統(tǒng)信息安全整體解決方案內容提綱威努特公司介紹威努特公司介紹工控安全標準解讀工控安全標準解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案公司簡介p 北京威努特技術有限公司是一家專注于工業(yè)控制系統(tǒng)網絡安全產品與解決方案研發(fā)的創(chuàng)新型高科技公司。p公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務，幫助企業(yè)客戶識別工控系統(tǒng)安全風險，掌控工控安全現(xiàn)狀與趨勢，提高工控安全防護與事件響應能力。p公司組建了一支由業(yè)界知名信息

2、安全專家、工控系統(tǒng)專家、成熟產品研發(fā)團隊以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團隊 ?？蔀槠髽I(yè)客戶提供：穩(wěn)定可靠的工控安全防護產品；穩(wěn)定可靠的工控安全防護產品；專業(yè)深度的專業(yè)深度的工控安全咨詢培訓工控安全咨詢培訓；全方位的安全服務：全方位的安全服務：風險評估風險評估/ /漏洞挖掘漏洞挖掘/ /滲透測試滲透測試/ /攻防演練；攻防演練；p幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護體系。工業(yè)控制系統(tǒng)信息安全整體解決方案公司市場地位產品為王p國內第一款“白名單主動防御”主機防病毒軟件，比肩美國Bit9的創(chuàng)新產品；p國內第一款“千兆工業(yè)防火墻”，性

3、能10-20倍業(yè)界一般水平；p與國內外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家；p成功替代McAfee的國內工控安全廠商；工業(yè)控制系統(tǒng)信息安全整體解決方案內容提綱威努特公司介紹威努特公司介紹工控安全標準解讀工控安全標準解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標準解讀國際工控安全標準組織：1. 國際電工委員會（ IEC ， International Electro Technical Commission ）2. 國際自動化協(xié)會（ ISA ， the Intern

4、ational Society of Automation ）3. 美國國家標準技術研究院（ NIST ， National Institute of Standards and Technology ）我國工控安全標準組織：1.全國信息安全標準化技術委員會（TC260）2.全國工業(yè)過程測量和控制標準化技術委員會（TC124）3.全國電力系統(tǒng)管理及其信息交換標準化技術委員會（TC82）4.全國電力監(jiān)管標準化技術委員會（TC296）工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標準解讀IEC62443工控安全定義信息安全(Security) IEC62443針對工控系統(tǒng)信息安全的定義是：A、保護系統(tǒng)所

5、采取的措施；B、由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；C、能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失。D、基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止；E、防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標準解讀IEC62443總體框架工業(yè)控制系統(tǒng)信息安全整體解決方案工控安全標準解讀IEC62443工控安全模型區(qū)域：是一組物理或邏輯上的資產，基于重要性或事故影響，它們具有相同的安全需求。管道：是“區(qū)域”之間信息交換的通道，除了網絡通道外，USB

6、移動存儲介質、遠程撥號鏈接等也需要考慮。管道和區(qū)域，劃分出了縱深防御的網絡結構。工業(yè)控制系統(tǒng)信息安全整體解決方案內容提綱威努特公司介紹威努特公司介紹工控安全標準解讀工控安全標準解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全傳統(tǒng)信息安全傳統(tǒng)信息安全與工控安全差異點分類傳統(tǒng)信息安全工控安全性能非實時 高吞吐量 高延遲或抖動可接受實時適度的吞吐量高延遲或抖動不可接受可用性重新啟動可以接受 可用性的缺陷往往可以容忍重新啟動不可接受可用性要求可能需要冗余系統(tǒng)停機必

7、須有計劃和提前預定時間高可用性要求充分的部署前測試風險管理機密性、完整性是最重要的容錯不是太重要，臨時停機不是主要風險主要的風險影響是業(yè)務操作的推遲人身安全是最重要的，其次是過程保護容錯是必須的，即使瞬間的停機也可能不可接受主要的風險影響是不合規(guī)，環(huán)境影響，生命、設備或生產損失架構的安全重點首要重點是保護IT資產，及這些資產上存儲的傳輸?shù)男畔⑹滓攸c是保護邊緣設備，如現(xiàn)場設備、過程控制器中央服務器的保護也很重要信息安全方案信息安全方案圍繞典型的IT系統(tǒng)進行設計安全產品必須先測試，例如在離線工控系統(tǒng)上測試，以保它們不會影響工控系統(tǒng)的正常運行快速反應快速反應不太重要可以根據(jù)必要的安全程度實施嚴格的

8、訪問控制人機交互及緊急情況下快速反應是關鍵應嚴格控制對工控系統(tǒng)的訪問，但不應妨礙或干預人機交互系統(tǒng)運行使用典型的操作系統(tǒng)采用自動部署工具使得升級非常簡單專用的操作系統(tǒng)，往往沒有內置的安全功能軟件變更必須慎重，通常由軟件供應商操作資源限制資源充足，能支持增加第三方功能，如信息安全功能系統(tǒng)被設計為支持預定的工業(yè)過程，可能沒有足夠的資源支持增加安全功能通信標準通信協(xié)議主要是有線網絡，捎帶一些本地無線功能許多專有的和標準的通信協(xié)議使用多種類型網絡，包括有線、無線（無線電和衛(wèi)星）技術支持允許多方提供技術支持通常由單一供應商提供技術支持工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全三大誤區(qū)漏洞

9、掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為工控設備由于長期忽視信息安全設計，存在應對攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會直接導致設備崩潰，影響實際生產。工控安全漏洞掃描工控安全打補丁給工控設備打補丁是個很困難的事。工控網常常擔負著企業(yè)最重要的生產流程。而停掉這些流程往往會產生巨大的成本以及運營風險。因此，集中式的自動化的補丁管理系統(tǒng)是不存在的。幾乎所有的工控網補丁都必須手動下載并安裝。而且很多情況下，只能由供應商認證的技術人員進行安裝。工控安全防病毒防病毒軟件在長年不更新病毒庫的工控網內

10、的實際作用非常有限，老舊的病毒庫無法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念傳統(tǒng)信息安全產品解決不了工控安全問題u工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機密性”第一從而要求安全產品的軟硬件重新設計。例如：系統(tǒng)fail-to-open。可用性和機密性的矛盾升級和兼容性的矛盾u工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作依賴黑名單庫的信息安全產品（例如：反病毒軟件，IDS/IPS）不適用。工業(yè)協(xié)議的識別解析u工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7）傳統(tǒng)安全產品支持IT通信協(xié)議（例如，HTTP

11、、FTP），不支持工業(yè)控制協(xié)議。延時敏感u工業(yè)控制系統(tǒng)對報文時延很敏感，而IT信息系統(tǒng)通常強調高吞吐量工控安全產品，必須從硬件選型、軟件架構設計上保證低時延。工業(yè)級硬件要求u工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕）按照工業(yè)現(xiàn)場環(huán)境的要求專門設計硬件，做到全密閉、無風扇，支持4070等。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念“安全白環(huán)境”為客戶構筑工控系統(tǒng)“安全白環(huán)境”整體防護體系，保護國家基礎設施安全只有可信任的設備，才能接入控制網絡；只有可信任的消息，才能在網絡上傳輸；只有可信任的軟件，才允許被執(zhí)行；1.2.3.核心安全理念技術亮點及創(chuàng)新點創(chuàng)新性的率先提出

12、了建立工控系統(tǒng)的 和 理念可信任網絡白環(huán)境工控軟件白名單創(chuàng)新的“軟可信”計算技術，降低方案成本，提高實用性；機器自學習“白環(huán)境”智能建模技術，降低維護成本，提高易用性；1.2.工控協(xié)議深度解析技術，具備高安全性，低時延影響；3.工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全理念工控安全的三大命門現(xiàn)有工控網絡無網絡準入措施，任意工控設備都可以輕松接入現(xiàn)有網絡，安全級別低；構建有效的網絡準入體系，是解決工控安全的首要之選。網絡準入網絡傳輸網絡傳輸層面臨諸多安全風險，現(xiàn)有工控網絡對此缺乏有效應對措施。對工控網絡數(shù)據(jù)傳輸進行有效監(jiān)管，攔截，可以防止大量潛在威脅；應用程序工控網絡功能確定，行為單一，應用

13、可預期。對工控網絡的應用程序進行有效管控，阻止可疑、非法程序的運行，可以大幅度提高工控網絡的安全等級。工業(yè)控制系統(tǒng)信息安全整體解決方案內容提綱威努特公司介紹威努特公司介紹工控安全標準解讀工控安全標準解讀2 21 1威努特工控安全理念威努特工控安全理念3 3威努特工控安全解決方案威努特工控安全解決方案4 4行業(yè)案例行業(yè)案例5 5工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案核心技術理念：n縱深防護n白名單機制n工業(yè)協(xié)議深度解析n實時監(jiān)控審計n統(tǒng)一平臺管理工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案白名單機制 “白名單”主動防御技術是通過提前計劃好的協(xié)議規(guī)則來限制網絡數(shù)據(jù)的交換，

14、在控制網到信息網之間進行動態(tài)行為判斷。通過對約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播。 “白名單”安全機制是一種安全管理規(guī)范，不僅應用于防火墻軟件的設置規(guī)則，也是在實際管理中要遵循的原則，例如在對設備和計算機進行實際操作時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份，未經授權的行為將被拒絕。工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工業(yè)協(xié)議深度解析EthernetEthernetIPIPTCPTCPl傳統(tǒng)防火墻EthernetEthernetIPIPTCPTCPMAPMAP頭頭功能碼功能碼數(shù)據(jù)數(shù)據(jù)校驗校驗l工業(yè)防火墻Modbus TCP

15、傳統(tǒng)防火墻工業(yè)防火墻過濾字段IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）Modbus功能碼Modbus線圈/寄存器Modbus讀寫值域Modbus只讀無法支持支持OPC動態(tài)端口無法支持支持工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界網關保護控制網與管理信息網之間的邊界，阻止來自管理信息網的安全威脅產品定位產品功能網絡邊界隔離：支持透明和路由工作模式；安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時間

16、以及服務的狀態(tài)包過濾；數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運維人員配置難度；工業(yè)網絡可視化：網絡流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應嚴苛的工業(yè)現(xiàn)場；工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信區(qū)域網關保護工控網絡內部不同安全區(qū)域的邊界，阻止來自該安全區(qū)域外的安全威脅產品定位產品功能安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時

17、間以及服務的狀態(tài)包過濾；工控協(xié)議的深度解析：例如Modbus 、DNP3、IEC 104等；支持對Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜鸵约皡f(xié)議協(xié)議完整性、一致性檢查；支持對IEC104協(xié)議深度解析：包括遙信、遙測、遙控、設點以及電度等訪問控制；工業(yè)網絡可視化：網絡流量、工業(yè)協(xié)議識別以及異常操作告警；工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應嚴苛的工業(yè)現(xiàn)場；工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界/區(qū)域網關RE EN55022:2010CE EN55022:2010ESD IEC61000-4-2: 2008RS IEC61000-4-3: 20

18、06+A1: 2007+A2: 2010EFT/B IEC61000-4-4: 2004+A1: 2010SURGE IEC61000-4-5: 2005CS IEC61000-4-6: 2008M/S IEC 61000-4-8: 2009DIPS IEC 61000-4-11: 2004工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案可信邊界/區(qū)域網關關鍵參數(shù)工業(yè)控制系統(tǒng)信息安全整體解決方案 保護工作站（工程師站、操作員站等）的安全可控； 保護服務器（應用服務器、實時數(shù)據(jù)服務器、歷史數(shù)據(jù)服務器、OPC服務器等）的安全可控；威努特工控安全解決方案工作站可信衛(wèi)士工業(yè)控制系統(tǒng)信息安全整體解

19、決方案當惡意軟件被用戶無意下載到本機之后，可信衛(wèi)士可阻斷惡意軟件的安裝及運行，同時生成審計日志，協(xié)助管理員發(fā)現(xiàn)病毒。威努特工控安全解決方案工作站可信衛(wèi)士工作原理工業(yè)控制系統(tǒng)信息安全整體解決方案 有效抵御零日攻擊及高級持久性威脅（APT）； 靈活配置白名單，增強安全的同時降低維護成本； 完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報”； 系統(tǒng)資源低開銷，不影響正常工控軟件運行； 操作極致簡單，適合工控環(huán)境，減少安全生產事故； 保護不受支持的Microsoft Windows XP等舊系統(tǒng)； 全方位的日志審計，安全隱患一目了然；威努特工控安全解決方案工作站可信衛(wèi)士核心優(yōu)勢核心優(yōu)勢工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工作站可信衛(wèi)士產品界面工業(yè)控制系統(tǒng)信息安全整體解決方案威努特工控安全解決方案工控安全審計管理平臺監(jiān)控并記錄工控系統(tǒng)運行過程中的一切操作行為，為事故追溯