工业控制系统信息安全整体解决方案ppt课件.pptx

《工业控制系统信息安全整体解决方案ppt课件.pptx》由会员分享，可在线阅读，更多相关《工业控制系统信息安全整体解决方案ppt课件.pptx（32页珍藏版）》请在三一办公上搜索。

1、工业控制系统信息安全整体解决方案,北京威努特技术有限公司总经理：龙国东,内容提纲,威努特公司介绍,工控安全标准解读,2,1,威努特工控安全理念,3,威努特工控安全解决方案,4,行业案例,5,公司简介,北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。公司致力于为企业客户提供工控安全整体解决方案与服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队以及优秀企业管理人才组成的专业化团队 。可为企业客户提供：稳定可靠的工控安全防护产品；专业深度的工

2、控安全咨询培训；全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。,公司市场地位产品为王,国内第一款“白名单主动防御”主机防病毒软件，比肩美国Bit9的创新产品；国内第一款“千兆工业防火墙”，性能10-20倍业界一般水平；与国内外三家以上知名工控系统厂商合作的工控安全厂家；成功替代McAfee的国内工控安全厂商；,内容提纲,威努特公司介绍,工控安全标准解读,2,1,威努特工控安全理念,3,威努特工控安全解决方案,4,行业案例,5,工控安全标准解读,国际工控安全标准组织：1. 国际

3、电工委员会（ IEC ， International Electro Technical Commission ）2. 国际自动化协会（ ISA ， the International Society of Automation ）3. 美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ）我国工控安全标准组织：全国信息安全标准化技术委员会（TC260）全国工业过程测量和控制标准化技术委员会（TC124）全国电力系统管理及其信息交换标准化技术委员会（TC82）全国电力监管标准化技术委员会（TC296）,工控安全标

4、准解读IEC62443工控安全定义,信息安全(Security) IEC62443针对工控系统信息安全的定义是：A、保护系统所采取的措施；B、由建立和维护保护系统的措施所得到的系统状态；C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。,工控安全标准解读IEC62443总体框架,工控安全标准解读IEC62443工控安全模型,区域：是一组物理或逻辑上的资产，基于重要性或事故影响，它们具有相同的

5、安全需求。管道：是“区域”之间信息交换的通道，除了网络通道外，USB移动存储介质、远程拨号链接等也需要考虑。管道和区域，划分出了纵深防御的网络结构。,内容提纲,威努特公司介绍,工控安全标准解读,2,1,威努特工控安全理念,3,威努特工控安全解决方案,4,行业案例,5,威努特工控安全理念工控安全传统信息安全,威努特工控安全理念工控安全三大误区,漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为工控设备由于长期忽视信息安全设计，存在应对攻击数据包能力低下，协议栈不健全等问题，漏洞扫描会直接导致设备崩溃，影响实

6、际生产。,工控安全漏洞扫描,工控安全打补丁,给工控设备打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而停掉这些流程往往会产生巨大的成本以及运营风险。因此，集中式的自动化的补丁管理系统是不存在的。几乎所有的工控网补丁都必须手动下载并安装。而且很多情况下，只能由供应商认证的技术人员进行安装。,工控安全防病毒,防病毒软件在长年不更新病毒库的工控网内的实际作用非常有限，老旧的病毒库无法抵御新型病毒的攻击；安装防病毒软件只是自欺欺人的一厢情愿罢了。,威努特工控安全理念传统信息安全产品解决不了工控安全问题,工业控制系统“可用性”第一，而IT信息系统以“机密性”第一从而要求安全产品的软硬件重新

7、设计。例如：系统fail-to-open。,可用性和机密性的矛盾,升级和兼容性的矛盾,工业控制系统不能接受频繁的升级更新操作依赖黑名单库的信息安全产品（例如：反病毒软件，IDS/IPS）不适用。,工业协议的识别解析,工业控制系统基于工业控制协议（例如，OPC、Modbus、DNP3、S7）传统安全产品支持IT通信协议（例如，HTTP、FTP），不支持工业控制协议。,延时敏感,工业控制系统对报文时延很敏感，而IT信息系统通常强调高吞吐量工控安全产品，必须从硬件选型、软件架构设计上保证低时延。,工业级硬件要求,工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿）按照工业现场环境的要求专

8、门设计硬件，做到全密闭、无风扇，支持4070等。,威努特工控安全理念“安全白环境”,为客户构筑工控系统“安全白环境”整体防护体系，保护国家基础设施安全,只有可信任的设备，才能接入控制网络；,只有可信任的消息，才能在网络上传输；,只有可信任的软件，才允许被执行；,1.,2.,3.,核心安全理念,技术亮点及创新点,创新性的率先提出了建立工控系统的 和 理念,可信任网络白环境,工控软件白名单,创新的“软可信”计算技术，降低方案成本，提高实用性；,机器自学习“白环境”智能建模技术，降低维护成本，提高易用性；,1.,2.,工控协议深度解析技术，具备高安全性，低时延影响；,3.,威努特工控安全理念工控安全

9、的三大命门,现有工控网络无网络准入措施，任意工控设备都可以轻松接入现有网络，安全级别低；构建有效的网络准入体系，是解决工控安全的首要之选。,网络准入,网络传输,网络传输层面临诸多安全风险，现有工控网络对此缺乏有效应对措施。对工控网络数据传输进行有效监管，拦截，可以防止大量潜在威胁；,应用程序,工控网络功能确定，行为单一，应用可预期。对工控网络的应用程序进行有效管控，阻止可疑、非法程序的运行，可以大幅度提高工控网络的安全等级。,内容提纲,威努特公司介绍,工控安全标准解读,2,1,威努特工控安全理念,3,威努特工控安全解决方案,4,行业案例,5,威努特工控安全解决方案,核心技术理念：纵深防护白名单

10、机制工业协议深度解析实时监控审计统一平台管理,威努特工控安全解决方案白名单机制,“白名单”主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。,“白名单”安全机制是一种安全管理规范，不仅应用于防火墙软件的设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员只信任可识别的身份，未经授权的行为将被拒绝。,威努特工控安全解决方案工业协议深度解析,传统防火墙,工业防火墙,Modbus TCP,威努特工控安全解决方案可

11、信边界网关,保护控制网与管理信息网之间的边界，阻止来自管理信息网的安全威胁,产品定位,产品功能,网络边界隔离：支持透明和路由工作模式；安全域分区：支持Trust、DMZ、Untrust以及local等安全域划分，灵活配置不同区域安全规则；访问控制：基于IP地址、端口、时间以及服务的状态包过滤；数采协议的深度解析：例如OPC，支持OPC动态端口解析、完整性检查、合法性检查；以及深入到OPC协议接口、方法的过滤；并提供一键式“OPC只读”模板，极大降低运维人员配置难度；工业网络可视化：网络流量、工业协议识别以及异常操作告警；工业级硬件：支持宽温、震动军用级使用环境，适应严苛的工业现场；,威努特工控

12、安全解决方案可信区域网关,保护工控网络内部不同安全区域的边界，阻止来自该安全区域外的安全威胁,产品定位,产品功能,安全域分区：支持Trust、DMZ、Untrust以及Local等安全域划分，灵活配置不同区域安全规则；访问控制：基于IP地址、端口、时间以及服务的状态包过滤；工控协议的深度解析：例如Modbus 、DNP3、IEC 104等；支持对Modbus协议深度解析：包括功能码控制、参数控制、异常回复以及协议协议完整性、一致性检查；支持对IEC104协议深度解析：包括遥信、遥测、遥控、设点以及电度等访问控制；工业网络可视化：网络流量、工业协议识别以及异常操作告警；工业级硬件：支持宽温、震动

13、军用级使用环境，适应严苛的工业现场；,威努特工控安全解决方案可信边界/区域网关,RE EN55022:2010CE EN55022:2010ESD IEC61000-4-2: 2008RS IEC61000-4-3: 2006+A1: 2007+A2: 2010EFT/B IEC61000-4-4: 2004+A1: 2010SURGE IEC61000-4-5: 2005CS IEC61000-4-6: 2008M/S IEC 61000-4-8: 2009DIPS IEC 61000-4-11: 2004,威努特工控安全解决方案可信边界/区域网关关键参数,保护工作站（工程师站、操作员站等）

14、的安全可控；保护服务器（应用服务器、实时数据服务器、历史数据服务器、OPC服务器等）的安全可控；,威努特工控安全解决方案工作站可信卫士,当恶意软件被用户无意下载到本机之后，可信卫士可阻断恶意软件的安装及运行，同时生成审计日志，协助管理员发现病毒。,威努特工控安全解决方案工作站可信卫士工作原理,有效抵御零日攻击及高级持久性威胁（APT）；灵活配置白名单，增强安全的同时降低维护成本；完全避免传统杀毒软件“误杀”“误报”；系统资源低开销，不影响正常工控软件运行；操作极致简单，适合工控环境，减少安全生产事故；保护不受支持的Microsoft Windows XP等旧系统；全方位的日志审计，安全隐患一目

15、了然；,威努特工控安全解决方案工作站可信卫士核心优势,核心优势,威努特工控安全解决方案工作站可信卫士产品界面,威努特工控安全解决方案工控安全审计管理平台,监控并记录工控系统运行过程中的一切操作行为，为事故追溯、责任划分提供证据,产品定位,产品功能,网络异常检测：忠实记录工控协议通信记录，自学习建立正常通信行为基线模型，对偏离基线异常操作行为进行告警上报；网络攻击检测：识别并检测工控协议攻击、TCP/IP攻击、网络风暴、参数阈值检测；关键事件检测：例对工程师站组态并更、操控指令变、PLC程序下装以及负载变更等关键事件告警工业网络可视化：提供多维度网络流量视图，统计视图；合规需求： GAT695-

16、2007信息安全技术-网络通讯安全审计-数据留存功能要求及安全审计工控协议加测内容 ；,内容提纲,威努特公司介绍,工控安全标准解读,2,1,威努特工控安全理念,3,威努特工控安全解决方案,4,行业案例,5,行业案例烟草行业可信网关&工作站可信卫士应用,工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护；可信区域网关进行各生产线之间的网络隔离，访问控制以及专用工控协议的控制；,客户价值,行业案例石化行业可信网关&工作站可信卫士应用,工作站可信卫士保护产线免受病毒侵袭可信边界网关进行产线数采协议OPC的只读防护；可信区域网关进行各生产线之间的网络隔离，访问控制以及专用工控协议的控制；,客户价值,Thank You！,