第六屆工業(yè)控制系統(tǒng)信息安全峰會(huì)-控制網(wǎng)

北京威努特技術(shù)有限公司火電廠(chǎng)工控網(wǎng)絡(luò)平安防護(hù)整體解決方案03010204國(guó)家政策要求及行業(yè)監(jiān)管要求發(fā)電廠(chǎng)平安事件及常見(jiàn)平安問(wèn)題火電廠(chǎng)工控平安防護(hù)解決方案威努特平安產(chǎn)品與技術(shù)效勞第一局部火電廠(chǎng)平安事件及常見(jiàn)問(wèn)題平安事件平安問(wèn)題平安誤區(qū)近年來(lái)的電廠(chǎng)工控平安事件2014年，美國(guó)俄亥俄州核電站受到SQLSlammer蠕蟲(chóng)病毒攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致系統(tǒng)變慢，控制計(jì)算機(jī)連續(xù)數(shù)小時(shí)無(wú)法工作。國(guó)外事件Ⅲ2010年，伊朗核燃料工廠(chǎng)遭遇“震網(wǎng)病毒”襲擊，導(dǎo)致控制系統(tǒng)失效，1000臺(tái)離心機(jī)損壞國(guó)外事件Ⅱ2015年烏克蘭電網(wǎng)遭遇黑客攻擊一事震驚世界，直接造成約70萬(wàn)個(gè)家庭在圣誕前夜陷入一片黑暗國(guó)外事件Ⅰ2000年10月13日,四川二灘水電廠(chǎng)控制系統(tǒng)收到異常信號(hào)停機(jī).7秒甩出力89萬(wàn),川渝電網(wǎng)幾乎瓦解國(guó)內(nèi)事件Ⅰ2001年10月1日，某公司生產(chǎn)的故障錄波裝置被發(fā)現(xiàn)“時(shí)間邏輯炸彈”，全國(guó)共146套裝置存在問(wèn)題國(guó)內(nèi)事件Ⅱ2003年12月30日，龍泉、政平、鵝城換流站計(jì)算機(jī)系統(tǒng)發(fā)現(xiàn)病毒,經(jīng)調(diào)查確認(rèn)是技術(shù)人員在系統(tǒng)調(diào)試中用筆記本電腦上網(wǎng)所致國(guó)內(nèi)事件Ⅲ30%中國(guó)是全球網(wǎng)絡(luò)攻擊最大受害國(guó)自2021年以來(lái)網(wǎng)絡(luò)攻擊增長(zhǎng)15倍其中30%是針對(duì)國(guó)家根底設(shè)施攻擊的重點(diǎn)是那么集中在電力行業(yè)電廠(chǎng)常見(jiàn)技術(shù)平安問(wèn)題0102050403第二局部國(guó)家政策要求及行業(yè)監(jiān)管要求國(guó)務(wù)院工信部發(fā)改委國(guó)家能源局國(guó)家工控信息平安相關(guān)政策國(guó)務(wù)院工信部網(wǎng)信辦國(guó)務(wù)院關(guān)于大力推進(jìn)信息化開(kāi)展和切實(shí)保障信息平安的假設(shè)干意見(jiàn)，國(guó)發(fā)〔2021〕23號(hào)。?意見(jiàn)?6-3明確指出保障工業(yè)控制系統(tǒng)平安。加強(qiáng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)……重要領(lǐng)域工業(yè)控制系統(tǒng)2021年工信部下發(fā)451號(hào)文件?關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息平安管理的通知?，通知指出“……加強(qiáng)工業(yè)控制系統(tǒng)平安，重點(diǎn)領(lǐng)域包括鋼鐵、化工、電力……等與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域，……結(jié)合實(shí)際加強(qiáng)重點(diǎn)領(lǐng)域和重點(diǎn)環(huán)節(jié)〞2021年7月全國(guó)范圍關(guān)鍵信息根底設(shè)施網(wǎng)絡(luò)平安檢查工作啟動(dòng)，習(xí)近平總書(shū)記指出：“金融、能源、電力、通信、交通等領(lǐng)域是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)平安的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)〞，要求“要全面加強(qiáng)網(wǎng)絡(luò)平安檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，催促整改〞行業(yè)要求及命令行業(yè)工控信息平安相關(guān)政策國(guó)家能源局印發(fā)國(guó)能安全〔2015〕36號(hào)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》制定了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等7份文件提出總體原則“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”?發(fā)電廠(chǎng)監(jiān)控系統(tǒng)平安防護(hù)方案?摘錄……對(duì)電力監(jiān)控系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用平安控制、審計(jì)、備份及容災(zāi)等多個(gè)層面進(jìn)行信息平安防護(hù)…………發(fā)電廠(chǎng)內(nèi)同屬平安區(qū)Ⅰ的各機(jī)組監(jiān)控系統(tǒng)之間、機(jī)組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機(jī)組的不同功能的監(jiān)控系統(tǒng)之間，尤其是機(jī)組監(jiān)控系統(tǒng)與輸變電局部控制系統(tǒng)之間，根據(jù)需要可以采取一定強(qiáng)度的邏輯訪(fǎng)問(wèn)控制措施，如防火墻、VLAN等……綜合平安防護(hù)應(yīng)包含如下手段入侵檢測(cè)、主機(jī)與網(wǎng)絡(luò)設(shè)備加固、應(yīng)用平安控制、平安審計(jì)、專(zhuān)用平安產(chǎn)品的管理、備用與容災(zāi)、惡意代碼防范、設(shè)備選型及漏洞整改第三局部火電廠(chǎng)工控平安防護(hù)解決方案區(qū)域防護(hù)平安加固監(jiān)控審計(jì)漏洞掃描對(duì)于工控平安的誤區(qū)一：網(wǎng)絡(luò)隔離就平安工控網(wǎng)絡(luò)的入侵途徑：…………01誤區(qū)二：傳統(tǒng)的IT平安產(chǎn)品能解決工控平安問(wèn)題02050403誤區(qū)三：技術(shù)方案就能解決工控平安問(wèn)題People〔人〕：是最關(guān)鍵的一個(gè)因素。不管是技術(shù)的實(shí)施和維護(hù)，流程的遵從、改善和管理，都離不開(kāi)經(jīng)過(guò)培訓(xùn)、有專(zhuān)業(yè)素質(zhì)的人的參與。在信息平安中，People,Process和Technology三個(gè)要素互相作用，缺一不可：Process〔流程〕：工控平安的各項(xiàng)管理制度、標(biāo)準(zhǔn)。將人和技術(shù)結(jié)合在一起。Technology〔技術(shù)〕：是工控平安的技術(shù)支持和保證。是為人和流程效勞的。“平安分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證〞縱向認(rèn)證設(shè)備或措施正向安全隔離裝置反向安全隔離裝置電力監(jiān)控系統(tǒng)平安防護(hù)總體原那么電力二次系統(tǒng)平安防護(hù)總體原那么——平安分區(qū)縱向認(rèn)證設(shè)備或措施正向安全隔離裝置反向安全隔離裝置電力調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)控制SDH（N*2M）SDH/SPH傳輸網(wǎng)在線(xiàn)生產(chǎn)調(diào)度生產(chǎn)管理電力綜合信息IP/語(yǔ)音視頻實(shí)時(shí)VPN非實(shí)時(shí)VPN電力企業(yè)數(shù)據(jù)網(wǎng)調(diào)度生產(chǎn)管理電力綜合信息IP/語(yǔ)音視頻SDH（155M）電力二次系統(tǒng)平安防護(hù)總體原那么——網(wǎng)絡(luò)專(zhuān)用電力二次系統(tǒng)平安防護(hù)總體原那么——橫向隔離電力二次系統(tǒng)平安防護(hù)總體原那么——縱向認(rèn)證火電廠(chǎng)生產(chǎn)控制大區(qū)和管理信息大區(qū)整體拓?fù)涔芾硇畔⒋髤^(qū)生產(chǎn)控制大區(qū)生產(chǎn)控制區(qū)與管理信息區(qū)的橫向隔離正向隔離裝置反向隔離裝置36號(hào)文要求〔章節(jié)〕發(fā)電廠(chǎng)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間通信應(yīng)當(dāng)部署電力專(zhuān)用橫向單向隔離裝置解決方案通過(guò)在生產(chǎn)控制大區(qū)和管理信息大區(qū)之間部署專(zhuān)用單向隔離裝置，隔離裝置分為正向隔離和反向隔離平安收益保護(hù)控制系統(tǒng)平安運(yùn)行。實(shí)現(xiàn)橫向邏輯隔離，保護(hù)更高平安級(jí)別的生產(chǎn)控制區(qū)平安。生產(chǎn)控制區(qū)——平安Ⅰ區(qū)&Ⅱ區(qū)間的橫向隔離36號(hào)文要求〔章節(jié)〕平安區(qū)Ⅰ與平安區(qū)Ⅱ之間應(yīng)當(dāng)采用具有訪(fǎng)問(wèn)控制功能的的網(wǎng)絡(luò)設(shè)備、平安可靠的硬件防火墻或者相當(dāng)功能的設(shè)備實(shí)現(xiàn)邏輯隔離、報(bào)文過(guò)濾······解決方案通過(guò)部署工業(yè)防火墻，實(shí)現(xiàn)阻止來(lái)自區(qū)域之間的越權(quán)訪(fǎng)問(wèn)，病毒、蠕蟲(chóng)惡意軟件擴(kuò)散和入侵攻擊。解決方案保護(hù)控制系統(tǒng)平安運(yùn)行。實(shí)現(xiàn)橫向邏輯隔離，將危險(xiǎn)源控制在有限范圍內(nèi)生產(chǎn)控制區(qū)——系統(tǒng)間隔離36號(hào)文要求〔章節(jié)〕發(fā)電廠(chǎng)內(nèi)同屬平安區(qū)Ⅰ的各機(jī)組監(jiān)控系統(tǒng)之間、······根據(jù)需要可以采取一定強(qiáng)度的邏輯訪(fǎng)問(wèn)控制措施，如防火墻、VLAN等······解決方案在包含主控、輔控的所有業(yè)務(wù)系統(tǒng)之間部署工控防火墻，智能學(xué)習(xí)工控操作指令和參數(shù)建立網(wǎng)絡(luò)和通訊“白環(huán)境〞。平安收益阻止來(lái)自區(qū)域之間的越權(quán)訪(fǎng)問(wèn)，病毒、蠕蟲(chóng)惡意軟件擴(kuò)散和入侵攻擊，實(shí)現(xiàn)橫向邏輯隔離，將危險(xiǎn)源控制在區(qū)域內(nèi)。生產(chǎn)控制區(qū)——縱向認(rèn)證36號(hào)文要求〔章節(jié)4.2〕發(fā)電廠(chǎng)生產(chǎn)控制大區(qū)與調(diào)度端系統(tǒng)通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行遠(yuǎn)程通信時(shí)，應(yīng)當(dāng)采用認(rèn)證、加密、訪(fǎng)問(wèn)控制等技術(shù)措施······解決方案位于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)路由之間，提供上下級(jí)系統(tǒng)之間提供認(rèn)證與加密效勞?？v向加密認(rèn)證裝置縱向加密認(rèn)證裝置平安收益為本地平安區(qū)Ⅰ/Ⅱ提供一個(gè)網(wǎng)絡(luò)屏障，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。圖要改36號(hào)文要求〔章節(jié)4.3〕如控制區(qū)系統(tǒng)與環(huán)保、平安等政府部門(mén)交互······其邊界應(yīng)采用生產(chǎn)控制大區(qū)和管理信息大區(qū)之間的平安防護(hù)措施。解決方案在控制區(qū)的網(wǎng)絡(luò)邊界放置單向隔離裝置，利用單向隔離裝置實(shí)現(xiàn)生產(chǎn)控制網(wǎng)數(shù)據(jù)單向流入。生產(chǎn)控制區(qū)——第三方邊界防護(hù)平安收益平安環(huán)保等政府機(jī)構(gòu)，而這些第三方機(jī)構(gòu)不能通過(guò)單向隔離裝置向生產(chǎn)控制網(wǎng)發(fā)送數(shù)據(jù)綜合平安防護(hù)——入侵檢測(cè)安全監(jiān)測(cè)與審計(jì)36號(hào)文要求〔章節(jié)5.1〕生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，檢測(cè)發(fā)現(xiàn)······入侵行為，分析潛在威脅并審計(jì)。解決方案在生產(chǎn)控制區(qū)邊界處旁路部署工控入侵檢測(cè)設(shè)備，實(shí)時(shí)監(jiān)控各種數(shù)據(jù)報(bào)文及來(lái)自網(wǎng)絡(luò)外部或內(nèi)部的多種攻擊行為。平安收益幫助用戶(hù)在第一時(shí)間發(fā)現(xiàn)相關(guān)的威脅，并及時(shí)采取行動(dòng)遏制惡意行為的破壞綜合平安防護(hù)——主機(jī)與網(wǎng)絡(luò)設(shè)備加固36號(hào)文要求〔章節(jié)5.2〕發(fā)電廠(chǎng)SIS系統(tǒng)······Web效勞器等應(yīng)當(dāng)使用平安加固的操作系統(tǒng)。加固方式包括：平安配置、平安補(bǔ)丁、采用專(zhuān)業(yè)的軟件強(qiáng)化操作系統(tǒng)訪(fǎng)問(wèn)控制功能。解決方案在上位機(jī)及非控制區(qū)的效勞器上安裝操作系統(tǒng)加固的軟件，根據(jù)策略要求對(duì)計(jì)算機(jī)平安配置等信息進(jìn)行監(jiān)控、管理。終端加固系統(tǒng)平安收益實(shí)現(xiàn)配置核查，平安基線(xiàn)配置、平安補(bǔ)丁等平安管理和平安運(yùn)維。對(duì)非控制區(qū)的設(shè)備和應(yīng)用系統(tǒng)可以逐步采用多因子認(rèn)證，最終引入PKI技術(shù)。綜合平安防護(hù)——應(yīng)用平安控制36號(hào)文要求〔章節(jié)5.3〕發(fā)電廠(chǎng)SIS系統(tǒng)應(yīng)當(dāng)逐步采用數(shù)據(jù)證書(shū)技術(shù)，對(duì)用戶(hù)登錄應(yīng)用系統(tǒng)、訪(fǎng)問(wèn)系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，提供登錄失敗處理功能······并對(duì)操作系統(tǒng)為進(jìn)行平安審計(jì)。解決方案逐步在非控制網(wǎng)內(nèi)部署CA系統(tǒng)，實(shí)現(xiàn)對(duì)用戶(hù)的身份鑒別，應(yīng)用訪(fǎng)問(wèn)控制。CARA平安收益根據(jù)用戶(hù)角色與權(quán)限進(jìn)行訪(fǎng)問(wèn)控制。并對(duì)操作審計(jì)，同時(shí)如存在遠(yuǎn)程訪(fǎng)問(wèn)，應(yīng)強(qiáng)制采用會(huì)話(huà)加密、抗抵賴(lài)平安措施。綜合平安防護(hù)——平安審計(jì)監(jiān)測(cè)與審計(jì)系統(tǒng)（統(tǒng)一安全管理平臺(tái)）36號(hào)文要求〔章節(jié)5.4〕生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備平安審計(jì)功能，能夠?qū)?shù)據(jù)庫(kù)、操作系統(tǒng)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析及時(shí)發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為，對(duì)遠(yuǎn)程登陸應(yīng)當(dāng)嚴(yán)格審計(jì)。解決方案在區(qū)域和邊界旁路部署監(jiān)測(cè)與審計(jì)的網(wǎng)絡(luò)探針，收集全網(wǎng)工控設(shè)備、系統(tǒng)狀態(tài)，向監(jiān)測(cè)與審計(jì)系統(tǒng)集中匯報(bào)。平安收益統(tǒng)一收集網(wǎng)絡(luò)日志，通過(guò)建模分析當(dāng)前網(wǎng)絡(luò)平安狀態(tài)，為管理員提供可視化的設(shè)備狀態(tài)、異常波動(dòng)、告警信息等。網(wǎng)絡(luò)堡壘機(jī)運(yùn)維人員廠(chǎng)商人員第三方36號(hào)文要求〔章節(jié)5.4〕生產(chǎn)控制大區(qū)······能夠?qū)?shù)據(jù)庫(kù)、操作系統(tǒng)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析及時(shí)發(fā)現(xiàn)各種······攻擊行為，對(duì)遠(yuǎn)程登陸應(yīng)當(dāng)嚴(yán)格審計(jì)。解決方案旁路部署網(wǎng)絡(luò)堡壘機(jī)，接管數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等設(shè)備的登錄，運(yùn)維人員、第三方人員統(tǒng)一在堡壘機(jī)上操作。旁路部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備，對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)進(jìn)行審計(jì)。綜合平安防護(hù)——平安審計(jì)數(shù)據(jù)庫(kù)審計(jì)平安收益通過(guò)堡壘機(jī)進(jìn)行權(quán)限分配，操作審計(jì)審計(jì)數(shù)據(jù)庫(kù)活動(dòng)，進(jìn)行合規(guī)性管理，對(duì)風(fēng)險(xiǎn)行為進(jìn)行告警。關(guān)鍵業(yè)務(wù)數(shù)據(jù)容災(zāi)定期對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進(jìn)行備份，并實(shí)現(xiàn)歷史歸檔數(shù)據(jù)異地保存。關(guān)鍵主機(jī)設(shè)備，網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件應(yīng)當(dāng)進(jìn)行相應(yīng)的冗余配置。管理信息大區(qū)生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)冗余控制區(qū)盡量減少不必要的應(yīng)用系統(tǒng)，盡量減少服務(wù)應(yīng)用。為保障系統(tǒng)高可用性，控制區(qū)應(yīng)當(dāng)采用冗余方式。專(zhuān)用平安產(chǎn)品——備用與冗余36號(hào)文要求〔章節(jié)5.6〕生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備平安審計(jì)功能，能夠?qū)?shù)據(jù)庫(kù)、操作系統(tǒng)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析及時(shí)發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為，對(duì)遠(yuǎn)程登陸應(yīng)當(dāng)嚴(yán)格審計(jì)。專(zhuān)用平安產(chǎn)品——生產(chǎn)控制大區(qū)惡意代碼防范36號(hào)文要求〔章節(jié)5.7〕應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄······禁止生產(chǎn)控制大區(qū)和管理信息大區(qū)公用一套防惡意代碼管理效勞器。解決方案在控制區(qū)應(yīng)用系統(tǒng)和上位機(jī)部署可信平安衛(wèi)士，自學(xué)習(xí)建立平安模型和平安基線(xiàn)，監(jiān)控分析應(yīng)用程序和人工操作的行為特征，生成白名單。平安收益通過(guò)“白名單〞阻止所有非法軟件的執(zhí)行，在沒(méi)有殺毒軟件和殺毒軟件更新不及時(shí)的環(huán)境下，病毒、蠕蟲(chóng)、木馬等非法程序依然無(wú)法執(zhí)行。工控主機(jī)衛(wèi)士客戶(hù)端防病毒系統(tǒng)專(zhuān)用平安產(chǎn)品——管理信息大區(qū)惡意代碼防范36號(hào)文要求〔章節(jié)5.7〕應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄······禁止生產(chǎn)控制大區(qū)和管理信息大區(qū)公用一套防惡意代碼管理效勞器。解決方案在管理信息區(qū)的終端電腦上部署防病毒軟件并實(shí)現(xiàn)病毒庫(kù)和殺毒引擎的及時(shí)更新平安收益綜合應(yīng)用病毒識(shí)別規(guī)那么知識(shí)，實(shí)現(xiàn)自動(dòng)判定病毒，到達(dá)主動(dòng)防御的目的專(zhuān)用平安產(chǎn)品——設(shè)備選型及漏洞整改36號(hào)文要求〔章節(jié)5.8〕······禁止選擇國(guó)家通報(bào)存在漏洞的設(shè)備及系統(tǒng)，對(duì)已經(jīng)投入運(yùn)行的應(yīng)該及時(shí)整改。解決方案通過(guò)漏洞掃描和漏洞挖掘系統(tǒng)，對(duì)工控系統(tǒng)和工控產(chǎn)品進(jìn)行漏洞掃描和挖掘，建立平安工控產(chǎn)品采購(gòu)清單，從源頭上控制平安風(fēng)險(xiǎn)。平安收益通過(guò)專(zhuān)用平安設(shè)備對(duì)工控系統(tǒng)和設(shè)備進(jìn)行漏洞掃描，建立平安工控產(chǎn)品采購(gòu)清單。另一方面催促工控廠(chǎng)商修復(fù)漏洞。管理信息大區(qū)平安防護(hù)建議——終端平安管理客戶(hù)端終端平安管理對(duì)終端用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)、打印、刻錄、移動(dòng)存儲(chǔ)介質(zhì)、接口等操作行為進(jìn)行監(jiān)控與審計(jì)。對(duì)信息的傳播途徑進(jìn)行管理，實(shí)現(xiàn)終端信息平安存儲(chǔ)。終端平安運(yùn)維對(duì)客戶(hù)端計(jì)算機(jī)的補(bǔ)丁、病毒庫(kù)、平安配置進(jìn)行掃描，確保主機(jī)自身健康。對(duì)網(wǎng)內(nèi)IT資產(chǎn)進(jìn)行統(tǒng)計(jì)、審計(jì)。遠(yuǎn)程管理等。統(tǒng)一日志審計(jì)分析對(duì)網(wǎng)內(nèi)終端行為日志、IT資產(chǎn)、操作系統(tǒng)日志等信息集中收集、管理。統(tǒng)一分析。終端管理系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入設(shè)備管理信息大區(qū)平安防護(hù)建議——網(wǎng)絡(luò)準(zhǔn)入認(rèn)證入網(wǎng)合法性認(rèn)證通過(guò)與企業(yè)內(nèi)部用戶(hù)身份管理系統(tǒng)或LDAP等系統(tǒng)對(duì)接，對(duì)終端設(shè)備和用戶(hù)進(jìn)行合法性認(rèn)證，通過(guò)認(rèn)證的才能進(jìn)入內(nèi)網(wǎng)。入網(wǎng)合規(guī)性認(rèn)證對(duì)入網(wǎng)的終端主機(jī)進(jìn)行合規(guī)性狀態(tài)檢查，如殺毒軟件、平安軟件、系統(tǒng)平安配置、必備軟件等，通過(guò)驗(yàn)證的進(jìn)入內(nèi)網(wǎng)，未通過(guò)的進(jìn)入隔離區(qū)修復(fù)。網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限分配基于角色，對(duì)入網(wǎng)的用戶(hù)進(jìn)行訪(fǎng)問(wèn)訪(fǎng)問(wèn)權(quán)限分配，不同角色用戶(hù)可以訪(fǎng)問(wèn)的網(wǎng)絡(luò)區(qū)域及應(yīng)用系統(tǒng)不同。未來(lái)建議開(kāi)展針對(duì)企業(yè)相關(guān)人員的工控平安培訓(xùn)工作，掌握國(guó)家政策、標(biāo)準(zhǔn)、規(guī)定，熟悉工控平安內(nèi)容；搭建工控平安實(shí)驗(yàn)室，仿真真實(shí)現(xiàn)場(chǎng)環(huán)境，模擬攻防過(guò)程，為企業(yè)培養(yǎng)專(zhuān)門(mén)人才，提升企業(yè)競(jìng)爭(zhēng)力。對(duì)工控產(chǎn)品進(jìn)行漏洞掃描，建立平安工控產(chǎn)品采購(gòu)清單，從源頭控制工控平安風(fēng)險(xiǎn)；方案重點(diǎn)增加工業(yè)單向網(wǎng)閘和網(wǎng)絡(luò)防火墻，對(duì)不同的平安區(qū)之間以及和管理區(qū)邊界進(jìn)行平安防護(hù)，對(duì)控制區(qū)、非控制區(qū)、管理大區(qū)等內(nèi)部網(wǎng)絡(luò)進(jìn)行細(xì)分防護(hù)；控制網(wǎng)絡(luò)內(nèi)所有效勞器進(jìn)行主機(jī)平安加固，工作站部署應(yīng)用白名單軟件〔代替?zhèn)鹘y(tǒng)防病毒軟件〕；增加網(wǎng)絡(luò)平安監(jiān)測(cè)及審計(jì)產(chǎn)品，實(shí)現(xiàn)入侵檢測(cè)及網(wǎng)絡(luò)審計(jì)功能，建立工控平安預(yù)警平臺(tái)并提供事件回溯能力；對(duì)專(zhuān)用平安產(chǎn)品進(jìn)行統(tǒng)一管理；逐步開(kāi)展試點(diǎn)單位設(shè)備漏洞開(kāi)掘工作。方案小結(jié)方案對(duì)標(biāo)〔1/3〕方案對(duì)標(biāo)〔2/3〕方案對(duì)標(biāo)〔3/3〕第四局部威努特平安產(chǎn)品與技術(shù)效勞可信網(wǎng)關(guān)可信衛(wèi)士監(jiān)控審計(jì)漏洞掃描漏洞挖掘?qū)Ｗ⒂诠た鼐W(wǎng)絡(luò)平安產(chǎn)品與解決方案研發(fā)的創(chuàng)新型公司，總部設(shè)在北京，在上海、濟(jì)南及鄭州設(shè)有辦事處為工業(yè)客戶(hù)提供工控平安整體解決方案與效勞幫助企業(yè)客戶(hù)識(shí)別工控系統(tǒng)平安風(fēng)險(xiǎn)幫助企業(yè)客戶(hù)掌控工控平安現(xiàn)狀與趨勢(shì)提高工控平安防護(hù)與事件響應(yīng)能力致力于為工業(yè)客戶(hù)提供穩(wěn)定可靠的工控平安防護(hù)產(chǎn)品；專(zhuān)業(yè)權(quán)威的工控平安檢測(cè)產(chǎn)品；全方位的平安效勞：風(fēng)險(xiǎn)評(píng)估/漏洞挖掘/滲透測(cè)試/攻防演練；公司介紹可信網(wǎng)關(guān)〔工業(yè)防火墻〕產(chǎn)品定位保護(hù)控制網(wǎng)與管理信息網(wǎng)的邊界阻止來(lái)自管理信息網(wǎng)的威脅防止平安域內(nèi)的攻擊擴(kuò)散產(chǎn)品特點(diǎn)國(guó)內(nèi)第一款千兆工業(yè)防火墻OPC深度白名單/OPC只讀控制低延遲<60us僅放開(kāi)OPC動(dòng)態(tài)端口數(shù)采協(xié)議(如OPC)深度白名單數(shù)采協(xié)議(如OPC)的只讀控制白名單智能學(xué)習(xí)1234狀態(tài)檢測(cè)防火墻靜態(tài)路由與動(dòng)態(tài)路由(OSPF)56違規(guī)報(bào)警及報(bào)告(支持短信)7統(tǒng)一可信組態(tài)管理平臺(tái)8傳統(tǒng)防火墻工業(yè)防火墻ModbusTCPUnknown工控防火墻區(qū)別于傳統(tǒng)防火墻工控主機(jī)衛(wèi)士國(guó)內(nèi)首家利用“白名單〞技術(shù)保護(hù)工控系統(tǒng)主機(jī)平安的主機(jī)平安加固軟件。保證只有經(jīng)過(guò)認(rèn)證的“白名單〞軟件才可以運(yùn)行，任何其他病毒、木馬、違規(guī)軟件都被阻止。應(yīng)用白名單1實(shí)時(shí)報(bào)警2智能學(xué)習(xí)3自身保護(hù)4安全U盤(pán)5觀(guān)察模式6日志審計(jì)7工控平安監(jiān)測(cè)與審計(jì)平臺(tái)產(chǎn)品定位監(jiān)控并記錄工控系統(tǒng)運(yùn)行過(guò)程中的一切操作行為為事故追溯、責(zé)任劃分提供證據(jù)1網(wǎng)絡(luò)異常檢測(cè)忠實(shí)記錄工控協(xié)議通信記錄，自學(xué)習(xí)建立正常通信行為基線(xiàn)模型，對(duì)偏離基線(xiàn)異常操作行為進(jìn)行告警上報(bào)；2網(wǎng)絡(luò)攻擊檢測(cè)識(shí)別并檢測(cè)工控協(xié)議攻擊、TCP/IP攻擊、網(wǎng)絡(luò)風(fēng)暴、參數(shù)閾值檢測(cè)3關(guān)鍵事件檢測(cè)例對(duì)工程師站組態(tài)并更、操控指令變、PLC程序下裝以及負(fù)載變更等關(guān)鍵事件告警4工業(yè)網(wǎng)絡(luò)可視化提供多維度網(wǎng)絡(luò)流量視圖，統(tǒng)計(jì)視圖產(chǎn)品特點(diǎn)對(duì)工控網(wǎng)絡(luò)“零影響〞忠實(shí)記錄網(wǎng)絡(luò)一切動(dòng)態(tài)“