智能制造環(huán)境下的工業(yè)控制系統(tǒng)安全防護(hù)

智能制造背景及介紹智能制造安全需求分析智能制造安全防護(hù)建議智能制造背景介紹從■,制造"到,,智造”促進(jìn)了工控生產(chǎn)方式的轉(zhuǎn)變商業(yè)模式,運(yùn)營模式制造模式,制造思維的轉(zhuǎn)變智能制造介紹智能制造智能制造的核心是互聯(lián)互通和信息集成！是“中國制造2025”的主攻方向!是基于新一代信息技術(shù)，貫穿設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等制造活動各個(gè)環(huán)節(jié)，具有信息深度自感知、智慧優(yōu)化自決策、精準(zhǔn)控制自執(zhí)行等功能的先進(jìn)制造過程、系統(tǒng)與模式的總稱。具有一智能工廠為載體，以關(guān)鍵制造環(huán)節(jié)智能化為核心，以端到端數(shù)據(jù)流為基礎(chǔ)，以網(wǎng)絡(luò)互聯(lián)為支撐等特征，可有效縮短產(chǎn)品研制周期、降低運(yùn)營成本、提高生產(chǎn)效率、提升產(chǎn)品質(zhì)量、降低資源能源消耗。其內(nèi)涵是實(shí)現(xiàn)整個(gè)制造業(yè)價(jià)值鏈的智能化和創(chuàng)新，是信息化與工業(yè)化深度融合的進(jìn)一步提升O、先進(jìn)制造技術(shù)、自動化技術(shù)和人工智能技術(shù)。智能工業(yè)控制網(wǎng)絡(luò)安全專家系統(tǒng)層級我國智能制造系統(tǒng)架構(gòu)三個(gè)維度資源要素系統(tǒng)集成新興業(yè)態(tài)智能功能協(xié)同企業(yè)控制設(shè)備A信息融合I網(wǎng)絡(luò)安全專家互聯(lián)互通王欷期銷售智能制造維度點(diǎn)PLC已制定的PLC標(biāo)準(zhǔn):?

GB/T15969.1可編程序控制器第1部分：通用信息應(yīng)用和實(shí)現(xiàn)導(dǎo)則?

IEC/TR61131-9可編程序控制器第9部分：小型傳感器和執(zhí)行器的單量數(shù)字通信接口(SDCI)正在制定的PLC標(biāo)準(zhǔn):?

20132546-T-604大規(guī)模PLC性能評定方法?

20132545-T-604大規(guī)模PLC檢查和例行試驗(yàn)方法?

20130787-T-604可編程邏輯控制器（PLC安全要求系統(tǒng)層級系銃集或互聯(lián)互通信息融合新興業(yè)態(tài)智能功能企業(yè)資源要素控制智能制造維度線---T業(yè)機(jī)器人已發(fā)布的工業(yè)機(jī)器人標(biāo)準(zhǔn):?

GB/T19399-2003工業(yè)機(jī)器人編程和操作圖形用戶接口?

GB/Z20869-2007工業(yè)機(jī)器人用于機(jī)器人的中間代碼正在制定的工業(yè)機(jī)器人標(biāo)準(zhǔn):?

20120878-T-604機(jī)器人仿真開發(fā)環(huán)境接口?

20112051-T-604開放式機(jī)器人控制接口規(guī)范系統(tǒng)層級互聯(lián)互通設(shè)備資源要素信息融合新興業(yè)態(tài)智能功能協(xié)同企業(yè)八工業(yè)/工業(yè)機(jī)器人智能制造維度面---T業(yè)互聯(lián)網(wǎng)系統(tǒng)集成互聯(lián)互通智能功能t系統(tǒng)層級車間協(xié)同企業(yè)信息融合新興業(yè)態(tài)設(shè)計(jì)資源要素控制設(shè)備y已發(fā)布的工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn):?

GB/T20171-2006用于工業(yè)測量與控制系統(tǒng)的EPA系統(tǒng)結(jié)構(gòu)與通信規(guī)范?

GB/T26790.1-2011工業(yè)無線網(wǎng)絡(luò)WIA規(guī)范第1部分：用于過程自動化的WIA系統(tǒng)結(jié)構(gòu)與通信規(guī)范?

GB/T25105-2014工業(yè)通信網(wǎng)絡(luò)現(xiàn)場總線規(guī)范類型10:PROFINETI。規(guī)范?

GB/T19760-2008CC-Link控制與通信網(wǎng)絡(luò)規(guī)范?

GB/T31230-2014工業(yè)以太網(wǎng)現(xiàn)場總線EtherCAT?

GB/T19582-2008基于Modbus協(xié)議的工業(yè)自動化網(wǎng)絡(luò)規(guī)范中國制造業(yè)的戰(zhàn)略發(fā)展歷程十二五期間2015年"中國制造2025"〃兩化深度融合”工業(yè)化信息化X匡恩網(wǎng)絡(luò)“互聯(lián)網(wǎng)+“■

2015年3月，李克強(qiáng)總理在政府工作報(bào)告中首次提出"互聯(lián)網(wǎng)+〃行動計(jì)劃?！?/p>

“互聯(lián)網(wǎng)+”行動計(jì)劃將重點(diǎn)促進(jìn)以于計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與現(xiàn)代制造業(yè)、生產(chǎn)性服務(wù)業(yè)等的融合創(chuàng)新，為產(chǎn)業(yè)智能化提供支撐，為經(jīng)濟(jì)發(fā)展提供新動力。■傳統(tǒng)產(chǎn)業(yè)與互聯(lián)網(wǎng)是〃互聯(lián)網(wǎng)+〃，而不再是“+互聯(lián)網(wǎng)”〃互聯(lián)網(wǎng)+傳統(tǒng)行業(yè)"？我想站在“互聯(lián)網(wǎng)+”的風(fēng)口上順勢而為，會使中國經(jīng)濟(jì)飛起來！智能工業(yè)控制網(wǎng)絡(luò)安全專家中國制造2025總體規(guī)劃：三十年，三步走中國制造2045中國制造2035國制造2025/T/強(qiáng)國中位/制造業(yè)強(qiáng)國“五九十”?五大工程?九大任務(wù)?十大領(lǐng)域■第一個(gè)十年的行動綱領(lǐng)■三步走戰(zhàn)略目標(biāo)■制造業(yè)發(fā)展的頂層設(shè)計(jì)/強(qiáng)國之列/制造業(yè)大國/世界強(qiáng)國/強(qiáng)國領(lǐng)先地位I〃中國制造2025”的核心：信息化與工業(yè)化深度融合！氏匡恩網(wǎng)絡(luò)智能工業(yè)￡齒譌中國制造衫025中國制造2025X匡恩網(wǎng)絡(luò)5大工程強(qiáng)國戰(zhàn)略規(guī)劃，遠(yuǎn)超制造本身加強(qiáng)質(zhì)量品牌建設(shè)積極發(fā)展服務(wù)型制造和生產(chǎn)性服務(wù)業(yè)全面推行綠色制造提高制造業(yè)國際化發(fā)展水平軌道交通裝備大力推動重點(diǎn)領(lǐng)域突破發(fā)展深入推進(jìn)制造業(yè)結(jié)構(gòu)調(diào)整農(nóng)業(yè)機(jī)械裝備國家制造吉端奘夂業(yè)創(chuàng)新中智能制造工業(yè)強(qiáng)基綠色制造高端裝備心建設(shè)創(chuàng)新提高國家制造業(yè)創(chuàng)新能力推進(jìn)信息化與工業(yè)化深度融合強(qiáng)化工業(yè)基礎(chǔ)能力新一代信高檔數(shù)控航空航天裝備海洋工程息通信技機(jī)床和機(jī)裝備及高1?術(shù)口口Ii器技術(shù)船舶節(jié)能與新能源汽車電力裝備新材料生物醫(yī)藥及高性能醫(yī)療器械強(qiáng)化工業(yè)基礎(chǔ)能力中、德、美對比戰(zhàn)略目標(biāo)技術(shù)IIII思路中國制造2025德國工業(yè)4.0美國工業(yè)互聯(lián)網(wǎng)移&戰(zhàn)制造業(yè)主導(dǎo)權(quán)維系制造業(yè)主導(dǎo)權(quán).匚■11■里獲制造業(yè)主導(dǎo)權(quán)信息技術(shù)與制造技術(shù)創(chuàng)新驅(qū)動、質(zhì)量為先，綠色發(fā)展、結(jié)構(gòu)優(yōu)化構(gòu)建信息物理系統(tǒng)，提高生產(chǎn)效率提升產(chǎn)品質(zhì)量打破智慧與機(jī)器的邊界、節(jié)能降耗、提高效率、智能決策、快速響應(yīng)需求X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家全球工控網(wǎng)絡(luò)安全態(tài)勢I工業(yè)控制網(wǎng)絡(luò)安全事件呈逐年增加趨勢I工控網(wǎng)絡(luò)安全成為各國網(wǎng)絡(luò)空間主戰(zhàn)場和反恐新戰(zhàn)場:?美國、歐盟等增加預(yù)算抵抗日益升級的網(wǎng)絡(luò)威脅?恐怖主義威脅滲透到工業(yè)控制系統(tǒng)，關(guān)鍵基礎(chǔ)設(shè)施成為主要攻擊目標(biāo)?國防網(wǎng)絡(luò)化和反恐網(wǎng)絡(luò)化將把工控網(wǎng)絡(luò)安全領(lǐng)域的對抗提升為國家核心競爭力黑客侵入監(jiān)管加州電力傳輸系統(tǒng)的獨(dú)立運(yùn)營商2001年美加電網(wǎng)大停電事國內(nèi)某電網(wǎng)停電事故故2003年2006年2008年伊朗核電站舉世聞名的〃震網(wǎng)〃事件〃HaveX〃導(dǎo)致多烏克蘭電網(wǎng)家能源企業(yè)單位被BlackEngery病毒感染，信息泄露德國核電站負(fù)責(zé)燃料裝卸系統(tǒng)遭惡意程序攻擊以色列電力供應(yīng)系統(tǒng)受到重大網(wǎng)絡(luò)攻擊2010年2014年2015年2016年美國斷網(wǎng)事件洞X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家黑客劫持南美洲的電網(wǎng)控制系統(tǒng)，敲詐政府西班牙智能電表被爆存在咼危漏烏克蘭最大機(jī)場遭網(wǎng)絡(luò)攻擊美國俄亥俄州核電廠控制網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)蠕蟲所感染工控網(wǎng)絡(luò)安全事件發(fā)展趨勢工業(yè)控制網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)穩(wěn)步增長的趨勢，2015年被ICS-CERT收錄的攻擊事件達(dá)到了295件。350300250200150100500數(shù)據(jù)來源：ICS-CERT工控安全事件所涉及的重要行業(yè)及分布2015年有97個(gè)安全事件是關(guān)于關(guān)鍵制造業(yè)的，占到全部事件的33%,成為本年度受攻擊最多的行業(yè)?！鐾ㄐ旁O(shè)施;13;4%■醫(yī)療設(shè)施;14;5%■政府機(jī)構(gòu);18;6%■商業(yè)設(shè)施;3;1%■信息技術(shù);6;2%■農(nóng)業(yè)設(shè)施;2;1%■財(cái)務(wù)系統(tǒng);2;1%■核工業(yè);7;2%■基礎(chǔ)工業(yè);2;1%■大壩;6;2%■運(yùn)輸系統(tǒng);23;8%■化學(xué)工業(yè);4;1%X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家國內(nèi)工控系統(tǒng)面臨高危風(fēng)險(xiǎn).暴露在互聯(lián)網(wǎng)上的西門子PLC設(shè)備分布情況數(shù)據(jù)來源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù)?其中11304個(gè)運(yùn)行FTP服務(wù)，占總數(shù)的70%；-其中4291個(gè)運(yùn)行SNMP服務(wù)，占總數(shù)的26%。暴露在互聯(lián)網(wǎng)上的VxWorks系統(tǒng)主機(jī)有16,202個(gè)數(shù)據(jù)來源：匡恩網(wǎng)絡(luò)2015年統(tǒng)計(jì)數(shù)據(jù)匡恩網(wǎng)絡(luò)19?中高危漏洞數(shù)量居高不下中危,65,60%咼危,33,31%數(shù)據(jù)來源：CNVD2015年新增工控漏洞?漏洞補(bǔ)丁不及時(shí)無補(bǔ)丁，23,30%有補(bǔ)丁，76,70%數(shù)據(jù)來源：CNVD2015年新增工控漏洞智能工業(yè)控制網(wǎng)絡(luò)安全專家形勢嚴(yán)峻目前面臨的安全形勢非常嚴(yán)峻，據(jù)相關(guān)調(diào)查結(jié)果顯示，在全國500。多個(gè)重要的工業(yè)控制系統(tǒng)中，95%以上的工控系統(tǒng)操作系統(tǒng)均是采用的國外產(chǎn)品，這一位著國內(nèi)的生產(chǎn)系統(tǒng)很容易受到國夕卜黑客的攻擊。并且，有80%的企業(yè)從來不對工控系統(tǒng)進(jìn)行升級和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)、甚至互聯(lián)網(wǎng)連接，一些存在漏洞的國外卜工控產(chǎn)品依然在國內(nèi)某些重要裝置上使用?？梢?，我國在工控安全的意識上并不明顯。X匡恩網(wǎng)絡(luò)20智能工業(yè)控制網(wǎng)絡(luò)安全專家工業(yè)控制系統(tǒng)的威脅來源隨著"工業(yè)4.0”時(shí)代的來臨和"兩化融合”腳歩的加快，越來越多的網(wǎng)絡(luò)安全隱患被帶入了工業(yè)控制系統(tǒng)幾個(gè)案例2013年底-2014年初，某軍工企業(yè)在廣州采購了大批的高端數(shù)控機(jī)床運(yùn)到蘭州，到蘭州開機(jī)后卻無法運(yùn)行，被鎖住了,企業(yè)在與廣州的代理廠商溝通后,代理廠商質(zhì)疑的機(jī)床采購地點(diǎn)在廣州，操作使用地點(diǎn)在蘭州，需要報(bào)備申請才可以使用。外國設(shè)備后門廣泛存在X匡恩網(wǎng)絡(luò)an應(yīng)用于我國西氣東輸調(diào)度網(wǎng)絡(luò)系統(tǒng)施耐德PLC被爆出存在漏洞后，施耐德推出了修復(fù)該漏洞的固件版本，版本仍存在默認(rèn)密碼后門。上海0W16MA西氣東洵二線工程無線應(yīng)用?某些重要企業(yè)單位依賴國外維護(hù)人員在維護(hù)DMG,通過維護(hù)人員平板直接連接數(shù)控機(jī)床進(jìn)行調(diào)試，不需要物理鏈路直連，采用無線模塊在近距離連接直接調(diào)試。?隨著無線技術(shù)的發(fā)展，無線技術(shù)以其卓越的便捷性快速融入各行業(yè)。）旁路控制）完整性破壞）違反授權(quán)，信息泄露）拒絕服務(wù)工控網(wǎng)絡(luò)安全危及國家安全I(xiàn)工控網(wǎng)絡(luò)安全I(xiàn)1衛(wèi)生事業(yè)X匡恩網(wǎng)絡(luò)代碼即武器，美國政府控制漏洞市場黑客入侵藥泵,輸出致命劑量/危害人身安全電廠遭USB病毒攻擊，大量機(jī)密數(shù)據(jù)泄漏數(shù)控機(jī)床關(guān)鍵數(shù)據(jù)被竊取，損失難以估量德國鋼廠熔爐控制系統(tǒng)受攻擊，導(dǎo)致熔爐無法正常關(guān)閉黑客遠(yuǎn)程入侵智能汽車，汽車也可能隨時(shí)”遭遇〃恐怖襲擊〃智能制造o污水處理廠遭非法入侵，污水直接排入自然水系智能制造、"兩化〃融合帶來的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)一/工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的，但近年來為了實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，滿足"兩化融合"的需求和管理的方便，通過邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進(jìn)行通信，而企業(yè)管理系統(tǒng)一般直接連接Internet，在這種情況下，工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng)，而且面臨著來自Internet的威脅。智能制造、"兩化〃融合帶來的風(fēng)險(xiǎn)利用軟件技術(shù)加強(qiáng)研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營軟件成企業(yè)智能制造突破口軟件技術(shù)MESPLMCAESCMDNCCAMERPCADCRMCAPPPDM利用軟件技術(shù)加強(qiáng)研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營管理等全流程和全產(chǎn)業(yè)鏈的信息化和智能化，實(shí)現(xiàn)智能管控匡恩網(wǎng)絡(luò)智能工業(yè)扌制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)已形成制造企業(yè)所具備的網(wǎng)絡(luò)架構(gòu)X匡恩網(wǎng)絡(luò)111III0O111~T^111丨丨聲O制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)方式1:未聯(lián)網(wǎng)設(shè)計(jì)網(wǎng)（高密）和生產(chǎn)網(wǎng)（低密）被禁止互聯(lián)互通設(shè)計(jì)網(wǎng)（高密）和生產(chǎn)網(wǎng)（低密）被禁止互聯(lián)互通，設(shè)計(jì)部門開發(fā)的數(shù)控加工代碼就只能通過U盤拷貝甚至刻光盤的方法下發(fā)到生產(chǎn)車間，效率及其低下。方式2:數(shù)控機(jī)床與管理主機(jī)直連管理主機(jī)與高端數(shù)控機(jī)床直連的方式進(jìn)行數(shù)控?cái)?shù)據(jù)傳輸，加工代碼通常使用FTP，網(wǎng)上鄰居共享或者私有通信協(xié)議的方式傳輸至數(shù)控機(jī)床中隨后通過HMI進(jìn)行加工操作智能工業(yè)控制網(wǎng)絡(luò)安全專家制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)已形成制造企業(yè)數(shù)控網(wǎng)絡(luò)架構(gòu)方式3:數(shù)控機(jī)床DNC聯(lián)網(wǎng)些研究機(jī)構(gòu)及企業(yè)已完成DNC組網(wǎng)保護(hù)方案,有些研究機(jī)構(gòu)及企業(yè)已向主管單位提交DNC組網(wǎng)方案申請，甚至開始嘗試數(shù)DNC網(wǎng)絡(luò)與設(shè)計(jì)網(wǎng)絡(luò)互聯(lián)試驗(yàn)測試，為提高生產(chǎn)制造效率為嘗試研究匡恩網(wǎng)絡(luò)高端制造數(shù)控系統(tǒng)主要相關(guān)廠商高端數(shù)控機(jī)床：-目前在中國高端數(shù)控機(jī)床CNC系統(tǒng)市場中，主要是國外品牌發(fā)那科FANUC（日本）、西門子SIEMEMS（德國）、海德漢HEIDENHAIN（德國）、哈斯HAAS（美國）、馬扎克MAZAK（日本）占據(jù)主導(dǎo)地位，無法自主可控，存在預(yù)留后門的危險(xiǎn)。精密測量儀器：-目前在中國精密測量儀器應(yīng)用市場中，主要是國外品牌占據(jù)主導(dǎo)地位，海克斯康Hexagon（美國）市場份額占55%，蔡司ZEISS（德國）市場份額占20%,國外品牌無法自主可控，存在預(yù)留后門的危險(xiǎn)。聯(lián)網(wǎng)整體解決方案：-目前在中國聯(lián)網(wǎng)整體解決方案應(yīng)用市場中，北京蘭光代理的CIMCO（丹麥）以及上海蓋勒普代理美國的Predator市場份額占90%，市場一直處于壟斷地位，國外品牌無法自主可控，存在預(yù)留后門的危險(xiǎn)。存在冋題全國工控安全大檢查1操作系統(tǒng)、控制器、組態(tài)軟件等存在大量未修復(fù)的漏洞工控系統(tǒng)?上位機(jī)大量使用的WINDOWSXP、WINDOWSSERVERS2003等操作系統(tǒng)?河南某企業(yè)工程師站發(fā)現(xiàn)4個(gè)危急漏洞?新疆某機(jī)場安檢系統(tǒng)發(fā)現(xiàn)10個(gè)危急漏洞和15個(gè)高危漏洞?四川某水廠發(fā)現(xiàn)西門子S7-300PLC存在135個(gè)中危漏洞?某水庫控制系統(tǒng)5臺施耐德M340PLC中存在32個(gè)漏洞?某發(fā)電廠9臺施耐德PLC中有600個(gè)中危漏洞?四川某鋼廠ORACLE數(shù)據(jù)庫有52個(gè)漏洞、組態(tài)軟件WINCC共有330個(gè)中危漏洞。智能工業(yè)控制網(wǎng)絡(luò)警專家開通3389端口X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家Teamview遠(yuǎn)程維護(hù)存在冋題2、操作站和工程師站存在較多遠(yuǎn)程維護(hù)端口和后門，系統(tǒng)運(yùn)維嚴(yán)重依賴于廠家丿兀<::::::::::::::::2::::::存在冋題3、日常運(yùn)行維護(hù)過程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護(hù)\___________________________________________________________________________________________________________________________________________________________________)封條方式網(wǎng)口和USB未采用任何方式智能工業(yè)控制網(wǎng)絡(luò)安全專家存在冋題4、普遍存在賬號共享、權(quán)限劃分不明確、弱口令、未定期更改密碼的問題\___________________________________________________________________________________________________________________________________________________________________)所有維護(hù)人員共用一個(gè)賬號管理智能工業(yè)控制網(wǎng)絡(luò)安全專家存在冋題5、工控網(wǎng)、管理網(wǎng)以及上級管理網(wǎng)之間缺乏系統(tǒng)有效的防護(hù)策略,現(xiàn)有防火墻、網(wǎng)閘等安全措施形同虛設(shè)policy5[Mnyany田nyanyanyMvsayspermi七policy1gelgeJanyanyanyalwayspermit,enableprofile二次系統(tǒng)安全防護(hù)表.policy2ge2ge3anyanyanyalwayspermit.enableprofile二次系統(tǒng)安全防護(hù)表policy3ge3ge1anyanyanyalwayspermitenableprofile二次系統(tǒng)安全防護(hù)表policy4ge3ge2anyanyanyalwayspermit.enableprofile二次系統(tǒng)安全防護(hù)表Il一.j—r,r—■?-r——■j—r—

.—一..—一.—■—■?—一.策略配置不到位工控網(wǎng)可訪問互聯(lián)網(wǎng)智能工業(yè)控制網(wǎng)絡(luò)安全專家存在冋題6、大部分上位機(jī)系統(tǒng)未安裝殺毒軟件，即使安裝，病毒庫更新嚴(yán)重滯后7、對第三方運(yùn)維缺乏管理監(jiān)督手段8、控制網(wǎng)與辦公網(wǎng)網(wǎng)絡(luò)邊界不清晰，控制網(wǎng)存在多個(gè)數(shù)據(jù)出口且無防護(hù)措施9、無線設(shè)備管理不完善X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家國內(nèi)外工控網(wǎng)絡(luò)安全防護(hù)理念的演變歷程強(qiáng)調(diào)隔離物理隔離的變種，網(wǎng)關(guān)、網(wǎng)閘、單向隔離，隔離背后是脆弱的，現(xiàn)代高端持續(xù)性攻擊都是針對隔離系統(tǒng)的丿V______________________________氏匡恩網(wǎng)絡(luò)縱深防御體系由傳統(tǒng)信息安全廠商提出的，大多數(shù)項(xiàng)目演變?yōu)樾畔踩a(chǎn)品的簡單堆砌，不能完全適應(yīng)工業(yè)網(wǎng)絡(luò)安全的特點(diǎn)丿丿由工業(yè)控制系統(tǒng)內(nèi)部生長的持續(xù)性防御體系適應(yīng)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)，通過基礎(chǔ)硬件創(chuàng)新來實(shí)現(xiàn)，低延時(shí)，高可靠，可定制化，持續(xù)更新，簡單化的實(shí)施和操作等以攻為守的國家戰(zhàn)略以美國、以色列為代表，在國家層面注重攻擊技術(shù)的研究、實(shí)驗(yàn)、突破和攻防演示實(shí)驗(yàn)室的建設(shè)，以攻擊技術(shù)的提高，帶動防御技術(shù)的提高，以攻擊威懾力，換取安全性\___________丿控制工業(yè)控制系統(tǒng)的“4+T安全性行為性本體性外持續(xù)性智能工業(yè)控制網(wǎng)絡(luò)安全專家rK1工控安全'保瞳體系」基因安全X匡恩網(wǎng)絡(luò)智能工業(yè)控制網(wǎng)絡(luò)安全專家本體安全存在問題外國設(shè)備后門工控高危漏洞DCScnIbgoocom解決辦法補(bǔ)償性措施SCADA保護(hù)性措施行為安全外部行為\|威脅隱患Nx匡恩網(wǎng)絡(luò)內(nèi)部行為工控系統(tǒng)網(wǎng)絡(luò)安全國家政策趨勢工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》2016,政策背景/2015年9月，根據(jù)中編辦文件，工控安全相關(guān)工作正式納入工信部的職責(zé)范圍，工信部以信息化和軟件服務(wù)司為主管司局，開始加快工控安全的保障工策作。/2016年5月，國務(wù)院發(fā)布《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將"提高工業(yè)信息系統(tǒng)安全水平”作為十大任務(wù)之一。行業(yè)背景/工控安全相關(guān)標(biāo)準(zhǔn)規(guī)范相繼出臺/工控安全相關(guān)技術(shù)不斷更新/工控安全相關(guān)服務(wù)商不斷涌現(xiàn)智能工業(yè)扌我國工控系統(tǒng)信息安全政策-《指南》發(fā)布背景介紹01發(fā)布的對象/主管部門：地方工業(yè)和信息化主管部門/工業(yè)企業(yè)：工業(yè)控制系統(tǒng)應(yīng)用企業(yè)/服務(wù)商：從事工控系統(tǒng)規(guī)劃設(shè)計(jì)建設(shè)運(yùn)維評估的單位/明確工業(yè)和信息化部指導(dǎo)和管理全國工業(yè)企業(yè)工控安全防護(hù)和保障工作02發(fā)布的目的/指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控安全防護(hù)實(shí)施方案-------,推動企業(yè)分期分批達(dá)到本指南相關(guān)要求《指南》目錄《指南》共分為11個(gè)大項(xiàng)30個(gè)條目，涵蓋了安全技術(shù)要求和安全管理要求十供應(yīng)鏈管理九數(shù)據(jù)安全八資產(chǎn)安全亠八遠(yuǎn)程訪問安全五身份認(rèn)證四物理和環(huán)境安全防護(hù)三邊界安全防護(hù)配置和補(bǔ)丁管理安全軟件選擇與管理七安全監(jiān)測和應(yīng)急預(yù)案演練落實(shí)責(zé)任―、安全軟件選擇與管理(―)在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗(yàn)證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行。(二)建立防病毒和惡意軟件入侵管理機(jī)制，對工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。/2個(gè)產(chǎn)品選擇：防病毒軟件和應(yīng)用程序白名單軟件，根據(jù)不同場景進(jìn)行選擇，在主解析機(jī)應(yīng)用程序變更頻繁且安全要求不高的主機(jī)，可選擇防病毒軟件；在主機(jī)應(yīng)用程序比較穩(wěn)定或安全要求較高的主機(jī)，可選擇應(yīng)用程序白名單。/1個(gè)管理要求：防惡意軟件管理制度，制度的內(nèi)容包括，生產(chǎn)設(shè)備定期進(jìn)行病毒查殺和樣本庫更新，臨時(shí)接入的設(shè)備要做病毒查殺，安全軟件要在離線環(huán)境中充分驗(yàn)證其功能性、安全性、兼容性等。二、配置和補(bǔ)丁管理配（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。（二）對重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測試。（三）密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級措施。在補(bǔ)丁安裝前，需對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證系統(tǒng)配置的管理要求X匡恩網(wǎng)絡(luò)/T1'/安全配置/配置清單/配置變更/漏洞補(bǔ)丁網(wǎng)絡(luò)設(shè)備、主機(jī)終端、控制設(shè)備的安全配置檢查審計(jì)配置清單檢查審計(jì)計(jì)劃、分析、測試密切關(guān)注、及時(shí)升級、安全評估、測試驗(yàn)證三、邊界安全防護(hù)（-）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。（二）通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。結(jié)構(gòu)安全的技術(shù)要求/分區(qū)隔離：通過隔離設(shè)備將開發(fā)、測試和生產(chǎn)網(wǎng)絡(luò)進(jìn)行邏輯或物理隔離/工控網(wǎng)邊界：使用工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備隔離，強(qiáng)調(diào)工控設(shè)備/工業(yè)防火墻：強(qiáng)調(diào)工控設(shè)備/工業(yè)網(wǎng)閘：強(qiáng)調(diào)工控設(shè)備X匡恩網(wǎng)絡(luò)四、物理和環(huán)境安全防護(hù)(―)對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。(二)拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。物理環(huán)境安全的管理和技術(shù)要求解析,為風(fēng)險(xiǎn)評估提供很好的依據(jù)/外設(shè)安全提到管理技術(shù)手段，即需要管理+技術(shù)手段控制五、身份認(rèn)證（―）在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問、工業(yè)于平臺訪問等過程中使用身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認(rèn)證。（二）合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。（三）強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，

弱口令，定期更新口令。（四）加強(qiáng)對身份認(rèn)證證書信息保護(hù)力度,禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。業(yè)務(wù)系統(tǒng)身份認(rèn)證管理要求,多因素認(rèn)證：應(yīng)使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認(rèn)證手段的組合/最小特權(quán)原則：僅限于工作需要賬戶權(quán)限，并定期審計(jì)/加強(qiáng)證書保護(hù)力度：硬件介質(zhì)存放、證書管理制度等方面加強(qiáng)解析X匡恩網(wǎng)絡(luò)六、遠(yuǎn)程安全訪問（―）原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。（二）確需遠(yuǎn)程訪問的，采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加,對訪問時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。（三）確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行。（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進(jìn)行安全審計(jì)。緊密結(jié)合工控業(yè)務(wù)場景的技術(shù)要求解析,明確了禁止的應(yīng)用為：HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù),單向訪問控制策略：單向隔離裝置需要支持的策略要求，時(shí)限、加標(biāo)鎖定等策略,VPN:支持認(rèn)證加密的VPN產(chǎn)品,操作過程的安全審計(jì)：保留日志，定期審計(jì)七、安全監(jiān)測與應(yīng)急演練（―）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。（二）在重要工業(yè)控制