2024發(fā)電行業(yè)電力監(jiān)控系統(tǒng)信息安全保護(hù)培訓(xùn)

發(fā)電行業(yè)電力監(jiān)控系統(tǒng)信息安全保護(hù)培訓(xùn)2024目錄0102目錄010203發(fā)電行業(yè)工控安全解決方案01第一部分01發(fā)電行業(yè)安全政策和標(biāo)準(zhǔn)介紹為什么要開(kāi)展工業(yè)控制系統(tǒng)信息安全建設(shè)(1/4)一．互聯(lián)互通趨勢(shì)新技術(shù)的應(yīng)用使得原來(lái)封閉的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)越來(lái)多的縱向開(kāi)放，在工業(yè)4.0遭遇更多的網(wǎng)絡(luò)威脅。二．通用設(shè)備普及工業(yè)控制系統(tǒng)逐漸從專用的硬件、軟件和通信協(xié)議過(guò)渡到通用普及的商用軟硬件及更開(kāi)放的變得有效。為什么要開(kāi)展工業(yè)控制系統(tǒng)信息安全建設(shè)(2/4)三．重大事件驅(qū)動(dòng)全球工控安全事件高發(fā)，2014年起，2015年起，2016年278起，平均是2010年伊朗震網(wǎng)事件爆發(fā)時(shí)的7倍多。伊朗震網(wǎng)事件 烏克蘭電網(wǎng)事件 勒索病毒事件為什么要開(kāi)展工業(yè)控制系統(tǒng)信息安全建設(shè)(3/4)四．國(guó)家頂層設(shè)計(jì)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三章（第二節(jié)）第5部分工業(yè)控制系統(tǒng)安全擴(kuò)展要求

第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域…關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。隨著信息技術(shù)的發(fā)展，GB/T22239—2008在時(shí)效性、易用性、可操作性上需要進(jìn)一步完善，為了適應(yīng)工業(yè)控制系統(tǒng)下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，需對(duì)GB/T22239—2008進(jìn)行修訂，本部分的修訂的思路和方法是提出了工業(yè)控制系統(tǒng)安全擴(kuò)展要求?！豆I(yè)控制系統(tǒng)信息安全防護(hù)指南》

工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）防護(hù)水平，保障工業(yè)控制系統(tǒng)安全，制定本指南。網(wǎng)絡(luò)安全法具體要求第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)履行下列安全保護(hù)義務(wù)第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)履行下列安全保護(hù)義務(wù)第三章（第一節(jié)）在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。第三章（第二節(jié)）第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估。第三章（第二節(jié)）第五十七條因網(wǎng)絡(luò)安全事件，發(fā)生突發(fā)事件或者生產(chǎn)安全事故的，應(yīng)當(dāng)依照《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》、《中華人民共和國(guó)安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置。第五章關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款;對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。第六章能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計(jì)量系統(tǒng)及電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)等業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書，對(duì)用戶登錄本地操作系統(tǒng)、訪問(wèn)系統(tǒng)資源等根據(jù)身份與權(quán)限進(jìn)行訪問(wèn)控制，并且對(duì)操訪問(wèn)控制電力監(jiān)控系統(tǒng)安全防護(hù)總體方案能量管理系統(tǒng)、廠站端生產(chǎn)控制系統(tǒng)、電能量計(jì)量系統(tǒng)及電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)等業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)逐步采用電力調(diào)度數(shù)字證書，對(duì)用戶登錄本地操作系統(tǒng)、訪問(wèn)系統(tǒng)資源等根據(jù)身份與權(quán)限進(jìn)行訪問(wèn)控制，并且對(duì)操訪問(wèn)控制控制區(qū)與非控制區(qū)之間應(yīng)采用邏輯隔離措施，實(shí)現(xiàn)兩個(gè)區(qū)域的邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能，其訪問(wèn)控制規(guī)則應(yīng)當(dāng)正確有效。生產(chǎn)控制大區(qū)應(yīng)當(dāng)選用安全可靠硬件防火墻，其功能、性能、電磁兼容性必須經(jīng)過(guò)國(guó)家相關(guān)部門的檢測(cè)認(rèn)證。邏輯隔離控制區(qū)與非控制區(qū)之間應(yīng)采用邏輯隔離措施，實(shí)現(xiàn)兩個(gè)區(qū)域的邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能，其訪問(wèn)控制規(guī)則應(yīng)當(dāng)正確有效。生產(chǎn)控制大區(qū)應(yīng)當(dāng)選用安全可靠硬件防火墻，其功能、性能、電磁兼容性必須經(jīng)過(guò)國(guó)家相關(guān)部門的檢測(cè)認(rèn)證。邏輯隔離生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為。安全審計(jì)（使用”白名單“安全機(jī)制替代傳統(tǒng)殺毒軟件，更滿足工控系統(tǒng)安全防護(hù)特點(diǎn)）惡意代碼的防范生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則，及時(shí)捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅、進(jìn)行安全審計(jì)。入侵檢查信息安全等級(jí)保護(hù)基本要求摘錄a)網(wǎng)絡(luò)邊界摘錄a)網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；………………c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層等協(xié)議命令級(jí)的控制；……………….網(wǎng)絡(luò)安全摘錄應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件主機(jī)防惡意代碼產(chǎn)品應(yīng)具有不同的惡意代碼庫(kù)主機(jī)安全摘錄應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至?xí)r間、發(fā)起者信息、類型、描述和結(jié)果等應(yīng)用安全摘錄備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；數(shù)據(jù)安全工業(yè)控制系統(tǒng)安全防護(hù)指南在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。4.1安全軟件選擇與管理在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。4.1安全軟件選擇與管理做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。4.2配置和補(bǔ)丁管理1）通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。2）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。4.3邊界安全防護(hù)USB、光4.4物理和環(huán)境安全防護(hù)1）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)。2）具4.7安全監(jiān)測(cè)和應(yīng)急預(yù)案演練02發(fā)電行業(yè)工控安全解決方案第二部分02發(fā)電行業(yè)工控安全解決方案發(fā)電廠常見(jiàn)安全威脅從互聯(lián)網(wǎng)而來(lái)的非法訪問(wèn)遠(yuǎn)程維護(hù)通道用戶有意無(wú)意的非法操作移動(dòng)存儲(chǔ)介質(zhì)濫用針對(duì)漏洞的攻擊……風(fēng)力發(fā)電系統(tǒng)案例BachmannBachmannMX213安全漏洞該開(kāi)啟了、FTP、HTTP以及RPC漏洞。利用FTP漏洞登錄后甚至能夠獲取該內(nèi)部的任意文件包括Vxworks核文件。研華-TPC-651HHMI安全漏洞該HMI開(kāi)啟了、RDP務(wù)（3389）、windows共享等服務(wù)，且部分服務(wù)存在嚴(yán)重的安全漏洞?？刂圃撛O(shè)備。水力發(fā)電系統(tǒng)案例儲(chǔ)在數(shù)據(jù)庫(kù)中。字符串溢出漏洞，導(dǎo)致設(shè)備重啟。西門子S7-400黑客可繞過(guò)上位機(jī)直接控制該命令可關(guān)閉該P(yáng)LC，導(dǎo)致船閘失控。西門子OSM交換機(jī)，snmp認(rèn)的口令admin/admin，web管理員界面的默認(rèn)口令admin/admin、user/user、登陸可繞過(guò)?；鹆Πl(fā)電系統(tǒng)案例ABBABBSymphony系列DCS存在設(shè)計(jì)缺陷攻擊者也能夠進(jìn)行重放攻擊改變DCS成非常嚴(yán)重的后果。ABBSymphony系列DCS漏洞該漏洞被利用將導(dǎo)致IET800卡件癱瘓網(wǎng)數(shù)據(jù)交互都將受到影響。案例某新能源企業(yè)由于生設(shè)備維護(hù)的工程技術(shù)人員了方便操作，違規(guī)保留遠(yuǎn)程維護(hù)通道，有安全檢查時(shí)，就將通道臨時(shí)關(guān)閉，打游擊戰(zhàn)。案例案例某新能源企業(yè)由于生設(shè)備維護(hù)的工程技術(shù)人員了方便操作，違規(guī)保留遠(yuǎn)程維護(hù)通道，有安全檢查時(shí)，就將通道臨時(shí)關(guān)閉，打游擊戰(zhàn)。案例某民營(yíng)電廠為方便領(lǐng)導(dǎo)實(shí)時(shí)掌握生產(chǎn)信息，將重要的生產(chǎn)管理服務(wù)器違規(guī)接入互聯(lián)網(wǎng)而同時(shí)該服務(wù)器又和生產(chǎn)控制系統(tǒng)、辦公網(wǎng)絡(luò)互連。在現(xiàn)場(chǎng)安全檢查時(shí)，發(fā)現(xiàn)該服務(wù)器有活躍的境外IP訪問(wèn)，并且有數(shù)據(jù)的交互。圖：境外IP訪問(wèn)生產(chǎn)服務(wù)器圖：上位機(jī)安裝遠(yuǎn)程維護(hù)工具現(xiàn)在工控安全都有哪些問(wèn)題(遠(yuǎn)程訪問(wèn))案例在數(shù)個(gè)發(fā)電廠發(fā)現(xiàn)，生產(chǎn)控制大區(qū)內(nèi)部SIS系統(tǒng)和控制系統(tǒng)開(kāi)啟遠(yuǎn)程桌面服務(wù)，此服務(wù)的開(kāi)啟為攻擊者開(kāi)辟了一條攻擊的路徑和權(quán)限。案例在數(shù)個(gè)發(fā)電廠發(fā)現(xiàn)，生產(chǎn)控制大區(qū)內(nèi)部SIS系統(tǒng)和控制系統(tǒng)開(kāi)啟遠(yuǎn)程桌面服務(wù)，此服務(wù)的開(kāi)啟為攻擊者開(kāi)辟了一條攻擊的路徑和權(quán)限?，F(xiàn)在工控安全都有哪些問(wèn)題(私接無(wú)線路由)案例在華中某熱電廠發(fā)現(xiàn)，操作員站私接無(wú)線WiFi，導(dǎo)致與互聯(lián)網(wǎng)連通，把整個(gè)控制網(wǎng)絡(luò)暴露在互聯(lián)網(wǎng)下。案例在華中某熱電廠發(fā)現(xiàn)，操作員站私接無(wú)線WiFi，導(dǎo)致與互聯(lián)網(wǎng)連通，把整個(gè)控制網(wǎng)絡(luò)暴露在互聯(lián)網(wǎng)下。案例III某抽水蓄能電站的工程師站和操作員站大部分是WindowsXP的操作系統(tǒng)，一方面這些主機(jī)運(yùn)行緩慢，另一方面操作系統(tǒng)已經(jīng)停止維護(hù)。案例II某城市供水集團(tuán)的下屬水廠的所有操作員站、數(shù)據(jù)服務(wù)器沒(méi)有任何防護(hù)措施，同時(shí)生產(chǎn)網(wǎng)和辦公網(wǎng)混合，主機(jī)等同于直接暴露在公網(wǎng)上。案例I案例III某抽水蓄能電站的工程師站和操作員站大部分是WindowsXP的操作系統(tǒng)，一方面這些主機(jī)運(yùn)行緩慢，另一方面操作系統(tǒng)已經(jīng)停止維護(hù)。案例II某城市供水集團(tuán)的下屬水廠的所有操作員站、數(shù)據(jù)服務(wù)器沒(méi)有任何防護(hù)措施，同時(shí)生產(chǎn)網(wǎng)和辦公網(wǎng)混合，主機(jī)等同于直接暴露在公網(wǎng)上。案例I員工作站上一方面有病毒感染，另一方面部分安裝了游戲娛樂(lè)軟件。主機(jī)USB使用。圖：現(xiàn)場(chǎng)發(fā)現(xiàn)馬吉斯病毒圖：WindowsXP系統(tǒng)的上位機(jī)現(xiàn)在工控安全都有哪些問(wèn)題（移動(dòng)存儲(chǔ)介質(zhì)濫用）案例在某變電站,操作主機(jī)上發(fā)現(xiàn)大量USB插拔記錄，用戶解釋為外協(xié)維護(hù)工程人員使用U盤，但實(shí)際上能看出有大量手機(jī)插拔記錄。案例在某變電站,操作主機(jī)上發(fā)現(xiàn)大量USB插拔記錄，用戶解釋為外協(xié)維護(hù)工程人員使用U盤，但實(shí)際上能看出有大量手機(jī)插拔記錄。現(xiàn)在工控安全都有哪些問(wèn)題（安全配置缺失）案例案例主機(jī)自身健康狀態(tài)堪憂案例在眾多工業(yè)企業(yè)用戶現(xiàn)場(chǎng)發(fā)現(xiàn)，重要工業(yè)控制設(shè)備前端無(wú)任何安全防護(hù)設(shè)備，冒用、篡改、攻擊都會(huì)直接作用于工控設(shè)備。現(xiàn)在工控安全都有哪些問(wèn)題（關(guān)鍵控制設(shè)備無(wú)安全防護(hù)）案例在眾多工業(yè)企業(yè)用戶現(xiàn)場(chǎng)發(fā)現(xiàn)，重要工業(yè)控制設(shè)備前端無(wú)任何安全防護(hù)設(shè)備，冒用、篡改、攻擊都會(huì)直接作用于工控設(shè)備。現(xiàn)場(chǎng)控制設(shè)備無(wú)防護(hù) 現(xiàn)場(chǎng)控制設(shè)備無(wú)防護(hù)案例善是個(gè)普遍問(wèn)題（案例善是個(gè)普遍問(wèn)題（現(xiàn)象普遍存在），意識(shí)也亟待提升。箱上。圖：控制系統(tǒng)弱口令解決方案設(shè)計(jì)依據(jù)發(fā)電廠工控網(wǎng)絡(luò)安全解決方案設(shè)計(jì)依據(jù)

《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國(guó)能安全[2015]36號(hào)文)GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T25070-2010信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求》本方案重點(diǎn)解決以上政策標(biāo)準(zhǔn)中的核心問(wèn)題威努特工控解決方案模型國(guó)內(nèi)首家提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”解決方案體系的工控安全廠商，迄今已為上百家關(guān)鍵行業(yè)客戶建立自主可控、安全可靠的工控安全整體防護(hù)體系核心技術(shù)理念：縱深防御白名單機(jī)制工業(yè)控制系統(tǒng)“白環(huán)境”解決方案理念只有可信任的設(shè)備只有可信任的消息只有可信任的設(shè)備只有可信任的消息只有可信任的軟件方案核心安全理念技術(shù)亮點(diǎn)及技術(shù)亮點(diǎn)及創(chuàng)新點(diǎn)從“黑”到“白”國(guó)能安全36號(hào)文介紹為了加強(qiáng)電力監(jiān)控系統(tǒng)安全防護(hù)工作，根據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國(guó)家發(fā)展和改革委員會(huì)2014年第14號(hào)），國(guó)家能源局制定了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等安全防護(hù)方案和評(píng)估規(guī)范，即國(guó)能安全[2015]36號(hào)。

附件1電力監(jiān)控系統(tǒng)安全防護(hù)總體方案附件2省級(jí)以上調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案附件3地級(jí)調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案附件：《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》《省級(jí)以上調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案》《地級(jí)調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案》《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》《變電站監(jiān)控系統(tǒng)安全防護(hù)方案》《配電監(jiān)控系統(tǒng)安全防護(hù)方案》《電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)價(jià)規(guī)范》

附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案附件5變電站監(jiān)控系統(tǒng)安全防護(hù)方案附件6配電監(jiān)控系統(tǒng)安全防護(hù)方案國(guó)能安全[2015]36號(hào)附件國(guó)能安全[2015]36號(hào)安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證分類邊界安全防護(hù)分類分類基本要求國(guó)能安全[2015]36號(hào)統(tǒng)安全防護(hù)方案-4防護(hù)4.1橫向邊界防護(hù)4.1.1生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護(hù)；4.1.2控制區(qū)（安全區(qū)I）與非控制區(qū)（安全區(qū)II）邊界安全防護(hù)；41.3系統(tǒng)間安全防護(hù)火電廠內(nèi)同屬于控制區(qū)的各機(jī)組監(jiān)控系統(tǒng)之間、機(jī)組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、統(tǒng)一機(jī)組的不同監(jiān)控系統(tǒng)之間，同屬于非控制區(qū)的各系統(tǒng)之間，各不同位置的場(chǎng)站網(wǎng)絡(luò)之間，采用一定強(qiáng)度的邏輯訪問(wèn)控制措施；4.2縱向邊界防護(hù)加密等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)；參與系統(tǒng)AGC、護(hù)；對(duì)于不具備建立調(diào)度數(shù)據(jù)網(wǎng)的小型火電廠可以通過(guò)遠(yuǎn)程撥號(hào)、無(wú)線等方式接入相應(yīng)調(diào)度機(jī)構(gòu)的安全接入?yún)^(qū)。4.3第三方邊界安全防護(hù)a) 火電廠控制大區(qū)中的業(yè)務(wù)系統(tǒng)與環(huán)保、安全等政府部門進(jìn)行數(shù)據(jù)通信時(shí)，其邊界應(yīng)采用與生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的防護(hù)方式進(jìn)行隔離；VPN禁止外部系統(tǒng)直接與生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)或設(shè)置采用遠(yuǎn)程撥號(hào)等方式直接訪問(wèn)，而不經(jīng)過(guò)安全隔離。邊界隔離（Ⅰ區(qū)和Ⅱ區(qū)之間）從Ⅱ區(qū)而來(lái)的非法訪問(wèn)，可能引起Ⅰ區(qū)實(shí)時(shí)網(wǎng)絡(luò)的異常部署對(duì)工業(yè)協(xié)議深度解析的隔離阻斷裝置實(shí)現(xiàn)網(wǎng)絡(luò)分層分區(qū)，邊界訪問(wèn)控制，避免無(wú)授權(quán)設(shè)備對(duì)區(qū)域的訪問(wèn)部署對(duì)工業(yè)協(xié)議深度解析的隔離邊界攻擊防御和過(guò)濾工業(yè)防火墻區(qū)域隔離（生產(chǎn)控制大區(qū)內(nèi)部）針對(duì)某個(gè)區(qū)域指定的非法攻擊區(qū)域內(nèi)部問(wèn)題影響至其他區(qū)域部署對(duì)工業(yè)協(xié)議深度解析的隔離阻斷裝置實(shí)現(xiàn)基于區(qū)域和功能的區(qū)域網(wǎng)絡(luò)劃分及隔離部署對(duì)工業(yè)協(xié)議深度解析的隔離阻斷裝置實(shí)現(xiàn)對(duì)工業(yè)專有協(xié)議深度解析，建立通訊“白環(huán)境“，阻止區(qū)域間的越權(quán)訪問(wèn)，病毒、蠕蟲擴(kuò)散和入侵，將危險(xiǎn)源控制在有限范圍內(nèi)

工業(yè)防火墻分類主機(jī)與設(shè)備安全防護(hù)分類分類基本要求發(fā)電廠廠級(jí)信息監(jiān)控系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)機(jī)、web服務(wù)器等主機(jī)加固應(yīng)當(dāng)使用安全加固的操作系統(tǒng)。加固方式包括：安全配置、安全補(bǔ)丁、采用專用軟件強(qiáng)化操作系統(tǒng)訪問(wèn)控制能力以及配置安全的應(yīng)用程序，其中配置的更改和補(bǔ)丁的安裝應(yīng)當(dāng)經(jīng)過(guò)測(cè)試。國(guó)能安全[2015]36號(hào)統(tǒng)安全防護(hù)方案-5.2主機(jī)與網(wǎng)絡(luò)設(shè)備加固網(wǎng)絡(luò)設(shè)備加固非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應(yīng)當(dāng)進(jìn)行身份鑒別、訪問(wèn)權(quán)限控制、會(huì)話控制等安全配置加固?？梢詰?yīng)用電力調(diào)度數(shù)字證書，在網(wǎng)絡(luò)設(shè)備和安全設(shè)備實(shí)現(xiàn)支持HTTPS的縱向安全web服務(wù)，能夠?qū)g覽器客戶端訪問(wèn)進(jìn)行身份認(rèn)證及加密傳輸。生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，應(yīng)當(dāng)禁止具有無(wú)線通信功能的設(shè)備；管理信息大區(qū)業(yè)務(wù)系統(tǒng)使用無(wú)線網(wǎng)絡(luò)傳輸業(yè)務(wù)信息時(shí)，應(yīng)當(dāng)具備接入認(rèn)證、加密等安全機(jī)制。外設(shè)管控應(yīng)當(dāng)對(duì)外部存儲(chǔ)器、打印機(jī)等外設(shè)的使用進(jìn)行嚴(yán)格管理。主機(jī)安全防護(hù)病毒、木馬感染上位機(jī)，甚至0-day漏洞的利用導(dǎo)致系統(tǒng)不可用上位機(jī)系統(tǒng)安全策略缺失，引起系統(tǒng)或用戶行為失當(dāng)，導(dǎo)致安全風(fēng)險(xiǎn)部署應(yīng)用白名單軟件建立可執(zhí)行文件“白名單”，阻止惡意軟件執(zhí)行，甚至是0-day漏洞的利用通過(guò)應(yīng)用白名單軟件對(duì)操作系統(tǒng)進(jìn)行加固，如注冊(cè)表、配置文件等通過(guò)應(yīng)用白名單軟件實(shí)現(xiàn)阻止未授權(quán)軟件的安裝

應(yīng)用白名單軟件主機(jī)加固個(gè)人計(jì)算機(jī)使用水平參差不齊，安全意識(shí)存在差異計(jì)算機(jī)自身安全脆弱，容易成為被攻擊的對(duì)象，且缺少統(tǒng)一配置的手段通過(guò)主機(jī)加固類的產(chǎn)品統(tǒng)一工業(yè)主機(jī)操作系統(tǒng)安全配置提高工業(yè)主機(jī)操作系統(tǒng)訪問(wèn)控制能力，如提高至強(qiáng)制訪問(wèn)控制對(duì)操作事件如登陸、功能停用等，并提供日志的查詢、刪除、備份和導(dǎo)出 主機(jī)加固分類綜合安全防護(hù)分類分類基本要求國(guó)能安全[2015]36統(tǒng)安全防護(hù)方案-5防護(hù)5.1入侵檢測(cè)生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則，檢測(cè)發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)；5.3應(yīng)用安全控制發(fā)電廠廠級(jí)信息監(jiān)控系統(tǒng)等業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)逐步采用用戶數(shù)字證書技術(shù)，對(duì)用戶登錄失敗處理功能，根據(jù)身份與權(quán)限進(jìn)行訪問(wèn)控制，并且對(duì)操作系統(tǒng)行為進(jìn)行安全審計(jì)。對(duì)于發(fā)電廠內(nèi)部遠(yuǎn)程訪問(wèn)業(yè)務(wù)系統(tǒng)的情況，應(yīng)當(dāng)進(jìn)行會(huì)話控制，并采用會(huì)話認(rèn)證、加密與抗抵賴等安全機(jī)制。5.4安全審計(jì)生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行嚴(yán)格的安全審計(jì)。5.5專用安全產(chǎn)品的管理安全防護(hù)工作中涉及使用橫向單向安全隔離裝置、縱向加密認(rèn)證裝置、防火墻、入侵檢測(cè)系統(tǒng)等專用安全產(chǎn)品的，應(yīng)當(dāng)按照國(guó)家有關(guān)要求做好保密工作，禁止關(guān)鍵技術(shù)和設(shè)備的擴(kuò)散。5.7惡意代碼防范應(yīng)當(dāng)及時(shí)更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過(guò)測(cè)試。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)公用一套防惡意代碼管理服務(wù)器；5.8設(shè)備選型與漏洞整改發(fā)電廠電力監(jiān)控系統(tǒng)在設(shè)備選型及配置時(shí)，應(yīng)當(dāng)禁止選用經(jīng)國(guó)家相關(guān)管理部門檢測(cè)認(rèn)定并經(jīng)國(guó)家能源局通報(bào)存在漏洞的風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備；對(duì)于已經(jīng)投入運(yùn)行的系統(tǒng)及設(shè)備，應(yīng)當(dāng)按照國(guó)家能源局及其派出機(jī)構(gòu)的要求及時(shí)進(jìn)行整改，同時(shí)應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)與設(shè)備的運(yùn)行管理和安全防護(hù)。工控網(wǎng)絡(luò)監(jiān)測(cè)與審計(jì)隱蔽不可知的惡意流量模型，對(duì)異常操作進(jìn)行告警識(shí)別并檢測(cè)工控協(xié)議攻擊、數(shù)閾值檢測(cè)對(duì)工程師站組態(tài)并更、操控指令變更、PLC程序下裝以及負(fù)載變更等關(guān)鍵事件告警

工控安全監(jiān)測(cè)與審計(jì)平臺(tái)文件安全傳遞普通U盤隨意插拔，帶來(lái)未知病毒等通過(guò)U盤帶入與工作無(wú)關(guān)數(shù)據(jù)，如游戲、視頻、程序等，導(dǎo)致系統(tǒng)不可用采用安全U盤，僅能在內(nèi)部使用，外部無(wú)法使用，自帶硬件安全芯片，數(shù)據(jù)安全存儲(chǔ)針對(duì)普通U盤，控制普通U盤的使用權(quán)限，包括禁止使用、只讀使用、不控制

安全U盤應(yīng)用數(shù)據(jù)安全之網(wǎng)絡(luò)設(shè)備防護(hù)&審計(jì)&身份鑒別阻止非授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)、安全設(shè)備設(shè)備等意維護(hù)行為進(jìn)行取證對(duì)遠(yuǎn)程維護(hù)行為操作進(jìn)行惡意操作

堡壘機(jī)國(guó)能安全[2015]36號(hào)：

入侵檢測(cè)析潛在威脅并進(jìn)行安全審計(jì)隱藏于流經(jīng)網(wǎng)絡(luò)邊界的入侵行為部署入侵檢測(cè)發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)

入侵檢測(cè)統(tǒng)一安全管理集中管理安全設(shè)備：如工業(yè)防火墻、工控主機(jī)衛(wèi)士、工控安全檢測(cè)與審計(jì)平臺(tái)，實(shí)現(xiàn)工控網(wǎng)絡(luò)的拓?fù)涔芾?、安全配置及安全策略管理、設(shè)備狀態(tài)監(jiān)控、告警日志等集中的安全日志審計(jì)工作站終端異常實(shí)時(shí)報(bào)警分級(jí)分權(quán)限管理網(wǎng)絡(luò)安全總體防護(hù)方案部署示意圖網(wǎng)絡(luò)安全-邊界安全防護(hù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第三條“邊界安全防護(hù)”（一）分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境。（二）通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)?！?6號(hào)》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》第四部分4.1.2控制區(qū)（安全I(xiàn)區(qū)）與非控制區(qū)（安全I(xiàn)I區(qū)）邊界安全防護(hù)安全I(xiàn)區(qū)與安全I(xiàn)I區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當(dāng)功能的設(shè)備，實(shí)現(xiàn)邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能。《GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；………………應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層等協(xié)議命令級(jí)的控制；……………….網(wǎng)絡(luò)安全-安全審計(jì)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第三條“安全監(jiān)測(cè)與應(yīng)急演練”（一）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。（二）在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，限制違法操作。《36號(hào)》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》第五部分綜合防護(hù)5.4小節(jié)安全審計(jì)中明確要求在生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)各種違規(guī)行為及病毒和黑客的攻擊行為?！禛B/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》安全審計(jì)中相關(guān)測(cè)試要求明確提出可以對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)。主機(jī)安全-惡意代碼《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第一條“安全軟件選擇與管理”（一）在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。（二）建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。《36號(hào)》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》第五部分綜合防護(hù)5.7小節(jié)惡意代碼防范中明確要求，應(yīng)及時(shí)更新特征碼、查看查殺記錄。（使用”白名單“安全機(jī)制替代傳統(tǒng)殺毒軟件，更滿足工控系統(tǒng)安全防護(hù)特點(diǎn)）《GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》惡意代碼防范中相關(guān)測(cè)試要求明確提出可以對(duì)主要服務(wù)器、主機(jī)等是否安裝了實(shí)時(shí)檢測(cè)與查殺惡意代碼的軟件產(chǎn)品。-外部接口（一）對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工控控制軟硬件所在區(qū)域采用訪問(wèn)控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制”?！?6號(hào)》文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》第五部分綜合防護(hù)5.2小節(jié)主機(jī)與網(wǎng)絡(luò)設(shè)備加固中明確要求“應(yīng)當(dāng)對(duì)外部存儲(chǔ)器、打印機(jī)等外設(shè)的使用進(jìn)行嚴(yán)格管理?！禛B/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》主機(jī)安全測(cè)評(píng)單元也有明確要求“未拆除主機(jī)的軟盤驅(qū)動(dòng),光盤驅(qū)動(dòng),USB接口等”，如果不能拆除應(yīng)通過(guò)技術(shù)手段對(duì)外接移動(dòng)存儲(chǔ)設(shè)備進(jìn)行安全管控。解決方案總結(jié)12123安全審計(jì)45安全分區(qū)重點(diǎn)防護(hù)主機(jī)防護(hù)統(tǒng)一管理使用邏輯隔離產(chǎn)品進(jìn)行安全分區(qū)。安全產(chǎn)品進(jìn)行重點(diǎn)保護(hù)。網(wǎng)絡(luò)全流量、控、記錄、審計(jì)。配置管理病毒防護(hù)安全產(chǎn)品集中管理步驟：安全

工業(yè)防火墻 工業(yè)防火墻 工控安全監(jiān)測(cè)與審計(jì)系統(tǒng) 工控主機(jī)衛(wèi)士 統(tǒng)一安全管理平臺(tái)網(wǎng)閘 網(wǎng)閘 堡壘主機(jī)解決

從互聯(lián)網(wǎng)而來(lái)的非法訪問(wèn)遠(yuǎn)程維護(hù)通道

遠(yuǎn)程維護(hù)通道針對(duì)漏洞的攻擊

用戶有意無(wú)意的惡意操作

移動(dòng)存儲(chǔ)介質(zhì)濫用配置管理、病毒防護(hù)

安全產(chǎn)品統(tǒng)一管理03工業(yè)控系統(tǒng)信息安全產(chǎn)品介紹第三部分03工業(yè)控系統(tǒng)信息安全產(chǎn)品介紹工控信息安全專用產(chǎn)品總述工控網(wǎng)絡(luò)安全產(chǎn)品分類工控網(wǎng)絡(luò)安全產(chǎn)品分類邊界防護(hù)類監(jiān)測(cè)審計(jì)類機(jī)趨易安全類全理類安全重要檢測(cè)類邊界防護(hù)類-工業(yè)防火墻 導(dǎo)軌式工業(yè)防火墻 機(jī)架式工業(yè)防火墻 威努特 構(gòu)，采用低功耗、無(wú)風(fēng)扇設(shè)計(jì)，來(lái)滿足工業(yè)現(xiàn)場(chǎng)特殊的環(huán)境需求；部署方式通常以串接方式工作，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡(luò)之間、廠區(qū)不同區(qū)域之間，控制層與現(xiàn)場(chǎng)設(shè)備層之間。通過(guò)一定的訪問(wèn)控制策略，對(duì)工控系統(tǒng)邊界、工控系統(tǒng)內(nèi)部區(qū)域進(jìn)行邊界保護(hù)；工控防火墻、工控隔離產(chǎn)品均屬于邊界防護(hù)類。工業(yè)防火墻功能特點(diǎn)傳統(tǒng)防火墻基礎(chǔ)功能繼承傳統(tǒng)防火墻的基本訪問(wèn)控制功能，具備對(duì)源、目的傳統(tǒng)防火墻基礎(chǔ)功能繼承傳統(tǒng)防火墻的基本訪問(wèn)控制功能，具備對(duì)源、目的IP，源、目的端口，協(xié)議類型5元組的控制能力支持工業(yè)協(xié)議能夠?qū)I(yè)通信協(xié)議進(jìn)行解析，如主流的OPC、SiemensS7Modbus等協(xié)議的深度報(bào)文解析，彌補(bǔ)傳統(tǒng)IT防火墻對(duì)于工業(yè)協(xié)議解析的空白審計(jì)，審將信任的數(shù)據(jù)、協(xié)議放入到可信列表中，拒絕一切非可信任流量C制點(diǎn)支持工控三種對(duì)象審符合工業(yè)用戶對(duì)邊界防護(hù)產(chǎn)品的心理需求度對(duì)工業(yè)防火墻功能認(rèn)識(shí)誤區(qū)對(duì)于工業(yè)防火墻，普遍存在下面2個(gè)誤區(qū)：

乏人工配置一部分用戶會(huì)認(rèn)為工業(yè)防火墻就是傳統(tǒng)防火墻換了工業(yè)的外殼，功能沒(méi)啥區(qū)別，換湯不換藥，但實(shí)際上工業(yè)防火墻與傳統(tǒng)防火墻在設(shè)計(jì)原則、工作機(jī)制、功能配置等方面有巨大差異，對(duì)工業(yè)協(xié)議的深度解析，對(duì)工業(yè)網(wǎng)絡(luò)流量自學(xué)習(xí)建模的工作機(jī)制是工業(yè)防火墻獨(dú)有的特點(diǎn)。

自學(xué)習(xí)確實(shí)是形成白名單的一種很好的方式，但卻容易受到不固定因素的影響，如學(xué)習(xí)時(shí)間不足、部分業(yè)務(wù)數(shù)據(jù)只有在特殊的情況下才能產(chǎn)生，這些因素都直接影響白名單策略的完整性，所以自學(xué)習(xí)+人工配置形成的白名單策略才能更好的應(yīng)用于工業(yè)現(xiàn)場(chǎng)。邊界防護(hù)類-隔離產(chǎn)品威努特 隔離產(chǎn)品一般泛指網(wǎng)閘,石油行業(yè)應(yīng)用較多，從功能角度可劃分雙向隔離網(wǎng)閘和單向隔離網(wǎng)閘；威努特I,II區(qū)與III,IV區(qū)之間。滿足通用工業(yè)控制系要求；網(wǎng)閘設(shè)備產(chǎn)品特點(diǎn)架構(gòu)特殊網(wǎng)閘設(shè)備內(nèi)部設(shè)置兩套獨(dú)立主機(jī)，每個(gè)主機(jī)運(yùn)行獨(dú)立的安全操作系統(tǒng)和應(yīng)用系統(tǒng)，這兩套主機(jī)分別通過(guò)網(wǎng)絡(luò)連接生產(chǎn)控制區(qū)網(wǎng)絡(luò)和管理信息大區(qū)網(wǎng)絡(luò)協(xié)議隔離架構(gòu)特殊網(wǎng)閘設(shè)備內(nèi)部設(shè)置兩套獨(dú)立主機(jī)，每個(gè)主機(jī)運(yùn)行獨(dú)立的安全操作系統(tǒng)和應(yīng)用系統(tǒng)，這兩套主機(jī)分別通過(guò)網(wǎng)絡(luò)連接生產(chǎn)控制區(qū)網(wǎng)絡(luò)和管理信息大區(qū)網(wǎng)絡(luò)協(xié)議隔離隔離裝置的內(nèi)外網(wǎng)主機(jī)之間不提供反向數(shù)據(jù)通道通信，可以阻斷管理信息大區(qū)到生產(chǎn)控制大區(qū)通信途徑，同時(shí)支持1bit返回模式，以進(jìn)行數(shù)據(jù)驗(yàn)證關(guān)鍵操作檢測(cè)隔離裝置通過(guò)數(shù)據(jù)代理的方式來(lái)禁止生產(chǎn)控制區(qū)網(wǎng)絡(luò)應(yīng)用程序與管理信息大區(qū)應(yīng)用程序之間進(jìn)行直接連接，從而在一定程度上杜絕了病毒及木馬攜帶傳輸?shù)目赡苄跃W(wǎng)閘VS工業(yè)防火墻 網(wǎng)閘產(chǎn)品 工業(yè)防火墻產(chǎn)品 網(wǎng)閘產(chǎn)品 工業(yè)防火墻產(chǎn)品 用；性要求高的場(chǎng)景。解析；網(wǎng)閘產(chǎn)品與防火墻產(chǎn)品無(wú)法衡量其好與壞，更多的區(qū)別在于應(yīng)用場(chǎng)景的不同，防火墻適用于多種業(yè)務(wù)場(chǎng)景，而網(wǎng)閘產(chǎn)品只適用于對(duì)數(shù)據(jù)延遲性要求不高的業(yè)務(wù)場(chǎng)景。監(jiān)測(cè)審計(jì)類 導(dǎo)軌式監(jiān)測(cè)審計(jì)系統(tǒng) 統(tǒng)

監(jiān)測(cè)審計(jì)系統(tǒng)功能特點(diǎn)通信模型利用白名單的方式，建立可信任的業(yè)務(wù)數(shù)據(jù)流模型，通過(guò)該模型來(lái)判斷通信的合法性。部分工控協(xié)議的解析為指令級(jí),對(duì)于工業(yè)現(xiàn)場(chǎng)來(lái)說(shuō)，意義較大，可以脫離于系統(tǒng)原有廠商的監(jiān)控系統(tǒng)，作為第三方監(jiān)控手段對(duì)事后追溯提供依據(jù)通信模型利用白名單的方式，建立可信任的業(yè)務(wù)數(shù)據(jù)流模型，通過(guò)該模型來(lái)判斷通信的合法性。部分工控協(xié)議的解析為指令級(jí),對(duì)于工業(yè)現(xiàn)場(chǎng)來(lái)說(shuō)，意義較大，可以脫離于系統(tǒng)原有廠商的監(jiān)控系統(tǒng)，作為第三方監(jiān)控手段對(duì)事后追溯提供依據(jù)無(wú)需更新特征庫(kù)利用白名單的方式，擺脫原有IT系統(tǒng)中涉及的IDS，IPS需要不斷升級(jí)“庫(kù)”來(lái)滿足安全需求的束縛關(guān)鍵操作檢測(cè)由白名單機(jī)制衍生出來(lái)的對(duì)工業(yè)現(xiàn)場(chǎng)業(yè)務(wù)中的關(guān)鍵操作（如對(duì)工程師站組態(tài)變更、操控指令變更、PLC下裝、負(fù)載變更等）違規(guī)報(bào)警、無(wú)流量，異常流量報(bào)警等更加符合工業(yè)現(xiàn)場(chǎng)需求對(duì)監(jiān)測(cè)審計(jì)系統(tǒng)的認(rèn)識(shí)誤區(qū)對(duì)于監(jiān)測(cè)審計(jì)系統(tǒng)，普遍存在下面2個(gè)誤區(qū)：1 僅是換了一個(gè)工業(yè)外殼與工業(yè)防火墻面臨同樣問(wèn)題，一部分用戶會(huì)認(rèn)為監(jiān)測(cè)換了工業(yè)的外殼，功能沒(méi)啥區(qū)別，換湯不換藥，但實(shí)際上其設(shè)計(jì)原則、工作機(jī)制、功能配置等方面有巨大差異，對(duì)工業(yè)協(xié)議的深度解析，對(duì)工業(yè)網(wǎng)絡(luò)流量自學(xué)習(xí)建模的工作機(jī)制是工控監(jiān)測(cè)審計(jì)獨(dú)有的特點(diǎn)。入侵檢測(cè)系統(tǒng)（IDS）主機(jī)安全類工控系統(tǒng)中的主機(jī)設(shè)備，如工程師站、操作員站等是工控系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)，病毒的入侵、人為的誤操作等威脅主要都是通過(guò)主機(jī)類設(shè)備進(jìn)入工控系統(tǒng)。主流主機(jī)安全防護(hù)產(chǎn)品白名單防護(hù)類程序的侵入；

主機(jī)加固類結(jié)合等級(jí)保護(hù)合規(guī)性要求，對(duì)主機(jī)操作系統(tǒng)進(jìn)行策略性安全加固，增強(qiáng)主機(jī)安全防護(hù)能力。主機(jī)安全產(chǎn)品功能特點(diǎn)白名單產(chǎn)品 加固式產(chǎn)品采用「白名單」技術(shù)，為工作站即電腦主機(jī)創(chuàng)造一U盤的使用控制等。因工業(yè)現(xiàn)場(chǎng)業(yè)務(wù)環(huán)境相對(duì)”確定”，所以白名單產(chǎn)品容易被工業(yè)用戶接受，既防止了惡意程序的入侵，也避免的傳統(tǒng)主機(jī)安全防護(hù)產(chǎn)品（殺毒軟件）誤差、漏殺的問(wèn)題；利用動(dòng)態(tài)跟蹤安裝包安裝技術(shù)自動(dòng)將安裝過(guò)程中的可執(zhí)行文件或臨時(shí)釋放的臨時(shí)可執(zhí)行文件識(shí)別并添

加固式產(chǎn)品主要是對(duì)主機(jī)的內(nèi)核級(jí)安全加固防護(hù)，通過(guò)對(duì)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)進(jìn)行的強(qiáng)制訪問(wèn)控制，制約和分散原有系統(tǒng)管理員的權(quán)限，把普通的操作系統(tǒng)從體系上升級(jí)，從而滿足等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)于主機(jī)安全的要求。對(duì)主機(jī)安全產(chǎn)品的認(rèn)識(shí)誤區(qū)對(duì)于主機(jī)安全防護(hù)產(chǎn)品，普遍存在下面2個(gè)誤區(qū)：白名單軟件或主機(jī)加固軟件會(huì)1 用于工業(yè)現(xiàn)場(chǎng)

2 也會(huì)存在掃描、查殺等動(dòng)作，影響系統(tǒng)運(yùn)行從原理的角度白名單軟件是工作在操作系統(tǒng)層面的，是完全沒(méi)有可能影響系統(tǒng)的運(yùn)行；而主機(jī)加固軟件是工作在驅(qū)動(dòng)層面的，那么是否影響系統(tǒng)的運(yùn)行，還要取決于硬件、軟件的驅(qū)動(dòng)。如出現(xiàn)驅(qū)動(dòng)問(wèn)題，也會(huì)出現(xiàn)影響系統(tǒng)運(yùn)行的情況。

從工作方式、工作原理的角度，白名單軟件和主機(jī)加固軟件采用主動(dòng)防御的方式，均不存在掃描、查、殺的動(dòng)作，故不會(huì)出現(xiàn)影響系統(tǒng)運(yùn)行的情況。監(jiān)測(cè)審計(jì)類-堡壘機(jī)威努特 絡(luò)中管理大區(qū)，主要的跟控記錄、回放，同時(shí)對(duì)自然人的身份進(jìn)行統(tǒng)一授權(quán)在工業(yè)現(xiàn)場(chǎng)移動(dòng)設(shè)備的交叉使用，把病毒、木引入到原本脆弱的工控系統(tǒng)；運(yùn)維人員的不當(dāng)作，引起生產(chǎn)事故，以及工控設(shè)備配置文件無(wú)份。都給工控系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)，所以在此景下，為有效解決工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)運(yùn)維風(fēng)險(xiǎn)堡壘機(jī)應(yīng)運(yùn)而生。安全管理類-管理平臺(tái)威努特 全管理類產(chǎn)品主要的用途是對(duì)部署在工業(yè)網(wǎng)絡(luò)中的安全設(shè)備進(jìn)行集中監(jiān)測(cè)、統(tǒng)一管理，在工業(yè)網(wǎng)絡(luò)中有諸多無(wú)人場(chǎng)景，如市政燃?xì)狻⒂吞锏刃袠I(yè)現(xiàn)場(chǎng)均有無(wú)人值守站；安全管理類產(chǎn)品一般部署在中心級(jí)測(cè)，如生產(chǎn)區(qū)的機(jī)房、管理區(qū)的機(jī)房，是非高溫、非高濕的工作環(huán)境，所以安全管理類產(chǎn)品在設(shè)計(jì)時(shí)大多采用傳統(tǒng)X86架構(gòu)。管理平臺(tái)的功能特點(diǎn)集中管理集中管理工控網(wǎng)絡(luò)中的安全設(shè)備，包括設(shè)備狀態(tài)監(jiān)控、拓?fù)涔芾怼⑾到y(tǒng)配置管理、日志管理等集中管理集中管理工控網(wǎng)絡(luò)中的安全設(shè)備，包括設(shè)備狀態(tài)監(jiān)控、拓?fù)涔芾?、系統(tǒng)配置管理、日志管理等主機(jī)安全統(tǒng)一管理統(tǒng)一管理工控網(wǎng)絡(luò)中的主機(jī)安全軟件，包括模板配置、策略下發(fā)、主機(jī)狀態(tài)監(jiān)測(cè)、日志管理等日志管理分析對(duì)工控網(wǎng)絡(luò)中的安全日志（如：攻擊日志、流量日志、訪問(wèn)日志、主機(jī)日志、系統(tǒng)日志）進(jìn)行匯總、關(guān)聯(lián)分析并形成報(bào)告，為工控網(wǎng)絡(luò)安全事件分析和調(diào)查取證提供依據(jù)安全檢測(cè)類-漏洞挖掘&漏洞掃描 漏洞挖掘平臺(tái) 威努特 漏洞掃描平臺(tái) 威努特

漏洞挖掘和漏洞掃描產(chǎn)品均屬于安全檢測(cè)類產(chǎn)品，一些廠家將兩者合一，以一個(gè)產(chǎn)品形態(tài)出現(xiàn)；漏洞挖掘其存在的價(jià)值在于解決在工業(yè)控制系統(tǒng)潛在的未知漏洞，對(duì)SCADA系統(tǒng)、DCS系統(tǒng)、PLC控制器等工業(yè)控制系統(tǒng)、設(shè)備進(jìn)行漏洞挖掘；漏洞掃描其存在的價(jià)值在于檢測(cè)工業(yè)控制系統(tǒng)的已知漏洞，可以支持對(duì)西門子、施耐德、GE等工控廠商的SCADA/HMI軟件、DCS系統(tǒng)、PLC控制器進(jìn)行掃描、識(shí)別，檢測(cè)工業(yè)控制系統(tǒng)存在漏洞并生成相應(yīng)的報(bào)告，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而在漏洞全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。漏洞挖掘VS漏洞掃描 品 漏洞挖掘產(chǎn)品 基于模糊測(cè)試技術(shù)，通過(guò)向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)控輸出中的異常來(lái)發(fā)現(xiàn)目標(biāo)系統(tǒng)的未知漏洞的一種安全檢測(cè)產(chǎn)品?；诼┒磾?shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算系統(tǒng)（主機(jī)、控制器等）的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的已知漏洞的一種安全檢測(cè)（滲透攻擊）產(chǎn)品?！倩谀：郎y(cè)試技術(shù)，通過(guò)向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)控輸出中的異常來(lái)發(fā)現(xiàn)目標(biāo)系統(tǒng)的未知漏洞的一種安全檢測(cè)產(chǎn)品。基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算系統(tǒng)（主機(jī)、控制器等）的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的已知漏洞的一種安全檢測(cè)（滲透攻擊）產(chǎn)品。安全檢測(cè)類-工控態(tài)勢(shì)感知2017年2月在“2017工業(yè)互聯(lián)網(wǎng)峰會(huì)”表示，工信部正在研究制定工業(yè)互聯(lián)網(wǎng)發(fā)展路徑，將進(jìn)一步形成我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展的頂層設(shè)計(jì)。這也更加促進(jìn)了“工控態(tài)勢(shì)感知”的發(fā)展。工控態(tài)勢(shì)感知功能特點(diǎn)在線探測(cè)支持全球工控設(shè)備、網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)設(shè)備、工控網(wǎng)絡(luò)協(xié)議及常規(guī)服務(wù)的探在線探測(cè)支持全球工控設(shè)備、網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)設(shè)備、工控網(wǎng)絡(luò)協(xié)議及常規(guī)服務(wù)的探測(cè)與定位工控系統(tǒng)漏洞感知實(shí)時(shí)發(fā)現(xiàn)全球互聯(lián)網(wǎng)上暴露的工業(yè)網(wǎng)絡(luò)漏洞數(shù)量，及其嚴(yán)重程度視化讀P對(duì)，非只讀操作進(jìn)行審計(jì)并狀圖、雷達(dá)圖等形式展現(xiàn)安全態(tài)勢(shì)感知協(xié)議審計(jì)斷工控協(xié)現(xiàn)操作對(duì)象值域?qū)徲?jì)服務(wù)、漏洞及威脅分布，智能分析工控系統(tǒng)資產(chǎn)，客觀評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)工控態(tài)勢(shì)感知體系架構(gòu)①工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)需要能夠包含企業(yè)網(wǎng)絡(luò)外部和內(nèi)部的安全感知，能夠適用于企業(yè)內(nèi)部網(wǎng)絡(luò)和企業(yè)外部互聯(lián)網(wǎng)絡(luò)兩種場(chǎng)景下使用②在內(nèi)部部署前端采集裝置，在后臺(tái)系統(tǒng)實(shí)現(xiàn)安全態(tài)勢(shì)的收集、分析、展示和預(yù)警③系統(tǒng)分工控態(tài)勢(shì)感知主動(dòng)探測(cè)子系統(tǒng)、工控態(tài)勢(shì)感知審計(jì)子系統(tǒng)、工控態(tài)勢(shì)感知蜜網(wǎng)子系統(tǒng)三個(gè)子系統(tǒng)進(jìn)行建設(shè)工控安全產(chǎn)品與傳統(tǒng)信息安全產(chǎn)品的差異工控安全特殊性系統(tǒng)穩(wěn)定性要求高：網(wǎng)絡(luò)安全造成誤報(bào)等同于攻擊系統(tǒng)運(yùn)行環(huán)境不同：工控系統(tǒng)運(yùn)行環(huán)境相對(duì)落后網(wǎng)絡(luò)結(jié)構(gòu)和行為相對(duì)穩(wěn)定：不能頻繁變動(dòng)調(diào)整安全防護(hù)要求高：無(wú)法通過(guò)補(bǔ)丁來(lái)解決安全問(wèn)題工控安全確保信息實(shí)時(shí)下發(fā)傳遞

可用性3

在不利條件下保證不出現(xiàn)信息泄露保護(hù)信息資產(chǎn)的完整性防范外部、內(nèi)部的網(wǎng)絡(luò)攻擊避免工控系統(tǒng)遭受有意無(wú)意的違規(guī)操作

2

2基本不考慮信息傳遞實(shí)時(shí)性2防范外部、內(nèi)部的網(wǎng)絡(luò)攻擊保護(hù)信息系統(tǒng)免受病毒等惡意代碼的侵襲

安全事件發(fā)生后能迅速定位找出問(wèn)題根源傳統(tǒng)安全防護(hù)手段區(qū)別工控安全工控安全傳統(tǒng)安全VS主動(dòng)防護(hù)VS白名單機(jī)制抵御已知未知病毒學(xué)習(xí)建立防護(hù)策略五元組+協(xié)議解析

被動(dòng)防御黑名單機(jī)制識(shí)別清除已知病毒預(yù)先設(shè)置防護(hù)策略五元組信、無(wú)線電通信、移動(dòng)通訊等通信協(xié)議復(fù)雜，包含很多專用通訊協(xié)議及私有協(xié)議備、現(xiàn)場(chǎng)設(shè)備種類繁多傳統(tǒng)安全信、無(wú)線電通信、移動(dòng)通訊等通信協(xié)議復(fù)雜，包含很多專用通訊協(xié)議及私有協(xié)議備、現(xiàn)場(chǎng)設(shè)備種類繁多傳統(tǒng)安全網(wǎng)絡(luò)相對(duì)簡(jiǎn)單，多為有線、無(wú)線標(biāo)準(zhǔn)通信協(xié)議為主工控安全數(shù)據(jù)傳輸區(qū)別工控安全

VS傳統(tǒng)安全運(yùn)行環(huán)境區(qū)別工控安全傳統(tǒng)安全工控安全傳統(tǒng)安全網(wǎng)絡(luò)相對(duì)隔離，不聯(lián)互聯(lián)網(wǎng)操作系統(tǒng)老舊，很少更新補(bǔ)丁基本不安裝殺毒軟件網(wǎng)絡(luò)相對(duì)隔離