图片太多了,复制不上来,懒得复制了!这是一份我暑假实训的时候按要求出的一份安全防护方案的设计!原文档我已上传到了csdn,大家见鉴就好!
一、 背景概述 4
二、 工控系统信息安全需求 5
2.1工业控制系统和传统IT系统差异化分析 5
2.2工业控制系统所面临威胁分析 7
2.3工业控制系统安全需求分析 8
三、 工控系统信息安全防护体系设计 8
3.1工控系统信息安全防护体系设计目标 8
3.2工控系统信息安全防护体系设计原则 9
四、 基于工控系统的等保测评 9
4.1等保2.0测评体系 10
4.2工控系统等级保护测评 11
五、 工控系统信息安全解决方案 11
5.1工控系统三大安全体系架构设计 11
5.2工控系统信息安全三大防护体系 12
5.2.1工控系统安全风险评估体系 12
5.2.2工控系统安全技术体系 13
5.2.3工控系统安全管理体系 15
5.3工控系统安全产品体系 16
5.3.1工控系统安全防范产品 16
5.3.1.1工控防火墙 16
5.3.1.2工控安全隔离与信息交换系统 19
5.3.2工控系统安全运维审计产品 21
5.3.2.1工控日志审计与分析系统 21
5.3.2.2工控安全运维管理系统 24
5.3.2.3工控网络威胁感知系统 27
5.3.2.4工控入侵检测系统 31
5.3.2.5工控漏洞扫描系统 34
5.3.3工控系统主机安全产品 36
5.3.3.1工控主机安全加固系统 36
5.3.4工控系统安全管理和容灾产品 39
5.3.4.1工控统一安全管理平台 39
六、本人安全设计思想的概述 42
一、背景概述
数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。因此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
目前使用分布式控制系统(DCS)和可编程逻辑控制器(PLC)等数字化方式已经成为化工行业生产过程控制的主要手段。虽然其能够极大地提高生产效率,但是过程控制系统在近十年的发展中所呈现出的整体开放趋势,尤其是在西方发达国家对国内工业控制核心技术垄断环境下,以伊“震网病毒”造成的巨大破坏为例,工控系统面临的信息安全形势愈发严峻。工业控制系统有许多区别于传统IT系统的特点,包括不同的风险和优先级别,其中包括对人类健康和生命安全的重大风险,对环境的严重破坏。这将影响工业控制系统采用何种安全控制措施,制定和部署工控系统安全策略必须符合其本身技术和环境的具体要求与特点。文章基于化工行业工业控制系统信息安全防护的实际需求出发,参照信息安全等级保护的思想,以化工生产装置的安全、稳定、可靠运行为核心,综合运用边界防护、访问控制、主机安全等技术手段,有效整合不同层面的安全技术,为工控系统信息安全技术防护体系设计和建设标准的制定提供理论参考。所提出的针对工业控制系统有效的信息安全防护策略和标准在很多行业均具有极大的推广价值,相关模式具有极强的可复制性,能够产生显著的经济和社会价值。
工业控制系统信息安全事关经济发展、社会稳定和国家安全。提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,对国家乃至社会的发展具有重要意义。
二、工控信息安全需求
2.1工业控制系统和传统IT系统差异化分析
对比项 工业控制系统ICS 传统IT 系统
体系结构 主要由传感器、PLC、RTU、DCS、 SCADA等设备及系统组成 通过互联网协议组成的计算机网络
操作系统 广泛使用嵌入式系统Vxworks、uClinux、winCE等,并根据功能及
需求进行裁剪与定制 通用操作系统如 windows、linux
、UNIX等,功能强大
数据交换协议 专用的通信协议或规约(OPC、Modbus TCP、DNP3等),一般直接使用或作为TCP/IP的应用层 TCP/IP协议栈
系统实时性 实时性要求高,不能停机或重启 实时性要求不高,允许传输延迟,可停机或重启
系统升级 兼容性差、软硬件升级困难 兼容性好、软件升级频繁
设计初衷 可用性 机密性
传统网络安全技术不适合应用到工业控制系统
传统it系统安全:机密性>完整性>可用性
工控系统安全:可用性>完整性>机密性
设备应用的基础
方式 传统IT网络 工控系统网络
防火墙 基于Tcp\ip协议 专用协议格式
入侵防御检测 允许存在误报率 不允许存在误报率
漏洞扫描 实施的补丁修复 修复困难
2.2工业控制系统所面临风险分析
1、工业控制系统与管理系统互联互通带来的风险。只要是使用开放的以太网、基于微软 Windows 操作系统的数据采集与 监控 (SCADA)系 统 、分 布 式 控 制 系 统 (DCS)、过 程 控 制 系 统(PCS)、可编程逻辑控制器(PLC)基于控制系统的高级应用等,都有发生信息安全问题的风险。
2、工业控制系统遭遇病毒攻击的风险。 以电力行业发电厂的工控系统为例, 虽然发电厂的生产控制大区和信息管理大区之间安装物理隔离装置,二次系统网络与办公系统网络进行隔离,但是病毒的传播方式是多途径的。例如:病毒可以通过工作人员的移动介质或远程控制通道传入到生产控制大区进而破坏 DCS 系统或经济调度系统等重要的电力二次应用系统,而对于安全性要求较高的电厂而言, 如果没有行之有效的防病毒系统,让 DCS 系统遭遇病毒攻击是绝对不能容忍的。
3、数据和通信传输协议存在的安全风险。 广泛应用于工控系统中的通信传输标准如:IEC 60870-5 标准(其中用于串行链路 IEC 60870-5-101, 对应于我国电力行业标准DL / T 634.5101 和网络 IEC 60870-5-104,对应于我国电力行 业标准 DL / T634.5104) 应用于 SCADA 系统与 RTU 之间的数 据通信;IEC 60870-6 (对应于我国的国家标准 GB / T 18700也称为 TASE.2 或 ICCP)用于控制中心之间的通信,并经常应用于控制中心内 SCADA 系统和其他工程系统之间的通信;IEC 61850(对应于我国的工业标准 DL/T 860)用于电力系统继电保护、变电站自动化、配电自动化、电能质量、分布式能源、变电站对控制中心的通信。这些标准都是在信息安全成为该行业的主要问题之前制定的,所以原先标准中根本不包括任何安全措施[1],通信数据和信息存在被窃听和窜改、甚至破坏系统运行的风险。
4、管控体系不健全导致的安全风险。 目前工业控制系统使用单位普遍没有针对移动存储介质的管理规定,或者规定制定力度不够,缺乏必要的监管手段,这始终是工业控制系统安全的一个重要威胁。 特别是在物理隔离的工业控制系统中,移动存储介质成为计算机病毒传播的主要途径,2010 年伊朗爆发的 “震网”病毒以及随后的“火焰”病毒,就是利用移动存储介质进行传播的。
2.3工控系统安全具体需求分析
根据对工业控制系统的风险分析,我们发现工业控制系统的信息安全需求主要在以下方面:
防御来自外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失,提高办公网网络的整体抗攻击能力;
要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范;
实现对运维操作的集中管理、访问控制、单点登录以及操作审计的能力;以及需要建立良好的管理和责任划分体系以保证人员使用移动存储介质不会对工控系统造成威胁。
实现即使文件被勒索软件感染和加密,也可通过备份恢复回来,不会造成数据丢失。
三、工控系统信息安全防护设计
3.1工控系统信息安全防护体系设计目标
工业控制系统信息安全防护体系建设的最终目标应在遵循《GB 17859-1999 计算机信息系统安全保护等级划分准则》规定的等级划分准则前提条件下符合国家标准《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》及《信息系统安全等级保护基本要求》及其他相关规定。实现工控系统安全技术防护能力、安全管理能力、安全运维能力,切实保障工控系统信息安全,为工业控制系统的安全稳定运行保驾护航。
3.2工控系统信息安全防护体系设计原则
工业控制系统信息安全防护体系设计应依据《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》、《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求》等国家标准,相关行业标准,如《二次系统安全防护规定》、《信息系统安全等级保护基本要求》、《二次系统安全防护总体方案》等为指导思想,构建集技术、管理和服务于一体的全面的安全防护体系。并遵循如下设计原则:基于安全需求原则、先进成熟技术原则、分级保护原则、纵深防御原则、动态调整原则。
四、基于工控系统的等保测评
网络安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
4.1等保2.0标准体系
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。
4.2工控系统等级保护测评
总体原则、技术要求和管理要求是工业控制系统等级保护的三类说明,其中工业控制系统整体提出的安全域保护原则是总体原则 ;技术要求针对工业控制系统的软件、硬件、网络协议等安全性、通信协议等要素;管理要求针对工业控制系 统的人员管理、运维管理、制度管理等要素,但工业控制系统的防护措施也需保证对系统的正常运行不产生危害,并得。
(4)通信传输安全 :在工业控制系统内使用指令交换数据时,是否采用加密认证手段实现数据加密传输 ;对需要无线通信传输的设备,是否对未经授权的无线设备进行拦截并报警。
(5)接口安全:是否关闭或拆除控制设备上的 USB 接口、串行口、光驱等,是否采取有效措施保证对外接口的安全。
(6)系统补丁和风险安全 :更新系统补丁、恶意代码库、白名单库前,是否在测试环境中通过测试,并保证系统的可用性,应有安全人员负责并保存更新记录。
(7)安全事件处置:工业控制系统大多应用于化工、石油、医药等领域,应考虑是否建立工业控制系统联合防护及应急机制,是否定期对应急机制进行演练,是否对安全事件进行总结、教育和培训等。
五、工控系统安全解决方案
5.1工控系统安全架构设计
拓扑说明
该拓扑图是工业控制系统的整体架构图,根据此图我们根据各公司或企业的实际需要进行安全防护。
5.2工控系统信息安全三大防护体系
5.2.1工控系统安全风险评估体系
安全风险评估确定安全破坏可以导致的危害程度, 并且对于实施和维护安全应对措施的成本,对经济的、安全的和社会的危害进行分析。通过对工控系统安全风险的分析,得出系统的防护需求,根据防护需求的不同制定系统的安全策略及解决方案,以此选择适当的防护措施,进而降低安全风险。安全评估的方法有工具扫描、基于经验的人工评估、模拟黑客攻击的白客渗透测试等。安全评估是信息安全生命周期中的一个重要环节。安全风险评估体系应覆盖工控系统的网络、主机及安全设施等。网络安全评估是对工控系统的通信网络和网络拓扑、带宽、通信协议、核心路由、交换设备、网络边界、安全策略等的安全漏洞、安全威胁及潜在影响进行分析,以提出合理的安全建议。主机安全评估是对工控系统的主机系统包括操作系统、数据库系统、 中间件系统以及基本的应用服务配置管理等的风险评估。
安全设施评估主要包括防火墙、防病毒系统、入侵检测系统IDS、工控系统专用安全隔离装置、IP 加密认证装置及其它安全管理系统,主要对这些系统的安全策略配置和管理进行评估。
5.2.2工控系统安全技术体系
安全技术体系设计的核心思想是:构建集安全防护能力、安全风险监测能力、 应急响应能力和灾难恢复能力于一体的安全技术保障体系,切实保障工控系统信息安全。 安全技术体系由物理安全、网络安全、主机安全、应用安全、数据安全等环节构成。
1)物理安全防护:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 具体措施为工控系统的机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录人员的进出情况;对机房设置监控报警系统;机房建筑设置避雷装置,建立备用供电系统等。
2)网络安全防护:包括网络结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。主要措施为:保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;在业务终端与业务服务器之间进行路由控建立安全的访问路径;按照对业务服务的重要次序来指定带宽分配优先级别,优先保障重要业务服务的带宽。在网络边界部署访问控制设备,启用访问控制功能;访问控制设备应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;禁止以 VPN 方式接入网络。 对非授权设备或内部网络用户私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;采用网络准入、终端控制、身份认证、可信计算等技术手段,维护网络边界完整性。 在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等,在发生严重入侵事件时应提供报警等。
3)主机安全防护:包括主机安全、身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。 具体措施为对登录操作系统和数据库系统的用户进行身份标识和鉴别;当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听; 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 系统不支持该要求的,采用第三方安全审计产品实现审计要求;保护审计记录,避免受到未预期的删除、修改或覆盖等;应保护审计进程,避免受到未预期的中断。 能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。 在本机安装防恶意代码软件或独立部署恶意代码防护设备, 并及时更新防恶意代码软件版本和恶意代码库,更新前应进行安全性和兼容性测试。 通过设定终端接入方式、网络地址范围等条件限制终端登录;根据安全策略设置登录终端的操作超时锁定。
4)应用安全防护:包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。 具体措施为:提供专用的登录控制模块对登录用户进行身份标识和鉴别;启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能, 并根据安全策略配置相关参数。 提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 提供覆盖每个用户的安全审计功能,对应用系统的用户登录、用户退出、增加用户、修改用户权限等重要安全事件进行审计。
5)数据安全防护:包括数据完整性、数据保密性、备份和恢复。 具体措施为:能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施; 采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性;提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
5.2.3工控系统安全管理体系
安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等部分组成。 工控系统安全管理体系是一个不断完善、不断改进的过程,随着外部情况及内部条件的改变,需要对管理体系的内容及范围做相应的调整,以适应变化。 最终达到管理体系为工控系统安全的成功实施起到保驾护航的作用。
1)安全管理制度:建立工控系统系统安全管理制度,制定工控系统信息安全工作的总体方针和安全策略, 明确安全工作的总体目标、范围、原则和安全框架等,并将工控系统安全防护及其信息报送纳入日常安全生产管理体系, 负责所辖范围内工控系统及数据网络的安全管理; 对安全管理活动中各类管理内容建立安全管理制度; 对安全管理人员或操作人员执行的重要管理操作建立操作规程;形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
2)安全管理机构:明确由主管安全生产的领导作为工控系统安全防护的主要责任人, 成立指导和管理信息安全工作的委员会;设立信息安全管理工作的职能部门;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3)人员安全管理:严格规范人员录用过程,对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议; 定期对各个岗位的人员进行安全意识教育、岗位技能培训和相关安全技术培训及安全认知的考核;对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
4)系统建设管理:根据系统的安全保护等级选择基本安全措施, 并依据工控系统安全防护要求和风险分析的结果补充和调整安全措施; 指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、
安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件; 组织相关部门和有关安全技术专家进行论证和审定,并经过电力监管机构、上级信息安全主管部门和相应电力调度机构的审核。
5)系统运维管理:包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,各环节应符合国家及行业标准的要求。
5.3工控系统安全产品体系
5.3.1工控系统安全防范产品
5.3.1.1工控防火墙
工业防火墙分为边界型和区域型。基于MIPS架构+深度定制Linux平台,通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输。为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。广泛应用在电力、石油、石化、轨交、市政、烟草及先进制造等多领域。
方案建议在平台网络边界再增加一台天融信防火墙,两台设备启用双机热备功能(HA)。
客户价值
满足工控行业的合规性要求
防范外部恶意攻击
杜绝内部安全隐患
对工业网络实施安全域划分、逻辑隔离和访问控制,满足行业政策法规及技术要求。
避免生产监控网被攻击,造成操作指令被篡改或下发失败,导致重大安全生产事故、人员伤亡和社会影响。 有效检测工控网络中的异常操作行为并加以阻止,避免异常停车事故。
主要功能
工控协议深度解析
正常通信行为建模
攻击防护
支持对OPC、Siemens S7、Modbus、IEC104、Profinet、DNP3等数十种工控协议报文进行深度解析。
基于工控协议通信记录,智能学习通信关系、操作功能码和参数等,对正常通信行为建模。 支持对工控指令攻击、控制参数的篡改、病毒和蠕虫等恶意代码攻击、各类DoS(SYN Flood、Ping Flood、UDP Flood、Ping of Death、LAND等)攻击的防护。
网络访问控制
工作模式
日志告警上报
采用会话状态检测、包过滤机制进行深度访问控制,阻止各类非授权访问行为。
支持学习模式、告警模式、防护模式三种工作模式。 支持设备运行日志、告警日志等上传至统一安全管理平台,进行统一的安全事件分析和管理。
产品优势
· 实时精准的协议指令级控制
搭载自主研发的数据包深度解析引擎,对工控协议(OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、DNP3等)各类数据包进行快速有针对性的捕获与深度解析,做到实时和精准的指令级识别,为解决工控网络安全问题提供技术保障。
· 工业级通信性能
采用高性能MIPS多核处理器,运用白名单规则匹配算法,在开启深度报文检测(DPI)的情况下可实现30000PPS的吞吐量。时延小于100us,是业界同类产品的1/10,有效保障通信的实时性。
· 工业级高可靠性
产品采用高可靠性的工业级设计:无风扇全封闭设计、双冗余电源、硬件故障自动Bypass、优秀的温湿度适应性(温度:-4085℃,湿度:5%95% 无凝结),符合IP40防护等级要求。
· 开放的平台接口
提供SDK,开放的平台接口可以方便客户自行扩展支持私有协议,以及做定制化的二次开发。
部署位置拓扑
5.3.1.2工控安全隔离与信息交换系统
安全隔离与信息交换系统(WISGAP) 是实现工业网络环境中不同安全级别网络之间数据安全交换的隔离系统,该产品采用多机系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换;威努特自主设计开发的安全隔离与信息交换系统集文件交换、数据库访问和同步、视频交换、组播代理、访问交换、工业控制等功能模块于一体,保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
客户价值
满足政策法规有关安全隔离的相关技术要求
提高不同安全级别间的数据传输效率
提高不同安全级别间的数据安全性
在保证安全隔离的前提下,实现数据的安全交换,满足国家及行业对于安全隔离的相关政策法规要求。
在保证安全的情况下,将原本通过人工方式(光盘、公文交换等)进行数据交换的方式转变为自动“摆渡”,提高数据交换效率。 弥补防火墙等逻辑隔离产品的安全性差的缺陷,采用物理隔离的方式,实现正常业务数据的安全交互。
主要功能
数据交换
安全控制
安全审计
支持工业控制代理、WEB代理、文件交换、邮件交换、数据库交换等多种信息交换类型,以“摆渡”方式进行安全数据交换。
支持访问控制、入侵检测、防病毒、内容过滤、日志审计、身份鉴别等多种安全防护措施,保证数据交换过程安全。 可审计设备的各类操作,并支持通过SNMP、syslog等将日志文件发送到远程日志服务器。
产品优势
· 高安全性隔离
采用“内外网双主机+专有安全数据交换模块”架构以及专用安全操作系统,确保内外网在任何时候无联通的电气连接,剥离TCP/IP协议栈, 摒弃OSI七层模型的所有不安全因素,实现网络的高安全隔离。
· 丰富的协议支持
支持OPC、Modbus TCP、IEC104等工控协议及传统HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等常用协议。
· 优异的性能
产品采用复杂对称多处理(RSMP)技术,在单台网闸设备内集成多个处理模块,成倍提升处理能力,使网闸具有很高的性能,产品系统延时小于1ms,内部速率可达5Gbps,摆渡速率超过600Mbps。
· 高可靠性
产品采用专用安全主板设计,使网闸设备可在超重负荷的环境下长期稳定运行,双机热备的部署方式可使系统抵抗灾难性损坏时的可靠性成倍提高。
部署位置拓扑
5.3.2工控系统安全运维审计产品
5.3.2.1工控日志审计与分析系统
日志审计与分析系统是工业控制网络中软硬件资产日志信息的统一审计与分析平台,该产品能够实时将工业控制网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息,进行统一地收集、处理和关联分析,帮助一线管理人员从海量日志中迅速、精准地识别安全事件,及时对安全事件进行追溯或干预,满足网络安全法对日志保存6个月以上的要求。
客户价值
满足国家标准、规范的合规性要求 满足安全策略的合规性审计需求
提供威胁检测与安全事件取证分析报告
提供合规性分析、业务统计分析报告
主要功能
系统资产管理 安全事件监控统计 安全事件高速查询 安全事件关联分析
提供管理各类设备的资产库,所有设备以树形结构进行组织和展示,同时作为权限分配的依据,实现针对设备信息的访问控制,满足设备监控权限最小化原则。 提供安全事件的实时监控和多维度统计,通过事件列表展示当前网络的实时活动,依据IP地址、事件类型等维度进行安全事件的统计,以可视化的饼状图、柱状图、堆积图等形式进行展示。 提供自定义形态的混合搜索功能,在用户自定义日志范式字段收缩的基础上,结合大数据全文索引技术,实现安全事件的快速查询。 内置了丰富的关联分析场景,并具有关联分析场景可视化编辑功能,可通过不同字段的组合以及与、或、非等运算符构建复杂关联分析规则,结合资产属性,将多事件源进行关联分析,实时发现网络攻击和违规行为。
产品优势
· 系统资产管理
配置了日志源事件、Windows事件、网络设备、防火墙事件概览、WEB事件概览、FTP服务器日志等分析仪表板,用户可根据需要对仪表板进行自定义,快速获取关注的信息。
· 先进的大数据处理技术
采用业内先进的大数据计算技术,实现工业控制网络中不同厂商设备海量日志信息的高速采集和处理。
· 交互式数据搜索引擎
综合范化字段与大数据全文索引技术构建的交互式数据搜索引擎,为用户提供即席查询的审计支撑。
· 基于机器学习的日志识别
基于聚类分析的机器学习算法,实现海量日志信息的自动范化和精准识。
部署位置拓扑
5.3.2.2工控安全运维管理系统
安全运维管理系统是对运维行为进行账号统一管理、资源和权限统一分配、操作过程全程审计的软硬件一体化设备。产品通过切断运维终端对工业网络设备或资源的直接访问,采用协议代理的方式,建立基于唯一身份标识的全局实名制账号管理,配置集中访问控制和细粒度的命令级授权策略,实现集中有序的运维安全管理,对用户从登录到退出的全程操作行为进行审计,加强工业控制系统及设备远程维护的安全管理,降低人为安全风险,保障企业效益。
客户价值
响应国家等级保护的政策,帮助企业满足合规要求
避免工业企业运维人员违规操作、保障网络及人身安全
助力工业企业控制运维操作风险及事后责任定位
为企业提供完整的审计方案,有助于完善企业的内控与审计体系,从而满足各种政策标准合规性要求。
加强对企业操作维护人员的访问控制与审计,防止非授权用户的访问操作,有效避免工业企业运维人员违规操作、保障工业生产网络安全及企业人身安全。 提供基于用户及岗位的实名制访问控制与审计,有效控制企业运维操作风险,为工业企业安全事件追踪溯源提供依据。
主要功能
用户认证管理
资源管理
访问授权管理
支持本地认证、LDAP认证、RADIUS认证、USB key 认证等多种认证方式,并可根据用户实际需求,设置混合认证方式,不同主账号采取不同的认证方式,实现按需认证。
支持多种信息资产管理,类型包括Unix资源、网络资源、Windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源等。 对自然人账号和资源账号访问权限进行细粒度控制,确保每个运维人员拥有最小访问权限;针对重要操作行为,可通过“工单”方式,实现进一步的安全管控。
运维审计管理
支持对各种网络资源的访问及操作行为进行审计,如图形协议访问时的键盘记录、剪切板、文件传输记录;字符协议访问时的添加/删除、上传/下载命令等。
产品优势
· 全面的工业现场业务支持
全面支持工业现场上位机、服务器、应用系统、工业网络设备、工业安全设备等的运维管理。
· 强大的应用扩展能力
支持审计基于Windows平台下所有应用程序的运维操作。基于前置机架构,只需在前置机上安装、发布运维时需要使用的客户端程序,而无须任何定制开发即可对该应用程序的运维操作进行审计。
· 灵活多样的登录方式
支持运维人员通过浏览器或第三方客户端工具(SecureCRT、Mstsc等)登录待运维设备或系统,最大程度上保证运维人员的操作习惯不被改变。
· 高可靠性保障
支持HA双机热备功能,规避单点故障隐患,最大程度上保障用户运维管理工作的可靠性和连续性。
部署位置拓扑
5.3.2.3工控网络威胁感知系统
网络威胁感知系统是一款实时分析网络流量,结合威胁情报数据及网络行为分析技术,深度检测所有可疑网络活动的高级持续性威胁(APT)防范设备。该系统网络检测与文件检测同步进行,网络检测采用情报共享机制,构筑检测生态圈,准确、快速地掌握攻击链条;文件检测采用全面沙箱分析,通过在沙(Sandbox)中运行(行为激活/内容“引爆”)各种文件,分析文件行为,识别出未知威胁;为工业企业用户构建高级持续性威胁(APT)防范能力。
客户价值
为用户提供已知、未知威胁检测
为用户提供失陷主机检测
为用户提供网络威胁的追本溯源
基于下一代入侵检测引擎实现已知威胁的静态检测,基于沙箱行为模式匹配技术实现未知威胁的检测。 通过对网络流量中DGA域名的检测,为用户提供失陷主机检测,确保用户网络中主机环境的安全。 系统支持解析存储http、dns、ftp、smtp等数十种协议的元数据,具有完整的追溯取证能力,帮助用户快速定位攻击源。
主要功能
威胁情报检测
网络异常检测
失陷主机检测
系统支持本地威胁情报检测和云端威胁情报追溯,通过实时下发恶意IP、恶意域名、恶意URL等黑名单到设备本地进行威胁情报检测。
系统支持DoS&DDoS攻击、会话连接行为异常、中间人劫持攻击、非标准协议的检测;支持SMTP行为异常、可疑SMTP源IP、垃圾邮件、钓鱼邮件检测;支持扫描行为、路由跟踪行为、密码猜测行为、密码暴力破解行为、提权行为、隐私策略、信息泄露、SSL行为检测;支持tcp、udp、icmp、dce-rpc、dhcp、dnp3、dns、ftp、http、imap、irc、krb、modbus、mysql、ntlm、pop3、radius、rdp、rfb、sip、smb、smtp、snmp、socks、ssh、ssl、syslog等协议检测。 系统支持通过检测网络流量中的DGA域名,定位网络内部已经被僵尸/木马控制的主机(失陷主机)。
下一代入侵检测
威胁变种检测
告警日志审计
系统支持对网络内部的扫描探测、入侵攻击、横向渗透等行为进行检测;支持SQL注入攻击、Bash漏洞攻击、心脏出血漏洞攻击、协议动态识别、无效SSL证书、无效OCSP回应、网络应用攻击、Shellcode、钓鱼网站、C&C通讯、网络木马检测;支持协议分析及文件还原,包括PE格式文件、TXT格式文件、OFFICE格式文件、FLASH格式文件、PDF格式文件、JAVA格式文件、WEB格式文件、PYTHON格式文件、RAR格式文件、ZIP格式文件、VBS格式文件、TORRENT格式文件还原。 系统采用基因图谱模糊比对技术对流量中的文件进行静态检测,通过结合图像文理分析技术与恶意代码变种检测技术,将可疑文件的二进制代码映射为无法压缩的灰阶图片,与已有的恶意代码基因库图片进行相似度匹配,根据相似度判断是否为威胁变种;支持Windows、Linux和Android所有的文件格式检测。 系统采用沙箱行为模式匹配技术对流量中的文件进行动态检测,根据恶意行为判断是否为威胁变种;用户可自定义沙箱环境;支持压缩文件、PE,office、rtf、图片、WEB文件、视频、Java、PDF、PYTHON、MSG、文本、flash、WSF文件的检测;支持恶意代码的行为相似性聚类,通过聚类分析和文件追溯判断该文件是否为恶意文件,若该文件具有多个恶意行为且成功逃过多个反病毒引擎的检测及基因图谱检测,则该文件极有可能为新型的恶意代码,即未知胁。
产品优势
· 大数据与安全技术的结合
系统采用了机器学习/深度学习技术,基于大数据平台,用海量安全数据进行训练,从而具备检测未知威胁的能力,能有效减少安全运维人员的人工识别工作量。
· 高效的网络异常行为检测技术
可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为
· 独特的基因图谱检测技术
通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络CNN深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行
· 全面的已知、未知威胁检测
通过内置的下一代入侵检测引擎,Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术对恶意代码的变种进行检测,通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进
· 工业级高可靠性
产品采用高可靠的工业级设计:无风扇全封闭设计、1+1冗余电源、优秀的温湿度适应性(温度:-4070℃,湿度:5%95% 无凝结),符合IP40防护等级要求。
· 便捷的溯源取证能力
网络威胁感知系统支持解析并存储http、dns、ftp、smtp等数十种协议的元数据,具有完整的追溯取证能力。通过可视化操作,可快速定位攻击者,并定位出攻击者的IP、MAC、攻击方式、攻击协议以及攻击目标
部署位置拓扑
5.3.2.4工控入侵检测系统
入侵检测系统是依照安全策略,对工业网络、系统的运行状况进行监视,发现各种非法操作或异常行为的软硬件一体化设备。该系统能够深入分析网络上捕获的数据包,结合特征库进行相应的行为匹配,及时发现来自生产网外部或内部违反安全策略的行为及被攻击的迹象,帮助工业用户及时采取应对措施,最终达到保护生产网络安全的目的。
客户价值
满足行业政策法规有关入侵检测方面的技术要求
弥补防火墙产品的不足
提高安全响应能力
在关键节点部署入侵检测系统,及时发现非法行为及误操作,满足行业政策法规有关威胁检测方面的技术要求。
弥补一般防火墙产品无法检测复杂协议、组合攻击以及内部攻击等行为的不足。 通过及时通告有价值的告警信息,并提供威胁处置办法,提高安全事件响应能力。
主要功能
智能协议识别
入侵行为检测
未知威胁检测
采用被动检测的方式对网络数据包进行解析,并与系统内置的协议特征、设备对象等进行智能匹配,帮助用户尽快了解和掌握网络中的业务通信行为,及时发现潜在的安全威胁。
内嵌丰富入侵攻击特征,可对常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击行为进行有效识别和准确检测。 通过云沙箱技术,智能检测采用变形、隐藏技术等处理手段的未知威胁,增强威胁发现力。
日志及告警管理
对监测到的大量事件进行有效识别和过滤,只显示有价值的告警信息;提供原始报文日志,帮助用户甄别报警的真伪,并作为取证的依据。
产品优势
· 强大的分析检测能力
内置丰富的攻击特征库,结合硬件加速信息包捕捉技术来探测包括PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为,并及时告警。
· 超低的误报率和漏报率
采用TCP/IP数据重组、目标和应用程序识别、完整的应用层有限状态追踪、应用层协议分析、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。
· 丰富的统计报表
能够为用户提供丰富的动态图形报表,以及数十种分析报表模版和向导式的用户自定义报表功能。
· 简单的部署方式
采用旁路部署方式,不会对网络造成任何影响。
部署位置拓扑
5.3.2.5工控漏洞扫描系统
工控漏洞扫描平台是对工控网络脆弱性分析、评估的综合管理系统。该系统通过丰富的工业控制系统漏洞库,对控制设备、应用或系统的已知漏洞进行识别和检测,及时发现安全漏洞,客观评估工控网络风险等级,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在漏洞全面评估的基础上实现安全自主掌控。
客户价值
提升用户对工控系统的漏洞检测能力
为工控系统的测评、检查等提供有效、全面的评估工具
提供有效的安全风险修复建议和预防措施
降低因漏洞影响带来的经济风险
主要功能
资产发现与管理
工控系统漏洞扫描
脆弱性风险评估
综合运用主机存活探测、智能端口检测、工控协议指纹对比、操作系统指纹识别等多种手段,全面、快速扫描网络中的存活设备,准确识别其端口情况、操作系统以及开放的服务等设备属性。
采用渐进式的扫描方法对SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描,准确定位其脆弱点和潜在威胁。 采用最新的CVSS标准对所有漏洞进行统一评级,客观的展现其危险级别。帮助用户明确工控网络的脆弱性风险等级,制定合理的管理策略。
扫描结果灵活展示
采用饼状图、柱状图、雷达图等方式可视化展示工控网络资产漏洞风险分布情况,灵活定制各类报表。
产品优势
· 无损的扫描技术
采用无损的工控设备探测发现技术,对被测对象“零影响”。
· 丰富的漏洞特征库
漏洞库数量达万余条,并提供漏洞详情和对应的修复建议。支持漏洞库在线和离线升级。
· 直观的威胁态势呈现
直观展现过去一段时间内工控系统中的漏洞和风险点变化趋势,帮助用户整体把控工控网络安全态势。
· 开放的接口服务
提供第三方开发接口。
部署位置拓扑
5.3.3工控系统主机安全产品
5.3.3.1工控主机安全加固系统
主机安全加固系统是对工业现场上位机和服务器操作系统进行安全加固的软件产品。该产品从提高主机操作系统本身的安全性出发,以可信认证为基础、访问控制为核心,采用“三权分立”的管理机制,通过对文件、目录、进程、注册表和服务的强制访问控制,有效制约和分散原有系统管理员的权限,结合文件和服务的完整性检测、防缓冲区溢出等功能,将普通操作系统透明提升为安全操作系统,大大增强工业主机安全性,满足国家信息安全等级保护要求中有关主机安全技术的相关要求。
客户价值
满足主机安全防护政策方面的技术要求
杜绝主机安全管理和技术方面的不足带来的安全隐患
弥补传统信息安全防护手段的缺陷
部署主机安全加固系统,将普通操作系统透明提升为安全操作系统,满足国家及行业政策有关主机安全的技术要求。
通过技术手段,将因安全管理体系及技术防护方面的不足导致的主机安全隐患降到最低。
弥补传统信息安全防护手段无法深入检测及防护操作系统内部安全威胁的缺陷。
主要功能
身份鉴别
强制访问控制
剩余信息保护
支持USB Key和密码双重身份鉴别功能,只有使用合法的USB Key,并输入正确的口令才可以对系统进行管理和维护。
支持文件、进程、注册表及服务的强制访问控制,并可根据需要对不同安全级别的主客体的访问权限进行合理控制,实现权限最小化。 全透明接管原系统删除操作,完全清除用户鉴别信息、系统内的文件、目录和数据库记录等残留信息。
安全审计
入侵防范
外设控制
详细记录安全事件、管理员对操作系统的操作、安全管理员和审计管理员对服务器安全加固系统的操作等。
能够对服务器和客户端的入侵行为以及程序的完整性进行检测,提供本地报警并可联动管理平台进行报警。 可对主机的外设(包括并口、串口、光驱、软驱、3G上网卡等)的使用进行严格管控。
产品优势
· 高度合规性
完全符合电力、石油石化、轨道交通等行业对主机安全防护的相关技术要求。
· 良好的兼容性
支持Win2000、WinXP、Win7、Server2003、Server2008等主流Windows操作系统及Debian、RHEL、CentOS等主流Linux操作系统。
· 强大的自身安全防护机制
具备强大的安全保护机制,杜绝自身的文件、进程或注册表项被有意或无意地停止、篡改或删除等行为。
部署位置拓扑
5.3.4工控系统安全管理产品
5.3.4.1工控统一安全管理平台
统一安全管理平台是对工业网络中的安全产品及安全事件进行统一管理的软硬件一体化产品。通过对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理,实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等,降低运维成本、提高事件响应效率。
客户价值
帮助用户满足合规性要求
提高运维效率,降低维护成本
辅助完善安全防护体系
对安全计算环境、安全通信网络、安全区域边界进行统一管理,构建“一个中心,三重防护”体系,满足行业政策法规及技术要求。
集中管理工控网络中的安全设备或系统,减少管理人员工作量,降低企业人力资源投入。 帮助用户掌握现有安全态势,辅助其完善安全防护体系,如制定安全防护制度,增加安全防
护措施等。
主要功能
安全域管理
安全设备集中管理
主机安全统一管理
采用接口划分的方式,实现安全域的管理,帮助管理人员提高工作效率,降低操作风险。
集中管理工控网络中的安全设备,包括设备状态监控、拓扑管理、系统配置管理、日志管理等。 统一管理工控网络中的主机,包括模板配置、策略下发、主机状态监测、日志管理等。
日志管理分析
可信主机管理
对工控网络中的安全日志(如:攻击日志、流
量日志、访问日志、主机日志、系统日志)进行汇总、关联分析并形成报告,为工控网络安全事件分析和调查取证提供依据。 支持配置可信主机,只有在可信列表中的主机才可登录统一安全管理平台。
产品优势
· 全面的安全日志审计
全面记录工业网络中的主机安全日志、安全防护日志、流量日志、异常攻击监测日志、攻击发生时的原始报文信息等,便于安全事件分析和调查取证。
· 高速率加密传输通道
采用私有加密方式进行通信,防止数据包遭到恶意截取或篡改,保障数据的有效性和安全性。
· 丰富的日志报表展示
系统内置丰富的报表模板,包括统计报表、明细报表、综合日志审计报表等,通过报表生成调度器,定时自动生成日报、周报、月报、季报、年报,并以邮件等方式自动投递。
· 友好的用户操作界面
系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界面,方便管理人员日常操作管理。
· 支持第三方扩展
提供第三方接口,便于用户二次开发。
部署位置拓扑
七、本人安全设计思想的概述
个人感觉工控系统的安全防护注重在对企业内部建设一套完备的安全体系,也就是前面提到的三大防护体系,搭好这个框架并进行有效合理的运行再配上具体的设备,我感觉就一定能保障工业控制系统的安全运行。
本设计方案也不针对某个具体的企业,它具有普遍性,普遍适用于各个自动化工业的企业。虽然每个企业的设备不同,网络架构的拓扑图也不同,但是他们的基本的生产架构基本类似,我们可以根据他们需要的各个地方加上安全设备进行安全防护。
参考文献:
1、对于三大安全防护体系的内容,来自中国知网期刊张敏、张五一、韩桂芬的《工业控制系统信息安全防护体系研究 》。
2、工控系统的所有产品与功能、概述与客户价值以及拓扑图等取材于中国最好的工控系统安全防护公司——威努特的官网,产品一栏,非常详细。
3、工业控制系统等级保护测评取材于中国知网的李富勇,闻宏强,赵一凡《工业控制系统信息安全等级保护测评的研究 》。
4、工控安全需求分析见鉴了《中国科学院沈阳自动化研究所》的PPT。
5、有些地方直接用天融信公司老师李有添的内容。比如:大的框架、等保内容。
