钢铁工控系统安全解决方案

钢铁行业工控系统安全解决方案北京匡恩网络科技有限责任公司2016年3月

目录一安全方案设计 31.1建设目的 31.2安全现状 51.3建设方案 7二方案功能介绍 112.1IAD智能保护平台 112.2监测审计平台 132.3安全监管平台 142.4USB防护卫士 162.5工控卫士 17三附件 203.1产品清单 203.2匡恩网络介绍 203.3公司荣誉 22

一安全方案设计1.1建设目的2010年“震网”病毒事件为世人敲响了工业控制系统网络安全的警钟。短短几年内，全球范围内针对工控系统攻击事件的数量大幅提升，2013年，美国的ICS-CERT（工业控制系统应急响应小组）就响应了全球范围内共2000多件工控安全事件。尤其在2010年之后，随着通讯协议、通用硬件、通用软件在工业控制系统的应用，对过程控制和数据采集监控系统的攻击增长了近10倍。目前此类事件已频繁发生在电力、水利、交通、核能、制造业等领域，给相关企业造成重大的经济损失和震撼的社会影响，甚至威胁国家的战略安全。面对如此安全形式，工信部于2011年10月下发了协〔2011〕451号文“关于加强工业控制系统信息安全管理的通知”，要求各级政府和国有大型企业切实加强工业控制系统安全管理。2013年，工信部信〔2013〕317号文工业化和信息化深度融合专项行动计划又提出“落实451号文，加强重点领域工业控制系统的信息安全检查、监管和测评，实施安全风险和漏洞通报制度”。在网络互连的大背景下，工业控制系统的互连已经成为不可避免的趋势。互连一方面可以提高生产力，提升创新能力，减少工业能源及资源消耗，助力产业模式转型升级，另一方面也会因为互联而诱发一系列网络安全问题，工业控制系统一直面临着来自内部和外部的各种恶意病毒的攻击。目前，工业控制系统遭受的网络攻击已经成为我们所面临的最严重的国家安全挑战之一。工业控制系统设计之初是为了完成各种实时控制功能，并没有考虑到安全防护方面的问题。现在他们都暴露在互联网上，这给他们所控制的比如像关键基础设施，重要系统等都带来了众多的风险和隐患。近几年，工业控制系统的网络安全事件频发，由于工业控制系统安全涉及国计民生，一旦遭到破坏，危害将十分严重。例如，澳大利亚马卢奇污水处理厂非法入侵事件，造成了100万公升的污水未经处理就直接经引水渠排入了自然水系，造成了严重的环境污染。德国境内的钢铁厂在去年底遭遇一次网络黑客攻击，恶意软件攻击了工厂的钢铁熔炉控制系统，造成了钢铁熔炉控制系统停机24小时，据测算，每一小时造成的损失高达630万美元。震网病毒的攻击致使伊朗布什尔核电站1/5的离心机报废，放射性物质泄露，危害绝不亚于切尔诺贝利核电站的事故，导致了伊朗的战略核计划倒退了两年。中东能源行业遭遇“Flame”病毒攻击，导致大量的敏感信息泄露，为爆发大规模的攻击埋下隐患。然而，现实情况是工业控制系统滞后的系统运行环境以及难以实施的更新导致了其面临较之传统信息系统更为严峻的网络安全问题。而且，工业控制网络与传统办公信息网有着本质上的区别，其通信协议为专有的工业控制协议，对系统及网络环境的稳定性要求也极高。因此，传统的信息安全防护设备，如传统的防火墙、病毒查杀、漏洞扫描、隔离网关等在进行工业控制网络安全防护时起不到实质的作用，甚至会影响工控系统正常运行。工业控制系统不同于传统信息系统，其设计使用寿命一般为15至30年。对工业控制系统而言，从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长的生命周期中，各个阶段都面临着不同的网络安全问题。要真正做到工业控制系统网络安全，必须对工业控制系统网络安全做一个适应工控系统特性的全生命周期的规划。1.2安全现状为了更好地应对新的市场挑战，各钢铁企业都在积极推进信息化建设，在生产过程中很早就采用计算机实现生产过程自动化，并逐步建成生产、管理、营销等不同类型的信息系统，企业信息化的功能框架，即PCS、MES和ERP系统投入了运行，取得了良好的成果。对于强化集团管控水平、规范内部管理、提高运作效率、节能减排、增产降耗发挥了巨大的作用。但与此同时，信息安全防护相对滞后，给企业信息化建设带来一些安全隐患。（1）工业控制系统信息安全管理体系不完善，信息安全职责不明确。安全意识薄弱，工控系统的安全管理建设和安全体系建设尚处于初级建设阶段。需明确负责信息安全决策、管理和执行的监管机构，设置应急保障队伍，负责整个公司的信息安全保障工作。制定系统建设、运维等方面的信息安全管理制度，颁布企业内部的信息安全标准。（2）边界缺乏安全防护手段。大部分钢铁企业生产管理网部署有PCS、MES、ERP系统，这些系统和生产控制系统之间相连，但系统之间并未部署专业的工业控制系统安全隔离设备。无法有效组织来自企业管理网的针对工业控制系统的病毒、木马、恶意程序等安全威胁。（3）需加强不同系统之间的访问控制和入侵防范。整个网络均采用同一网段的以太网通讯连接或者各个子系统、子网络间缺乏必要的访问控制条件。任何连接到网络内的PC或操作站都能访问网络中所有的PLC，对PLC进行操作甚至破坏PLC的组态程序，直接造成PLC的控制单元失灵或是现场设备停机或损毁；一个子系统感染病毒或入侵后，非常容易扩散到其他系统。也对业务操作带来安全隐患。（4）缺乏操作站和服务器的安全配置和病毒防范。工业控制系统操作站、服务器上线后基本不会对操作系统进行升级，操作站和服务器一般不安装杀毒软件或安装传统的针对办公网络的杀毒软件等。这样会导致操作站和服务器暴露在风险中。系统自身的安全策略未启用或配置薄弱。防病毒软件的安装不全面，即使安装后也不及时更新防恶意代码软件版本和恶意代码库。（5）网络安全审计技术不完备。目前工控系统采用的网络设备、服务器、操作站等系统均采用常见的华为、思科及熟知的Unix及Windows等系统，这些系统存在大量的漏洞，很容易被利用，虽然有些系统不与外网相连，但内部系统及第三方系统的调用或通过U盘等都可能导致漏洞被利用。因此需要网络安全审计技术，出现信息安全故障后有据可查，可帮助迅速处理事件。（6）缺乏信息安全监控技术.无法对网络安全事故进行预警和分析，网络工程师将无法以最快的速度判断问题所在，也就无法迅速准确的做出防护和修复措施。（7）存在使用移动存储介质不规范问题，易引入病毒以及黑客攻击程序。在工控系统运维和使用过程中，存在随意使用U盘、光盘、移动硬盘等移动存储介质现象，有可能传染病毒、木马等威胁进生产系统。1.3建设方案典型钢铁厂网络拓扑图如下：垂直划分为互联网层、办公网层、监控层、控制层及现场层（仪表）；水平划分不同功能区域（烧结、炼铁、炼钢、轧钢等）；根据工业控制系统信息安全防护思路，结合工控系统特点及业务关联情况，对钢铁行业自动化信息网络安全防护体系设计如下：1、 工控网络系统边界防护在监控网到办公网络，控制网（烧结厂、炼铁厂、炼钢厂、轧钢厂等）到监控网边界处，使用专业的工控网络边界防护系统来实现各工控网络系统到办公网络及各工控网络子系统间的隔离与访问控制。边界防护系统能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口（对应请求的服务类型）、时间、用户名等信息执行访问控制规则。能够识别大多数主流工控协议，做到协议深层识别，明确区分正常流量和恶意流量。可以使正常业务数据顺利通过，其他非法访问、恶意流量均被禁止。2、 工控网络系统监测审计在监控网和控制网（烧结厂、炼铁厂、炼钢厂、轧钢厂等）边界交换机处旁路部署监测审计系统来监测和审计工业控制层内部的业务流量。可有效检测网络攻击事件：采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效检测各种攻击和欺骗。能够完整记录多种协议的内容。记录内容包括，攻击源IP、攻击类型、攻击目标、攻击时间等信息，同时对重要安全事件提供多种报警机制。3、 工控网络系统统一安全管理工控网络系统需要统一管理系统来统一管理、监控、保护工业控制网络安全的相关产品。统一管理系统可与工控网络系统中的的其它安全产品共同组成的一套保护、检测系统。统一管理系统负责统一控制管理、统一部署安全规则、统计安全信息、安全事件，能对工业控制网络中的安全威胁进行分析。提供包括行为审计、事件追踪、威胁分析、日志管理、设备管理、安全性分区等多项功能。4、 工控网络系统主机防护主机防护系统能够防护工控网络系统中的各种服务器及HMI等终端的主机安全。能够监控主机进程状态、网络端口状态、USB端口状态。以白名单的技术方式全方位保护主机资源使用，切断病毒和木马的破坏路径。同时监控USB移动设备的文件操作，通过严密的设备授权管理防止机密文件的非法拷贝。5、 USB防护系统USB防护系统能加强对工控网络系统中U盘的授权使用，能够防护新型的U盘病毒，同企业管理安全规章制度协作，共同规范工控网络中U盘的安全使用。可以对U盘的认证、权限设置以及行为进行记录，实现对自动化信息系统、安防监控系统网络中U盘的行为管理。可通过对内部U盘的权限设置，只允许高级权限的U盘复制主机数据，禁止内网数据的随意传递，防止了核心数据的泄露。另外具备预防自动化信息系统网络中病毒和高级USB攻击的能力，如：死亡蓝屏攻击、USB炸弹、BadUSB攻击、LNK攻击等。

二方案功能介绍2.1IAD智能保护平台匡恩网络IAD智能保护平台可通过多种安全策略，结合自动化信息系统网络安全漏洞库，对APT攻击、异常控制行为和非法数据包进行告警和阻断，并对各类安全威胁实施监控，快速直观地了解自动化信息系统、安防监控系统等网络安全状况，实现自动化信息系统全网的安全防护。产品硬件采用工业级芯片、IP40防护、无风扇、电源冗余、重负荷铝合金全封闭设计，使产品既达到了工业级的可靠性和稳定性要求，又具备了架构上的高扩展型和兼容性。工控网络边界防护系统可以分布部署到自动化信息系统、安防监控系统网络中，通过统一管理系统统一管理，全方位保护工业控制网络安全，节约管理成本。工控网络边界防护系统自主、可控产品，满足实际应用需求，具有BYPASS端口，传输速率支持10/100/1000Mbps自适应，支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等众多工业协议深度检测并进行保护。产品功能：具备网络拓扑管理功能；具备集成工控专业漏洞库，内置漏洞库达到800条以上，并且支持升级；具备专业协议深度解析，支持工控协议包括Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV等，并可对协议数据包深度解析；支持OPC断线重连功能；产品支持分布式部署；产品自身采用硬件加固，软件加固，数据加密，杜绝泄密源，自身认证授权功能；支持黑名单和白名单防御机制；具有人工智能学习功能；具有系统自身安全管理功能；可由独立专用硬件的统一安全管理系统对边界防护系统进行分布式管理。产品硬件：产品硬件应采用工业级芯片、IP40防护、无风扇、电源冗余、重负荷铝合金全封闭设计,DIN工业现场导轨安装方式；工作温度范围是-40℃至85℃；双电源输入，输入电源电压为12/24VDC(9~36VDC)，并且电源支持过载保护、反接保护、冗余保护；支持BYPASS功能，BYPASS端口为RJ-45类型，端口速率支持10/100/1000Mbps自适应；具有1个USB2.0端口，用于系统的升级和配置的备份，方便维护；具有MGMT配置管理端口和CONSOLE配置端口；采用低功耗处理器，满足处理大数据量能力，最大功耗小于15W；平均无故障时间MTBF(小时)要求高达270,000h；Tag点处理量可达50000-100000点；在线保护时时延必须<100us。2.2监测审计平台匡恩网络监测审计平台可通过特定的安全策略，快速识别出工控网络内部存在的非法操作、异常事件、外部攻击等并能够实时告警。监测审计系统采用旁路监听方式进行部署，方便各种结构的网络部署，在旁路部署方式时实现安全监测的同时，完全不影响现有系统的生产运行，可广泛应用于各类网络应用环境。产品功能：采用旁路接入方式，对工控网络进行实时安全监测审计；黑名单规则、白名单规则可以统一调入到规则库下发部署到监测审计系统，设备可自动调整下发规则及策略之间冲突，简化配置，实现一键式部署；基于人工智能学习引擎技术，自动学习数据行为并提取特征，自动生成适合当前工控网络环境的白名单安全规则；可视化工控网络拓扑图：提供直观清晰的网络拓扑图并集成网络告警信息，是用户在了解网络拓扑的同时获知网络告警分布，轻松掌握网络状况；实时网络监测：对工控网络数据、工控设备间的网络流量监测进行实时监测、实时告警，帮助用户实时掌握工业控制网络运行状况；网络安全审计：对网络中存在的所有活动提供行为审计、内容审计，生成完整记录便于事件追溯；工控异常行为审计：基于工业协议的深度包解析白名单和黑名单的工控异常行为审计，协助用户发现网络中存在的违规下发的控制操作；未知设备接入监测：对工业控制网内未知的设备接入进行实时告警，迅速发现网络中存在的非法接入；工业控制设备异常连接告警：对拓扑图中的工业控制设备实时进行连接状态检测，向用户提出告警，帮助用户定位工业控制设备网络异常；防御策略建议：根据监测结果，提供防御策略建议，帮助用户构建适用的专属工业控制网络安全防御体系；工控时钟同步：和工业现场提供的时钟进行同步，保障审计事件时间和工业现场控制设备时序的一致性；支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS，S7，Ethernet/IP，GOOSE，SV等众多工业协议深度监测审计分析；采用自主研发软件系统平台。产品硬件：采用重负荷铝合金全封闭机身设计；采用了工业级芯片、无风扇、电源冗余设计，达到IP40的防护等级；支持工作宽温-40℃~+85℃；达到三防（防潮湿、防盐雾、防霉菌），抗电磁干扰要求等；网络端口为RJ45端口，传输速率支持10/100/1000Mbps自适应。2.3安全监管平台自动化信息系统网络中需要一套统一管理系统来统一管理、监控、保护工业控制网络安全产品。匡恩网络安全监管平台可与工控网络中的其它安全产品（IAD智能保护平台、监测审计平台等）共同组成的一套保护、检测系统。统一管理系统负责统一控制管理、统一部署安全规则、统计安全信息、安全事件，能对自动化信息系统网络中的安全威胁进行分析。提供包括行为审计、事件追踪、威胁分析、日志管理、设备管理、安全性分区等多项功能。产品功能采用高性能硬件；整合工业控制网络安全漏洞库，并能集成第三方管理分析工具插件；安全终端管理：可对边界防护系统、检测审计系统等安全终端进行统一控制配置、管理、部署安全规则，监测通信流量与安全事件；源头事件追踪：可对边界防护系统、检测审计系统等安全终端所产生的安全事件和系统事件进行行为关联性追踪，找到引起当前结果事件的源头事件；基准行为审计：可建立自动化信息系统网络的日常行为基准，对当前网络的异常行为做实时动态的行为审计，可发现内部误操作，内部攻击等；网络拓扑管理：可对自动化信息系统中的网络拓扑进行构建和提供管理工具，提供资产信息展示功能，同时关联多种安全分析工具；系统入侵检测：对自动化信息系统网络的当前和历史行为与事件进行工业控制安全入侵分析、检测与发现，提供防护、修护策略。产品参数采用双存储方式，系统和数据分盘存储；采用RAID冗余，防止数据由于存储损坏丢失；采用STN显示屏显示设备状态、参数等；支持过载保护、反接保护、冗余保护；平均无故障时间200000小时；支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等协议。2.4USB防护卫士匡恩UBO系列产品是专门为实现USB的全面防护而设计，满足工控、军工、石油石化、电力等系统内涉密计算机对USB设备安全防护的需求。UBO能够提供内网USB管理，支持对U盘的认证、权限设置以及行为记录，从而实现对内网U盘的行为管理。通过认证机制，区分内部安全U盘与外部U盘，使内网U盘的使用行为更规范；支持对内部U盘的权限设置，只允许高级权限的U盘复制主机数据，禁止内网数据的随意传递，防止了核心数据的泄露。产品采用纯硬件设计，无需在内网主机安装软件，避免传统防护产品软件对内网工程软件的影响。UBO在提供内网USB设备管理的同时，还具备预防内网病毒和高级USB攻击的能力。传统的USB防护设备只能够防护部分已知的病毒和攻击，仍停留在用户数据层面的防护，而新兴的USB病毒及攻击已可以从计算机的硬件、操作系统、应用程序等多层面进行攻击，使得USB安全产品的防护作用越来越微弱。UBO具备硬件、操作系统、应用程序、系统数据等多层防护手段，可全面防护USB病毒和攻击。UBO采用三层的立体防护，彻底消除了USB使用中的安全威胁：通过硬件防护技术有效拦截死亡蓝屏攻击、USB炸弹、BadUSB攻击、LNK攻击等USB高级攻击；具备先进的文件过滤技术，可根据用户系统特点及相应配置，过滤所有可疑文件，切断病毒传播途径；支持单向拷贝技术，防止数据泄露事故。UBO依托匡恩网络的技术优势，充分研究、吸收工控网络安全攻防技术的前沿成果，极具技术前瞻性,是目前国内对USB安全防护最全面、最可靠的产品。产品图片产品功能纯硬件使用方式，涉密主机无需安装软件，避免系统软件对工控系统软件的影响；支持USB设备的授权、管理功能，满足工控领域对USB设备行为管理的需求；支持U盘身份验证，拒绝非认证U盘的接入；硬件防拔除设计，杜绝设备被人为移除的可能性；适合各种操作系统，满足各类数据存储需求；具有详细的日志记录，记录不可删除、不可篡改，追溯性强；产品技术领先，可有效预防死亡蓝屏、USB炸弹、BadUSB、LNK攻击、等高级USB攻击，技术水平远远领先于同类产品，具备国内最全的USB漏洞库。2.5工控卫士匡恩网络工控卫士是一款软件产品，能对自动化信息系统网络中的上位机与工控服务器全面的安全防护，能够监控工控主机的进程状态、网络端口状态、USB端口状态，以白名单的技术方式，全方位地保护主机的资源使用。根据白名单的配置，主机防护系统禁止非法进程的运行，禁止非法网络端口的打开与服务，禁止非法USB设备的接入，从而切断病毒和木马的传播与破坏路径。自动化信息主机防护系统提供严格的USB存储设备管理。U盘、USB硬盘等存储设备在接入工控主机使用前，必须先经过使用授权。授权级别包括：读写、只读、只写三种权限。未经授权的USB存储设备不能使用，经过授权的设备，也不能进行超越其权限的操作。通过授权管理，主机防护系统能够有效防止文件泄密。同时，能审计USB存储设备的文件操作行为，为事后追责提供依据。工控网络主机防护系统需具有技术前瞻性，对Havex、沙虫等最新工控病毒、BadUSB等最新攻击方法具有防护手段。进程管理：可禁止白名单以外的非法进程运行，并产生安全事件；记录非法进程的运行企图，采取“暂停-检查-启动”三步过程，任何进程在启动前，都必须暂停下来接受检查；能够发现隐藏的病毒进程，禁止其运行；能够列出进程句柄，并能发现隐藏的DLL；通过检查程序的证书、校验值，来确认程序的完整性，从而阻止被病毒感染、篡改的程序运行。网络管理：禁止打开白名单以外的非法端口，并产生安全事件，记录非法端口的打开企图；能够控制其网络流量，避免网络拥塞；能发现使用PCAP发包方式隐藏起来的网络通信；提供QoS管理，当网络流量过高时，能通过限速来降低流量。USB管理：禁止白名单以外的非法USB设备连接，并产生安全事件，记录非法USB设备的连接企图，提供端口级保护；提供内核态PNP监听；支持复合型USB设备识别；提供USB存储设备的多种操作权限授予：读写、只读、禁止使用；提供USB存储设备的操作记录，此记录不可删除、不可篡改。白名单功能：提供主机扫描功能，快速建立白名单，提供白名单的导入导出功能，快速复制白名单，提高部署速度；需要运行新的程序、添加新的网络服务和USB设备时，可以很方便地将这些新的设置追加到白名单中。安全事件管理：探测到非法进程、非法网络端口、非法USB设备时，会产生安全事件，提醒用户；提供安全事件的记录，此记录不可删除、不可篡改。

三附件3.1产品清单产品名称IAD智能防护（台）检测审计（台）工控卫士（套）USB防护卫士（台）安全监管平台（台）总计6120+20+1注：IAD智能保护平台及检测审计平台部署数量依据现场环境决定；工控卫士及USB防护卫士需根据工控系统中服务器及终端设备数量配置。3.2匡恩网络介绍匡恩网络是一家致力于工业控制网络安全的创新高科技公司。公司根据客户实际需求，提供与工控网络安全相关的整体解决方案。公司团队由工控网络安全资深技术专家、高素质开发人才和优秀管理团队组成，在相关领域有着丰富的经验与实践。公司产品在核心技术上拥有对立自主地知识产权。我们通过团队卓越的创新设计和研发能力致力于帮助客户减少工控网络安全隐患，提高系统整体稳定性。我们秉承着新科技、严标准、高质量的宗旨，为匡恩客户带来安全、可靠、完善的工业控制网络安全产品和服务，同时与生产商、运营商、科研机构等开展广泛深入的合作，实现共赢。匡恩网络秉承以下三个方针：专注匡恩专注于解决工业控制系统的网络安全问题，全力打造自主可控的硬件和软件平台。创新：我们倡导基于工控网络本质需求的创新；匡恩已经在七个城市建立了研发中心；目前已经有30多项专利和大量软件著作权，知识产权还在不断的扩展。合作匡恩是一个开放的平台，致力于推动工业控制与网络安全理念的融合；匡恩提供产品、工具、服务和培训；匡恩希望与有志于解决工控网络安全问题的企业和专家广泛合作，携手共建国家的网络安全。首创工控网络全生命周期的安全防护理念匡恩网络是业界唯一一家提供自主可控的工业控制系统全生命周期网络安全解决方案的厂商。其全生命周期的工控网络安全解决方案覆盖了工业控制网络安全工作中的漏洞挖掘、威胁管理、监控审计、数据采集隔离、智能保护五大环节，集成了匡恩网络国际领先的人工智能算法、工控协议深度包解析、模式匹配等关键技术。其中，漏洞挖掘产品拥有丰富的检测套件，能够发现工业控制系统中存在的漏洞，并且有效地进行根源分析和对工具的进一步开放，减少零日漏洞等风险；威胁管理产品保障了工业控制系统中的设备、协议、结构、行为和流程等一系列元素的整体安全性；监控审计产品采用外挂方式可快速识别出系统中的非法操作、异常事件以及外部攻击并发出告警；数据采集隔离产品可以实时对采集的信息进行深度解析，确保采集数据的完整性和安全性；智能保护产品能识别系统中的非法操作、异常行为以及外部攻击，在第一时间执行告警和阻断。匡恩网络全生命周期的工控网络安全解决方案3.3公司荣誉公司资质1）中关村高新技术企业2）ISO9000质量体系认证3）信息安全风险评估服务资质(三级）4）信息系统安全集成服务资质（三级）公司所属联盟及协会1）中关村物联网产业联盟会员单位2）中关村网络安全与信息化产业联盟会员单位3）北京市信息产业协会常