威努特工控安全----大话工控安全“白环境”.v.1.5

2016.03.29工业控制系统信息安全整体解决方案
北京威努特技术有限公司CEO：龙国东
威努特—工控安全专家内容提纲
1
威努特公司介绍
传统IT安全在工控系统应用困境
2
威努特工控安全技术理念
3
威努特工控安全解决方案
4
成功案例
5
威努特—工控安全专家公司简介
☐北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。

☐我们致力于为企业客户提供工控安全整体解决方案与服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。

☐公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队组成的专业化团队。

可为企业客户提供：
稳定可靠的工控安全防护产品；
专业深度的工控安全咨询培训；
全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；
☐帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。

Page 3。

威努特工控安全监测与审计系统产品白皮书北京威努特技术有限公司目录一．引言 (3)1.1工业控制系统面临的主要安全问题 (3)1.2工控安全审计平台能够解决哪些问题 (5)二．威努特工控安全审计平台 (5)2.1产品概述 (5)2.2产品架构 (6)2.3产品优势 (7)2.3.1工控协议指令级检测与审计 (7)2.3.2支持私有工控协议的扩展接口 (8)2.3.3高性能的深度解析及检测能力 (8)2.3.4专为工控环境设计的工业级硬件 (8)2.3.5自主可控的工控安全操作系统 (9)2.3.6针对工控行业用户习惯设计的使用体验 (9)2.4主要功能 (9)2.4.1工控网络异常检测 (9)2.4.2工控网络攻击检测 (10)2.4.3工控关键事件检测 (11)2.4.4工控网络连接视图 (11)2.4.5告警事件统计 (12)2.4.6网络连接统计 (13)2.4.7网络通信记录回溯 (14)2.4.8短信告警 (14)2.5典型部署 (14)三．客户价值 (16)3.1及时发现网络攻击，减少系统停车时间 (16)3.2为安全事故的调查，提供详实的数据支持 (16)3.3通过网络通信可视化，提高工控网络运维效率 (16)一．引言1.1工业控制系统面临的主要安全问题目前，超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。

工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。

随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了，工业控制系统面临如下常见的安全问题：●工业控制协议缺乏安全性考虑，易被攻击者利用专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性，对安全性普遍考虑不足：比如缺少足够强度的认证、加密、授权等，导致容易遭受攻击。

典型SCADA系统安全防护案例分享一、前言工业控制系统已广泛应用于电力、轨道交通、石油化工、航空航天等工业领域。

目前，大量的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化操作。

工业控制系统已经成为国家关键基础设施的重要组成部分。

随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域。

由于工业控制系统广泛采用通用网络设备和IT设施，以及与企业信息管理系统的集成，传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。

二、项目背景国内某知名油田分公司下属采气厂所辖探区范围广阔，天然气探明储量具有举足轻重的战略地位，是油田最具开发潜力的区块之一。

该采气厂同时负责多个气田及其他探区的开发建设和管理，承担着部分气量转输以及向华北地区及周边城市供气的艰巨任务。

采气厂在2015年8月和2016年5月，先后发生两次异常停机事件，事件影响恶劣并直接造成了巨大的经济损失，然而事故原因无法查证。

事件引起公司管理层对工业控制系统安全的高度重视，并将工控系统安全防护提升到战略层面。

三、需求分析从接到客户需求的那一刻起，北京威努特技术有限公司（以下简称威努特）以实时高效为前提、安全可靠为目标、主动防御为手段，力求为该采气厂工控系统的安全防护量身打造精准的解决方案。

工控系统安全防护区别于信息系统安全防护的一个重要特征就是：防护的方案一定是基于对客户生产工艺流程的了解。

从大的方面讲，工控安全是生产安全的一部分，所有安全防护的目标就是保证生产的安全稳定运行，因此工控系统的实地调研和风险评估是一个非常重要的环节，通过该环节，才可以真正让安全需求落地。

经过调研和评估，威努特总结出如下几个关键的安全薄弱环节：●管理网与外网连接，生产网与管理网互通，生产网与管理网边界存在重大安全隐患。

●作为数据采集及存储的关键部分，OPC 服务器存在诸多安全隐患。

●工业控制相关的应用系统普遍存在弱口令问题，这也反映出安全意识的不足。

基于OPC协议的工控网络系统防护浅析1. 协议概述提到OPC协议，大家想到最多的就是OPC Classic 3.0，实际上现在OPC协议有两个大类，一种是基于微软COM/DCOM技术的“Classic”，另一种是基于Web service的OPC UA。

前者在DCOM协议之上，诞生较早，已广泛应用在各种工业控制系统现场，成为工业自动化领域的事实标准。

后者与前者比出生较晚，但在设计时考虑了安全因素，有了加密机制，不过目前应用范围较小。

本文主要讨论的是前者在工控系统中的防护。

微软的DCOM协议是在网络安全问题被广泛认识之前设计的，而基于DCOM协议的OPC Classic基本没有增加任何安全相关的特性，几乎所有著名的工业自动化软件(包括HMI软件、先进控制与优化软件、监控平台软件、综合集成软件等)都是基于windows平台开发,都采用或部分采用了OPC技术，所以对使用OPC协议进行通信的工控系统进行防护也变得复杂和困难。

2. 动态端口与大多数应用层协议不同，OPC的基础协议DCOM协议使用动态端口机制，在真正建立数据连接之前通讯双方还需要协商需要使用的端口。

示例图如下：图1 OPC动态端口协商过程上图中，OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接，连接成功后再经过OPC服务器分配新端口1118，并通过接口ISystemActivator的方法RemoteCreateInstance的应答报文返回给客户端，之后客户端使用5569作为源端口向服务器的1118端口发起新的连接用来后面的真正数据的传输。

3. 面临的安全威胁基于OPC协议的工控网络系统面临各种各样的威胁。

在“两网”融合的大背景下，工业控制系统的隔离性被打破，面临来自网络的威胁空前加剧。

无用端口的开放、工业软件依赖的操作系统本身存在的安全漏洞、工业协议本身安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。

在真正接入到企业管理网、互联网之前，基于OPC协议的工业控制系统必须加入相应的安全设备进行防护，才能提高自身网络的安全。

工信部网站2017年06月15日正式发布“工业和信息化部关于印发《工业控制系统信息安全事件应急管理工作指南》的通知”，同时发布“《工业控制系统信息安全事件应急管理工作指南》解读”，对我们工控安全企业有重大指导意义，下面是我的一些学习心得。

一、《指南》出台的背景我认为指南的出台是多方面因素共同作用的结果，第一是政策因素，这点在《解读》中说的很清楚，国家“十三五”规划《纲要》、网络强国、中国制造2025及“互联网+”等一系列战略部署的推进实施，对我国工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全保障水平和事件应急处置能力；也是进一步贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》和《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》的重要举措。

第二是政治因素，为迎接十九大召开，预防研判、有效应对可能出现的工控安全事件非常重要，迫切需要完善工控安全管理体系。

第三是事件诱因，2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，对我国企事业单位也造成了不小的影响，工业企业近年在《工业控制系统信息安全防护指南》等一系列规定指导下工控安全建设长足进步，在面对WannaCry时起到了良好效果，受损较小，但也暴露了一些问题，反映了现有安全事件应急处理的不足。

多方合力，有了《指南》的迅速出台。

二、《指南》是一部组织基本法为什么这样说，《指南》不是具体的技术指导，而是为了构建一个成熟的工业控制系统信息安全事件应急管理体系，这个体系包含四大要点：一是职能职责；二是组织机构；三是规章制度；四是资源（人、财、物）。

我将从这四个点说说自己的理解。

1、职能职责概括就一句话，在《指南》总则第四条中说的很清楚“做好工控安全事件的预防和处置工作”。

分开来说也很清楚：（1）监测通报：工业和信息化部指导国家工业信息安全发展研究中心等技术机构，组织开展全国工控安全风险监测、预警通报等工作，提升情报搜集、态势分析、风险评估和信息共享能力。