工業(yè)網(wǎng)絡安全縱深防御新體系

海天煒業(yè)--工控網(wǎng)絡安全縱深防御新體系目錄CONTENTS1.公司概況及前期成果介紹2.工控安全產品及服務縱深防御體系3.工控網(wǎng)絡安全解決方案新思路工控信息安全介紹Part1發(fā)展歷程與技術實力新三板掛牌推出Guard工業(yè)防火墻股票代碼：836296建立工控系統(tǒng)集成與運維中心；Honeywell、Emerson、Yokogawa、ABB、Siemens施耐德、中控、和利時等聯(lián)合中科院軟件所共同研制工控可信計算安全防護技術建立工業(yè)信息安全研發(fā)中心；取得石油化工設備檢維修資質股票簡稱：海天煒業(yè)2003200920112012201420152016國家發(fā)改委工控信息安引入功能安全技術體系;國內首家專業(yè)的工業(yè)信息安全解決方案提供商；全專項《支持多協(xié)議的分布式工業(yè)防火墻及產業(yè)化》；工信部2015年智能制造專項“功能安全和工業(yè)信息安全標準研究和驗證平臺”;大型生產企業(yè)安全項目：石油化工行業(yè)電力行業(yè)冶金、煙草行業(yè)……制定《工業(yè)控制系統(tǒng)信息安全評估規(guī)范/驗收規(guī)范》輸油氣管道監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)安全防護規(guī)范；青島市工控系統(tǒng)安全工程技術中心發(fā)展歷程與技術實力?

工業(yè)信息安全整體解決方案?

工控信息安全產品研發(fā)?

控制系統(tǒng)信息安全項目集成?

控制系統(tǒng)信息安全評估?

工業(yè)信息安全培訓?

HAZOP分析功能安全信息安全SecuritySafety?

功能安全評估咨詢及服務?

功能安全產品認證安

全?

功能安全與信息安全結合?

功能安全工程師培訓?

工業(yè)網(wǎng)絡信息安全實驗室?

10余年自動化系統(tǒng)整體運維經(jīng)驗?

大型自動化系統(tǒng)集成能力?

工業(yè)信息化數(shù)據(jù)采集解決方案及項目經(jīng)驗?

工控設備檢修及系統(tǒng)集成資質海天煒業(yè)、exida戰(zhàn)略合作簽約Technischer

Uberwachungs

Verein(=TestingOrganization)（德語）測試組織;Surveyresultsrankexida

No.

1intechnicalexpertise產品認證經(jīng)驗exida完成的認證項目大部分是針對全球主要的自動化公司exida最終用戶委員會修訂了所有的程序，并提出由exida強制執(zhí)行的額外要求(發(fā)送申請到info@成為一員)8發(fā)展規(guī)劃

組織機構發(fā)展

已成立北京分公司，將成為信息安全業(yè)務戰(zhàn)略發(fā)展中心，行業(yè)銷售中心和行業(yè)解決方案中心。

2016年計劃逐步成立南京、寧波、廣州、岳陽、西安、呼和浩特、烏魯木齊、蘭州、沈陽、洛陽、成都十一個分公司

成立艾思達（青島）工業(yè)安全技術有限公司（與美國exida合資）前期基礎成果

工業(yè)防火墻產業(yè)化項目涵蓋石化、油氣、電力（火電、核電、新能源）、鋼鐵、水利、環(huán)保、煙草等多個行業(yè)，在超過200多個工業(yè)現(xiàn)場和1200套以上的工控系統(tǒng)安裝部署。

主機可信計算安全防護部署節(jié)點120+個，涵蓋油氣、石化、化工、新能源、核電、冶金、環(huán)保行業(yè)

每年承接石化、冶金、電力、油氣等行業(yè)各類品牌控制系統(tǒng)檢修任務110套以上，目前50%以上存在信息安全問題。

每年工控系統(tǒng)故障事件響應200次以上，約30%跟工控服務器、操作站有關。

多行業(yè)，多品牌控制系統(tǒng)（16個品牌，30種以上系統(tǒng)）運維經(jīng)驗的積累，經(jīng)驗豐富的現(xiàn)場工控安全評估及調研能力；基礎工作成果：某石化案例分析：

中壓加氫裝置控制系統(tǒng)：

2014年5月22日，上層Buffer機感染病毒；

Buffer機向網(wǎng)絡中多個不同IP的445端口發(fā)送數(shù)據(jù)包；

工業(yè)防火墻及時對蠕蟲對外傳播有效阻止；

工業(yè)防火墻實時報警，并發(fā)送到SMP安全管理平臺；

維護人員通過安全管理平臺發(fā)現(xiàn)問題；

維護人員對Buffer機進行病毒查殺；

通過殺毒軟件發(fā)現(xiàn)4個可疑進程；

通過專殺工具最終確認W32.Downadup.B蠕蟲病毒；基礎工作成果：參與國家標準制定國家標準研制：

《工業(yè)控制系統(tǒng)信息安全

第一部分：評估規(guī)范》

《工業(yè)控制系統(tǒng)信息安全

第二部分：驗收規(guī)范》

信息安全技術、信息系統(tǒng)等級保護

、工業(yè)控制系統(tǒng)安全設計技術指南（正在制定中）

國家工信部智能制造課題“功能安全和工業(yè)信息安全標準研究和驗證平臺”行業(yè)標準：

輸油氣管道監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)安全防護規(guī)范

工業(yè)過程測量和控制安全

網(wǎng)絡和系統(tǒng)安全

IEC62443-3（計劃號：2011-1108T-JB）

工業(yè)通信網(wǎng)絡

網(wǎng)絡和系統(tǒng)安全

第1-1部分

：術語、概念和模型（計劃號：2011-1120T-JB）

工業(yè)通信網(wǎng)絡

網(wǎng)絡和系統(tǒng)安全

第3-1部分：工業(yè)自動化和控制系統(tǒng)信息安全技術（計劃號：2011-1121T-JB）

可編程邏輯控制器（PLC）系統(tǒng)信息安全要求

集散控制系統(tǒng)（DCS）安全防護標準；

其它…..公司服務網(wǎng)絡已經(jīng)建立分公司：北京分公司寧波分公司洛陽分公司沈陽分公司西安分公司已建立辦事處：大慶辦事處陽泉辦事處廣州辦事處岳陽辦事處榮譽資質高新技術企業(yè)

QHSE質量管理體系認證工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室理事會理事單位中國儀器儀表學會產品信息工作委員會委員單位中國特檢院石油化工檢維修資質工業(yè)控制系統(tǒng)信息安全產業(yè)發(fā)展聯(lián)盟理事單位工業(yè)軟件產業(yè)發(fā)展聯(lián)盟理事單位青島市軟件行業(yè)協(xié)會理事單位技術先進型服務企業(yè)海天煒業(yè)工業(yè)信息安全產品及服務體系Part2工控信息安全ICS

Information

SecurityGurad工業(yè)防火墻/

審計/網(wǎng)關…Intrust工控可信計算平臺/USB…SMP安全管理中心網(wǎng)絡層主機層監(jiān)控層工業(yè)控制系統(tǒng)安全評測咨詢工業(yè)控制系統(tǒng)信息安全實驗室全生命周期解決方案服務層服務層服務層2016工控網(wǎng)絡安全框架指引

網(wǎng)絡層主機層

1.網(wǎng)絡架構設計；

2.邊界訪問控制-防火墻；

3.內部區(qū)域隔離-防火墻

4.應用審計-安全審計1.防病毒；2.進程管理；3.USB管理；4.賬戶密碼；

監(jiān)控層

安全管理平臺（中心）

工控網(wǎng)絡異常監(jiān)測服務層評估咨詢；工控信息安全培訓；

網(wǎng)絡安全應急響應；

漏洞挖掘、滲透測試；

安全運維及分析；（一）

Guard工業(yè)防火墻產品優(yōu)勢?

內置多種常見工業(yè)通訊協(xié)議和控制器模型?

無IP連接技術，讓入侵者無從發(fā)現(xiàn)攻擊目標?

工業(yè)協(xié)議深度包檢測?

網(wǎng)絡通訊透視鏡功能，智能預警分析?

在線實施，無需停車，無需更改原有網(wǎng)絡結構?

自身強大的安全性（二）Uniface安全數(shù)采網(wǎng)關（三）工控網(wǎng)絡安全審計與異常監(jiān)測核心功能：

工控網(wǎng)絡數(shù)據(jù)海量存儲；

工控網(wǎng)絡通訊指令實時解析；

工控網(wǎng)絡異常動態(tài)分析；

工控網(wǎng)絡安全事件溯源；

工控網(wǎng)絡資產運維；（四）Intrust工控可信計算安全平臺可信計算技術實現(xiàn)主機防護、加固提高工控系統(tǒng)終端自身免疫力?

基于TCM，首創(chuàng)可信計算在工控領域的創(chuàng)新應用?

由授權服務器（Intrust-S2400）和安全客戶端（Intrust-C2400）兩部分組成?

客戶端全面度量系統(tǒng)所有進程，并將度量信息提交至授權服務器端?

服務器對這些信息進行編輯后生成白名單，供客戶端下載?

客戶端依據(jù)所下載的白名單對系統(tǒng)進行管控工控可信計算安全產品原理工控可信安全產品界面用戶層度量信息接口軟件管理接口可信芯片接口報警信息度量值管控白名單可信芯片調用內核層硬件層進程/文件/USB存儲度量模塊管控模塊加密算法EK秘鑰安全存儲可信TCM芯片可信計算技術介紹.

建立信任鏈1)從信任根開始，到硬件平臺，到操作系統(tǒng)，再到應用軟件；2)一級度量認證一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)。.

基于TCM芯片的可信計算關鍵技術Intrust工控可信計算安全平臺?

工控可信計算授權服務?

工控可信安全平臺客器戶端軟件Intrust工控可信計算安全平臺產品優(yōu)勢?

基于TCM芯片，獨有的加密算法?

專業(yè)為工控環(huán)境開發(fā)?

可升級的工控系統(tǒng)知識庫功能模塊，方便用戶對系統(tǒng)的部署?

基于白名單模式，從底層BIOS開始管控所有進程?

實時監(jiān)控系統(tǒng)中的可信進程，杜絕未知惡意程序啟動?

強大的USB等可移動設備管控功能?

B/S架構模式，保證系統(tǒng)自身的易管理性和安全性?

獨有的內核駐留程序，即使關閉軟件也能正常執(zhí)行管控功能（五）安全管理中心SMP?

安全管理中心以底層工業(yè)防火墻、審計平臺、可信計算平臺、惡意軟件動態(tài)分析平臺及其它第三方網(wǎng)絡設備為探針?

利用內置的“工業(yè)控制網(wǎng)絡通訊行為模型庫”核心模塊，智能監(jiān)控、分析控制網(wǎng)絡行為，及時檢測工業(yè)網(wǎng)絡中出現(xiàn)的工業(yè)攻擊、非法入侵、設備異常等情況?

利用數(shù)據(jù)庫存儲、分析和挖掘技術，對危及系統(tǒng)網(wǎng)絡安全的因素做出智能預警分析?

給管理者提供決策支持，以總攬大局的方式為工廠網(wǎng)絡信息安全故障的及時排查、分析提供了可靠的依據(jù)。安全管理中心總體結構圖網(wǎng)絡監(jiān)控畫面及實時報警網(wǎng)絡監(jiān)控畫面及實時報警網(wǎng)絡監(jiān)控畫面及實時報警（六）（七）

結合工控信息安全的獨特性，將應用功能安全HAZOP分析方法對工控系統(tǒng)信息安全進行評估；?

Hazard

and

Operability

（危險性與操作性）?

英國帝國化學公司ICI在60年代提出?

是所有工藝危害分析/安全評價方法中系統(tǒng)性、全面性最好的方法

常規(guī)IT測試方法僅用于離線測試或者實驗室仿真驗證；

密切結合國內標準規(guī)范為依據(jù)，最終給出評估報告；?

GB/T30976.1-2014

工業(yè)控制系統(tǒng)信息安全評估規(guī)范

能夠識別潛在由信息安全攻擊導致的生產過程風險；（哪里有問題）評估方法概述

評估分成系統(tǒng)級（風險）和節(jié)點設備級（漏洞及脆弱性）分別進行

系統(tǒng)級離線評估軟件具備?

智能化網(wǎng)絡節(jié)點庫（積累各類工控系統(tǒng)模型）?

智能化網(wǎng)絡安全威脅庫（HAZOP分析方法下的威脅分析列表）?

工控設備漏洞庫（融合國際和自身積累形成）

節(jié)點設備級測試

基于驗證環(huán)境的設備測試，應用阿杰里斯WurldTech等專業(yè)測試設備系統(tǒng)-產品-人員-認證服務

Functional

Cyber-Security

AchillesLevel1-2

ISA

Secure

Levels

1–

3

IEC62443

Series

Functional

Safety

Certification

IEC61508

IEC61511

IEC62061

/ISO13849

IEC26262

EN50271

EN50128/50129*（八）實驗室--工控信息安全應急響應中心為用戶提供安全應急響應及基于樣本惡意代碼分析服務整體解決方案示意圖工控網(wǎng)絡安全新思路—融合功能安全技術Part3工控信息安全與功能安全

工控信息安全應作為一個關鍵內容融入到整個企業(yè)安全運行體系，面向生產控制系統(tǒng)，要建立信息和安全功能安全融合的體系，為中國

”智能制造2025”生產安全提供安全保障。功能安全Safety信息安全Security?

相輔相成?

功能安全更關注人、設備、環(huán)境的安全性安

全?

信息安全作為安全的一部分，隱蔽性強，需要重視，需要技術來監(jiān)測和預防。

參與建設工信部“功能安全和工業(yè)信息安全標準研究和驗證平臺建設”課題

以智能制造安全保障為目標，采用國際先進的信息安全、功能安全理念，參考國際先進技術及標準，結合國內實踐經(jīng)驗和成果積累，形成智能制造安全保障標準體系。功能安全介紹

功能安全：是整個系統(tǒng)安全的一部分，此安全依賴系統(tǒng)和設備能夠對輸入正常響應并正確的操作（正確的功能），包含下面兩部分：

安全功能：針對特定的危險事件，通過各種方式（安全儀表系統(tǒng)、其他安全相關系統(tǒng)或外部風險降低設施）實現(xiàn)的安全系統(tǒng)所執(zhí)行的功能，以達到或保持過程的安全狀態(tài)

安全完整性:在規(guī)定的