2021工控安全現(xiàn)場(chǎng)案例分析

工控安全現(xiàn)場(chǎng)案例分析工控安全現(xiàn)場(chǎng)案例分析目錄0102目錄0102典型現(xiàn)場(chǎng)實(shí)施案例分享03 典型案例分析Ⅰ：讓“WannaCry”笑不出來(lái)案例背景2017年5月12日晚20時(shí)左右，全球爆發(fā)大規(guī)模的“WannaCry”勒索病毒事件。該病毒由不法分子利用NSA（NationalSecurityAgency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播，儼然是一場(chǎng)全球性互聯(lián)網(wǎng)災(zāi)難，工業(yè)現(xiàn)場(chǎng)也沒有幸免于難。問題描述威努特第一時(shí)間協(xié)助客戶做病毒清理和主機(jī)加固的工作，并做出情況總結(jié)：工業(yè)客戶中，地域分布廣的工業(yè)控制現(xiàn)場(chǎng)是重災(zāi)區(qū)。病毒由辦公網(wǎng)進(jìn)入生產(chǎn)網(wǎng)的趨勢(shì)比較明顯?！癢annaCry”出現(xiàn)在工業(yè)現(xiàn)場(chǎng)的原因問題分析為病毒傳播提供重要途徑。對(duì)移動(dòng)存儲(chǔ)設(shè)備使用的管控失位，進(jìn)一步擴(kuò)大了安全風(fēng)險(xiǎn)。效控制?；凇昂诿麊巍彼悸返臍⒍拒浖诿鎸?duì)0Day無(wú)策，被動(dòng)防御。“WannaCry”事件部分工業(yè)現(xiàn)場(chǎng)情況統(tǒng)計(jì)威努特基于“白名單”思想的工控主機(jī)衛(wèi)士在此次事件中表現(xiàn)不凡，工業(yè)現(xiàn)場(chǎng)部署了該軟件的主機(jī)無(wú)一感染。工業(yè)現(xiàn)場(chǎng)中毒情況操作系統(tǒng)主機(jī)防護(hù)后續(xù)措施油田現(xiàn)場(chǎng)1辦公網(wǎng)：1生產(chǎn)網(wǎng)：7WindowsXP、Windows7Windowsserver2008R2辦公網(wǎng)：北信源、360天擎生產(chǎn)網(wǎng)：無(wú)生產(chǎn)網(wǎng)免費(fèi)試用工控主機(jī)衛(wèi)士油田現(xiàn)場(chǎng)2辦公網(wǎng)：30生產(chǎn)網(wǎng)：2（部署工控主機(jī)衛(wèi)士的主機(jī)病毒未生效）WindowsXPWindows7辦公網(wǎng)：諾頓生產(chǎn)網(wǎng)：部分部署工控主機(jī)衛(wèi)士生產(chǎn)網(wǎng)全部部署工控主機(jī)衛(wèi)士油田現(xiàn)場(chǎng)3辦公網(wǎng)：未統(tǒng)計(jì)生產(chǎn)網(wǎng)：1（部署工控主機(jī)衛(wèi)士的主機(jī)病毒未生效）Windows7Windowsserver2008R2辦公網(wǎng)：無(wú)生產(chǎn)網(wǎng)：部分部署工控主機(jī)衛(wèi)士生產(chǎn)網(wǎng)全部部署工控主機(jī)衛(wèi)士“WannaCry”事件部分工業(yè)現(xiàn)場(chǎng)圖圖1：病毒將文件名后綴修改 圖2：病毒在辦公網(wǎng)爆發(fā) 圖3：生產(chǎn)網(wǎng)服務(wù)器中毒圖4：威努特工程師現(xiàn)場(chǎng)服務(wù) 圖5：工控主機(jī)衛(wèi)士阻斷病毒執(zhí)行 圖6：阻斷病毒執(zhí)行的日志詳情工業(yè)主機(jī)“WannaCry”解決方案普通解決方案方案：已經(jīng)被病毒加密了文件的主機(jī)，可以通過解密工具進(jìn)行解密，但是成功概率較低。未染毒主機(jī)打補(bǔ)丁、關(guān)端口。問題：一、端口是必須用到的端口，不能關(guān)閉怎么辦？有效解決方案方案：部署基于“白名單”思想的主被動(dòng)防御為主動(dòng)防護(hù)。優(yōu)勢(shì)：一、不借助任何類型的病毒庫(kù)文件，有效抵御未知威脅和0Day漏洞。二、低開銷，對(duì)工業(yè)控制軟件全面兼容。典型案例分析Ⅱ：工業(yè)現(xiàn)場(chǎng)“掃毒”記案例背景除了電力、石化等國(guó)家基礎(chǔ)工業(yè)領(lǐng)域，與民生密切相關(guān)的市政系統(tǒng)也分布了大量的工業(yè)控制系統(tǒng)，做好這部分的安全防護(hù)工作，同樣意義重大。某石化燃?xì)夤窘?jīng)過長(zhǎng)時(shí)間技術(shù)交流和對(duì)比測(cè)試后，最終選擇了成熟的工控安全解決方案來(lái)保障生產(chǎn)的安全與穩(wěn)定。問題描述現(xiàn)場(chǎng)所有的操作員站和工程師站平時(shí)通過網(wǎng)絡(luò)共享或U盤拷貝文件，但沒有安裝任何安全軟件，在查毒過程中都發(fā)現(xiàn)有病毒感染，其中部分病毒（馬吉斯病毒也給殺毒工作也帶來(lái)風(fēng)險(xiǎn)。工業(yè)現(xiàn)場(chǎng)病毒“橫行”的根源分析根源分析在這種情況下，只要沒出大問題，能用的東西就會(huì)一直用下去，因此從工業(yè)現(xiàn)場(chǎng)找到一個(gè)很原始的操作系統(tǒng)版本或者找到一個(gè)很古老的病毒樣本都是一件很簡(jiǎn)單的事情。充分，因此這也是造成工業(yè)主機(jī)愛“裸奔”的一個(gè)重要原因，甚至有部分工業(yè)控制系統(tǒng)生產(chǎn)商明確告訴客戶：“如果因?yàn)榘惭b了某某防病毒軟件導(dǎo)致系統(tǒng)異常，我們概不負(fù)責(zé)?！钡湫偷墓I(yè)主機(jī)殺毒過程殺毒過程找到了能徹底清除馬吉斯病毒的方法，并為現(xiàn)場(chǎng)的殺毒工作制定了嚴(yán)密的方案：機(jī)一樣的軟、硬件模擬環(huán)境。在模擬的環(huán)境上用專殺工具做病毒查殺的工作，這些工具包括：360馬專殺工具、超級(jí)巡警、SRENG、瑞星專殺MagistrKiller等。

根據(jù)專殺工具不同而選擇不同的個(gè)工具交替進(jìn)行。殺毒結(jié)束后，測(cè)試工業(yè)控制軟件的各項(xiàng)功能是否正常。在目標(biāo)主機(jī)上重復(fù)同樣的殺毒過程。部署威努特工控主機(jī)衛(wèi)士。工業(yè)主機(jī)安全解決方案解決方案劑良藥，具有低開銷、全兼容、無(wú)需升級(jí)病毒庫(kù)文件等優(yōu)勢(shì)。配套安全U盤等技術(shù)手段也需求。

長(zhǎng)期以來(lái)，病毒問題是困擾工業(yè)主機(jī)的一個(gè)棘手問題，從大名鼎鼎的震網(wǎng)病毒到2015年歲末的BlackEnergy，再到現(xiàn)在的“WannaCry”，這些如鬼魅般游蕩在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的殺手總是伺機(jī)而動(dòng)。典型案例分析Ⅲ：從“拒絕服務(wù)”到“安全穩(wěn)定”案例背景XX量在國(guó)內(nèi)具有舉足輕重的戰(zhàn)略地位。一直以來(lái)，該公司在工業(yè)控制系統(tǒng)的安全方面也高度重視，力求打造油田行業(yè)的工控安全標(biāo)桿項(xiàng)目。在完成整體的工控系統(tǒng)縱深防御之后，系統(tǒng)也一直穩(wěn)定運(yùn)行。問題描述油田公司某分廠有一個(gè)控制器需要增加讀取點(diǎn)數(shù)，信息中心的工程師進(jìn)行加點(diǎn)操作，此時(shí)更改控制邏輯可以正常進(jìn)行，但采集數(shù)據(jù)的動(dòng)作卻沒有成功，通過工程師站查看數(shù)據(jù)存在壞點(diǎn)。工程師又通過ping應(yīng)，對(duì)應(yīng)的通道已壞死，無(wú)論如何操作都無(wú)法恢復(fù)，只能冷重啟控制器。問題分析

工業(yè)控制設(shè)備安全分析補(bǔ)充說明XX油田所使用的控制器（國(guó)外品牌）安全系數(shù)較低，在沒有安全防護(hù)的情況下，且不說存在數(shù)據(jù)非法采集的問題，單就增加數(shù)據(jù)采集的點(diǎn)數(shù)而言，用正常速率建立會(huì)話連接，當(dāng)連接數(shù)增加到2500左右時(shí)，必然導(dǎo)致拒絕服務(wù)，最后只能通過冷重啟來(lái)釋放連接，如果遭遇Pingflood之類的攻擊更是毫無(wú)抵抗之力。

從我們做實(shí)際項(xiàng)目的經(jīng)驗(yàn)和漏洞挖掘的實(shí)驗(yàn)情況來(lái)看，工業(yè)控制設(shè)備的自身安全性問題比較多，涉及到處理能力、漏洞、后門等，工控安全中對(duì)控制設(shè)備的安全防護(hù)是一個(gè)非常重要的方面。工業(yè)控制設(shè)備安全解決方案現(xiàn)場(chǎng)問題解決：通過開啟防火墻的并發(fā)連接數(shù)控制的方式來(lái)提高控制器的安全系數(shù)，并且在防火墻上配置會(huì)話老化時(shí)間，在白名單防護(hù)的同時(shí)，給原通信雙方發(fā)送reset報(bào)文，在合理阻斷非法的采集請(qǐng)求的同時(shí)，保證控制器的正常服務(wù)能力。問題根源解決：這個(gè)問題是一個(gè)典型的工控設(shè)備通信健壯性不足的問題，而這恰恰也是當(dāng)前工控設(shè)備普遍存在的現(xiàn)象。使用專門針對(duì)工控設(shè)備進(jìn)行通信健壯性測(cè)試的漏洞挖掘類工具，去挖掘設(shè)備未知的漏洞，進(jìn)而促使工控設(shè)備廠商去修補(bǔ)漏洞，這樣能從根源上杜絕類似問題發(fā)生，防患于未然。越早發(fā)現(xiàn)問題，安全的代價(jià)就越低。目錄0102目錄0102典型現(xiàn)場(chǎng)實(shí)施案例分享03 “白環(huán)境”解決方案解讀西氣東輸“西氣東輸”是我國(guó)距離最長(zhǎng)、口徑最大的輸氣典型SCADA工業(yè)控制系統(tǒng)病毒專殺服務(wù)

整體解決方案基等級(jí)保保護(hù)

核心安全產(chǎn)品邊界、主機(jī)等核心產(chǎn)品客戶需求：解決移動(dòng)存儲(chǔ)介質(zhì)濫用導(dǎo)致的安全問題；客戶需求：解決移動(dòng)存儲(chǔ)介質(zhì)濫用導(dǎo)致的安全問題；題。解決方案：在站場(chǎng)工作站及服務(wù)器上部署網(wǎng)絡(luò)版工控同時(shí)阻止異常操作帶來(lái)的安全風(fēng)險(xiǎn)；在站場(chǎng)工作站、服務(wù)器部署安全U現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)管控。工作站 工作站 服務(wù)器 服務(wù)器RTU控制器中央服務(wù)器閥室控制中心路由器串口服務(wù)器交換機(jī)PLC控制器 SIS控制器 第三方控制器統(tǒng)一安全管理平臺(tái)統(tǒng)一安全管理平臺(tái)工控主機(jī)衛(wèi)士+安全U盤目錄0102目錄0102典型現(xiàn)場(chǎng)實(shí)施案例分享03 “白環(huán)境”解決方案解讀工控安全“白環(huán)境”解決方案國(guó)內(nèi)首家提出工控安全“白環(huán)境”解決方案體系的工控安全廠商，迄今已為上百家關(guān)鍵行業(yè)客戶建立自主可控、安全可靠的工控安全整體防護(hù)體系。核心技術(shù)理念：縱深防御白名單機(jī)制

統(tǒng)一平臺(tái)管理工業(yè)協(xié)議深度解析工控安全“白環(huán)境”解決方案方案核心安全理