工業(yè)控制系統(tǒng)信息安全整體解決方案

1、工業(yè)控制系統(tǒng)信息安全整體解決方案,內(nèi)容提綱,威努特公司介紹,工控安全標(biāo)準(zhǔn)解讀,2,1,威努特工控安全理念,3,威努特工控安全解決方案,4,行業(yè)案例,5,公司簡介,北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品與解決方案研發(fā)的創(chuàng)新型高科技公司。 公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務(wù)，幫助企業(yè)客戶識別工控系統(tǒng)安全風(fēng)險，掌控工控安全現(xiàn)狀與趨勢，提高工控安全防護(hù)與事件響應(yīng)能力。 公司組建了一支由業(yè)界知名信息安全專家、工控系統(tǒng)專家、成熟產(chǎn)品研發(fā)團(tuán)隊以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團(tuán)隊 ?？蔀槠髽I(yè)客戶提供： 穩(wěn)定可靠的工控安全防護(hù)產(chǎn)品； 專業(yè)深度的工控安全咨詢培訓(xùn)； 全方位的安全

2、服務(wù)：風(fēng)險評估/漏洞挖掘/滲透測試/攻防演練； 幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關(guān)鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護(hù)體系,公司市場地位產(chǎn)品為王,國內(nèi)第一款“白名單主動防御”主機防病毒軟件，比肩美國Bit9的創(chuàng)新產(chǎn)品； 國內(nèi)第一款“千兆工業(yè)防火墻”，性能10-20倍業(yè)界一般水平； 與國內(nèi)外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家； 成功替代McAfee的國內(nèi)工控安全廠商,內(nèi)容提綱,威努特公司介紹,工控安全標(biāo)準(zhǔn)解讀,2,1,威努特工控安全理念,3,威努特工控安全解決方案,4,行業(yè)案例,5,工控安全標(biāo)準(zhǔn)解讀,國際工控安全標(biāo)準(zhǔn)組織： 1. 國際電工委員會 （ IEC

3、 ， International Electro Technical Commission ） 2. 國際自動化協(xié)會 （ ISA ， the International Society of Automation ） 3. 美國國家標(biāo)準(zhǔn)技術(shù)研究院 （ NIST ， National Institute of Standards and Technology ） 我國工控安全標(biāo)準(zhǔn)組織： 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260） 全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會（TC124） 全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會（TC82） 全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會（TC296,工控安全標(biāo)準(zhǔn)解

4、讀IEC62443工控安全定義,信息安全(Security) IEC62443針對工控系統(tǒng)信息安全的定義是： A、保護(hù)系統(tǒng)所采取的措施； B、由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)； C、能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失。 D、基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止； E、防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作,工控安全標(biāo)準(zhǔn)解讀IEC62443總體框架,工控安全標(biāo)準(zhǔn)解讀IEC62443工控安全模型,區(qū)域：是一組物理或邏輯上的資產(chǎn)，基于重 要性或事故影響，它們具有

5、相同的安全需求。 管道：是“區(qū)域”之間信息交換的通道，除了 網(wǎng)絡(luò)通道外，USB移動存儲介質(zhì)、遠(yuǎn)程撥號鏈 接等也需要考慮。 管道和區(qū)域，劃分出了縱深防御的網(wǎng)絡(luò)結(jié)構(gòu),內(nèi)容提綱,威努特公司介紹,工控安全標(biāo)準(zhǔn)解讀,2,1,威努特工控安全理念,3,威努特工控安全解決方案,4,行業(yè)案例,5,威努特工控安全理念工控安全傳統(tǒng)信息安全,威努特工控安全理念工控安全三大誤區(qū),漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為 工控設(shè)備由于長期忽視信息安全設(shè)計，存在應(yīng)對攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會直接導(dǎo)致設(shè)

6、備崩潰，影響實際生產(chǎn),工控安全漏洞掃描,工控安全打補丁,給工控設(shè)備打補丁是個很困難的事。工控網(wǎng)常常擔(dān)負(fù)著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會產(chǎn)生巨大的成本以及運營風(fēng)險。因此，集中式的自動化的補丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補丁都必須手動下載并安裝。而且很多情況下，只能由供應(yīng)商認(rèn)證的技術(shù)人員進(jìn)行安裝,工控安全防病毒,防病毒軟件在長年不更新病毒庫的工控網(wǎng)內(nèi)的實際作用非常有限，老舊的病毒庫無法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了,威努特工控安全理念傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題,工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機密性”第一 從而要求安全產(chǎn)品的

7、軟硬件重新設(shè)計。例如：系統(tǒng)fail-to-open,可用性和機密性的矛盾,升級和兼容性的矛盾,工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作 依賴黑名單庫的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）不適用,工業(yè)協(xié)議的識別解析,工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7） 傳統(tǒng)安全產(chǎn)品支持IT通信協(xié)議（例如，HTTP、FTP），不支持工業(yè)控制協(xié)議,延時敏感,工業(yè)控制系統(tǒng)對報文時延很敏感，而IT信息系統(tǒng)通常強調(diào)高吞吐量 工控安全產(chǎn)品，必須從硬件選型、軟件架構(gòu)設(shè)計上保證低時延,工業(yè)級硬件要求,工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕） 按照工業(yè)現(xiàn)場環(huán)

8、境的要求專門設(shè)計硬件，做到全密閉、無風(fēng)扇，支持4070等,威努特工控安全理念“安全白環(huán)境,為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護(hù)體系，保護(hù)國家基礎(chǔ)設(shè)施安全,只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò),只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸,只有可信任的軟件，才允許被執(zhí)行,1,2,3,核心安全理念,技術(shù)亮點及創(chuàng)新點,創(chuàng)新性的率先提出了建立工控系統(tǒng)的 和 理念,可信任網(wǎng)絡(luò)白環(huán)境,工控軟件白名單,創(chuàng)新的“軟可信”計算技術(shù)，降低方案成本，提高實用性,機器自學(xué)習(xí)“白環(huán)境”智能建模技術(shù)，降低維護(hù)成本，提高易用性,1,2,工控協(xié)議深度解析技術(shù)，具備高安全性，低時延影響,3,威努特工控安全理念工控安全的三大命門,現(xiàn)有工

9、控網(wǎng)絡(luò)無網(wǎng)絡(luò)準(zhǔn)入措施，任意工控設(shè)備都可以輕松接入現(xiàn)有網(wǎng)絡(luò)，安全級別低； 構(gòu)建有效的網(wǎng)絡(luò)準(zhǔn)入體系，是解決工控安全的首要之選,網(wǎng)絡(luò)準(zhǔn)入,網(wǎng)絡(luò)傳輸,網(wǎng)絡(luò)傳輸層面臨諸多安全風(fēng)險，現(xiàn)有工控網(wǎng)絡(luò)對此缺乏有效應(yīng)對措施。 對工控網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行有效監(jiān)管，攔截，可以防止大量潛在威脅,應(yīng)用程序,工控網(wǎng)絡(luò)功能確定，行為單一，應(yīng)用可預(yù)期。 對工控網(wǎng)絡(luò)的應(yīng)用程序進(jìn)行有效管控，阻止可疑、非法程序的運行，可以大幅度提高工控網(wǎng)絡(luò)的安全等級,內(nèi)容提綱,威努特公司介紹,工控安全標(biāo)準(zhǔn)解讀,2,1,威努特工控安全理念,3,威努特工控安全解決方案,4,行業(yè)案例,5,威努特工控安全解決方案,核心技術(shù)理念： 縱深防護(hù) 白名單機制 工業(yè)協(xié)議

10、深度解析 實時監(jiān)控審計 統(tǒng)一平臺管理,威努特工控安全解決方案白名單機制,白名單”主動防御技術(shù)是通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡(luò)數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動態(tài)行為判斷。通過對約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播,白名單”安全機制是一種安全管理規(guī)范，不僅應(yīng)用于防火墻軟件的設(shè)置規(guī)則，也是在實際管理中要遵循的原則，例如在對設(shè)備和計算機進(jìn)行實際操作時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份，未經(jīng)授權(quán)的行為將被拒絕,威努特工控安全解決方案工業(yè)協(xié)議深度解析,傳統(tǒng)防火墻,工業(yè)防火墻,Modbus TCP,威努特工控安全解決方案可信邊界網(wǎng)關(guān),保護(hù)

11、控制網(wǎng)與管理信息網(wǎng)之間的邊界，阻止來自管理信息網(wǎng)的安全威脅,產(chǎn)品定位,產(chǎn)品功能,網(wǎng)絡(luò)邊界隔離：支持透明和路由工作模式； 安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則； 訪問控制：基于IP地址、端口、時間以及服務(wù)的狀態(tài)包過濾； 數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運維人員配置難度； 工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識別以及異常操作告警； 工業(yè)級硬件：支持寬溫、震動軍用級使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場,威努特工控安全解決

12、方案可信區(qū)域網(wǎng)關(guān),保護(hù)工控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域的邊界，阻止來自該安全區(qū)域外的安全威脅,產(chǎn)品定位,產(chǎn)品功能,安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則； 訪問控制：基于IP地址、端口、時間以及服務(wù)的狀態(tài)包過濾； 工控協(xié)議的深度解析：例如Modbus 、DNP3、IEC 104等； 支持對Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜?fù)以及協(xié)議協(xié)議完整性、一致性檢查； 支持對IEC104協(xié)議深度解析：包括遙信、遙測、遙控、設(shè)點以及電度等訪問控制； 工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識別以及異常操作告警； 工業(yè)級硬件：支持寬溫、

13、震動軍用級使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場,威努特工控安全解決方案可信邊界/區(qū)域網(wǎng)關(guān),RE EN55022:2010 CE EN55022:2010 ESD IEC61000-4-2: 2008 RS IEC61000-4-3: 2006+A1: 2007+A2: 2010 EFT/B IEC61000-4-4: 2004+A1: 2010 SURGE IEC61000-4-5: 2005 CS IEC61000-4-6: 2008 M/S IEC 61000-4-8: 2009 DIPS IEC 61000-4-11: 2004,威努特工控安全解決方案可信邊界/區(qū)域網(wǎng)關(guān)關(guān)鍵參數(shù),保護(hù)工作站（工程

14、師站、操作員站等）的安全可控； 保護(hù)服務(wù)器（應(yīng)用服務(wù)器、實時數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)服務(wù)器、OPC服務(wù)器等）的安全可控,威努特工控安全解決方案工作站可信衛(wèi)士,當(dāng)惡意軟件被用戶無意下載到本機之后，可信衛(wèi)士可阻斷惡意軟件的安裝及運行，同時生成審計日志，協(xié)助管理員發(fā)現(xiàn)病毒,威努特工控安全解決方案工作站可信衛(wèi)士工作原理,有效抵御零日攻擊及高級持久性威脅（APT）； 靈活配置白名單，增強安全的同時降低維護(hù)成本； 完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報”； 系統(tǒng)資源低開銷，不影響正常工控軟件運行； 操作極致簡單，適合工控環(huán)境，減少安全生產(chǎn)事故； 保護(hù)不受支持的Microsoft Windows XP等舊系統(tǒng)； 全

15、方位的日志審計，安全隱患一目了然,威努特工控安全解決方案工作站可信衛(wèi)士核心優(yōu)勢,核心優(yōu)勢,威努特工控安全解決方案工作站可信衛(wèi)士產(chǎn)品界面,威努特工控安全解決方案工控安全審計管理平臺,監(jiān)控并記錄工控系統(tǒng)運行過程中的一切操作行為，為事故追溯、責(zé)任劃分提供證據(jù),產(chǎn)品定位,產(chǎn)品功能,網(wǎng)絡(luò)異常檢測：忠實記錄工控協(xié)議通信記錄，自學(xué)習(xí)建立正常通信行為基線模型，對偏離基線異常操作行為進(jìn)行告警上報； 網(wǎng)絡(luò)攻擊檢測：識別并檢測工控協(xié)議攻擊、TCP/IP攻擊、網(wǎng)絡(luò)風(fēng)暴、參數(shù)閾值檢測； 關(guān)鍵事件檢測：例對工程師站組態(tài)并更、操控指令變、PLC程序下裝以及負(fù)載變更等關(guān)鍵事件告警 工業(yè)網(wǎng)絡(luò)可視化：提供多維度網(wǎng)絡(luò)流量視圖，統(tǒng)計視圖； 合規(guī)需求： GAT695-2007信息安全技術(shù)-網(wǎng)絡(luò)通訊安全審計-數(shù)據(jù)留存功能要求及安全審計工控協(xié)議加測內(nèi)容,內(nèi)容提綱,威努特公司介紹,工控安全標(biāo)準(zhǔn)解讀,2,1,威努特工控安全理念,3,威