《2017第六届工业控制系统信息安全峰会-控制网.ppt》由会员分享,可在线阅读,更多相关《2017第六届工业控制系统信息安全峰会-控制网.ppt(51页珍藏版)》请在三一文库上搜索。
1、,北京威努特技术有限公司,火电厂工控网络安全防护整体解决方案,国家政策要求及行业监管要求,发电厂安全事件及常见安全问题,火电厂工控安全防护解决方案,威努特安全产品与技术服务,第一部分 火电厂安全事件及常见问题,安全事件,安全问题,安全误区,近年来的电厂工控安全事件,2003年12月30日,龙泉、政平、鹅城换流站计算机系统发现病毒,经调查确认是技术人员在系统调试中用笔记本电脑上网所致,中国是全球网络攻击最大受害国 自2009年以来网络攻击增长15倍,其中30%是针对国家基础设施 攻击的重点是则集中在电力行业,电厂常见技术安全问题,第二部分 国家政策要求及行业监管要求,国务院,工信部,发改委,国家
2、能源局,国家工控信息安全相关政策,国务院,工信部,网信办,国务院关于大力推进信息化发展和切实保障信息安全的若干意见,国发201223号。意见6-3明确指出保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统重要领域工业控制系统,2011年工信部下发451号文件关于加强工业控制系统信息安全管理的通知,通知指出“加强工业控制系统安全,重点领域包括钢铁、化工、电力等与国计民生紧密相关领域,结合实际加强重点领域和重点环节”,2016年7月全国范围关键信息基础设施网络安全检查工作启动,习近平总书记指出:“金融、能源、电力、通信、交通等领域是经济社会运行的神经中枢,是网络安全
3、的重中之重,也是可能遭到重点攻击的目标”,要求“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”,行业要求及命令,行业工控信息安全相关政策,发电厂监控系统安全防护方案摘录,对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护,发电厂内同属安全区的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,根据需要可以采取一定强度的逻辑访问控制措施,如防火墙、VLAN等,综合安全防护 应包含如下手段 入侵检测、主机与网络设备加固、应用安全控制、安全审计、专
4、用安全产品的管理、备用与容灾、恶意代码防范、设备选型及漏洞整改,第三部分 火电厂工控安全防护解决方案,区域防护,安全加固,监控审计,漏洞扫描,对于工控安全的误区一:网络隔离就安全,工控网络的入侵途径:,误区二:传统的IT安全产品能解决工控安全问题,误区三:技术方案就能解决工控安全问题,People(人):是最关键的一个因素。不管是技术的实施和维护,流程的遵从、改善和管理,都离不开经过培训、有专业素质的人的参与。,在信息安全中, People, Process和Technology三个要素互相作用,缺一不可:,Process(流程):工控安全的各项管理制度、规范。将人和技术结合在一起。,Tech
5、nology(技术):是工控安全的技术支持和保证。是为人和流程服务的。,“安全分区、网络专用、横向隔离、纵向认证”,电力监控系统安全防护总体原则,电力二次系统安全防护总体原则安全分区,电力二次系统安全防护总体原则网络专用,电力二次系统安全防护总体原则横向隔离,电力二次系统安全防护总体原则纵向认证,火电厂生产控制大区和管理信息大区整体拓扑,管理信 息大区,生产控 制大区,生产控制区与管理信息区的横向隔离,36号文要求(章节4.1.1) 发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向隔离装置,解决方案 通过在生产控制大区和管理信息大区之间部署专用单向隔离装置,隔离装置分为正向隔离
6、和反向隔离,安全收益 保护控制系统安全运行。实现横向逻辑隔离,保护更高安全级别的生产控制区安全。,生产控制区安全区&区间的横向隔离,36号文要求(章节4.1.2) 安全区与安全区之间应当采用具有访问控制功能的的网络设备、安全可靠的硬件防火墙或者相当功能的设备实现逻辑隔离、报文过滤 ,解决方案 通过部署工业防火墙,实现阻止来自区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击。,解决方案 保护控制系统安全运行。实现横向逻辑隔离,将危险源控制在有限范围内,生产控制区系统间隔离,36号文要求(章节4.1.3) 发电厂内同属安全区的各机组监控系统之间、 根据需要可以采取一定强度的逻辑访问控制措施,如
7、防火墙、VLAN等 ,解决方案 在包含主控、辅控的所有业务系统之间部署工控防火墙,智能学习工控操作指令和参数建立网络和通讯“白环境”。,安全收益 阻止来自区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击,实现横向逻辑隔离,将危险源控制在区域内。,生产控制区纵向认证,36号文要求(章节4.2) 发电厂生产控制大区与调度端系统通过电力调度数据网进行远程通信时,应当采用认证、加密、访问控制等技术措施 ,解决方案 位于电力控制系统的内部局域网与电力调度数据网络路由之间,提供上下级系统之间提供认证与加密服务。,纵向加密 认证装置,纵向加密 认证装置,安全收益 为本地安全区/提供一个网络屏障,实现数据
8、传输的机密性、完整性保护。,图要改,36号文要求(章节4.3) 如控制区系统与环保、安全等政府部门交互 其边界应采用生产控制大区和管理信息大区之间的安全防护措施。,解决方案 在控制区的网络边界放置单向隔离装置,利用单向隔离装置实现生产控制网数据单向流入。,生产控制区第三方边界防护,安全收益 安全环保等政府机构,而这些第三方机构不能通过单向隔离装置向生产控制网发送数据,综合安全防护入侵检测,安全监测与审计,36号文要求(章节5.1) 生产控制大区可以统一部署一套网络入侵检测系统,检测发现 入侵行为,分析潜在威胁并审计。,解决方案 在生产控制区边界处旁路部署工控入侵检测设备,实时监控各种数据报文及
9、来自网络外部或内部的多种攻击行为。,安全收益 帮助用户在第一时间发现相关的威胁,并及时采取行动遏制恶意行为的破坏,综合安全防护主机与网络设备加固,36号文要求(章节5.2) 发电厂SIS系统 Web服务器等应当使用安全加固的操作系统。加固方式包括:安全配置、安全补丁、采用专业的软件强化操作系统访问控制功能。,解决方案 在上位机及非控制区的服务器上安装操作系统加固的软件,根据策略要求对计算机安全配置等信息进行监控、管理。,终端加固系统,安全收益 实现配置核查,安全基线配置、安全补丁等安全管理和安全运维。对非控制区的设备和应用系统可以逐步采用多因子认证,最终引入PKI技术。,综合安全防护应用安全控
10、制,36号文要求(章节5.3) 发电厂SIS系统应当逐步采用数据证书技术,对用户登录应用系统、访问系统资源等操作进行身份认证,提供登录失败处理功能 并对操作系统为进行安全审计。,解决方案 逐步在非控制网内部署CA系统,实现对用户的身份鉴别,应用访问控制。,CA,RA,安全收益 根据用户角色与权限进行访问控制。并对操作审计,同时如存在远程访问,应强制采用会话加密、抗抵赖安全措施。,综合安全防护安全审计,监测与审计系统 (统一安全管理平台),36号文要求(章节5.4) 生产控制大区的监控系统应当具备安全审计功能,能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑
11、客的攻击行为,对远程登陆应当严格审计。,解决方案 在区域和边界旁路部署监测与审计的网络探针,收集全网工控设备、系统状态,向监测与审计系统集中汇报。,安全收益 统一收集网络日志,通过建模分析当前网络安全状态,为管理员提供可视化的设备状态、异常波动、告警信息等。,网络堡垒机,运维人员 厂商人员 第三方,36号文要求(章节5.4) 生产控制大区 能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种 攻击行为,对远程登陆应当严格审计。,解决方案 旁路部署网络堡垒机,接管数据库、网络等设备的登录,运维人员、第三方人员统一在堡垒机上操作。 旁路部署数据库审计设备,对应用系统的访问进行审计。
12、,综合安全防护安全审计,数据库审计,安全收益 通过堡垒机进行权限分配,操作审计 审计数据库活动,进行合规性管理,对风险行为进行告警。,专用安全产品备用与冗余,36号文要求(章节5.6) 生产控制大区的监控系统应当具备安全审计功能,能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为,对远程登陆应当严格审计。,专用安全产品生产控制大区恶意代码防范,36号文要求(章节5.7) 应当及时更新特征码,查看查杀记录 禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。,解决方案 在控制区应用系统和上位机部署可信安全卫士,自学习建立安全模型和安全基线,
13、监控分析应用程序和人工操作的行为特征,生成白名单。,安全收益 通过“白名单”阻止所有非法软件的执行,在没有杀毒软件和杀毒软件更新不及时的环境下,病毒、蠕虫、木马等非法程序依然无法执行。,工控主机卫士,客户端,防病毒系统,专用安全产品管理信息大区恶意代码防范,36号文要求(章节5.7) 应当及时更新特征码,查看查杀记录 禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。,解决方案 在管理信息区的终端电脑上部署防病毒软件并实现病毒库和杀毒引擎的及时更新,安全收益 综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的,专用安全产品设备选型及漏洞整改,36号文要求(章节5.8) 禁
14、止选择国家通报存在漏洞的设备及系统,对已经投入运行的应该及时整改。,解决方案 通过漏洞扫描和漏洞挖掘系统,对工控系统和工控产品进行漏洞扫描和挖掘,建立安全工控产品采购清单,从源头上控制安全风险。,安全收益 通过专用安全设备对工控系统和设备进行漏洞扫描,建立安全工控产品采购清单。另一方面督促工控厂商修复漏洞。,管理信息大区安全防护建议终端安全管理,客户端,终端安全管理 对终端用户的网络访问、打印、刻录、移动存储介质、接口等操作行为进行监控与审计。对信息的传播途径进行管理,实现终端信息安全存储。,终端安全运维 对客户端计算机的补丁、病毒库、安全配置进行扫描,确保主机自身健康。对网内IT资产进行统计
15、、审计。远程管理等。,统一日志审计分析 对网内终端行为日志、IT资产、操作系统日志等信息集中收集、管理。统一分析。,终端管理系统,网络准入设备,管理信息大区安全防护建议网络准入认证,入网合法性认证 通过与企业内部用户身份管理系统或LDAP等系统对接,对终端设备和用户进行合法性认证,通过认证的才能进入内网。,入网合规性认证 对入网的终端主机进行合规性状态检查,如杀毒软件、安全软件、系统安全配置、必备软件等,通过验证的进入内网,未通过的进入隔离区修复。,网络访问权限分配 基于角色,对入网的用户进行访问访问权限分配,不同角色用户可以访问的网络区域及应用系统不同。,未来建议 开展针对企业相关人员的工控
16、安全培训工作,掌握国家政策、标准、规定,熟悉工控安全内容; 搭建工控安全实验室,仿真真实现场环境,模拟攻防过程,为企业培养专门人才,提升企业竞争力。 对工控产品进行漏洞扫描,建立安全工控产品采购清单,从源头控制工控安全风险;,方案重点 增加工业单向网闸和网络防火墙,对不同的安全区之间以及和管理区边界进行安全防护,对控制区、非控制区、管理大区等内部网络进行细分防护; 控制网络内所有服务器进行主机安全加固,工作站部署应用白名单软件(代替传统防病毒软件); 增加网络安全监测及审计产品,实现入侵检测及网络审计功能,建立工控安全预警平台并提供事件回溯能力; 对专用安全产品进行统一管理; 逐步开展试点单位
17、设备漏洞发掘工作。,方案小结,方案对标(1/3),方案对标(2/3),方案对标(3/3),第四部分 威努特安全产品与技术服务,可信网关,可信卫士,监控审计,漏洞扫描,漏洞挖掘,专注于工控网络安全产品与解决方案研发的创新型公司,总部设在北京,在上海、济南及郑州设有办事处 为工业客户 提供工控安全整体解决方案与服务 帮助企业客户识别工控系统安全风险 帮助企业客户掌控工控安全现状与趋势 提高工控安全防护与事件响应能力 致力于为工业客户提供 稳定可靠的工控安全防护产品; 专业权威的工控安全检测产品; 全方位的安全服务:风险评估/漏洞挖掘/渗透测试/攻防演练;,公司介绍,可信网关(工业防火墙),产品定位
18、 保护控制网与管理信息网的边界 阻止来自管理信息网的威胁 防止安全域内的攻击扩散,产品特点 国内第一款千兆工业防火墙 OPC深度白名单/OPC只读控制 低延迟 60us,传统防火墙,工业防火墙,Modbus TCP,Unknown,工控防火墙区别于传统防火墙,工控主机卫士,国内首家利用“白名单”技术保护工控系统主机安全的主机安全加固软件。保证只有经过认证的“白名单”软件才可以运行,任何其他病毒、木马、违规软件都被阻止。,工控安全监测与审计平台,产品定位 监控并记录工控系统运行过程中的一切操作行为 为事故追溯、责任划分提供证据,产品特点 对工控网络“零影响” 忠实记录网络一切动态 “白名单”思想
19、,无需升级,工控漏洞挖掘平台,针对工业控制系统中各类设备进行通讯健壮性专业评测 建立我国工控安全防护标准的理论支撑和测试工具 完全国产自主知识产权,杜绝国外产品安全后门隐患 提供了发现工业控制系统和设备零日漏洞的工具 提供了设备漏洞根源分析和定位解决的工具 能够有效丰富我国自有工业控制系统漏洞库 增强产品出厂时的健壮性和安全性 提高评测认证通过能力,提升生产效率 减少漏洞修补费用,降低产品召回风险,统一安全管理平台,针对工控网络安全设备提供统一的B/S管理界面 集中收集工控网络安全设备日志,统一审计分析 平台管理员支持三权分立,分权分级 可对接其他厂商安全产品,实现工控“SOC”,谛听(工控网
20、络态势感知系统),工控系统扫描 扫描全球暴露的工业控制系统 精确定位工控网络物理位置 工控网络攻击 联动大数据平台,分析工控网络被攻击历史 工控系统漏洞态势感知 工控系统漏洞扫描,漏洞库覆盖CVE、CNNVD等国际和国家级漏洞库; 工控系统漏洞、设备资产等智能分析及安全评分 全球威胁可视化 扫描全球网络的工控系统及常规服务; 多维度展示扫描分析结果,并以地域图、柱状图、饼图、多层饼图等形式呈现。,工控漏洞扫描系统,支持对西门子、施耐德、GE、亚控等主流工控厂商的SCADA/HMI软件的漏洞扫描; 支持西门子、施耐德、GE等主流工控厂商的DCS系统、PLC控制器的漏洞扫描; 支持Modbus、Profibus等主流现场总线的漏洞扫描; 支持Autodesk、Dassault等主流数字化设计制造软件平台的漏洞扫描; 支持工业控制系统漏洞生命周期管理、评估漏洞安全风险、漏洞验证、提供漏洞修复建议等。,工控网络攻防演练平台,