煙草行業(yè)等保2.0工業(yè)安全建設思考

-落實等級保護規(guī)定，夯實工控安全基礎宋強l等保2.0工控安全要求l工控網絡安全解決方案l煙草行業(yè)工控安全建設思考工業(yè)安全成為國家之間網絡戰(zhàn)的主戰(zhàn)場2019年6月，《紐約時報》援引美國現任和前任安全事務官員的話稱，美國正在加大對俄羅斯電網的網絡攻擊，“自2012年以來，美國已將偵查探測程序植入俄羅斯的電網系統(tǒng)之中，但在過去一年中，這些行動的強度和規(guī)模都在加大，美國的行動目標已經從單純的警告考慮更多轉向為進攻性的考慮?！?019年3月7日，委內瑞拉全國23個州中的18個州電力供應中斷。停電給委內瑞拉帶來了重大損失，全國交通癱瘓，地鐵系統(tǒng)關閉，醫(yī)院手術中斷，通訊線路中斷，航班無法正常起降……3月9日上午，全國70%的電力供應本已恢復，但隨后電力系統(tǒng)再遭攻擊，導致再次發(fā)生大范圍停電。2019年2月21日，一名伊朗高級指揮官稱，伊朗曾經成功滲透進美國軍方指揮中心系統(tǒng)，并控制了7至8架正在敘利亞和伊拉克執(zhí)行飛行任務的美軍無人機。2019年6月，在伊朗擊落美國一架無人機后，美國決定將網絡戰(zhàn)作為打擊伊朗的首選項。機構政策文件政策說明全國人大2017.06l《中華人民共和國網絡安全法》第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服《關于深化“互聯網+先進制造業(yè)”發(fā)展工控制系統(tǒng)，如核設施、電力、天然氣、鐵路、城市軌道交通、民航、檢驗338號文的實踐效果，綜合評價工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-為全面落實國家安全戰(zhàn)略，提升工業(yè)企業(yè)工控安全防發(fā)展，加快我國工控安全保障體系建設，制定本行《工業(yè)互聯網發(fā)展行動計劃（2018-2020年）》《關鍵信息基礎設施安全保護條例（征求意見稿）》《網絡安全等級保護基本要求》控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求的網絡安全等級保護基本要求標準。。從合規(guī)到合法從合規(guī)到合法?云計算?移動互聯?物聯網?工控系統(tǒng)“等保2.0”《信息安全技術網絡安全等級保護基本要求》等保三級安全通用要求+工控安全擴展要求《信息安全技術網絡安全等級保護基本要求》安全物理環(huán)境安全物理環(huán)境安全通信網絡安全通信網絡邊界防護訪問控制入侵防范惡意代碼防范安可全信審驗邊界防護訪問控制入侵防范惡意代碼防范安可全信審驗計證禁止通用服務撥號使用控制無線使用控制安全區(qū)域邊界身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護控制設備安全系審統(tǒng)計身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護控制設備安全系審統(tǒng)計管管理理安集全中管管理控安全管理中心安全管理中心個人信息保護安全計算環(huán)境安全計算環(huán)境電子門禁系統(tǒng)室外設備防護電磁防護電磁防護電力供應電力供應防濕靜度電控制防水和防潮防水和防潮防雷擊防雷擊防盜竊防盜竊網通網通絡信架傳構輸單向隔離手段數據加密傳輸可信驗證可信驗證基本要求工業(yè)控制系統(tǒng)安全擴展要求工控安全擴展要求控制點與要求項安全物理環(huán)境室外控制設備防護2222安全通信網絡網絡架構2333通信傳輸0111安全區(qū)域邊界訪問控制1222撥號使用控制0123無線使用控制2244安全計算環(huán)境控制設備安全2255安全建設管理產品采購和使用0111外包軟件開發(fā)0111安全運維管理安全事件處置0111安全域隔離網絡架構a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域，區(qū)域間應采用單向的技術隔離手段；b)工業(yè)控制系統(tǒng)內部應根據業(yè)務特點劃分為不同的安全域，安全域之間應采用技術隔離手段；c)涉及實時控制和數據傳輸的工業(yè)控制系統(tǒng)，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離。訪問控制a)應在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的E-Mail_Web、Telnet、Rlogin、FTP等通用網絡服務；控制非法外聯無線使用控制b)應對所有參與無線通信的用戶（人員、軟件進程或者設備）進行授權以及執(zhí)行使用進行限制；安全功能上移8.5.4.1控制設備安全a)…如受條件限制控制設備無法實現上述要求，應由其上位控制或管理設備實現同等功能或通過管理手段控制；慎重更新補丁8.5.4.1控制設備安全b)應在經過充分測試評估后，在不影響系統(tǒng)安全穩(wěn)定運行的情況下對控制設備進行補丁更新、固件更新等工作；盡量關閉接口8.5.4.1控制設備安全c)應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等，確需保留的應通過相關的技術措施實施嚴格的監(jiān)控管理；l等保2.0工控安全要求l工控網絡安全解決方案l煙草行業(yè)工控安全建設思考資產查不清暗藏隱患病毒殺不完帶病運行資產查不清暗藏隱患病毒殺不完帶病運行補丁打不上漏洞百出補丁打不上漏洞百出?整體安全隱患不了解?系統(tǒng)老舊無補丁可打??硬件配置太低裝不上殺毒軟件?無法升級殺毒軟件病毒庫老舊?擔心誤殺工業(yè)軟件，干脆不裝工控網絡安全三大痛點–不了解有什么安全隱患工控網絡安全三大痛點–不了解有什么安全隱患傳統(tǒng)防火墻不適用工業(yè)控制網絡①工業(yè)現場環(huán)境相對比較惡劣（如高低溫、粉塵、潮濕、酸堿等要求專門的硬件設計，做到全密閉、無風扇，支持﹣40℃~70℃寬溫①特有的工業(yè)協議（OPC、S7、Modbus、DNP3等），以及存在較多私有協議②工控系統(tǒng)特有的安全漏洞，與IT系統(tǒng)應對機制不一樣①不允許頻繁升級②策略穩(wěn)妥實施，不允許現網調試試錯③訪問控制對時延要求更為敏感①平均無故障時間>10年，使用壽命15-20年②從IT“故障關閉”到OT“故障暢通”，處理的原則不同信息層/L4管理層/L3監(jiān)控層/L2控制層/L1設備層/L0{EmailWebOA工業(yè)安全監(jiān)測控制平臺（ISDC）操作員站工業(yè)防控制器/PLC卷包車間工業(yè)主機防護控制中心工業(yè)安全監(jiān)測控制平臺（ISDC）操作員站工業(yè)防控制器/PLC卷包車間打印機全網主機日志工藝MES全網主機日志歷史數據庫HMI工程師站操作員站控制器/PLC制絲車間制絲車間工業(yè)資產狀況資產數量不清楚工業(yè)資產狀況資產數量不清楚資產類型不清楚資產分布不清楚工業(yè)安全威脅風險可視化誰有隱患不知道誰被攻擊不知道攻擊后果不知道工業(yè)生產故障恐懼源于未知，看見才能安全主機防護：應用程序白名單&關卡式病毒攔截截入三種模式一鍵切換，保障生產連續(xù)性告警護截入三種模式一鍵切換，保障生產連續(xù)性告警護關U盤管控，防止非授權外設引入病毒注冊授權計日志審計，溯源攻擊主機和惡意程序日志審計，溯源攻擊主機和惡意程序御日志溯源?資產漏洞映射，開放端口，不安全協議?支持3大漏洞庫CVE，CNVD，CNNVD?覆蓋220+廠商,3300+條漏洞?各種工業(yè)漏洞利用行為?緩沖區(qū)溢出，拒絕服務攻擊?檢測端口掃描、口令探測等滲透行為?5000+條規(guī)則，持續(xù)更新?檢測病毒木馬，僵尸蠕蟲，及各種間諜軟件，及時告警提示?控制器組態(tài)下裝、上載，起動、停止、復位?PLC程序下裝、上載，文件寫入，固件升級?品牌型號西門子，施耐德，羅克韋爾，和利時?軟件系統(tǒng)Win2000，WinXP，Web站點?自學習業(yè)務行為，建立基線模型?深度解析流量，發(fā)現異常行為?設備之間通信模型相對固定?協議，內容，時間，頻次，流量?偏離基線意味著發(fā)生異常?覆蓋制絲、卷包、集控、能動?采集解析匯聚數據資源池?機器學習梳理優(yōu)化通訊模型?流量峰谷合規(guī)分析?數據上傳時間頻次審計?數據交互延遲判斷PLC健康度邊界防護：劃分安全區(qū)域，隔離控制?工業(yè)網絡環(huán)境，寬溫，無風扇，導軌/機架?工業(yè)控制協議?監(jiān)控網與控制網之間?生產線上位機與控制設備之間適用機房環(huán)境適用機房環(huán)境適用控制現場信息層/L4管理層/L3監(jiān)控層/L2控制層/L1設備層/L0{OAWebEmailOAWeb操作員站工業(yè)防控制器/PLC生產線操作員站工業(yè)防控制器/PLC生產線打印機工藝MES歷史數據庫HMI工程師站操作員站控制器/PLC生產線生產線l等保2.0工控安全要求l工控網絡安全解決方案l煙草行業(yè)工控安全建設思考思考一：迎接技術變革，必先夯實基礎卷煙智能工廠邊界瓦解，設備聯網，工業(yè)上云，數據流動，老問題沒有消失，又迎來新挑戰(zhàn)數據的開放、共享、流動，增加了泄密風險數據分散在不同的業(yè)務應用中并持續(xù)流動，流動加劇了大數據的風險------""工業(yè)互聯網安全建設，基礎不牢，地動山搖思考二：工控安全建設，重在落實執(zhí)行近幾年與合作伙伴一起應急服務過上百起工業(yè)網絡攻擊事件，包括多家煙草企業(yè)，多數發(fā)生工業(yè)主機藍屏，反復重啟，勒索加密，甚至生產停工某煙廠制絲車間，集控服務器反復藍屏重啟，停產某煙廠卷包車間，U盤導致數采主機中毒，批次無法跟蹤某煙廠數據中心，錯誤配置導致直連互聯網，遭勒索攻擊2018年9月，某大型智能制造企業(yè)遭勒索病毒攻擊，數十臺工業(yè)主機藍屏重啟，多條生產線停產，損失嚴重。工2018年9月，某大型智能制造企業(yè)遭勒索病毒攻擊，數十臺工業(yè)主機藍屏重啟，多條生產線停產，損失嚴重。工業(yè)安全團隊提供緊急安服響應，幫助快速恢復生產。通過對現場網絡安全風險評估，發(fā)現多個安全漏洞。系統(tǒng)配置存在漏洞OA服務器CentOS任意命令執(zhí)行漏洞生產管理服務器Win764位“永恒之藍”漏洞上位機控制PLCWinXPSP3，組態(tài)王，雙網卡配置遠程堆溢出漏洞控制器西門子300拒絕服務漏洞信息層/L4管理層/L3監(jiān)控層/L2控制層/L1設備層/L0MES上位機馬達生產線生產線1.攻陷IMO服務器攻擊者利用辦公網IMO1.攻陷IMO服務器攻擊者利用辦公網IMO服務器的任意執(zhí)行漏洞，發(fā)起攻擊獲得服務器EmailWebIMO攻擊者信息層/L4攻擊者打印機MES打印機MES管理管理層/L3監(jiān)控層/L2控制層/L1設備層/L02.攻陷MES服務器搜索內網發(fā)現MES主機，利用MES存在的“永恒之藍”漏洞，獲取權限；將勒索病毒樣本上傳至MES主機運行，病毒在內網中蔓延傳播。上位機上位機馬達3、攻陷上位機搜索內網發(fā)現雙網卡配置的XPSP3、攻陷上位機搜索內網發(fā)現雙網卡配置的XPSP3上位機，利用上位機組態(tài)軟件的遠程堆溢出漏洞，獲取上位機權限。生產線4、攻擊