威努特工业控制信息安全整体解决方案-2017第六届工业控制系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工控安全≠打补丁
给工控设备打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而停掉这些流程 往往会产生巨大的成本以及运营风险。因此,集中式的自动化的补丁管理系统是不存在的。几乎 所有的工控网补丁都必须手动下载并安装。而且很多情况下,只能由供应商认证的技术人员进行 安装。
专用的操作系统,往往没有内置的安全功能 软件变更必须慎重,通常由软件供应商操作
系统被设计为支持预定的工业过程,可能没有足够的资源支持增 加安全功能
许多专有的和标准的通信协议 使用多种类型网络,包括有线、无线(无线电和卫星) 通常由单一供应商提供技Pa术g支e 持11
威努特工控安全理念—工控安全三大误区
人身安全是最重要的,其次是过程保护 容错是必须的,即使瞬间的停机也可能不可接受 主要的风险影响是不合规,环境影响,生命、设备或生产损失
首要重点是保护IT资产,及这些资产上存储的传 输的信息
信息安全方案围绕典型的IT系统进行设计
快速反应不太重要 可以根据必要的安全程度实施严格的访问控制
使用典型的操作系统 采用自动部署工具使得升级非常简单
工控安全标准解读—IEC62443工控安全定义
威努特—工控安全专家
信息安全(Security) IEC62443针对工控系统信息安全的定义是: A、保护系统所采取的措施; B、由建立和维护保护系统的措施所得到的系统状态; C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。 D、基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数
威努特工业控制信息安全整体解决方案
北京威努特技术有限公司总经理:龙国东
内容提纲
1 威努特公司介绍
2 工控安全标准解读 3 威努特工控安全理念 4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
公司简介
威努特—工控安全专家
北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决 方案研发的创新型高科技公司。
实时适度的吞吐量高延迟或抖动不可接受
可用性 风险管理
架构的安全重点 信息安全方案 快速反应 系统运行 资源限制 通信 技术支持
重新启动可以接受 可用性的缺陷往往可以容忍
机密性、完整性是最重要的 容错不是太重要,临时停机不是主要风险 主要的风险影响是业务操作的推迟
重新启动不可接受可用性要求可能需要冗余系统 停机必须有计划和提前预定时间高可用性要求充分的部署前测试
据也无法访问系统功能,却保证授权人员和系统不被阻止; E、防止对工控系统的非法或有害入侵,或者干扰其正确和计划的操作。
Page 7
工控安全标准解读—IEC62443总体框架
威努特—工控安全专家
Page 8
工控安全标准解读—IEC62443工控安全模型
区域:是一组物理或逻辑上的资产,基于重 要性或事故影响,它们具有相同的安全需求。 管道:是“区域”之间信息交换的通道,除了 网络通道外,USB移动存储介质、远程拨号链 接等也需要考虑。 管道和区域,划分出了纵深防御的网络结构。
帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键 行业客户建立稳定可控的工控安全整体防护体系。
Page 3
公司பைடு நூலகம்场地位—产品为王
威努特—工控安全专家
国内第一款“白名单主动防御”主机防病毒软件,比肩美国Bit9的创新产品; 国内第一款“千兆工业防火墙”,性能10-20倍业界一般水平; 与国内外三家以上知名工控系统厂商合作的工控安全厂家; 成功替代McAfee的国内工控安全厂商;
威努特—工控安全专家
工控安全≠漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性 进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为 工控设备由于长期忽视信息安全设计,存在应对攻击数据包能力低下,协议栈不健全等问题,漏 洞扫描会直接导致设备崩溃,影响实际生产。
公司致力于为企业客户提供工控安全整体解决方案与服务,帮助企业客户 识别工控系统安全风险,掌控工控安全现状与趋势,提高工控安全防护与 事件响应能力。
公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发 团队以及优秀企业管理人才组成的专业化团队 。可为企业客户提供: 稳定可靠的工控安全防护产品; 专业深度的工控安全咨询培训; 全方位的安全服务:风险评估/漏洞挖掘/渗透测试/攻防演练;
威努特—工控安全专家
Page 9
内容提纲
1 威努特公司介绍 2 工控安全标准解读
3 威努特工控安全理念
4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
威努特—工控安全专家
威努特工控安全理念—工控安全≠传统信息安全
分类
性能
传统信息安全与工控安全差异点
传统信息安全
工控安全
非实时 高吞吐量 高延迟或抖动可接受
Page 4
内容提纲
1 威努特公司介绍
2 工控安全标准解读
3 威努特工控安全理念 4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
工控安全标准解读
威努特—工控安全专家
国际工控安全标准组织: 1. 国际电工委员会 ( IEC , International Electro Technical Commission ) 2. 国际自动化协会 ( ISA , the International Society of Automation ) 3. 美国国家标准技术研究院 ( NIST , National Institute of Standards and Technology ) 我国工控安全标准组织: 1. 全国信息安全标准化技术委员会(TC260) 2. 全国工业过程测量和控制标准化技术委员会(TC124) 3. 全国电力系统管理及其信息交换标准化技术委员会(TC82) 4. 全国电力监管标准化技术委员会(TC296)
资源充足,能支持增加第三方功能,如信息安全 功能
标准通信协议 主要是有线网络,捎带一些本地无线功能
允许多方提供技术支持
首要重点是保护边缘设备,如现场设备、过程控制器 中央服务器的保护也很重要
安全产品必须先测试,例如在离线工控系统上测试,以保它们不 会影响工控系统的正常运行
人机交互及紧急情况下快速反应是关键 应严格控制对工控系统的访问,但不应妨碍或干预人机交互
给工控设备打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而停掉这些流程 往往会产生巨大的成本以及运营风险。因此,集中式的自动化的补丁管理系统是不存在的。几乎 所有的工控网补丁都必须手动下载并安装。而且很多情况下,只能由供应商认证的技术人员进行 安装。
专用的操作系统,往往没有内置的安全功能 软件变更必须慎重,通常由软件供应商操作
系统被设计为支持预定的工业过程,可能没有足够的资源支持增 加安全功能
许多专有的和标准的通信协议 使用多种类型网络,包括有线、无线(无线电和卫星) 通常由单一供应商提供技Pa术g支e 持11
威努特工控安全理念—工控安全三大误区
人身安全是最重要的,其次是过程保护 容错是必须的,即使瞬间的停机也可能不可接受 主要的风险影响是不合规,环境影响,生命、设备或生产损失
首要重点是保护IT资产,及这些资产上存储的传 输的信息
信息安全方案围绕典型的IT系统进行设计
快速反应不太重要 可以根据必要的安全程度实施严格的访问控制
使用典型的操作系统 采用自动部署工具使得升级非常简单
工控安全标准解读—IEC62443工控安全定义
威努特—工控安全专家
信息安全(Security) IEC62443针对工控系统信息安全的定义是: A、保护系统所采取的措施; B、由建立和维护保护系统的措施所得到的系统状态; C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。 D、基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数
威努特工业控制信息安全整体解决方案
北京威努特技术有限公司总经理:龙国东
内容提纲
1 威努特公司介绍
2 工控安全标准解读 3 威努特工控安全理念 4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
公司简介
威努特—工控安全专家
北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决 方案研发的创新型高科技公司。
实时适度的吞吐量高延迟或抖动不可接受
可用性 风险管理
架构的安全重点 信息安全方案 快速反应 系统运行 资源限制 通信 技术支持
重新启动可以接受 可用性的缺陷往往可以容忍
机密性、完整性是最重要的 容错不是太重要,临时停机不是主要风险 主要的风险影响是业务操作的推迟
重新启动不可接受可用性要求可能需要冗余系统 停机必须有计划和提前预定时间高可用性要求充分的部署前测试
据也无法访问系统功能,却保证授权人员和系统不被阻止; E、防止对工控系统的非法或有害入侵,或者干扰其正确和计划的操作。
Page 7
工控安全标准解读—IEC62443总体框架
威努特—工控安全专家
Page 8
工控安全标准解读—IEC62443工控安全模型
区域:是一组物理或逻辑上的资产,基于重 要性或事故影响,它们具有相同的安全需求。 管道:是“区域”之间信息交换的通道,除了 网络通道外,USB移动存储介质、远程拨号链 接等也需要考虑。 管道和区域,划分出了纵深防御的网络结构。
帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键 行业客户建立稳定可控的工控安全整体防护体系。
Page 3
公司பைடு நூலகம்场地位—产品为王
威努特—工控安全专家
国内第一款“白名单主动防御”主机防病毒软件,比肩美国Bit9的创新产品; 国内第一款“千兆工业防火墙”,性能10-20倍业界一般水平; 与国内外三家以上知名工控系统厂商合作的工控安全厂家; 成功替代McAfee的国内工控安全厂商;
威努特—工控安全专家
工控安全≠漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性 进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为 工控设备由于长期忽视信息安全设计,存在应对攻击数据包能力低下,协议栈不健全等问题,漏 洞扫描会直接导致设备崩溃,影响实际生产。
公司致力于为企业客户提供工控安全整体解决方案与服务,帮助企业客户 识别工控系统安全风险,掌控工控安全现状与趋势,提高工控安全防护与 事件响应能力。
公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发 团队以及优秀企业管理人才组成的专业化团队 。可为企业客户提供: 稳定可靠的工控安全防护产品; 专业深度的工控安全咨询培训; 全方位的安全服务:风险评估/漏洞挖掘/渗透测试/攻防演练;
威努特—工控安全专家
Page 9
内容提纲
1 威努特公司介绍 2 工控安全标准解读
3 威努特工控安全理念
4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
威努特—工控安全专家
威努特工控安全理念—工控安全≠传统信息安全
分类
性能
传统信息安全与工控安全差异点
传统信息安全
工控安全
非实时 高吞吐量 高延迟或抖动可接受
Page 4
内容提纲
1 威努特公司介绍
2 工控安全标准解读
3 威努特工控安全理念 4 威努特工控安全解决方案 5 行业案例
威努特—工控安全专家
工控安全标准解读
威努特—工控安全专家
国际工控安全标准组织: 1. 国际电工委员会 ( IEC , International Electro Technical Commission ) 2. 国际自动化协会 ( ISA , the International Society of Automation ) 3. 美国国家标准技术研究院 ( NIST , National Institute of Standards and Technology ) 我国工控安全标准组织: 1. 全国信息安全标准化技术委员会(TC260) 2. 全国工业过程测量和控制标准化技术委员会(TC124) 3. 全国电力系统管理及其信息交换标准化技术委员会(TC82) 4. 全国电力监管标准化技术委员会(TC296)
资源充足,能支持增加第三方功能,如信息安全 功能
标准通信协议 主要是有线网络,捎带一些本地无线功能
允许多方提供技术支持
首要重点是保护边缘设备,如现场设备、过程控制器 中央服务器的保护也很重要
安全产品必须先测试,例如在离线工控系统上测试,以保它们不 会影响工控系统的正常运行
人机交互及紧急情况下快速反应是关键 应严格控制对工控系统的访问,但不应妨碍或干预人机交互