2022iSOC在工控網(wǎng)絡(luò)中的應(yīng)用

iSOC工控網(wǎng)絡(luò)的應(yīng)用一次安全實踐目錄/CONTENTS01

工業(yè)生產(chǎn)網(wǎng)絡(luò)安全現(xiàn)狀分析02

基于iSOC的生產(chǎn)安全解決方案03

iSOC的實施案例分享01工業(yè)生產(chǎn)網(wǎng)絡(luò)安全現(xiàn)狀分析01生產(chǎn)安全問題 安全建設(shè)問題 等保2.0安全建設(shè)要求生產(chǎn)安全問題分析針對工業(yè)生產(chǎn)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題會導(dǎo)致生產(chǎn)安全問題。生產(chǎn)控制大區(qū)的計算節(jié)點缺少安全防護措施。區(qū)和網(wǎng)絡(luò)邊界防護措施。4生產(chǎn)控制大區(qū)的通信網(wǎng)絡(luò)安全審計措施。4安全建設(shè)問題分析近年來工業(yè)企業(yè)對工控網(wǎng)絡(luò)安全建設(shè)越來越重視，陸續(xù)部署了不少安全設(shè)備，這些安全設(shè)備分散在各地、分別管理，導(dǎo)致安全信息互不相通、安全策略無法聯(lián)動、安全告警和日志處理效率低等問題。安全設(shè)備相互孤立，安全策略缺乏聯(lián)動。安全告警和日志分散存儲，缺乏整體的統(tǒng)計分析。安全建設(shè)的收益沒有可視化、可量化的展示。集團高層無法了解整個集團層面的工控安全態(tài)勢。5做了安全建設(shè)，等到檢查時仍然發(fā)現(xiàn)各類安全建設(shè)缺陷。5等保2.0安全建設(shè)要求等保2.0對企業(yè)安全建設(shè)的技術(shù)部分的要求，主要集中在：物理和環(huán)境安全網(wǎng)絡(luò)和通信安全，主要針對網(wǎng)絡(luò)邊界和通信網(wǎng)絡(luò)的安全，等保2.0加了安全集中管控的要求，建設(shè)集中安全管理系統(tǒng)成為必要。設(shè)備和計算安全，主要針對計算環(huán)境的安全，等保2.0提出了采用證機制防范惡意代碼的控制要求。6應(yīng)用和數(shù)據(jù)安全602基于iSOC的生產(chǎn)安全解決方案02iSOC的系統(tǒng)架構(gòu) iSOC的部署架構(gòu) 滿足等保三級88我們對集中監(jiān)控系統(tǒng)的理解 集中監(jiān)控系統(tǒng)的建設(shè)理念借鑒“一個中心、三重防護”的縱深防御模型。采用“一個中心、三重發(fā)現(xiàn)”的建設(shè)理念，其中一個中心是指生產(chǎn)安全集中監(jiān)測平臺（iSOC），三重發(fā)現(xiàn)是指發(fā)現(xiàn)工控網(wǎng)絡(luò)區(qū)域邊界、通信網(wǎng)絡(luò)、計算環(huán)境安全問題的能力。集團平臺中心通過報警防護反饋給廠側(cè)，對廠側(cè)安全防護進行監(jiān)督。廠側(cè)區(qū)域集團中心控制反饋廠側(cè)區(qū)域集團中心區(qū)域邊界防護通信網(wǎng)絡(luò)審計統(tǒng)一安全管理9智能安全分析9

安全問題發(fā)現(xiàn)區(qū)域邊界通區(qū)域邊界通信網(wǎng)絡(luò)計算環(huán)境集團中心廠側(cè)生產(chǎn)控制大區(qū)中心探針探針探針全全預(yù)警安全可視風險評估安態(tài)勢感知脆弱性管理故障信息顯示安全知識管理資產(chǎn)管理策略檢測分析分析策略檢測分析分析其他SOC平臺事件 溯源 分析流量定義……應(yīng)用對接數(shù)據(jù)格式化模式條件數(shù)據(jù)歸并數(shù)據(jù)加密分組過濾抽樣分析對外接口工控網(wǎng)絡(luò)其 離他 線協(xié) 文議 件邊界防護設(shè)備通信網(wǎng)絡(luò)審計主機加固軟件其他網(wǎng)絡(luò)設(shè)備其他安全設(shè)備流量日志告警安全對象應(yīng)用服務(wù)的安全設(shè)備統(tǒng)一下發(fā)安全策略。數(shù)據(jù)數(shù)據(jù)傳輸數(shù)據(jù)處理10數(shù)據(jù)采集HTTP/XMLODBCSYSLOGSNMP可對接廠側(cè)SOC10數(shù)據(jù)采集HTTP/XMLODBCSYSLOGSNMPiSOC部署整體架構(gòu)集團辦計算機集團辦計算機辦計算機 應(yīng)服務(wù)器管理子分公司集中監(jiān)視服務(wù)器區(qū)單向隔離網(wǎng)閘服器 性計算務(wù)器 實數(shù)據(jù)庫控制區(qū)接口機接口機操作員站工程師站操作員站工程師站控制區(qū)PLC控制機組PLC控制機組Ⅲ/ⅣⅡ網(wǎng)絡(luò)通信探針計算環(huán)境掃描措施集中監(jiān)視平臺集中監(jiān)視數(shù)據(jù)服務(wù)器 Ⅰ Ⅰ 服務(wù)器傳輸子分公司監(jiān)視服務(wù)器向集團監(jiān)視平臺傳輸

部署探針：完成區(qū)域邊界和網(wǎng)絡(luò)通信旁路監(jiān)測審計，主機信息通過輕接觸主動掃描的方式獲取。采集數(shù)據(jù)流向：廠側(cè)監(jiān)測服務(wù)器置子公司匯聚服務(wù)器集團監(jiān)測平臺。11集團控制反饋：根據(jù)平臺發(fā)現(xiàn)的安全問題，對廠側(cè)下發(fā)控制反饋，提出整改要求。111212iSOC安全管理部署在生產(chǎn)控制大區(qū)的集中安全監(jiān)控平臺，發(fā)揮著安全管理中心的作用，滿足等保三級以上系統(tǒng)建設(shè)要求。1313等保三級以上系統(tǒng)建設(shè)要求1414iSOC可信用戶身份驗證安全管理中心證書服務(wù)2）證書分發(fā)1）證書生成3）認證U盤制作2）PIN碼生成安全管理中心證書服務(wù)2）證書分發(fā)1）證書生成3）認證U盤制作2）PIN碼生成1）證書獲取CA證書獲取雙因子認證1）系統(tǒng)用戶名2）系統(tǒng)密碼3）Key4）PIN碼（PIN由CA證書生成）用戶認證用戶認證用戶 計算節(jié)點iSOC可信互聯(lián)訪問控制安全管理中心計算節(jié)點間通信，IPv4增加HASH校驗IPv4Options字段+增加HASH校驗IPv4Options字段+增加HASH校驗（40字節(jié)預(yù)留）

安全管理中心配置，授權(quán)可信節(jié)點之間的可信訪問，經(jīng)過認證后才可建立互聯(lián)隧道。SSL、IPSec、IPv4+HASH等。15IPv4Options字段+增加HASH校驗（40字節(jié)預(yù)留）此處采用IPv4HASH，HASH是15IPv4Options字段+增加HASH校驗（40字節(jié)預(yù)留）1616iSOC監(jiān)測內(nèi)容饋給廠側(cè)，對廠側(cè)安全防護進行監(jiān)督。集團平臺中心通過報警防護反饋給廠側(cè)，對廠側(cè)安全防護進行監(jiān)督。1717iSOC區(qū)域邊界安全監(jiān)測1818iSOC合規(guī)監(jiān)測針對正向隔離網(wǎng)閘的合規(guī)監(jiān)測，探針旁路在工業(yè)生產(chǎn)區(qū)和管理大區(qū)間的交換設(shè)備，如在指向0XFF時，表示ⅡⅢ區(qū)之間有單向隔離網(wǎng)閘，如未得到特定的報文，則說明未放置單向隔離裝置或未開啟相應(yīng)策略。1919iSOC合規(guī)監(jiān)測針對橫向隔離裝置的合規(guī)監(jiān)測，探針主動向隔離設(shè)備發(fā)包，根據(jù)反饋數(shù)據(jù)包指紋信息判斷是否是一臺防火墻或其他橫向隔離設(shè)備。針對縱向加密裝置的合規(guī)監(jiān)測，提供縱向加密裝置IP，可通過探針判斷其存活狀態(tài)。iSOC智能化分析傳統(tǒng)的SOC類產(chǎn)品并不適用于工控安全領(lǐng)域。傳統(tǒng)的SOC勢分析效果。對比項iSOCSOC網(wǎng)絡(luò)運行監(jiān)控工控網(wǎng)絡(luò)拓撲自動對比項iSOCSOC網(wǎng)絡(luò)運行監(jiān)控工控網(wǎng)絡(luò)拓撲自動發(fā)現(xiàn)（操作繁瑣）事件及流量管理通過機器學(xué)習(xí)，建立工控行業(yè)白名單基準庫，產(chǎn)生安全事件依賴于黑名單庫的更新（工控網(wǎng)無法及時更新）脆弱性管理通過漏洞無損掃描技術(shù)發(fā)現(xiàn)設(shè)備脆弱性和漏洞通過漏洞驗證技術(shù)發(fā)現(xiàn)設(shè)備脆弱性和漏洞（漏洞驗證技術(shù)對工業(yè)生產(chǎn)有危害）態(tài)勢分析自動計算工控安全健康指數(shù)可量化借助數(shù)據(jù)挖掘技術(shù)（無法體現(xiàn)工控行業(yè)特色）iSOC的智能化20、智能態(tài)勢分析等。20iSOC工控安全健康指數(shù)方法一：H=（R1*R2*R3*……*RN）*100其中H為健康指數(shù)，百分制；R為風險系數(shù)（1>R>0），計算要素風險系數(shù)計算要素風險系數(shù)工控設(shè)備存在漏洞0.95未采用專用單向隔離網(wǎng)閘0.9未采用縱向加密裝置0.9未采用橫向隔離設(shè)備0.95基于工控協(xié)議的攻擊0.9非法外聯(lián)0.9非法內(nèi)聯(lián)0.9非法Web服務(wù)0.95非法程序啟動0.95主機非法內(nèi)外聯(lián)0.9

方法二：其中H為健康指數(shù)，百分制；500為企業(yè)工控安全起始分數(shù)，8673計算要素固定分數(shù)8673計算要素固定分數(shù)工控設(shè)備存在漏洞40未采用專用單向隔離網(wǎng)閘70未采用縱向加密裝置30未采用橫向隔離設(shè)備30基于工控協(xié)議的攻擊70非法外聯(lián)70非法內(nèi)聯(lián)70非法Web服務(wù)20非法程序啟動30主機非法內(nèi)外聯(lián)702157215703iSOC的實施案例分享03電力行業(yè)成功實施iSOC在電力行業(yè)的應(yīng)用 及合規(guī)監(jiān)測。在生產(chǎn)控制大區(qū)與電網(wǎng)的邊界針獲取此處的異常流量。放置探針獲取異常流量及合規(guī)監(jiān)測。在生產(chǎn)控制大區(qū)的23探針232424資產(chǎn)和拓撲的自動發(fā)現(xiàn)生產(chǎn)控制大區(qū)的設(shè)備資產(chǎn)自動識別，包括：設(shè)備類型、設(shè)備廠商、設(shè)備型號、固件版本等。生產(chǎn)控制大區(qū)的網(wǎng)絡(luò)拓撲自動繪制，包括