关于工业网络安全

工控安全审计管理平台
产品定位 监控并记录工控系统运行过程中的一切操作行为， 为事故追溯、责任划分提供证据 产品功能 网络异常检测：忠实记录工控协议通信记录，自学习建立正常通信行为基线模型，对 偏离基线异常操作行为进行告警上报； 网络攻击检测：识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测； 关键事件检测：例对工程师站组态并更、操控指令变、PLC程序下装以及负载变更等 关键事件告警 工业网络可视化：提供多维度网络流量视图，统计视图；
1、近年来的工控网络安全事件 2、工控系统网络面临的众多安全问题 3、国内工控信息安全相关政策 4、传统的IT安全产品无法解决工控安全问题 5、工控安全防护的误区 6、工业控制系统信息安全主要目标 7、工控网络攻击入侵途径分析 8、工控网络安全“白环境”监控防护体系与白名单机制 9、国内一些厂家的工控安全产品 10、一些行业应用案例
对工控安全防护的误区
1
工业控制系统是与外界隔离的 没有人会攻击工业控制系统
黑客不懂工控协议和系统，系统非常安全 单向通信可以保证100%的安全
2
3 4
工业控制系统信息安全主要目标
1 2 3
保护工控系统免受病毒等恶意代码的侵袭。
可用性
避免工控系统遭受人为恶意或者无意的违规操作。 防范外部、内部的网络攻击。 在不利条件下维护生产系统功能。 安全事件发生后能迅速定位找出问题根源。
工业交换机
边界网关
工业交换机
控制网 区域网关
炉区控制系统
区域网关
分离压缩控制系统
白名单机制
“白名单”主动防御技术是通过提前计划好的协议规 则来限制网络数据的交换，在控制网到信息网之间进行 动态行为判断。通过对约定协议的特征分析和端口限制 的方法，从根源上节制未知恶意软件的运行和传播。
“白名单”安全机制是一种安全管理规范，不仅应 用于防火墙软件的设置规则，也是在实际管理中要遵循 的原则，例如在对设备和计算机进行实际操作时，需要 使用指定的笔记本、U盘等，管理人员只信任可识别的 身份，未经授权的行为将被拒绝。
网络安全简介
1、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护 ，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保 系统能连续、可靠、正常地运行，网络服务不中断。 2、网络安全主要是指网络上的信息安全。 3、网络安全包括物理安全、逻辑安全、操作系统安全、网络传输安 全。
关于工业控制网络安全几项问题和安全产品
完整性
保密性
工控网络攻击入侵途径分析
企业办公网
WLAN无线连接
远程维护通道
USB移动存储介质
手机等智能终端 心怀不满或恶意员工
工控网络安全“白环境”监控防护体系
运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用 大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模 型，进而构筑工业控制系统的网络 “安全白环境”。 核心理念 1. 2. 3. 只有可信任的 设备，才允许接入控制网络； 只有可信任的 命令，才能在网络上传输； 只有可信任的 软件，才能在主机上执行；

静态路由与动态路由(OSPF)


违规报警及报告(支持短信)
白名单智能学习

统一安全管理平台
工控防火墙（区域型）

产品定位


产品亮点

保护控制网安全区域间的边界 阻止来自安全区域外的安全威胁 防止安全域内的攻击扩散

真千兆，低延迟 < 50us Modbus的只读控制 多种工业现场协议快速适配
工控防火墙（边界型）

产品定位


产品亮点

保护控制网与管理信息网的边界 阻止来自管理信息网的威胁
国内第一款千兆工业防火墙 OPC深度白名单/OPC只读控制 低延迟 < 50us


仅放开OPC动态端口

产品功能
状态检测防火墙


数采协议(如OPC)深度白名单 数采协议(如OPC)的只读控制
自2009年以来中国网 络遭受黑客攻击增长 15倍以上，30%是针 对国家基础设施
工控系统网络面临的众多安全问题
来自管理信息网的病毒扩散。
所有自控设备和计量设备均在一个网段，容易形成网络风暴，造成全网瘫痪。
缺少访问控制手段，从任何地方接入生产网段即可访问全厂生产设备。 工业控制系统协议缺乏足够的安全性考虑，易被攻击者利用。 工控系统软件及设备存在漏洞，但是软件升级及漏洞修补难以进行。 服务器/工程师站任意安装软件，恶意程序非法启动运行。
核心优势
可信工作站卫士防护病毒原理举例：当恶意 软件被用户无意下载到本机之后，可信卫士可 阻断恶意软件的安装及运行，同时生成审计日 志，协助管理员发现病毒。
工控安全漏洞挖掘平台
针对工业控制系统中各类设备进行通讯健壮性 专业评测 建立我国工控安全防护标准的理论支撑和测试 工具 完全国产自主知识产权，杜绝国外产品安全后 门隐患 提供了发现工业控制系统和设备零日漏洞的工具 提供了设备漏洞根源分析和定位解决的工具 能够有效丰富我国自有工业控制系统漏洞库 增强产品出厂时的健壮性和安全性 提高评测认证通过能力，提升生产效率 减少漏洞修补费用，降低产品召回风险
过滤字段
Modbus只读
OPC动态端口
无法支持
无法支持
支持
支持
专业工控主机安全加固软件—可信卫士 国内首家利用“白名单”技术保护工控系统
主机安全的主机安全加固软件。保证只有经过 认证的“白名单”软件才可以运行，任何其他 的病毒、木马和违规软件都被阻止。
产品功能
应用白 名单
实时报警
日志审计
自身保护 DHD JGDJ DJ
工控安全咨询评估服务
行业案例—陕西榆林XX化工
行业案例—新疆XX油田
客户价值 工作站可信卫士保护工作站 免受病毒侵袭
可信边界网关进行数采协议
OPC的只读防护； 可信区域网关进行各采油井
之间的网络隔离，访问控制
以及专用工控协议的控制；
行业案例—山西XX煤矿
Internet
路由器
客户问题
ERP 数据库 OPC 监控终端 客户端 客户端
核心技术
1. 2. 3. 创新的“软可信”计算技术，降低方案成本，提高实用性； 机器自学习“白环境”智能建模技术，降低维护成本，提高易用性； 高速工控协议深度包解析技术，具备高安全性，低时延影响；
工控网络“白环境”解决方案系统架构图
Internet
路由器 MES ERP 服务器 服务器 服务器
数据库
安全U盘
观察模式 DHD JGDJ DJ
可信卫士核心优势
有效抵御零日攻击及高级持久性威胁（APT） 灵活配置白名单，增强安全同时降低维护成本 完全避免传统杀毒软件“误杀”和“误报” 系统资源低开销，不影响正常工控软件运行 极致简单，适合工控环境，亦适用XP等老旧系统 全方位的日志审计，安全隐患一目了然
制造业
2005年：Zotob蠕虫事件对全 球制造行业造成巨大经济损失 超过$1,400,000
水利
2007年：攻击者入侵加拿大 一水利SCADA控制系统，破 坏了取水调度的控制计算机
市政
2008年：攻击者利用电视遥控 器改变轨道扳道器，攻击了波 兰Lodz的城铁系统，导致4节 车厢出轨，12名乘客受伤
区域网关
数采网
区域网关
边界网关
工业交换机
工业交换机
控制网 区域网关
控制系统
区域网关
控制系统
行业案例—湖南XX烟厂
客户价值
工作站可信卫士保护产线免受 病毒侵袭
传统的IT安全产品无法解决工控安全问题
对比项 建设目标 工业控制系统（ICS） 传统IT信息系统 利用各种自动化控制技术、不同的工业协 利用通用的计算机、互联网 议，实现工业自动化过程及设备的 技术实现数据处理与信息共 （24/7/365）智能控制、监测与管理运行。享。
专用通信协议或规约（OPC、Modbus、 数据交换协议 DNP3、S7等）直接使用或作为TCP/IP协 议的应用层使用，各行业存在较大差异。 系统实时性 系统传输、处理信息的实时性要求高、不 能停机和重启恢复

产品功能

Modbus协议的深度白名单
状态检测防火墙

静态路由与动态路由(OSPF)

多种工业现场协议快速适配

违规报警及报告(支持短信)

白名单智能学习

统一安全管理平台
工控防火墙区别于传统防火墙

传统防火墙
IP TCP ????????
Unknown
???????? ???????? ????????
构筑工控安全防护体系统
•建立工控安全业务模型 •建立安全监控预警平台 •建立工控安全防护平台
工控安全培训
工控安全检查
基于工控安全事件生命 周期的产品组成
事前安全检查与加固 •工控漏洞检测平台 •可信卫士
事中安全防护 •工控安全防火墙 •工控安全监控平台
事后事件追溯 •工控安全审计平台
工控安全攻防演练平台
TCP/IP协议栈（应用层协议： HTTP、FTP、SMTP等）
系统的实时性要求不高，信 息传输允许延迟，可以停机 和重启恢复 不可预料的中断可能会造成 任务损失，系统故障的处理 响应级别随IT系统要求而定 采用通用系统，兼容性较好， 软硬件升级较容易，且软件 系统升级较频繁
不可预料的中断会造成经济损失或灾难， 系统故障响应 故障必须紧急响应处理 专有系统兼容性差、软硬件升级较困难， 系统升级难度 一般很少进行系统升级，如需升级可能需 要整个系统升级换代
Ethernet

工业防火墙
IP TCP MAP头
Modbus TCP
功能码 数据 校验
Ethernet
传统防火墙
IP地址（源、目的） 端口（源、目的） 传输层协议类型（TCP/UDP）
工业防火墙
IP地址（源、目的） 端口（源、目的） 传输层协议类型（TCP/UDP） Modbus功能码 Modbus线圈/寄存器 Modbus读写值域
近年来的工控网络安全事件
石化
2011年：我国某石化企业某装 置控制系统分别感染Conficker 病毒，造成控制系统服务器与 控制器通讯不同程度地中断
电力
2014年：Havex病毒病毒席 卷欧美，劫持电力工控设备， 阻断电力供应，在中国也发现 少量样本传播
核设施
2010年：著名的震网病毒使伊 朗核设施遭受严重破坏，导致 伊朗核工业发展停滞达一年之 久
服务器/工程师站上进行其它无关作业任务的现象缺乏管控。
使用U盘等造成服务器/工程师站感染病毒，使系统出现运行缓慢、卡死等故障 。 缺乏切实有效的安全管理制度、相关人员安全意识匮乏。
无实时报警和诊断工具。
国内工控信息安全相关政策
•国务院关于大力推进信息化发展和切实保障信息安全的若干 意见，国发〔2012〕23号 •《意见》6-3明确，保障工业控制系统安全。加强核设施、航 空航天、先进制造、石油石化、油气管网、电力系统、交通运 输、水利枢纽、城市设施等重要领域工业控制系统，以及物联 网应用、数字城市建设中的安全防护和管理。 •工信部下发451号文件《关于加强工业控制系统信息安全管理 的通知》，明确规定加强重点领域工控信息系统安全管理措施。 •2017年6月1日施行《中华人民共和国网络安全法》
MES ERP 服务器 服务器 服务器
数据库
办公网
边界网关
OPC OPC 服务器 服务器 工程师站
工程师站
OPC OPC 服务器 服务器
给煤管局上传数据发现被篡 改， 通过备份恢复，过一个 月后又有发生； 经调研，因其工控软件有漏 洞，主机缺乏安全管控，边 界安全防护薄弱； 解决方案 部署工业防火墙（可信边界 网关TEG）进行边界防护； 在工程师站和服务器上安装 可信卫士保证只有经过认证 的“白名单”软件才可以运 行，任何其他的病毒、木马 和违规软件都被阻止；
办公网
纵深防御 白名单机制 工业协议深度解析 实时监控审计
ERP 数据库 OPC 监控终端 客户端 客户端
边界网关
OPC OPC 服务器 服务器 工程师站 工程师站 OPC OPC 服务器 服务器
区域网关
数采网
工控安全统一 管理平台 区域网关 工控安全 审计平台
统一平台管理
技术为管理服务
工控信息安全统一管理平台
功能亮点： 监控、管理工控网络中运行的设备； 查看、管理主机配置合规性； 网络中、主机上的漏洞分析检测； 监控网络行为，透析入侵攻击；
工控安全是系统工程
工控安全评估
•提高工控安全 意识 •掌握工控安全 防护方法 •识别工控安全风险 •制定标准/制度/流程 •工控漏洞检测 •工控安全Baidu Nhomakorabea计 •工控系统配置检查