部署工控運(yùn)維審計(jì)平臺(tái)-第六屆工業(yè)控制系統(tǒng)信息安全峰會(huì)

1、眼見為實(shí)工控網(wǎng)絡(luò)七大安全隱患和解決方案工控系統(tǒng)普遍存在的七大安全隱患6.執(zhí)行關(guān)鍵操作，缺乏日志記錄5.執(zhí)行服務(wù)器操作，缺乏系統(tǒng)審計(jì)4.工控設(shè)備存在諸多漏洞，RTU/PLC安全隱患突出3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設(shè)備2.系統(tǒng)極少升級，易受病毒攻擊感染1.開放對外接口，帶來安全隱患7.網(wǎng)絡(luò)流量異常，導(dǎo)致設(shè)備工作異常!工控系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D（以發(fā)電廠為例）1.開放對外接口，帶來安全隱患外來接入設(shè)備外來接入設(shè)備：1、供應(yīng)商遠(yuǎn)程維護(hù)2、工程師遠(yuǎn)程操作3、數(shù)據(jù)遠(yuǎn)程傳輸4、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：廠級關(guān)鍵監(jiān)控應(yīng)用系統(tǒng)服務(wù)器，應(yīng)該使用安全加固的操作系統(tǒng)。非控制區(qū)的安全設(shè)備應(yīng)當(dāng)進(jìn)行身份

2、鑒別、權(quán)限控制等安全配置加固。1.開放對外接口，帶來安全隱患2.系統(tǒng)極少升級，易受病毒攻擊感染病毒入侵途徑：1、遠(yuǎn)程維護(hù)外來接入設(shè)備2、本地維護(hù)外來接入設(shè)備3、移動(dòng)媒質(zhì)4、釣魚軟件5、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：安全加固：采用專用軟件強(qiáng)化操作系統(tǒng)訪問控制能力及配置安全的應(yīng)用程序，其中配置的更改和補(bǔ)丁安裝應(yīng)當(dāng)經(jīng)過測試。2.系統(tǒng)極少升級，易受病毒攻擊感染3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設(shè)備遺忘設(shè)備惡意設(shè)備未知設(shè)備來源：1、新舊系統(tǒng)交替2、來自內(nèi)部的破壞3、系統(tǒng)設(shè)備管理失誤4、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：入侵檢測：合理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界

3、正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。3.系統(tǒng)缺乏監(jiān)測手段，無法感知未知設(shè)備4.工控設(shè)備存在諸多漏洞，RTU/PLC安全隱患突出工控設(shè)備安全隱患：1、通信協(xié)議明文傳輸2、通信協(xié)議缺乏認(rèn)證加密機(jī)制3、通信健壯性脆弱4、非法惡意報(bào)文可導(dǎo)致設(shè)備崩潰5、設(shè)備固件從不更新6、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：入侵檢測：分析潛在威脅并進(jìn)行安全審計(jì)；惡意代碼防范：應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄；漏洞整改：應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)；4.工控設(shè)備存在諸多漏洞，RTU/PLC安全隱患突出5.執(zhí)行服務(wù)器操作，缺乏系統(tǒng)審計(jì)服務(wù)器操作：1、安裝/更新組態(tài)軟件2、配置/修改

4、軟件參數(shù)3、增加/刪減用戶4、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪問控制。操作行為安全審計(jì)，抗抵賴，安全審計(jì)。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄關(guān)鍵操作：1、開關(guān)控制2、調(diào)節(jié)檔位3、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪問控制。操作行為安全審計(jì)，抗抵賴，安全審計(jì)。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄關(guān)鍵操作：1、下裝邏輯程序2、組態(tài)變更3、國能安全【2015】36號(hào)文件5、綜合安全防護(hù)：身份鑒別，訪問權(quán)限控制：訪問系統(tǒng)資源等操作進(jìn)行

5、身份認(rèn)證，根據(jù)身份與權(quán)限進(jìn)行訪問控制。操作行為安全審計(jì)，抗抵賴，安全審計(jì)。6.執(zhí)行關(guān)鍵操作，缺乏日志記錄7.網(wǎng)絡(luò)流量異常，導(dǎo)致設(shè)備工作異常網(wǎng)絡(luò)流量異常發(fā)生的原因：1、網(wǎng)卡硬件異常導(dǎo)致廣播風(fēng)暴2、交換機(jī)配置錯(cuò)誤導(dǎo)致回環(huán)3、拒絕服務(wù)式網(wǎng)絡(luò)攻擊(DOS)4、國能安全【2015】36號(hào)文件2、基本原則：安全分區(qū)：根據(jù)系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)及非控制區(qū)，重點(diǎn)保護(hù)生產(chǎn)控制以及直接影響電力生產(chǎn)的系統(tǒng)。網(wǎng)絡(luò)專用：電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)。7.網(wǎng)絡(luò)流量異常，導(dǎo)致設(shè)備工作異常立思辰安全解決方案解決問題的依據(jù)1ISA99/IEC62443IEC-624

6、43-1-1術(shù)語，概念和模型IEC-62443-1-2術(shù)語和縮略語IEC-62443-1-3系統(tǒng)信息安全合規(guī)度量IEC-62443-1-1建立IACS安全規(guī)劃IEC-62443-1-1實(shí)施IACS安全規(guī)劃IEC-62443-1-1IACS環(huán)境中補(bǔ)丁更新管理IEC-62443-2-4IACS制造商安全政策和實(shí)踐的認(rèn)證IEC-62443-1-1IACS安全技術(shù)IEC-62443-1-1產(chǎn)品開發(fā)要求IEC-62443-1-1IACS產(chǎn)品的安全技術(shù)要求IEC-62443-1-1區(qū)域和通道的安全保障等級IEC-62443-1-1系統(tǒng)安全要求和保障等級通用資產(chǎn)擁有者系統(tǒng)集成商部件提供商解決問題的依據(jù)2等級

7、保護(hù)技術(shù)規(guī)范等級保護(hù)管理要求技術(shù)要求系統(tǒng)運(yùn)維管理數(shù)據(jù)安全與備份恢復(fù)應(yīng)用安全網(wǎng)絡(luò)安全主機(jī)安全物理安全系統(tǒng)建設(shè)管理人員安全管理安全管理機(jī)構(gòu)安全管理制度安全咨詢服務(wù)立思辰產(chǎn)品與服務(wù)環(huán)境監(jiān)控系統(tǒng)電力工控安全入侵檢測系統(tǒng)第三方邊界防護(hù)主機(jī)加固電力工控安全入侵檢測節(jié)點(diǎn)運(yùn)維審計(jì)平臺(tái)主機(jī)加固解決問題的依據(jù)基本要求：安全分級安全管理基本要求技術(shù)要求安全檢查測試方法評估工作包括從組織機(jī)構(gòu)管理工業(yè)控制系統(tǒng)能力（技術(shù)）GB/T30976.1評估規(guī)范驗(yàn)收流程驗(yàn)收內(nèi)容驗(yàn)收方法及要求驗(yàn)收測試驗(yàn)收準(zhǔn)備風(fēng)險(xiǎn)分析與處置能力確認(rèn)GB/T30976.2驗(yàn)收規(guī)范我國正式頒布的工業(yè)控制系統(tǒng)信息安全國家標(biāo)準(zhǔn)第一部分和第二部分解決問題的依據(jù)

8、4國家能源局國能安全【2015】36號(hào)文件2015年2月4日，國家能源局發(fā)布國能安全【2015】36號(hào)文，為了加強(qiáng)發(fā)電廠電力監(jiān)控系統(tǒng)安全防護(hù)，抵御黑客及惡意代碼等對發(fā)電廠監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止發(fā)電廠電力監(jiān)控系統(tǒng)癱瘓和失控，和由此導(dǎo)致的發(fā)電廠一次系統(tǒng)事故和其他事故，制定了36號(hào)文。安全解決方案四步解決網(wǎng)絡(luò)安全加固1部署電力工控安全入侵檢測節(jié)點(diǎn)及電力工控安全入侵檢測系統(tǒng)2主機(jī)加固3部署工控運(yùn)維審計(jì)平臺(tái)4部署第三方邊界防護(hù)電力工控安全入侵檢測系統(tǒng)主機(jī)加固工控運(yùn)維審計(jì)平臺(tái)第三方邊界防護(hù)電力工控安全入侵檢測節(jié)點(diǎn)基于36號(hào)文的項(xiàng)目實(shí)施方案與解決的安全隱患電力工控安全入侵檢測系

9、統(tǒng)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)安全加固第一步：部署電力工控安全入侵檢測節(jié)點(diǎn)及電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點(diǎn)及電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測系統(tǒng)工控協(xié)議深度解析DOS洪水攻擊防護(hù)IP/MAC訪問控制RTU/PLC漏洞防護(hù)網(wǎng)絡(luò)流量異常監(jiān)測關(guān)鍵操作日志記錄智能學(xué)習(xí)控制指令可視化實(shí)時(shí)監(jiān)控電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)及電力工控安全入侵檢測系統(tǒng)解決的安全隱患安全加固第二步：主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測

10、節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)主機(jī)加固徹底杜絕病毒木馬微軟簽名國密算法重點(diǎn)目錄監(jiān)測程序動(dòng)態(tài)庫驅(qū)動(dòng)檢測注冊表保護(hù)運(yùn)行動(dòng)態(tài)監(jiān)測外設(shè)及網(wǎng)絡(luò)檢測遠(yuǎn)程報(bào)警中心聯(lián)動(dòng)主機(jī)加固主機(jī)加固解決的安全隱患安全加固第三步：部署工控運(yùn)維審計(jì)平臺(tái)工控運(yùn)維審計(jì)平臺(tái)電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固工控運(yùn)維審計(jì)平臺(tái)上位機(jī)操作行為審計(jì)工作站操作行為審計(jì)服務(wù)器操作行為審計(jì)操作權(quán)限審計(jì)賬號(hào)管理訪問控制支持高清格式屏幕錄像設(shè)置命令黑白名單支持標(biāo)準(zhǔn)協(xié)議工控運(yùn)維審計(jì)平臺(tái)工控運(yùn)維審計(jì)平臺(tái)解決的安全隱患工控運(yùn)維審計(jì)平臺(tái)安全加固第四步：部署第三方邊界防護(hù)電力工控安全入侵檢測系統(tǒng)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)電力工控安全入侵檢測節(jié)點(diǎn)第三方邊界防護(hù)主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固主機(jī)加固網(wǎng)絡(luò)物理隔離安全數(shù)據(jù)傳輸雙重操作系統(tǒng)支持地址轉(zhuǎn)換高強(qiáng)度加密算法雙重安全掃描檢測支持客戶端IP白名單杜絕病毒木馬感染第三方邊界防護(hù)第三方邊界防護(hù)解決的安全隱患解決方案仿真演示1：“開放對外接口，帶來安全隱患”