智能制造行業工控系統網絡安全整體解決方案CONTENTS目錄工控網絡安全形勢概述01智能制造行業網絡安全現狀02智能制造行業網絡安全解決方案0304方案合規性對比分析01工控網絡安全形勢概述安全趨勢安全事件安全政策IT技術&OT技術深度融合新技術的應用使得原來封閉的工業控制系統網絡越來多的縱向開放，在工業互聯網、兩化融合、智能制造的大趨勢下工業控制網絡不可避免會遭遇更多的網絡威脅工業控制系統走向對外開放工業控制系統走向內部互聯普度模型工業控制系統網絡安全現狀工控系統安全事件在近幾年呈現穩步增長的趨勢，2020年公開報道的工業信息安全事件約70件，涉及8大領域2020年全球工控安全事件涉及領域分布2012-2019年全球工控安全事件報告數量資料來源：國家工業信息安全發展研究中心整理2018年8月，臺積電因被勒索病毒攻擊的計算設備接入工業控制系統，造成部分生產中斷，損失高達數億美元；2019年3月，世界最大綜合鋁業集團之一挪威海德魯公司旗下多家鋁廠工控系統遭到攻擊，造成工廠大面積停工;2019年6月，美國飛機零部件供應商ASCO遭勒索軟件攻擊，導致比利時Zaventem工廠IT系統癱瘓、工廠無法運營；2020年11月，研華科技被Conti勒索軟件團伙通過TrickBot木馬入侵，最終繳納約1446萬美元贖金。新型勒索病毒直指工業控制系統新型勒索軟件能終止關鍵工業控制系統進程；FireEye公司報告顯示，2020年已經有千余個工控系統軟件進程被列入勒索軟件終止進程的“黑名單”。工業控制系統網絡安全現狀安全漏洞持續增加資料來源：國家工業信息安全發展研究中心整理2020年工業信息安全態勢報告2020年，CICSVD共收錄工業信息安全漏洞2138個，交2019年上升了22.2%，其中通用型漏洞2045個，事件型漏洞932個。CICSVD收錄漏洞月度分布情況自身脆弱性明顯工控系統為了保證工業過程的可靠、穩定，對可用性的要求達到了極高的程度（舍棄了較多場景下的CIA3要素-即保密、完整、可訪問性），因此工控系統自身的脆弱性是與生俱來的。依托國家工業信息安全監測預警網絡，通過工控蜜罐全年捕獲來自境外惡意網絡攻擊200余萬次，從攻擊協議分析，S7Commn和Modbus兩種主流的協議遭受攻擊次數最多。臺積電勒索病毒事件病毒影響范圍：感染病毒原因：2018年8月3日，臺積電感染WannaCry病毒病毒特征及傳播：?感染的廠區包括竹科Fab12、中科Fab15、南科Fab14等；?WannaCry變種病毒通過445端口進行傳輸；?將word，excel，ppt，rar，pdf，txt等進行加密，無法打開；?電腦主機出現宕機或不斷的重新啟動。?新臺機接入時，未進行隔離，確認無病毒，直接聯網；?所有機臺生產程序放在云端，每次生產需要重新下發安裝；為提高效率，取消了各廠區間的防火墻；?主機設備及系統過于陳舊，未進行升級，未安裝防病毒軟件。造成經濟營業損失約2.55億美元某集團不銹鋼廠挖礦病毒事件病毒影響范圍：感染病毒原因：2019年2月，某不銹鋼廠生產網多臺服務器、工程師站和操作員站中招挖礦病毒病毒特征及傳播：?感染生產網電爐區域、精煉爐區域、轉爐區域和VOD區域等；?“Miner”變種病毒通過445端口進行傳播；?Windows2000server、windowsxp系統不斷藍屏；?未采取技術手段對USB接口進行管控；?所有服務器、操作站均未采取任何主機層面的安全防護措施；?設備及系統過于陳舊，未進行升級。國家頂層設計，行業規范驅動安全建設法律法規2017年6月1日《中華人民共和國網絡安全法》正式施行建設標準2019年12月1日GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》正式執行指導文件2016年10月19日工信部印發《工業控制系統信息安全防護指南》指導工業企業開展工控安全防護工作工業控制系統信息安全防護指南行業要求2019年8月28日工信部聯網安〔2019〕168號《十部門關于印發加強工業互聯網安全工作的指導意見的通知》加強工業互聯網安全工作的指導意見工業控制系統信息安全防護指南指導文件2016年10月19日工信部印發《工業控制系統信息安全防護指南》指導工業企業開展工控安全防護工作工業控制系統信息安全防護指南一、安全軟件選擇與管理二、配置和補丁管理三、邊界安全防護四、物理和環境安全防護五、身份認證六、遠程訪問安全七、安全監測和應急預案演練八、資產安全九、數據安全十、供應鏈管理十一、落實責任建設標準2019年12月1日GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》正式施行信息安全技術網絡安全等級保護基本要求加強工業互聯網安全工作的指導意見1、依法落實企業主體責任。工業互聯網企業明確工業互聯網安全責任部門和責任人，建立健全重點設備裝置和系統平臺聯網前后的風險評估、安全審計等制度；3.健全安全管理制度。圍繞工業互聯網安全監督檢查、風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制，強化對企業的安全監管；6.夯實設備和控制安全。督促工業企業部署針對性防護措施，加強工業生產、主機、智能終端等設備安全接入和防護，強化控制網絡協議、裝置裝備、工業軟件等安全保障；16.支持工業互聯網安全科技創新。加大對工業互聯網安全技術研發和成果轉化的支持力度，……，加強攻擊防護、漏洞挖掘、態勢感知等安全產品研發。支持專業機構、高校、企業等聯合建設工業互聯網安全創新中心和安全實驗室。探索利用人工智能、大數據、區塊鏈等新技術提升安全防護水平。行業要求2019年8月28日工信部聯網安〔2019〕168號《十部門關于印發加強工業互聯網安全工作的指導意見的通知》加強工業互聯網安全工作的指導意見02智能制造行業網絡安全現狀安全問題需求分析智能制造業現場存在嚴重病毒問題病毒問題突出大部分工控主機未安裝殺毒軟件；殺毒軟件病毒庫嚴重過期；大部分工控系統帶毒運行；傳統殺毒軟件將生產程序識別為病毒進行隔離。智能制造業現場存在軟件濫用問題軟件濫用非生產相關軟件泛濫；安裝有多種無線網卡驅動；Teamviwer、向日葵等遠程管控軟件，結合無線網卡，引入巨大安全風險。智能制造業現場存在的其他安全問題網絡架構問題、U盤濫用等生產網辦公網共用網絡設備和終端設備；違規外聯，生產設備直連互聯網；外設使用無管控，存在U盤濫用、手機隨意接入問題。安全問題應對及需求分析必須保證辦公網和生產網安全隔離；應強化網絡邊界處的控制規則，只允許業務相關通信端口開放；進行協議深度解析，只允許業務協議通過，其它協議一律禁止。未知攻擊已經成為破壞工控系統的攻擊利器，所以采取的安全技術必須能夠有效的檢測和防范未知攻擊。安全問題從來就不是單純的技術問題，必須要把技術措施和管理措施結合起來，更有效的保障制造工控系統的整體安全性。邊界安全內外兼防未知攻擊防范安全管理移動介質管控惡意代碼防范必須加強防范內部攻擊和破壞，防止內部的非法外聯、內聯的行為發生；對內部不同區域之間要采取進行邊界隔離。傳統的殺毒軟件在制造業中是不適用的，需要提出一個新的技術手段能夠有效的防范惡意代碼攻擊，尤其是未知惡意代碼。移動存儲介質是制造業的主要病毒擺渡途徑，所以必須加強移動介質的管控，避免非授權，非安全移動介質接入到業務系統內。03智能制造網絡安全解決方案設計思路解決建設技術體系評估檢查安全建設風險評估差距分析明確目標PDAC安全規劃日常運營安全運維安全培訓方案設計確定方案方案實施管理制度自行檢查等保測評應急演練不斷改進智能制造行業網絡安全工程設計思路安全運營切入點—全面風險評估，尋找問題癥結點風險評估分析是對智能制造企業生產網絡內各資產進行安全管理的先決條件，其目的在于識別和評估用戶所面臨的生產安全風險和網絡安全風險。風險分析的典型內容：工控系統資產梳理，分析價值；識別已有的安全防護措施；資產脆弱性及面臨的威脅分析；安全風險綜合分析。基于“白環境”的“縱深防御安全防護技術體系”區域邊界隔離網絡通信異常監測工業主機安全防護工控系統運行環境加固集中管理態勢感知安全運維智能制造行業典型網絡架構智能制造生產系統分為管理網、MES和生產網三層架構。管理網負責工廠整體管理，包括生產數據管理、企業資源計劃、計算機輔助設計等；MES層包括工廠信息管理系統（PIMS）、先進控制系統（APC）、歷史數據庫、計劃排產、倉儲管理等；生產網與生產控制直接相關，包括監控中心、生產監控服務器、機臺工作站、操作員站、機器人、機臺設備等。智能制造行業網絡分區分域根據智能制造不同的網絡層級、不同車間的不同工藝流程情況，劃分安全域，結合縱深防御理念，構建安全防御體系。車間安全域監控安全域MES安全域管理安全域強化安全區域邊界訪問控制能力工業防火墻工業互聯防火墻ACL+應用級白名單工控協議合規性驗證協議功能碼、值域控制控制邏輯合理性驗證

生產辦公邊界隔離流量及威脅可視全面的Web防護強大的應用識別能力工業互聯防火墻工業防火墻工業防火墻ACL+白名單配置ACL訪問控制規則，僅允許業務相關IP通過工控協議深度解析，形成協議白名單，保證只有可信任的協議、指令才允許通過針對具體指令的具體值域范圍進行保護工業互聯防火墻支持工控協議識別、入侵防御、病毒防護、WEB防護等功能提高網絡內、外入侵和惡意代碼防御能力基于應用級白名單的行為監測關鍵網絡節點基于流量的未知威脅監測生產核心網絡對APT攻擊的實時檢測網絡威脅感知系統工控安全監測與審計系統入侵檢測系統入侵檢測系統工控安全監測與審計系統網絡威脅感知系統工控安全監測與審計系統-工業協議白名單工控安全監測與審計系統-值域告警網絡威脅感知系統（APT）通過檢測網絡流量中的DGA域名，有效定位網絡內部已經被僵尸/木馬控制的主機用多個反病毒引擎對流量中的文件進行交叉檢測和交叉驗證，從而發現其中的已知威脅采用基因圖譜模糊比對技術，結合惡意代碼變種檢測技術，將可疑文件映射為無法壓縮的灰階圖片，根據相似度判斷是否為威脅變種利用聚類分析和文件追溯技術，對文件具有多個惡意行為且成功逃過多個反病毒引擎進行檢測，判斷文件極有可能為新型的惡意代碼，即未知威脅入侵檢測系統提高網絡違規內聯、外聯檢測能力關閉不必要端口交換機進行IP/MAC綁定工控主機衛士開啟非法外聯策略工控主機衛士工控主機衛士提高系統內主機病毒防范能力切斷惡意代碼/病毒通過U盤擺渡到生產系統內部的途徑文件級白名單，防止惡意代碼/病毒/非法軟件執行工業控制系統不允許接入互聯網，傳統安全解決方案難以及時更新緩沖區溢出、0day漏洞利用等攻擊方式，傳統殺毒軟件存在短板殺毒軟件或將業務軟件誤識為病毒而刪除工控主機衛士工控主機衛士一鍵式安全加固，提高主機安全基線一鍵安全加固內置42條安全基線規則一鍵式配置，降低手動加固成本工控主機衛士工控主機衛士關閉不必要的服務端口，提高入侵防范能力內置防火墻功能，關閉不必要端口工控主機衛士工控主機衛士工控主機衛士保證只有經過授權的可執行程序才可以執行保證只有經過授權的U盤才允許使用提高日志審計能力，審計日志至少保存6個月安全管理中心范式化多種類設備（主機、網絡、安全）日志快速準確的識別安全事件，發現違規行為日志審計與分析系統日志審計與分析系統集中存儲、關聯分析加強運維人員行為管理安全管理中心運維人員身份鑒別運維人員操作授權運維人員行為審計安全運維管理系統安全運維管理系統多種資源統一管理建立統一安全管理中心，強化集中管控能力安全管理中心安全產品集中管理加密傳輸通道安全可視化雙機熱備，高度可靠統一安全管理平臺統一安全管理平臺智能制造行業網絡安全總體解決方案安全管理中心工業防火墻工控主機衛士安全運維管理系統日志審計與分析系統統一安全管理平臺工控安全監測與審計系統入侵檢測系統工業互聯防火墻網絡威脅感知系統健全企業網絡安全制度與標準完善工控安全制度與標準體系，滿足國家對制造企業分級分類規定，規范網絡安全管理，強化數據安全，保障網絡安全工作的順利開展；建立企業自身的工控網絡安全制度與標準，需要企業業務主管部門、安全管理部門與我司共同配合完成，在滿足國家相關要求基礎上，能夠與企業自身生產特點相融合。一級文件：企業的工控網絡安全管理方針，能夠反映最高管理者對工控網絡安全管理下達的工作意圖等，能為所有下級文件的編寫提供方向;二級文件：各類屬于制造工控網絡安全管理的規范性制度、標準、辦法、策略文件、配置規范等;三級文件：各種體系運行所需的規范文檔模板。執行模板管理辦法規定、手冊三級文件二級文件一級文件123借鑒國家等級保護制度安全管理制度要求管理要求安全管理制度安全管理機構安全管理人員安全建設管理安全運維管理人員錄用人員離崗安全意識和培訓外部訪問人員管理制度制定和發布評審和修訂崗位設置人員配置授權和審批溝通和合作審核和檢查定級和備案工程實施安全方案設計產品采購和使用自行軟件開發外包軟件開發測試驗收系統交付等級測評服務商選擇環境管理資產管理介質管理設備維護管理漏洞和風險管理網絡安全管理系統和網絡安全管理惡意代碼防范管理密碼管理變更管理備份與恢復管理安全事件處理應急預案管理提供專業的工控網絡安全指導與服務，借鑒、支持國家等級保護合規性要求的實施，使工控網絡信息化建設與應用符合國家頂層設計要求。安全策略外包運