智能制造行业工控系统网络安全整体解决方案

智能制造行业工控系统网络安全整体解决方案CONTENTS目录工控网络安全形势概述01智能制造行业网络安全现状02智能制造行业网络安全解决方案0304方案合规性对比分析01工控网络安全形势概述安全趋势安全事件安全政策IT技术&OT技术深度融合新技术的应用使得原来封闭的工业控制系统网络越来多的纵向开放，在工业互联网、两化融合、智能制造的大趋势下工业控制网络不可避免会遭遇更多的网络威胁工业控制系统走向对外开放工业控制系统走向内部互联普度模型工业控制系统网络安全现状工控系统安全事件在近几年呈现稳步增长的趋势，2020年公开报道的工业信息安全事件约70件，涉及8大领域2020年全球工控安全事件涉及领域分布2012-2019年全球工控安全事件报告数量资料来源：国家工业信息安全发展研究中心整理2018年8月，台积电因被勒索病毒攻击的计算设备接入工业控制系统，造成部分生产中断，损失高达数亿美元；2019年3月，世界最大综合铝业集团之一挪威海德鲁公司旗下多家铝厂工控系统遭到攻击，造成工厂大面积停工;2019年6月，美国飞机零部件供应商ASCO遭勒索软件攻击，导致比利时Zaventem工厂IT系统瘫痪、工厂无法运营；2020年11月，研华科技被Conti勒索软件团伙通过TrickBot木马入侵，最终缴纳约1446万美元赎金。新型勒索病毒直指工业控制系统新型勒索软件能终止关键工业控制系统进程；FireEye公司报告显示，2020年已经有千余个工控系统软件进程被列入勒索软件终止进程的“黑名单”。工业控制系统网络安全现状安全漏洞持续增加资料来源：国家工业信息安全发展研究中心整理2020年工业信息安全态势报告2020年，CICSVD共收录工业信息安全漏洞2138个，交2019年上升了22.2%，其中通用型漏洞2045个，事件型漏洞932个。CICSVD收录漏洞月度分布情况自身脆弱性明显工控系统为了保证工业过程的可靠、稳定，对可用性的要求达到了极高的程度（舍弃了较多场景下的CIA3要素-即保密、完整、可访问性），因此工控系统自身的脆弱性是与生俱来的。依托国家工业信息安全监测预警网络，通过工控蜜罐全年捕获来自境外恶意网络攻击200余万次，从攻击协议分析，S7Commn和Modbus两种主流的协议遭受攻击次数最多。台积电勒索病毒事件病毒影响范围：感染病毒原因：2018年8月3日，台积电感染WannaCry病毒病毒特征及传播：◼感染的厂区包括竹科Fab12、中科Fab15、南科Fab14等；◼WannaCry变种病毒通过445端口进行传输；◼将word，excel，ppt，rar，pdf，txt等进行加密，无法打开；◼电脑主机出现宕机或不断的重新启动。◼新台机接入时，未进行隔离，确认无病毒，直接联网；◼所有机台生产程序放在云端，每次生产需要重新下发安装；为提高效率，取消了各厂区间的防火墙；◼主机设备及系统过于陈旧，未进行升级，未安装防病毒软件。造成经济营业损失约2.55亿美元某集团不锈钢厂挖矿病毒事件病毒影响范围：感染病毒原因：2019年2月，某不锈钢厂生产网多台服务器、工程师站和操作员站中招挖矿病毒病毒特征及传播：◼感染生产网电炉区域、精炼炉区域、转炉区域和VOD区域等；◼“Miner”变种病毒通过445端口进行传播；◼Windows2000server、windowsxp系统不断蓝屏；◼未采取技术手段对USB接口进行管控；◼所有服务器、操作站均未采取任何主机层面的安全防护措施；◼设备及系统过于陈旧，未进行升级。国家顶层设计，行业规范驱动安全建设法律法规2017年6月1日《中华人民共和国网络安全法》正式施行建设标准2019年12月1日GB/T22239-2019《信息安全技术网络安全等级保护基本要求》正式执行指导文件2016年10月19日工信部印发《工业控制系统信息安全防护指南》指导工业企业开展工控安全防护工作工业控制系统信息安全防护指南行业要求2019年8月28日工信部联网安〔2019〕168号《十部门关于印发加强工业互联网安全工作的指导意见的通知》加强工业互联网安全工作的指导意见工业控制系统信息安全防护指南指导文件2016年10月19日工信部印发《工业控制系统信息安全防护指南》指导工业企业开展工控安全防护工作工业控制系统信息安全防护指南一、安全软件选择与管理二、配置和补丁管理三、边界安全防护四、物理和环境安全防护五、身份认证六、远程访问安全七、安全监测和应急预案演练八、资产安全九、数据安全十、供应链管理十一、落实责任建设标准2019年12月1日GB/T22239-2019《信息安全技术网络安全等级保护基本要求》正式施行信息安全技术网络安全等级保护基本要求加强工业互联网安全工作的指导意见1、依法落实企业主体责任。工业互联网企业明确工业互联网安全责任部门和责任人，建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度；3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管；6.夯实设备和控制安全。督促工业企业部署针对性防护措施，加强工业生产、主机、智能终端等设备安全接入和防护，强化控制网络协议、装置装备、工业软件等安全保障；16.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度，……，加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。行业要求2019年8月28日工信部联网安〔2019〕168号《十部门关于印发加强工业互联网安全工作的指导意见的通知》加强工业互联网安全工作的指导意见02智能制造行业网络安全现状安全问题需求分析智能制造业现场存在严重病毒问题病毒问题突出大部分工控主机未安装杀毒软件；杀毒软件病毒库严重过期；大部分工控系统带毒运行；传统杀毒软件将生产程序识别为病毒进行隔离。智能制造业现场存在软件滥用问题软件滥用非生产相关软件泛滥；安装有多种无线网卡驱动；Teamviwer、向日葵等远程管控软件，结合无线网卡，引入巨大安全风险。智能制造业现场存在的其他安全问题网络架构问题、U盘滥用等生产网办公网共用网络设备和终端设备；违规外联，生产设备直连互联网；外设使用无管控，存在U盘滥用、手机随意接入问题。安全问题应对及需求分析必须保证办公网和生产网安全隔离；应强化网络边界处的控制规则，只允许业务相关通信端口开放；进行协议深度解析，只允许业务协议通过，其它协议一律禁止。未知攻击已经成为破坏工控系统的攻击利器，所以采取的安全技术必须能够有效的检测和防范未知攻击。安全问题从来就不是单纯的技术问题，必须要把技术措施和管理措施结合起来，更有效的保障制造工控系统的整体安全性。边界安全内外兼防未知攻击防范安全管理移动介质管控恶意代码防范必须加强防范内部攻击和破坏，防止内部的非法外联、内联的行为发生；对内部不同区域之间要采取进行边界隔离。传统的杀毒软件在制造业中是不适用的，需要提出一个新的技术手段能够有效的防范恶意代码攻击，尤其是未知恶意代码。移动存储介质是制造业的主要病毒摆渡途径，所以必须加强移动介质的管控，避免非授权，非安全移动介质接入到业务系统内。03智能制造网络安全解决方案设计思路解决建设技术体系评估检查安全建设风险评估差距分析明确目标PDAC安全规划日常运营安全运维安全培训方案设计确定方案方案实施管理制度自行检查等保测评应急演练不断改进智能制造行业网络安全工程设计思路安全运营切入点—全面风险评估，寻找问题症结点风险评估分析是对智能制造企业生产网络内各资产进行安全管理的先决条件，其目的在于识别和评估用户所面临的生产安全风险和网络安全风险。风险分析的典型内容：工控系统资产梳理，分析价值；识别已有的安全防护措施；资产脆弱性及面临的威胁分析；安全风险综合分析。基于“白环境”的“纵深防御安全防护技术体系”区域边界隔离网络通信异常监测工业主机安全防护工控系统运行环境加固集中管理态势感知安全运维智能制造行业典型网络架构智能制造生产系统分为管理网、MES和生产网三层架构。管理网负责工厂整体管理，包括生产数据管理、企业资源计划、计算机辅助设计等；MES层包括工厂信息管理系统（PIMS）、先进控制系统（APC）、历史数据库、计划排产、仓储管理等；生产网与生产控制直接相关，包括监控中心、生产监控服务器、机台工作站、操作员站、机器人、机台设备等。智能制造行业网络分区分域根据智能制造不同的网络层级、不同车间的不同工艺流程情况，划分安全域，结合纵深防御理念，构建安全防御体系。车间安全域监控安全域MES安全域管理安全域强化安全区域边界访问控制能力工业防火墙工业互联防火墙ACL+应用级白名单工控协议合规性验证协议功能码、值域控制控制逻辑合理性验证

生产办公边界隔离流量及威胁可视全面的Web防护强大的应用识别能力工业互联防火墙工业防火墙工业防火墙ACL+白名单配置ACL访问控制规则，仅允许业务相关IP通过工控协议深度解析，形成协议白名单，保证只有可信任的协议、指令才允许通过针对具体指令的具体值域范围进行保护工业互联防火墙支持工控协议识别、入侵防御、病毒防护、WEB防护等功能提高网络内、外入侵和恶意代码防御能力基于应用级白名单的行为监测关键网络节点基于流量的未知威胁监测生产核心网络对APT攻击的实时检测网络威胁感知系统工控安全监测与审计系统入侵检测系统入侵检测系统工控安全监测与审计系统网络威胁感知系统工控安全监测与审计系统-工业协议白名单工控安全监测与审计系统-值域告警网络威胁感知系统（APT）通过检测网络流量中的DGA域名，有效定位网络内部已经被僵尸/木马控制的主机用多个反病毒引擎对流量中的文件进行交叉检测和交叉验证，从而发现其中的已知威胁采用基因图谱模糊比对技术，结合恶意代码变种检测技术，将可疑文件映射为无法压缩的灰阶图片，根据相似度判断是否为威胁变种利用聚类分析和文件追溯技术，对文件具有多个恶意行为且成功逃过多个反病毒引擎进行检测，判断文件极有可能为新型的恶意代码，即未知威胁入侵检测系统提高网络违规内联、外联检测能力关闭不必要端口交换机进行IP/MAC绑定工控主机卫士开启非法外联策略工控主机卫士工控主机卫士提高系统内主机病毒防范能力切断恶意代码/病毒通过U盘摆渡到生产系统内部的途径文件级白名单，防止恶意代码/病毒/非法软件执行工业控制系统不允许接入互联网，传统安全解决方案难以及时更新缓冲区溢出、0day漏洞利用等攻击方式，传统杀毒软件存在短板杀毒软件或将业务软件误识为病毒而删除工控主机卫士工控主机卫士一键式安全加固，提高主机安全基线一键安全加固内置42条安全基线规则一键式配置，降低手动加固成本工控主机卫士工控主机卫士关闭不必要的服务端口，提高入侵防范能力内置防火墙功能，关闭不必要端口工控主机卫士工控主机卫士工控主机卫士保证只有经过授权的可执行程序才可以执行保证只有经过授权的U盘才允许使用提高日志审计能力，审计日志至少保存6个月安全管理中心范式化多种类设备（主机、网络、安全）日志快速准确的识别安全事件，发现违规行为日志审计与分析系统日志审计与分析系统集中存储、关联分析加强运维人员行为管理安全管理中心运维人员身份鉴别运维人员操作授权运维人员行为审计安全运维管理系统安全运维管理系统多种资源统一管理建立统一安全管理中心，强化集中管控能力安全管理中心安全产品集中管理加密传输通道安全可视化双机热备，高度可靠统一安全管理平台统一安全管理平台智能制造行业网络安全总体解决方案安全管理中心工业防火墙工控主机卫士安全运维管理系统日志审计与分析系统统一安全管理平台工控安全监测与审计系统入侵检测系统工业互联防火墙网络威胁感知系统健全企业网络安全制度与标准完善工控安全制度与标准体系，满足国家对制造企业分级分类规定，规范网络安全管理，强化数据安全，保障网络安全工作的顺利开展；建立企业自身的工控网络安全制度与标准，需要企业业务主管部门、安全管理部门与我司共同配合完成，在满足国家相关要求基础上，能够与企业自身生产特点相融合。一级文件：企业的工控网络安全管理方针，能够反映最高管理者对工控网络安全管理下达的工作意图等，能为所有下级文件的编写提供方向;二级文件：各类属于制造工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等;三级文件：各种体系运行所需的规范文档模板。执行模板管理办法规定、手册三级文件二级文件一级文件123借鉴国家等级保护制度安全管理制度要求管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理人员录用人员离岗安全意识和培训外部访问人员管理制度制定和发布评审和修订岗位设置人员配置授权和审批沟通和合作审核和检查定级和备案工程实施安全方案设计产品采购和使用自行软件开发外包软件开发测试验收系统交付等级测评服务商选择环境管理资产管理介质管理设备维护管理漏洞和风险管理网络安全管理系统和网络安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处理应急预案管理提供专业的工控网络安全指导与服务，借鉴、支持国家等级保护合规性要求的实施，使工控网络信息化建设与应用符合国家顶层设计要求。安全策略外包运