2024工控安全解决方案

工控安全解决方案工控安全解决方案02基于白名单技术的工控安全方案CONTENTS02基于白名单技术的工控安全方案01工业现场的安全问题及应对策略01工业现场的安全问题及应对策略目录03“白环境”方案典型案例分享03“白环境”方案典型案例分享01工业现场的安全问题及应对策略01土耳其原油输送管道爆炸事件回顾2014年12月4日，土耳其境内，由伊拉克向土耳其输送原油的输油管道爆炸。为监控从里海通向地中海的1099英里的石油管道，在管道内安装了探测器和摄像头，然而管道爆炸前，却没有上报一个遇险信号，原因是黑客关闭了警报、切断了通信。4.控制操作员站

视频服务器

器，关闭警报管道压力

管道爆炸

通过其它视频监控网现在石油管道附近乌克兰电网事件回顾 2015年12月23停电的网络攻击；以BlackEnergy入口；通过远程控制SCADA以摧毁破坏SCADA以DDoS社会混乱的具有信息战水准的网络攻击事件。台积电勒索病毒事件回顾造成经济营业损失约2.55亿美元

2018年8月3日，台积电感染WannaCry病毒病毒影响范围：感染的厂区包括竹科Fab12、中科Fab15、南科Fab14等；病毒特征及传播：WannaCry变种病毒通过445端口进行传输；将word，excel，ppt，rar，pdf，txt等进行加密，无法打开；电脑主机出现宕机或不断的重新启动。感染病毒原因：新机台接入时，未进行隔离，确认无病毒，直接联网；取消了各厂区间的防火墙；主机设备及系统过于陈旧，未进行升级，未安装防病毒软件。工业现场病毒情况统计行业病毒统计

病毒发现率140样本单位数 发现病毒单位数

未发现12010012010080604020样本单位数发现病毒单位数量13 52 28 10 4 3 1 17 0 7 0 1 1 1

发现病毒率 未发现

发现病毒率0市政发电0市政发电石油石化烟草轨交钢铁制药智能制造电网煤炭军工冶金化工公路交通1812534101731231184112电力行业暴漏在互联网上的设备漏洞监测发现暴露在公共互联网上的电力行业网络资产1147个，其中，设备资产556个，涉及ABB、Siemens、Delta、Rockwell等多家工控设备厂商。

CNVD漏洞库收录能源电力相关漏洞89条，其中高危漏洞51条，中危漏洞37条，低危漏洞1条，涉及SCADA系统、可编程逻辑控制器、HMI、工业网络设备、工业应用软件等多种类型的软硬件产品。监测到来自境外重点探测组织针对IEC-104、Modbus测事件共2880316起，涉及到境外81个IP地址，分布在美欧地区。监测到来自境外重点探测组织针对IEC-104、Modbus测事件共2880316起，涉及到境外81个IP地址，分布在美欧地区。工业现场的安全问题现象 结论1、50%以上工控系统带毒运行工控安全形势严峻1、50%以上工控系统带毒运行工控安全形势严峻2、100%工控系统带漏洞运行在有漏洞的前提下做工控安全2、100%工控系统带漏洞运行在有漏洞的前提下做工控安全如何在有漏洞的前提下做工控安全阻断威胁如何检测并阻断威胁威胁管理：检测与阻断网络战或高级攻击中，通常利用0day漏洞，IDS/IPS的原理决定了它无法防御。威胁管理：检测与阻断网络战或高级攻击中，通常利用0day漏洞，IDS/IPS的原理决定了它无法防御。IDS/IPS：检测并阻断网络攻击报文。下一代防火墙：检测并阻断网络攻击报文、网络病毒。漏洞管理：检测与修复漏洞扫描产品：检测系统的安全漏洞，并提供修复建议。补丁管理软件：检测新的安全补丁，并提供自动修复功能。防病毒软件用于工控系统存在不足无法防御利用0day漏洞的高级病毒无法防御利用0day漏洞的高级病毒网络战或高级攻击中，通常利用0day漏洞，例如震网病毒利用了4个0day漏洞。工控系统通常无法及时更新病毒库工控系统通常无法及时更新病毒库工业控制系统通常不允许在生产运行期间进行系统升级。工控网络通常不允许连接互联网，不具备及时更新病毒库的条件。测试证明：普遍存在对工控软件的误杀测试证明：普遍存在对工控软件的误杀误杀在工业控制系统中可能产生致命的后果，所以现在大量工作站“裸奔”。IDS/IPS用于工控系统存在不足无法防御利用0day漏洞的高级攻击网络战或高级攻击中，通常利用0day漏洞，IDS/IPS的原理决定了它无法防御。工控系统通常无法及时更新攻击库工业控制系统通常不允许在开车期间进行系统升级。工控网络通常不允许连接互联网，不具备及时更新攻击库的条件。IDS/IPS的误报无法满足工控系统要求IDS/IPS的误报无法满足工控系统要求IDS的高误报率一直是制约它广泛应用的主要因素。IPS为了降低误报，很大程度上是以牺牲检出率为代价。实践证明：白名单技术更适应于工控系统名单机制不完全适应；单（流量、访问、应用程序白名单）。02基于白名单技术的工控安全方案021.应用白名单代替防病毒软件；2.工业防火墙1.应用白名单代替防病毒软件；2.工业防火墙代替IT防火墙；3.工控网络异常检测代替IDS。产品亮点及创新点1.只有可信任的设备，才能接入控制网络；2.1.只有可信任的设备，才能接入控制网络；2.只有可信任的消息，才能在网络上传输；3.只有可信任的软件，才允许被执行；方案创新安全理念白名单技术的发展演进对象白名单对象白名单行为白名单控制逻辑白名单系统边界隔离“白名单”报文接收ACL报文接收ACL策略库包过滤检测包过滤检测协议规约白名单包过滤检测审计模块包过滤检测包过滤检测用户身份管理资源管理标记管理、授权管理、策略管理审计策略审计数据安全管理中心策略管理模块在业务系统的边界对进出业务系统的应用协议深度解析功能，根据安全管理中心下发的应用协议规约白名单模板，对流经边界的数据报文进行包过滤检测，对通过检测的数据报文进一步进行协议规则检查，阻断不符合协议规则的异常报文。检查内容如下：策略管理模块应用协议深层次解析标准5元组过滤，源IP，源MAC，目的IP，目的MAC，协议；应用协议深层次解析协议格式完整性；协议要素信息，包括指令类型、关键信息值等信息。边界完整性保护通过交换机和网络设备设置端口的IP、MAC绑定，只允许合法设备接入网络。对接入网络的终端设备采用802.1X认证，由安全管理中心对接入终端身份进行验证，防止非法外联。通过主机安全软件严格控制非法外设的启用，阻止非法程序执行，防止在计算节点启用无线网卡等硬件。对接入工业系统网络的计算节点下发互联策略，只有符合互联策略的通信才允许通过来防止非法内联。网络通信异常检测“白名单”网络数据安全管理平台网络数据安全管理平台工控监测与审计系统协议分析模型匹配安全通信模型流量分析策略配置中心安全审计数据采集层负责原始报文的采集、协议解析（包括TCP/IP协议栈的解析及工业控制协议的深度解析）、初步攻击检测及信息汇聚与统计。分析检测层对来自数据采集层的报文解析结果、检测结果及汇总统计信息，进行工控网络通信行为建模，并对TCP/IP异常事件、工控指令异常事件、工控关键事件、网络会话异常事件等进行分析检测。主机计算环境“白名单”程序进程请求启动

是hash值安全管理中心系统管理&安全管理安全管理中心

否是否符合

否审计管理

拒绝启动审计本地允许启动中心

自动扫描、跟踪软件安装及升级、保证只白名单管理阻止恶意程序执行白名单管理识别、阻止任何白名单外的程序运行，阻止病毒、木马、恶意程序运行和传播，保证只有经过认证的业务软件可以执行。终端外设管控通过对外设的管控，阻止移动介质的滥用，从而防止向系统内部引入风险移动介质“白名单”非法外联设备 默认拒绝一切非法外联设备，如3G,4G无线上网卡等。办公网办公终端注册授权访问控制权限控制数据加密日志审计办公网办公终端注册授权访问控制权限控制数据加密日志审计终端A 终端B数据交换服务器3G上网卡 安全U盘 非安全U盘安全U安全U盘安全U盘分为两个区域：安全区和普通区；安全区：无法识别。安全U盘的安全区主要用于系统内部计算节点文件摆渡。普通区：能够读，无法写。安全U盘普通区用于由系统内部向外部进行文件传递。典型工控网络部署方案工控安全态势感知平台企业集团企业集团方案优势：全防护，非常适用于工控系统；APT攻击、0day攻击；机计算环境，多重保护；自主可控、安全可靠，已经在工业现场运行近4年，服务500+全系列工控安全产品多行业定制化解决方案智能制造

轨道交通

测评机构烟草军工石油石化 市政电力 科研院校全生命周期工控安全服务安全咨询工控安全技术体系建设工控安全管理体系建设安全培训工控安全意识宣贯

安全运维

安全应急工控安全事件响应工控安全事件处理工控安全事件回溯

风险评估

安全建设

常规安全运维工控系统资产识别工控系统脆弱性识别

安全检查合规性检查

建立工控安全业务模型建立安全监控预警平台建立工控安全防护平台03“白环境”方案典型案例分享03项目背景某发电有限责任公司

问题现象两台1000MW超超临界机组，西门子DCS系统；SIS与DCS连接后，不定时出现DCS主备服务器先后故障，DCS失去监控；客户先后找了2家安全公司帮忙调查故障原因未果，还因为使用传统漏扫工具扫描，对控制系统造成破坏；客户第三家找到威努特公司帮忙调查故障原因。项目过程与解决方案故障定位方案设计

病毒专杀服务Net-Worm.Win32.Kido.ih01整体安全解决方案改造实施0405工控安全运维服务

0203DCS和SIS直连案例特色及客户价值特色 等功能，保障了生产业务的连续性；价值结合运行、管理、技术三个方面，建立起可管理、可控制、可信任的工控安全运行管理体系，符价值合国能安全【2015】36号文、等保2.0、《工业控制系统信息安全防护指南》的要求；有效抵御0day漏洞攻击和APT威胁。案例特色及客户价值肆虐全球的WannaCry，在工控网络白环境方案面前束手无策，在不打补丁、不关闭445端口的情况下成功防御，变被动防御为主动防护。典型客户列表已成功为国家重点行业五百余家客户提供了全面有效的安全保障，赢得客户一致好评申能集团上电漕泾申能集团外高桥第三发电厂华能集团澜沧江小湾水电厂国网新源新安江水力发电厂中国华电集团构皮滩水电站国核自仪攀枝花仁和洁源艾默生电气集团申能集团上电漕泾申能集团外高桥第三发电厂华能集团澜沧江小湾水电厂国网新源新安江水力发电厂中国华电集团构皮滩水电站国核自仪攀枝花仁和洁源艾默生电气集团华能新能源山西风电电力发电中国石油新疆油田中国石油长庆油田中国石油大港油田中国石油华北油田中国石油青海油田中国石油长庆石化中国石油庆阳石化中国石化中科炼化中国石油大港石化中国石油西北销售分公司石油石化北京地铁上海申通地铁广州地铁南京地铁苏州地铁徐州地铁南宁地铁郑州地铁成都地铁芜湖单轨清远磁浮佛山地铁轨道交通宝钛集团南京宝色中信重工共享集团沈阳机床比亚迪北汽集团一汽解放宇通客车生益科技创新齿轮智能制造典型客户列表已成功为国家重点行业五百余家客户提供了全面有效的安全