工業(yè)控制系統(tǒng)信息安全整體解決方案

工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術(shù)有限公司總經(jīng)理：龍國(guó)東工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術(shù)有限公司總經(jīng)理內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念公司簡(jiǎn)介

北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品與解決方案研發(fā)的創(chuàng)新型高科技公司。公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務(wù)，幫助企業(yè)客戶識(shí)別工控系統(tǒng)安全風(fēng)險(xiǎn)，掌控工控安全現(xiàn)狀與趨勢(shì)，提高工控安全防護(hù)與事件響應(yīng)能力。公司組建了一支由業(yè)界知名信息安全專家、工控系統(tǒng)專家、成熟產(chǎn)品研發(fā)團(tuán)隊(duì)以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團(tuán)隊(duì)

?？蔀槠髽I(yè)客戶提供：穩(wěn)定可靠的工控安全防護(hù)產(chǎn)品；專業(yè)深度的工控安全咨詢培訓(xùn)；全方位的安全服務(wù)：風(fēng)險(xiǎn)評(píng)估/漏洞挖掘/滲透測(cè)試/攻防演練；幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關(guān)鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護(hù)體系。公司簡(jiǎn)介北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)公司市場(chǎng)地位—產(chǎn)品為王國(guó)內(nèi)第一款“白名單主動(dòng)防御”主機(jī)防病毒軟件，比肩美國(guó)Bit9的創(chuàng)新產(chǎn)品；國(guó)內(nèi)第一款“千兆工業(yè)防火墻”，性能10-20倍業(yè)界一般水平；與國(guó)內(nèi)外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家；成功替代McAfee的國(guó)內(nèi)工控安全廠商；公司市場(chǎng)地位—產(chǎn)品為王國(guó)內(nèi)第一款“白名單主動(dòng)防御”主機(jī)防病毒內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念工控安全標(biāo)準(zhǔn)解讀國(guó)際工控安全標(biāo)準(zhǔn)組織：1.國(guó)際電工委員會(huì)（IEC，InternationalElectroTechnicalCommission）2.國(guó)際自動(dòng)化協(xié)會(huì)（ISA，theInternationalSocietyofAutomation）3.美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST，NationalInstituteofStandardsandTechnology）我國(guó)工控安全標(biāo)準(zhǔn)組織：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）全國(guó)工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC124）全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC82）全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296）工控安全標(biāo)準(zhǔn)解讀國(guó)際工控安全標(biāo)準(zhǔn)組織：工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全定義信息安全(Security)

IEC62443針對(duì)工控系統(tǒng)信息安全的定義是：A、保護(hù)系統(tǒng)所采取的措施；B、由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；C、能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失。D、基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；E、防止對(duì)工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計(jì)劃的操作。工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全定義信息安全(Se工控安全標(biāo)準(zhǔn)解讀—IEC62443總體框架工控安全標(biāo)準(zhǔn)解讀—IEC62443總體框架工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全模型區(qū)域：是一組物理或邏輯上的資產(chǎn)，基于重要性或事故影響，它們具有相同的安全需求。管道：是“區(qū)域”之間信息交換的通道，除了網(wǎng)絡(luò)通道外，USB移動(dòng)存儲(chǔ)介質(zhì)、遠(yuǎn)程撥號(hào)鏈接等也需要考慮。管道和區(qū)域，劃分出了縱深防御的網(wǎng)絡(luò)結(jié)構(gòu)。工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全模型區(qū)域：是一組物內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控安全差異點(diǎn)分類傳統(tǒng)信息安全工控安全性能非實(shí)時(shí)

高吞吐量

高延遲或抖動(dòng)可接受實(shí)時(shí)適度的吞吐量高延遲或抖動(dòng)不可接受可用性重新啟動(dòng)可以接受

可用性的缺陷往往可以容忍重新啟動(dòng)不可接受可用性要求可能需要冗余系統(tǒng)停機(jī)必須有計(jì)劃和提前預(yù)定時(shí)間高可用性要求充分的部署前測(cè)試風(fēng)險(xiǎn)管理機(jī)密性、完整性是最重要的容錯(cuò)不是太重要，臨時(shí)停機(jī)不是主要風(fēng)險(xiǎn)主要的風(fēng)險(xiǎn)影響是業(yè)務(wù)操作的推遲人身安全是最重要的，其次是過程保護(hù)容錯(cuò)是必須的，即使瞬間的停機(jī)也可能不可接受主要的風(fēng)險(xiǎn)影響是不合規(guī)，環(huán)境影響，生命、設(shè)備或生產(chǎn)損失架構(gòu)的安全重點(diǎn)首要重點(diǎn)是保護(hù)IT資產(chǎn)，及這些資產(chǎn)上存儲(chǔ)的傳輸?shù)男畔⑹滓攸c(diǎn)是保護(hù)邊緣設(shè)備，如現(xiàn)場(chǎng)設(shè)備、過程控制器中央服務(wù)器的保護(hù)也很重要信息安全方案信息安全方案圍繞典型的IT系統(tǒng)進(jìn)行設(shè)計(jì)安全產(chǎn)品必須先測(cè)試，例如在離線工控系統(tǒng)上測(cè)試，以保它們不會(huì)影響工控系統(tǒng)的正常運(yùn)行快速反應(yīng)快速反應(yīng)不太重要可以根據(jù)必要的安全程度實(shí)施嚴(yán)格的訪問控制人機(jī)交互及緊急情況下快速反應(yīng)是關(guān)鍵應(yīng)嚴(yán)格控制對(duì)工控系統(tǒng)的訪問，但不應(yīng)妨礙或干預(yù)人機(jī)交互系統(tǒng)運(yùn)行使用典型的操作系統(tǒng)采用自動(dòng)部署工具使得升級(jí)非常簡(jiǎn)單專用的操作系統(tǒng)，往往沒有內(nèi)置的安全功能軟件變更必須慎重，通常由軟件供應(yīng)商操作資源限制資源充足，能支持增加第三方功能，如信息安全功能系統(tǒng)被設(shè)計(jì)為支持預(yù)定的工業(yè)過程，可能沒有足夠的資源支持增加安全功能通信標(biāo)準(zhǔn)通信協(xié)議主要是有線網(wǎng)絡(luò)，捎帶一些本地?zé)o線功能許多專有的和標(biāo)準(zhǔn)的通信協(xié)議使用多種類型網(wǎng)絡(luò)，包括有線、無(wú)線（無(wú)線電和衛(wèi)星）技術(shù)支持允許多方提供技術(shù)支持通常由單一供應(yīng)商提供技術(shù)支持生命周期3-5年15-20年組件訪問組件通常在本地，可方便地訪問組件可能是隔離的，遠(yuǎn)程的，需要大量的物力才能獲得對(duì)其的訪問威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為工控設(shè)備由于長(zhǎng)期忽視信息安全設(shè)計(jì)，存在應(yīng)對(duì)攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會(huì)直接導(dǎo)致設(shè)備崩潰，影響實(shí)際生產(chǎn)。工控安全≠漏洞掃描工控安全≠打補(bǔ)丁給工控設(shè)備打補(bǔ)丁是個(gè)很困難的事。工控網(wǎng)常常擔(dān)負(fù)著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會(huì)產(chǎn)生巨大的成本以及運(yùn)營(yíng)風(fēng)險(xiǎn)。因此，集中式的自動(dòng)化的補(bǔ)丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補(bǔ)丁都必須手動(dòng)下載并安裝。而且很多情況下，只能由供應(yīng)商認(rèn)證的技術(shù)人員進(jìn)行安裝。工控安全≠防病毒防病毒軟件在長(zhǎng)年不更新病毒庫(kù)的工控網(wǎng)內(nèi)的實(shí)際作用非常有限，老舊的病毒庫(kù)無(wú)法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了。威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機(jī)密性”第一從而要求安全產(chǎn)品的軟硬件重新設(shè)計(jì)。例如：系統(tǒng)fail-to-open?？捎眯院蜋C(jī)密性的矛盾升級(jí)和兼容性的矛盾工業(yè)控制系統(tǒng)不能接受頻繁的升級(jí)更新操作依賴黑名單庫(kù)的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）不適用。工業(yè)協(xié)議的識(shí)別解析工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7）傳統(tǒng)安全產(chǎn)品支持IT通信協(xié)議（例如，HTTP、FTP），不支持工業(yè)控制協(xié)議。延時(shí)敏感工業(yè)控制系統(tǒng)對(duì)報(bào)文時(shí)延很敏感，而IT信息系統(tǒng)通常強(qiáng)調(diào)高吞吐量工控安全產(chǎn)品，必須從硬件選型、軟件架構(gòu)設(shè)計(jì)上保證低時(shí)延。工業(yè)級(jí)硬件要求工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕）按照工業(yè)現(xiàn)場(chǎng)環(huán)境的要求專門設(shè)計(jì)硬件，做到全密閉、無(wú)風(fēng)扇，支持﹣40℃～70℃等。威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)威努特工控安全理念—“安全白環(huán)境”為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護(hù)體系，保護(hù)國(guó)家基礎(chǔ)設(shè)施安全只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行；1.2.3.核心安全理念技術(shù)亮點(diǎn)及創(chuàng)新點(diǎn)創(chuàng)新性的率先提出了建立工控系統(tǒng)的

和理念可信任網(wǎng)絡(luò)白環(huán)境工控軟件白名單創(chuàng)新的“軟可信”計(jì)算技術(shù)，降低方案成本，提高實(shí)用性；機(jī)器自學(xué)習(xí)“白環(huán)境”智能建模技術(shù)，降低維護(hù)成本，提高易用性；1.2.工控協(xié)議深度解析技術(shù)，具備高安全性，低時(shí)延影響；3.威努特工控安全理念—“安全白環(huán)境”為客戶構(gòu)筑工控系統(tǒng)“安全白威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡(luò)無(wú)網(wǎng)絡(luò)準(zhǔn)入措施，任意工控設(shè)備都可以輕松接入現(xiàn)有網(wǎng)絡(luò)，安全級(jí)別低；構(gòu)建有效的網(wǎng)絡(luò)準(zhǔn)入體系，是解決工控安全的首要之選。網(wǎng)絡(luò)準(zhǔn)入網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)傳輸層面臨諸多安全風(fēng)險(xiǎn)，現(xiàn)有工控網(wǎng)絡(luò)對(duì)此缺乏有效應(yīng)對(duì)措施。對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行有效監(jiān)管，攔截，可以防止大量潛在威脅；應(yīng)用程序工控網(wǎng)絡(luò)功能確定，行為單一，應(yīng)用可預(yù)期。對(duì)工控網(wǎng)絡(luò)的應(yīng)用程序進(jìn)行有效管控，阻止可疑、非法程序的運(yùn)行，可以大幅度提高工控網(wǎng)絡(luò)的安全等級(jí)。威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡(luò)無(wú)網(wǎng)絡(luò)準(zhǔn)入內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念威努特工控安全解決方案核心技術(shù)理念：縱深防護(hù)白名單機(jī)制工業(yè)協(xié)議深度解析實(shí)時(shí)監(jiān)控審計(jì)統(tǒng)一平臺(tái)管理威努特工控安全解決方案核心技術(shù)理念：威努特工控安全解決方案—白名單機(jī)制

“白名單”主動(dòng)防御技術(shù)是通過提前計(jì)劃好的協(xié)議規(guī)則來(lái)限制網(wǎng)絡(luò)數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動(dòng)態(tài)行為判斷。通過對(duì)約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運(yùn)行和傳播。

“白名單”安全機(jī)制是一種安全管理規(guī)范，不僅應(yīng)用于防火墻軟件的設(shè)置規(guī)則，也是在實(shí)際管理中要遵循的原則，例如在對(duì)設(shè)備和計(jì)算機(jī)進(jìn)行實(shí)際操作時(shí)，需要使用指定的筆記本、U盤等，管理人員只信任可識(shí)別的身份，未經(jīng)授權(quán)的行為將被拒絕。威努特工控安全解決方案—白名單機(jī)制“白名單”主動(dòng)防御威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIPTCP傳統(tǒng)防火墻EthernetIPTCPMAP頭功能碼數(shù)據(jù)校驗(yàn)工業(yè)防火墻ModbusTCP傳統(tǒng)防火墻工業(yè)防火墻過濾字段IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）Modbus功能碼Modbus線圈/寄存器Modbus讀寫值域Modbus只讀無(wú)法支持支持OPC動(dòng)態(tài)端口無(wú)法支持支持威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIP威努特工控安全解決方案—可信邊界網(wǎng)關(guān)保護(hù)控制網(wǎng)與管理信息網(wǎng)之間的邊界，阻止來(lái)自管理信息網(wǎng)的安全威脅產(chǎn)品定位產(chǎn)品功能網(wǎng)絡(luò)邊界隔離：支持透明和路由工作模式；安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時(shí)間以及服務(wù)的狀態(tài)包過濾；數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動(dòng)態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運(yùn)維人員配置難度；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識(shí)別以及異常操作告警；工業(yè)級(jí)硬件：支持寬溫、震動(dòng)軍用級(jí)使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場(chǎng)；威努特工控安全解決方案—可信邊界網(wǎng)關(guān)保護(hù)控制網(wǎng)與管理信息網(wǎng)之威努特工控安全解決方案—可信區(qū)域網(wǎng)關(guān)保護(hù)工控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域的邊界，阻止來(lái)自該安全區(qū)域外的安全威脅產(chǎn)品定位產(chǎn)品功能安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時(shí)間以及服務(wù)的狀態(tài)包過濾；工控協(xié)議的深度解析：例如Modbus、DNP3、IEC104等；支持對(duì)Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜?fù)以及協(xié)議協(xié)議完整性、一致性檢查；支持對(duì)IEC104協(xié)議深度解析：包括遙信、遙測(cè)、遙控、設(shè)點(diǎn)以及電度等訪問控制；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識(shí)別以及異常操作告警；工業(yè)級(jí)硬件：支持寬溫、震動(dòng)軍用級(jí)使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場(chǎng)；威努特工控安全解決方案—可信區(qū)域網(wǎng)關(guān)保護(hù)工控網(wǎng)絡(luò)內(nèi)部不同安全威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關(guān)REEN55022:2010CEEN55022:2010ESDIEC61000-4-2:2008RSIEC61000-4-3:2006+A1:2007+A2:2010EFT/BIEC61000-4-4:2004+A1:2010SURGEIEC61000-4-5:2005CSIEC61000-4-6:2008M/SIEC61000-4-8:2009DIPSIEC61000-4-11:2004威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關(guān)REEN5威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關(guān)關(guān)鍵參數(shù)威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關(guān)關(guān)鍵參數(shù)保護(hù)工作站（工程師站、操作員站等）的安全可控；保護(hù)服務(wù)器（應(yīng)用服務(wù)器、實(shí)時(shí)數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)服務(wù)器、OPC服務(wù)器等）的安全可控；威努特工控安全解決方案—工作站可信衛(wèi)士保護(hù)工作站（工程師站、操作員站等）的安全可控；威努特工控安全當(dāng)惡意軟件被用戶無(wú)意下載到本機(jī)之后，可信衛(wèi)士可阻斷惡意軟件的安裝及運(yùn)行，同時(shí)生成審計(jì)日志，協(xié)助管理員發(fā)現(xiàn)病毒。威努特工控安全解決方案—工作站可信衛(wèi)士工作原理當(dāng)惡意軟件被用戶無(wú)意下載到本機(jī)之后，可信衛(wèi)士可阻斷惡意軟件的有效抵御零日攻擊及高級(jí)持久性威脅（APT）；靈活配置白名單，增強(qiáng)安全的同時(shí)降低維護(hù)成本；完全避免傳統(tǒng)殺毒軟件“誤殺”“誤報(bào)”；系統(tǒng)資源低開銷，不影響正常工控軟件運(yùn)行；操作極致簡(jiǎn)單，適合工控環(huán)境，減少安全生產(chǎn)事故；保護(hù)不受支持的MicrosoftWindowsXP等舊系統(tǒng)；全方位的日志審計(jì)，安全隱患一目了然；威努特工控安全解決方案—工作站可信衛(wèi)士核心優(yōu)勢(shì)核心優(yōu)勢(shì)有效抵御零日攻擊及高級(jí)持久性威脅（APT）；威努特工控安全解威努特工控安全解決方案—工作站可信衛(wèi)士產(chǎn)品界面威努特工控安全解決方案—工作站可信衛(wèi)士產(chǎn)品界面威努特工控安全解決方案—工控安全審計(jì)管理平臺(tái)監(jiān)控并記錄工控系統(tǒng)運(yùn)行過程中的一切操作行為，為事故追溯、責(zé)任劃分提供證據(jù)產(chǎn)品定位產(chǎn)品功能網(wǎng)絡(luò)異常檢測(cè)：忠實(shí)記錄工控協(xié)議通信記錄，自學(xué)習(xí)建立正常通信行為基線模型，對(duì)偏離基線異常操作行為進(jìn)行告警上報(bào)；網(wǎng)絡(luò)攻擊檢測(cè)：識(shí)別并檢測(cè)工控協(xié)議攻擊、TCP/IP攻擊、網(wǎng)絡(luò)風(fēng)暴、參數(shù)閾值檢測(cè)；關(guān)鍵事件檢測(cè)：例對(duì)工程師站組態(tài)并更、操控指令變、PLC程序下裝以及負(fù)載變更等關(guān)鍵事件告警工業(yè)網(wǎng)絡(luò)可視化：提供多維度網(wǎng)絡(luò)流量視圖，統(tǒng)計(jì)視圖；合規(guī)需求：

GA／T695-2007《信息安全技術(shù)-網(wǎng)絡(luò)通訊安全審計(jì)-數(shù)據(jù)留存功能要求》及《安全審計(jì)工控協(xié)議加測(cè)內(nèi)容》；威努特工控安全解決方案—工控安全審計(jì)管理平臺(tái)監(jiān)控并記錄工控系內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念行業(yè)案例—煙草行業(yè)可信網(wǎng)關(guān)&工作站可信衛(wèi)士應(yīng)用工作站可信衛(wèi)士保護(hù)產(chǎn)線免受病毒侵襲可信邊界網(wǎng)關(guān)進(jìn)行產(chǎn)線數(shù)采協(xié)議OPC的只讀防護(hù)；可信區(qū)域網(wǎng)關(guān)進(jìn)行各生產(chǎn)線之間的網(wǎng)絡(luò)隔離，訪問控制以及專用工控協(xié)議的控制；客戶價(jià)值行業(yè)案例—煙草行業(yè)可信網(wǎng)關(guān)&工作站可信衛(wèi)士應(yīng)用工作站可信衛(wèi)士行業(yè)案例—石化行業(yè)可信網(wǎng)關(guān)&工作站可信衛(wèi)士應(yīng)用工作站可信衛(wèi)士保護(hù)產(chǎn)線免受病毒侵襲可信邊界網(wǎng)關(guān)進(jìn)行產(chǎn)線數(shù)采協(xié)議OPC的只讀防護(hù)；可信區(qū)域網(wǎng)關(guān)進(jìn)行各生產(chǎn)線之間的網(wǎng)絡(luò)隔離，訪問控制以及專用工控協(xié)議的控制；客戶價(jià)值行業(yè)案例—石化行業(yè)可信網(wǎng)關(guān)&工作站可信衛(wèi)士應(yīng)用工作站可信衛(wèi)士ThankYou！ThankYou！工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術(shù)有限公司總經(jīng)理：龍國(guó)東工業(yè)控制系統(tǒng)信息安全整體解決方案北京威努特技術(shù)有限公司總經(jīng)理內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念公司簡(jiǎn)介

北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品與解決方案研發(fā)的創(chuàng)新型高科技公司。公司致力于為企業(yè)客戶提供工控安全整體解決方案與服務(wù)，幫助企業(yè)客戶識(shí)別工控系統(tǒng)安全風(fēng)險(xiǎn)，掌控工控安全現(xiàn)狀與趨勢(shì)，提高工控安全防護(hù)與事件響應(yīng)能力。公司組建了一支由業(yè)界知名信息安全專家、工控系統(tǒng)專家、成熟產(chǎn)品研發(fā)團(tuán)隊(duì)以及優(yōu)秀企業(yè)管理人才組成的專業(yè)化團(tuán)隊(duì)

?？蔀槠髽I(yè)客戶提供：穩(wěn)定可靠的工控安全防護(hù)產(chǎn)品；專業(yè)深度的工控安全咨詢培訓(xùn)；全方位的安全服務(wù)：風(fēng)險(xiǎn)評(píng)估/漏洞挖掘/滲透測(cè)試/攻防演練；幫助電力、石油、石化、水利、化工、軍工、冶金、交通以及市政等關(guān)鍵行業(yè)客戶建立穩(wěn)定可控的工控安全整體防護(hù)體系。公司簡(jiǎn)介北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)公司市場(chǎng)地位—產(chǎn)品為王國(guó)內(nèi)第一款“白名單主動(dòng)防御”主機(jī)防病毒軟件，比肩美國(guó)Bit9的創(chuàng)新產(chǎn)品；國(guó)內(nèi)第一款“千兆工業(yè)防火墻”，性能10-20倍業(yè)界一般水平；與國(guó)內(nèi)外三家以上知名工控系統(tǒng)廠商合作的工控安全廠家；成功替代McAfee的國(guó)內(nèi)工控安全廠商；公司市場(chǎng)地位—產(chǎn)品為王國(guó)內(nèi)第一款“白名單主動(dòng)防御”主機(jī)防病毒內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念工控安全標(biāo)準(zhǔn)解讀國(guó)際工控安全標(biāo)準(zhǔn)組織：1.國(guó)際電工委員會(huì)（IEC，InternationalElectroTechnicalCommission）2.國(guó)際自動(dòng)化協(xié)會(huì)（ISA，theInternationalSocietyofAutomation）3.美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST，NationalInstituteofStandardsandTechnology）我國(guó)工控安全標(biāo)準(zhǔn)組織：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）全國(guó)工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC124）全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC82）全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296）工控安全標(biāo)準(zhǔn)解讀國(guó)際工控安全標(biāo)準(zhǔn)組織：工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全定義信息安全(Security)

IEC62443針對(duì)工控系統(tǒng)信息安全的定義是：A、保護(hù)系統(tǒng)所采取的措施；B、由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；C、能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失。D、基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；E、防止對(duì)工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計(jì)劃的操作。工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全定義信息安全(Se工控安全標(biāo)準(zhǔn)解讀—IEC62443總體框架工控安全標(biāo)準(zhǔn)解讀—IEC62443總體框架工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全模型區(qū)域：是一組物理或邏輯上的資產(chǎn)，基于重要性或事故影響，它們具有相同的安全需求。管道：是“區(qū)域”之間信息交換的通道，除了網(wǎng)絡(luò)通道外，USB移動(dòng)存儲(chǔ)介質(zhì)、遠(yuǎn)程撥號(hào)鏈接等也需要考慮。管道和區(qū)域，劃分出了縱深防御的網(wǎng)絡(luò)結(jié)構(gòu)。工控安全標(biāo)準(zhǔn)解讀—IEC62443工控安全模型區(qū)域：是一組物內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控安全差異點(diǎn)分類傳統(tǒng)信息安全工控安全性能非實(shí)時(shí)

高吞吐量

高延遲或抖動(dòng)可接受實(shí)時(shí)適度的吞吐量高延遲或抖動(dòng)不可接受可用性重新啟動(dòng)可以接受

可用性的缺陷往往可以容忍重新啟動(dòng)不可接受可用性要求可能需要冗余系統(tǒng)停機(jī)必須有計(jì)劃和提前預(yù)定時(shí)間高可用性要求充分的部署前測(cè)試風(fēng)險(xiǎn)管理機(jī)密性、完整性是最重要的容錯(cuò)不是太重要，臨時(shí)停機(jī)不是主要風(fēng)險(xiǎn)主要的風(fēng)險(xiǎn)影響是業(yè)務(wù)操作的推遲人身安全是最重要的，其次是過程保護(hù)容錯(cuò)是必須的，即使瞬間的停機(jī)也可能不可接受主要的風(fēng)險(xiǎn)影響是不合規(guī)，環(huán)境影響，生命、設(shè)備或生產(chǎn)損失架構(gòu)的安全重點(diǎn)首要重點(diǎn)是保護(hù)IT資產(chǎn)，及這些資產(chǎn)上存儲(chǔ)的傳輸?shù)男畔⑹滓攸c(diǎn)是保護(hù)邊緣設(shè)備，如現(xiàn)場(chǎng)設(shè)備、過程控制器中央服務(wù)器的保護(hù)也很重要信息安全方案信息安全方案圍繞典型的IT系統(tǒng)進(jìn)行設(shè)計(jì)安全產(chǎn)品必須先測(cè)試，例如在離線工控系統(tǒng)上測(cè)試，以保它們不會(huì)影響工控系統(tǒng)的正常運(yùn)行快速反應(yīng)快速反應(yīng)不太重要可以根據(jù)必要的安全程度實(shí)施嚴(yán)格的訪問控制人機(jī)交互及緊急情況下快速反應(yīng)是關(guān)鍵應(yīng)嚴(yán)格控制對(duì)工控系統(tǒng)的訪問，但不應(yīng)妨礙或干預(yù)人機(jī)交互系統(tǒng)運(yùn)行使用典型的操作系統(tǒng)采用自動(dòng)部署工具使得升級(jí)非常簡(jiǎn)單專用的操作系統(tǒng)，往往沒有內(nèi)置的安全功能軟件變更必須慎重，通常由軟件供應(yīng)商操作資源限制資源充足，能支持增加第三方功能，如信息安全功能系統(tǒng)被設(shè)計(jì)為支持預(yù)定的工業(yè)過程，可能沒有足夠的資源支持增加安全功能通信標(biāo)準(zhǔn)通信協(xié)議主要是有線網(wǎng)絡(luò)，捎帶一些本地?zé)o線功能許多專有的和標(biāo)準(zhǔn)的通信協(xié)議使用多種類型網(wǎng)絡(luò)，包括有線、無(wú)線（無(wú)線電和衛(wèi)星）技術(shù)支持允許多方提供技術(shù)支持通常由單一供應(yīng)商提供技術(shù)支持生命周期3-5年15-20年組件訪問組件通常在本地，可方便地訪問組件可能是隔離的，遠(yuǎn)程的，需要大量的物力才能獲得對(duì)其的訪問威努特工控安全理念—工控安全≠傳統(tǒng)信息安全傳統(tǒng)信息安全與工控威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為工控設(shè)備由于長(zhǎng)期忽視信息安全設(shè)計(jì)，存在應(yīng)對(duì)攻擊數(shù)據(jù)包能力低下，協(xié)議棧不健全等問題，漏洞掃描會(huì)直接導(dǎo)致設(shè)備崩潰，影響實(shí)際生產(chǎn)。工控安全≠漏洞掃描工控安全≠打補(bǔ)丁給工控設(shè)備打補(bǔ)丁是個(gè)很困難的事。工控網(wǎng)常常擔(dān)負(fù)著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會(huì)產(chǎn)生巨大的成本以及運(yùn)營(yíng)風(fēng)險(xiǎn)。因此，集中式的自動(dòng)化的補(bǔ)丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補(bǔ)丁都必須手動(dòng)下載并安裝。而且很多情況下，只能由供應(yīng)商認(rèn)證的技術(shù)人員進(jìn)行安裝。工控安全≠防病毒防病毒軟件在長(zhǎng)年不更新病毒庫(kù)的工控網(wǎng)內(nèi)的實(shí)際作用非常有限，老舊的病毒庫(kù)無(wú)法抵御新型病毒的攻擊；安裝防病毒軟件只是自欺欺人的一廂情愿罷了。威努特工控安全理念—工控安全三大誤區(qū)漏洞掃描是指基于漏洞數(shù)據(jù)威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)控制系統(tǒng)“可用性”第一，而IT信息系統(tǒng)以“機(jī)密性”第一從而要求安全產(chǎn)品的軟硬件重新設(shè)計(jì)。例如：系統(tǒng)fail-to-open。可用性和機(jī)密性的矛盾升級(jí)和兼容性的矛盾工業(yè)控制系統(tǒng)不能接受頻繁的升級(jí)更新操作依賴黑名單庫(kù)的信息安全產(chǎn)品（例如：反病毒軟件，IDS/IPS）不適用。工業(yè)協(xié)議的識(shí)別解析工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議（例如，OPC、Modbus、DNP3、S7）傳統(tǒng)安全產(chǎn)品支持IT通信協(xié)議（例如，HTTP、FTP），不支持工業(yè)控制協(xié)議。延時(shí)敏感工業(yè)控制系統(tǒng)對(duì)報(bào)文時(shí)延很敏感，而IT信息系統(tǒng)通常強(qiáng)調(diào)高吞吐量工控安全產(chǎn)品，必須從硬件選型、軟件架構(gòu)設(shè)計(jì)上保證低時(shí)延。工業(yè)級(jí)硬件要求工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣（如，野外零下幾十度的低溫、潮濕）按照工業(yè)現(xiàn)場(chǎng)環(huán)境的要求專門設(shè)計(jì)硬件，做到全密閉、無(wú)風(fēng)扇，支持﹣40℃～70℃等。威努特工控安全理念—傳統(tǒng)信息安全產(chǎn)品解決不了工控安全問題工業(yè)威努特工控安全理念—“安全白環(huán)境”為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護(hù)體系，保護(hù)國(guó)家基礎(chǔ)設(shè)施安全只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行；1.2.3.核心安全理念技術(shù)亮點(diǎn)及創(chuàng)新點(diǎn)創(chuàng)新性的率先提出了建立工控系統(tǒng)的

和理念可信任網(wǎng)絡(luò)白環(huán)境工控軟件白名單創(chuàng)新的“軟可信”計(jì)算技術(shù)，降低方案成本，提高實(shí)用性；機(jī)器自學(xué)習(xí)“白環(huán)境”智能建模技術(shù)，降低維護(hù)成本，提高易用性；1.2.工控協(xié)議深度解析技術(shù)，具備高安全性，低時(shí)延影響；3.威努特工控安全理念—“安全白環(huán)境”為客戶構(gòu)筑工控系統(tǒng)“安全白威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡(luò)無(wú)網(wǎng)絡(luò)準(zhǔn)入措施，任意工控設(shè)備都可以輕松接入現(xiàn)有網(wǎng)絡(luò)，安全級(jí)別低；構(gòu)建有效的網(wǎng)絡(luò)準(zhǔn)入體系，是解決工控安全的首要之選。網(wǎng)絡(luò)準(zhǔn)入網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)傳輸層面臨諸多安全風(fēng)險(xiǎn)，現(xiàn)有工控網(wǎng)絡(luò)對(duì)此缺乏有效應(yīng)對(duì)措施。對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行有效監(jiān)管，攔截，可以防止大量潛在威脅；應(yīng)用程序工控網(wǎng)絡(luò)功能確定，行為單一，應(yīng)用可預(yù)期。對(duì)工控網(wǎng)絡(luò)的應(yīng)用程序進(jìn)行有效管控，阻止可疑、非法程序的運(yùn)行，可以大幅度提高工控網(wǎng)絡(luò)的安全等級(jí)。威努特工控安全理念—工控安全的三大命門現(xiàn)有工控網(wǎng)絡(luò)無(wú)網(wǎng)絡(luò)準(zhǔn)入內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念3威努特工控安全解決方案4行業(yè)案例5內(nèi)容提綱威努特公司介紹工控安全標(biāo)準(zhǔn)解讀21威努特工控安全理念威努特工控安全解決方案核心技術(shù)理念：縱深防護(hù)白名單機(jī)制工業(yè)協(xié)議深度解析實(shí)時(shí)監(jiān)控審計(jì)統(tǒng)一平臺(tái)管理威努特工控安全解決方案核心技術(shù)理念：威努特工控安全解決方案—白名單機(jī)制

“白名單”主動(dòng)防御技術(shù)是通過提前計(jì)劃好的協(xié)議規(guī)則來(lái)限制網(wǎng)絡(luò)數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動(dòng)態(tài)行為判斷。通過對(duì)約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運(yùn)行和傳播。

“白名單”安全機(jī)制是一種安全管理規(guī)范，不僅應(yīng)用于防火墻軟件的設(shè)置規(guī)則，也是在實(shí)際管理中要遵循的原則，例如在對(duì)設(shè)備和計(jì)算機(jī)進(jìn)行實(shí)際操作時(shí)，需要使用指定的筆記本、U盤等，管理人員只信任可識(shí)別的身份，未經(jīng)授權(quán)的行為將被拒絕。威努特工控安全解決方案—白名單機(jī)制“白名單”主動(dòng)防御威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIPTCP傳統(tǒng)防火墻EthernetIPTCPMAP頭功能碼數(shù)據(jù)校驗(yàn)工業(yè)防火墻ModbusTCP傳統(tǒng)防火墻工業(yè)防火墻過濾字段IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）IP地址（源、目的）端口（源、目的）傳輸層協(xié)議類型（TCP/UDP）Modbus功能碼Modbus線圈/寄存器Modbus讀寫值域Modbus只讀無(wú)法支持支持OPC動(dòng)態(tài)端口無(wú)法支持支持威努特工控安全解決方案—工業(yè)協(xié)議深度解析EthernetIP威努特工控安全解決方案—可信邊界網(wǎng)關(guān)保護(hù)控制網(wǎng)與管理信息網(wǎng)之間的邊界，阻止來(lái)自管理信息網(wǎng)的安全威脅產(chǎn)品定位產(chǎn)品功能網(wǎng)絡(luò)邊界隔離：支持透明和路由工作模式；安全域分區(qū)：支持Trust、DMZ、Untrust以及l(fā)ocal等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時(shí)間以及服務(wù)的狀態(tài)包過濾；數(shù)采協(xié)議的深度解析：例如OPC，支持OPC動(dòng)態(tài)端口解析、完整性檢查、合法性檢查；以及深入到OPC協(xié)議接口、方法的過濾；并提供一鍵式“OPC只讀”模板，極大降低運(yùn)維人員配置難度；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識(shí)別以及異常操作告警；工業(yè)級(jí)硬件：支持寬溫、震動(dòng)軍用級(jí)使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場(chǎng)；威努特工控安全解決方案—可信邊界網(wǎng)關(guān)保護(hù)控制網(wǎng)與管理信息網(wǎng)之威努特工控安全解決方案—可信區(qū)域網(wǎng)關(guān)保護(hù)工控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域的邊界，阻止來(lái)自該安全區(qū)域外的安全威脅產(chǎn)品定位產(chǎn)品功能安全域分區(qū)：支持Trust、DMZ、Untrust以及Local等安全域劃分，靈活配置不同區(qū)域安全規(guī)則；訪問控制：基于IP地址、端口、時(shí)間以及服務(wù)的狀態(tài)包過濾；工控協(xié)議的深度解析：例如Modbus、DNP3、IEC104等；支持對(duì)Modbus協(xié)議深度解析：包括功能碼控制、參數(shù)控制、異?；貜?fù)以及協(xié)議協(xié)議完整性、一致性檢查；支持對(duì)IEC104協(xié)議深度解析：包括遙信、遙測(cè)、遙控、設(shè)點(diǎn)以及電度等訪問控制；工業(yè)網(wǎng)絡(luò)可視化：網(wǎng)絡(luò)流量、工業(yè)協(xié)議識(shí)別以及異常操作告警；工業(yè)級(jí)硬件：支持寬溫、震動(dòng)軍用級(jí)使用環(huán)境，適應(yīng)嚴(yán)苛的工業(yè)現(xiàn)場(chǎng)；威努特工控安全解決方案—可信區(qū)域網(wǎng)關(guān)保護(hù)工控網(wǎng)絡(luò)內(nèi)部不同安全威努特工控安全解決方案—可信邊界/區(qū)域網(wǎng)關(guān)REEN55022:2010CEEN55022:2010ESDIEC61000-4-2:2008RSIEC61000-4-3:2006+A1:2007+A2:2010EFT/BIEC61000-4-4:2004+A1:2010SURGEIEC61000-4-5:200