工业互联网时代的网络安全新挑战

1、工业互联网的技术架构工业互联网产业联盟工业互联网体系架构2.0网络平台安全1立足当下：脚踏实地补短板工业控制系统漏洞和联网暴露形势依旧严峻工控设备漏洞利用演示：数控机床急停失效工控设备漏洞利用演示：PLC勒索针对工控系统的网络攻击越来越复杂和精巧勒索病毒是工业企业当前面临的最大威胁APT攻击的主要目标是国家关键基础设施十年来全球重大工业控制系统安全事件伊利诺伊州供水危机伊利诺伊州城市供水 SCADA系统遭黑客入 侵，水泵遭到破坏。台积电中招变种病毒台积电遭受WannaCry 变种病毒攻击，5大晶 圆厂停摆，损失达52 亿新台币。2010年11月伊朗“震网”事件伊朗核设施遭“震网” 病毒攻击，离

2、心机严 重受损，被迫推迟发 电。2015年12月乌克兰电网遭攻击乌克兰电网遭 BlackEnergy攻击，导 致大规模停电，影响 140万居民达数小时。2017年5月永恒之蓝勒索病毒“永恒之蓝”病毒爆 发，波及105个国家， 涉及能源、电力、交 通等重点行业。2019年3月海德鲁铝业遭勒索停产挪威海德鲁铝业公司 遭“LockerGoga”勒 索攻击，多工厂关闭。2011年11月沙特天然气遭攻击黑客利用恶意软件 TRITON攻击了沙特天 然气施耐德SIS系统， 造成工厂停产。2017年12月2018年8月委内瑞拉大断电委内瑞拉发生全国性 断电，除了电网老化 原因外，不排除敌对 网络攻击。2019

3、年3月印度核电站遭网络攻击印度库丹库拉姆核电 站感染恶意软件，导 致该核电站的域控服 务器被控制，第二座 核电机组停止运行。2019年10月2019年6月ASCO公司遭勒索停产世界最大的飞机零部 件供应商ASCO公司， 比利时工厂遭勒索病 毒感染，随即关闭了 位于德国、加拿大和 美国的工厂。国内工业企业遭受勒索病毒攻击损失严重2017.05某汽车模具厂，停产2018.07某冷轧钢板厂，停产2018.10某炼钢厂，停产2019.01某关键IC厂，停产近两年奇安信应急响应过的工业企业网络攻击事件，涉及汽车生产、智能制造、能源电力、烟草等行业几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停

4、工最佳实践等保2.0工控系统安全扩展技术要求以等保三级为例：通用技术要求：安全控制点71个，安全要求211项工控扩展要求：安全控制点9个，安全要求21项典型的工业企业网络安全保障体系：八大重点任务第一板斧：安全从工业主机防护开始OR未来之门?黑客之门?数字世界物理世界工业主机工业主机系统软件易获取，系统老旧漏洞多，生命周期长，补丁难度大，成为攻击者首选目标第一板斧：安全从工业主机防护开始“多样式”环境适配低配硬件支持，256M 内存，500M硬盘老旧系统兼容， XP ， Win2000工业软件适配，组态软 件，MES，数据库“关卡式”病毒拦截入口拦截：病毒扫描、 外设管控、永恒之蓝漏 洞防御运

5、行拦截：白名单管控、主机加固扩散拦截：网络防护“自助式”资产登记硬件自动识别资产自助登记基于组织架构的资产风 险管控“集中式” 运维管理策略集中管理日志集中分析风险集中展示灵活部署： 单机版、 网络版、级联部署第三方联动分析工业专属主机安全防护系统一体化 防护能力软硬件 适配能力集中运维 管理能力资产分析 管理能力工业主机 安全防护 第二板斧：隔离、隔离、隔离！工业防火墙/网闸企业 资源 层/L4生产 管理 层/L3过程 监控 层/L2现场 控制 层/L1现场 设备 层/L0操作员站生产线操作员站生产线历史数据库HMI工艺MES打印机EmailWebOA INTERNET控制器/PLC控制器/

6、PLC工业防 火墙工程师站工业防火墙专有硬件防火墙工业网络环境，宽温，无风扇，导轨/机架工业控制协议解析控制硬件Bypass（电口/光口）部署位置企业网络与工控网逻辑隔离工控网内部区域隔离（生产管理层与过程监控 层、过程监控层和现场控制层）导轨式适用控制现场机架式适用机柜环境工业防 火墙工业防火墙第三板斧：工业安全监测与态势感知系统设备数量、型号、IP等基本情况不清楚；设备在网络中的业务运行情况 不清楚；工控设备自身的安全漏洞情况 不清楚；工业生产内网带毒运行是常态，隐患较大；工业企业对于受攻击、感染 情况不清楚；恶意流量产生的原因、如何 处置不清楚；生产异常，难定位控制器运行状态、流量模型不

7、清楚；上位机与控制器之间的业务 模型不清楚；上位机与控制器之间的关键 敏感操作不清楚；恐惧源于未知，看见才能安全资产不清，难管理工控威胁，难发现第三板斧：工业安全监测与态势感知系统“运营化”安全分析中心资产管理（IT/OT指纹库）风险管理（多维度算法）漏洞管理（4大漏洞库）威胁管理（IT/OT特征库）异常行为（100+工控DPI）关联分析（专利引擎）攻击链分析（killchain）“组态化”工控安全态势全网风险态势全网资产态势全网威胁态势全网漏洞态势异常行为态势网络监控态势客户定制化态势“业务化”工控内生安全组态工艺还原安全与业务融合行业 /客户定制“集中化” 运维管理平台设备集中管理（分类管

8、理）设备集中监测（多维监测）日志审计中心（多维日志）拓扑管理（安全融合）报表统计（自定义视图）安全设备/网络设备/工控设备/终端/服务器等安全态势 感知安全运营 平台集中运维 管理业务内生 安全资产（IT/OT一体化）采 集管 控总结：工控网络安全“三板斧”2展望未来：网络安全新思考5G在工业领域的行业需求和应用场景自动化“装备+系统”替换人工移动装备100台 实时调度需求10ms5G代替工业总线工厂各工序的产能不匹配无线方式将很有利于实现柔性生产终端算法置于云端机电分离将电部分放置云端 低成本迭代优化机器换人实现降本增效以移代固助力柔性制造机电分离设备快速迭代促进工业设备感知力的提升加快工业

9、行业生产提速从永远在线迈向永远在场机器视觉远程控制远程现场5G在智能工厂的应用场景和组网架构5G MEC 移动边缘计算中国移动5G联合创新中心创新研究报告5G与智能工厂SECURITYSAFETY数据业务机密性完整性可用性个人隐私功能安全可靠性人员环境弹性?改变1：安全内涵的改变连接范围更广，防护对象更多，安全场景更丰富，安全危害更严重从网络与信息安全到网络与生产安全改变2：安全架构的改变从边界安全架构到零信任安全架构5G MEC 边缘计算供应链企业工业应用工业大数据平台工业云平台工业大数据中心智能工厂边 缘 物 联 网 关工 业 主 机远程检修/移动办公工业互联网平台传统工厂网络边边界界瓦解边界瓦解普度模型云管边端改变3：安全重心的改变工业互联网产业联盟工业互联网体系架构2.0从基础设施为中心到数据为中心以数据为核心要素实现全面连接，构建起全要素、全产业链、全价值