下载文档原格式
2016.03.29工业控制系统信息安全整体解决方案
北京威努特技术有限公司CEO:龙国东
威努特—工控安全专家内容提纲
1
威努特公司介绍
传统IT安全在工控系统应用困境
2
威努特工控安全技术理念
3
威努特工控安全解决方案
4
成功案例
5
威努特—工控安全专家公司简介
☐北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。
☐我们致力于为企业客户提供工控安全整体解决方案与服务,帮助企业客户识别工控系统安全风险,掌控工控安全现状与趋势,提高工控安全防护与事件响应能力。
☐公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队组成的专业化团队。
可为企业客户提供:
稳定可靠的工控安全防护产品;
专业深度的工控安全咨询培训;
全方位的安全服务:风险评估/漏洞挖掘/渗透测试/攻防演练;
☐帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。
Page 3。
威努特工控安全监测与审计系统产品白皮书北京威努特技术有限公司目录一.引言 (3)1.1工业控制系统面临的主要安全问题 (3)1.2工控安全审计平台能够解决哪些问题 (5)二.威努特工控安全审计平台 (5)2.1产品概述 (5)2.2产品架构 (6)2.3产品优势 (7)2.3.1工控协议指令级检测与审计 (7)2.3.2支持私有工控协议的扩展接口 (8)2.3.3高性能的深度解析及检测能力 (8)2.3.4专为工控环境设计的工业级硬件 (8)2.3.5自主可控的工控安全操作系统 (9)2.3.6针对工控行业用户习惯设计的使用体验 (9)2.4主要功能 (9)2.4.1工控网络异常检测 (9)2.4.2工控网络攻击检测 (10)2.4.3工控关键事件检测 (11)2.4.4工控网络连接视图 (11)2.4.5告警事件统计 (12)2.4.6网络连接统计 (13)2.4.7网络通信记录回溯 (14)2.4.8短信告警 (14)2.5典型部署 (14)三.客户价值 (16)3.1及时发现网络攻击,减少系统停车时间 (16)3.2为安全事故的调查,提供详实的数据支持 (16)3.3通过网络通信可视化,提高工控网络运维效率 (16)一.引言1.1工业控制系统面临的主要安全问题目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。
工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。
未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。
传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,工业控制系统面临如下常见的安全问题:●工业控制协议缺乏安全性考虑,易被攻击者利用专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等,导致容易遭受攻击。
典型SCADA系统安全防护案例分享一、前言工业控制系统已广泛应用于电力、轨道交通、石油化工、航空航天等工业领域。
目前,大量的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化操作。
工业控制系统已经成为国家关键基础设施的重要组成部分。
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。
由于工业控制系统广泛采用通用网络设备和IT设施,以及与企业信息管理系统的集成,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。
二、项目背景国内某知名油田分公司下属采气厂所辖探区范围广阔,天然气探明储量具有举足轻重的战略地位,是油田最具开发潜力的区块之一。
该采气厂同时负责多个气田及其他探区的开发建设和管理,承担着部分气量转输以及向华北地区及周边城市供气的艰巨任务。
采气厂在2015年8月和2016年5月,先后发生两次异常停机事件,事件影响恶劣并直接造成了巨大的经济损失,然而事故原因无法查证。
事件引起公司管理层对工业控制系统安全的高度重视,并将工控系统安全防护提升到战略层面。
三、需求分析从接到客户需求的那一刻起,北京威努特技术有限公司(以下简称威努特)以实时高效为前提、安全可靠为目标、主动防御为手段,力求为该采气厂工控系统的安全防护量身打造精准的解决方案。
工控系统安全防护区别于信息系统安全防护的一个重要特征就是:防护的方案一定是基于对客户生产工艺流程的了解。
从大的方面讲,工控安全是生产安全的一部分,所有安全防护的目标就是保证生产的安全稳定运行,因此工控系统的实地调研和风险评估是一个非常重要的环节,通过该环节,才可以真正让安全需求落地。
经过调研和评估,威努特总结出如下几个关键的安全薄弱环节:●管理网与外网连接,生产网与管理网互通,生产网与管理网边界存在重大安全隐患。
●作为数据采集及存储的关键部分,OPC 服务器存在诸多安全隐患。
●工业控制相关的应用系统普遍存在弱口令问题,这也反映出安全意识的不足。
基于OPC协议的工控网络系统防护浅析1. 协议概述提到OPC协议,大家想到最多的就是OPC Classic 3.0,实际上现在OPC协议有两个大类,一种是基于微软COM/DCOM技术的“Classic”,另一种是基于Web service的OPC UA。
前者在DCOM协议之上,诞生较早,已广泛应用在各种工业控制系统现场,成为工业自动化领域的事实标准。
后者与前者比出生较晚,但在设计时考虑了安全因素,有了加密机制,不过目前应用范围较小。
本文主要讨论的是前者在工控系统中的防护。
微软的DCOM协议是在网络安全问题被广泛认识之前设计的,而基于DCOM协议的OPC Classic基本没有增加任何安全相关的特性,几乎所有著名的工业自动化软件(包括HMI软件、先进控制与优化软件、监控平台软件、综合集成软件等)都是基于windows平台开发,都采用或部分采用了OPC技术,所以对使用OPC协议进行通信的工控系统进行防护也变得复杂和困难。
2. 动态端口与大多数应用层协议不同,OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接之前通讯双方还需要协商需要使用的端口。
示例图如下:图1 OPC动态端口协商过程上图中,OPC客户端使用5568作为源端口首先向OPC服务器的135端口发起连接,连接成功后再经过OPC服务器分配新端口1118,并通过接口ISystemActivator的方法RemoteCreateInstance的应答报文返回给客户端,之后客户端使用5569作为源端口向服务器的1118端口发起新的连接用来后面的真正数据的传输。
3. 面临的安全威胁基于OPC协议的工控网络系统面临各种各样的威胁。
在“两网”融合的大背景下,工业控制系统的隔离性被打破,面临来自网络的威胁空前加剧。
无用端口的开放、工业软件依赖的操作系统本身存在的安全漏洞、工业协议本身安全性的缺失等等都将给工业控制网络带来巨大的安全隐患。
在真正接入到企业管理网、互联网之前,基于OPC协议的工业控制系统必须加入相应的安全设备进行防护,才能提高自身网络的安全。
工信部网站2017年06月15日正式发布“工业和信息化部关于印发《工业控制系统信息安全事件应急管理工作指南》的通知”,同时发布“《工业控制系统信息安全事件应急管理工作指南》解读”,对我们工控安全企业有重大指导意义,下面是我的一些学习心得。
一、《指南》出台的背景我认为指南的出台是多方面因素共同作用的结果,第一是政策因素,这点在《解读》中说的很清楚,国家“十三五”规划《纲要》、网络强国、中国制造2025及“互联网+”等一系列战略部署的推进实施,对我国工控安全保障工作提出了更高的要求,迫切需要快速提升工控安全保障水平和事件应急处置能力;也是进一步贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》和《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》的重要举措。
第二是政治因素,为迎接十九大召开,预防研判、有效应对可能出现的工控安全事件非常重要,迫切需要完善工控安全管理体系。
第三是事件诱因,2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,对我国企事业单位也造成了不小的影响,工业企业近年在《工业控制系统信息安全防护指南》等一系列规定指导下工控安全建设长足进步,在面对WannaCry时起到了良好效果,受损较小,但也暴露了一些问题,反映了现有安全事件应急处理的不足。
多方合力,有了《指南》的迅速出台。
二、《指南》是一部组织基本法为什么这样说,《指南》不是具体的技术指导,而是为了构建一个成熟的工业控制系统信息安全事件应急管理体系,这个体系包含四大要点:一是职能职责;二是组织机构;三是规章制度;四是资源(人、财、物)。
我将从这四个点说说自己的理解。
1、职能职责概括就一句话,在《指南》总则第四条中说的很清楚“做好工控安全事件的预防和处置工作”。
分开来说也很清楚:(1)监测通报:工业和信息化部指导国家工业信息安全发展研究中心等技术机构,组织开展全国工控安全风险监测、预警通报等工作,提升情报搜集、态势分析、风险评估和信息共享能力。
产品概述客户价值Product Overview Customer Values威努特可信边界网关(TEG)是威努特公司全新推出的工业控制可信网关系列产品,保护工业控制网与管理信息网之间的边界,支持对OPC等数采协议的深度解析,阻止来自管理信息网的安全威胁,自主知识产权杜绝后门隐患完全自主的知识产权,能够帮助涉密单位、关系国计民生的大型工业企业对工控网络进行安全防护和安全加固,杜绝安全后门隐患,响应国家信息安全国产化政策及号召。
提高工控系统稳定性减少系统停车时间能够有效检测到工控网络中的通信异常和协议异常并加以阻止,进而避免工控系统的意外停车事故。
同时,基于“白环境”理念的解决方案无需对工控网络结构进行改造,避免频繁升级工控系统,减少系统维护停车时间。
提高运维效率降低维护成本帮助用户建立统一的工控安全防护、威胁预警、故障排查平台。
具有丰富的管理功能,友好的用户界面,人性化的统计报表,极大的提高了企业工控安全管理的效率。
使企业工控安全管理简单易行,安全信息和日志再也不会如天书般难懂。
OPCModbusDNP3 IEC104Profinet层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对OPC等协议进行深度分析,防止应用层协议被篡改或破坏。
利用威努特可信边界网关可以建立可信任的数采通信的模型,采用黑白名单互补的安全策略,过滤一切非法访问,保证只有可信任的设备才可以接入工控网络,只有可信任的流量才可以在网间传输。
为控制网与管理信息网的连接提供安全保障,在电力、石油、石化、烟草及工业制造等多行业得到广泛应用。
威努特可信边界网关提供工控协议深度解析、工控指令访问控制、日志审计等综合安全功能。
可信网关采用了高性能、高稳定性的多核硬件架构,为用户提供高效、稳定的安全保障。
产品优势Product Advantages支持私有协议的开发平台接口威努特可信边界网关提供SDK,开放的平台接口可以方便客户自行扩展支持私有协议,以及做定制化的二次开发。
工控系统安全威胁建模入门安全开发生命周期近来工控安全日益受到大家的重视,但是大部分时间大家谈论的主要还是边界安全、网络安全、主机安全、日志审计等,今天我们换个话题,聊一聊工控系统(产品)开发过程中的安全设计。
工控系统(产品)开发和传统的软件过程一样,也可以大致分为需求、设计、编码、测试、发布维护等几个阶段。
要实现一款安全的工控(系统)产品,安全必须从需求开始就被考虑进去,否则很难保证最终版本的安全。
ISASecure是国际最权威的工控系统(产品)安全认证机构,其对工控系统(产品)的安全认证要求就包括安全开发过程的评估,要求安全必须是在开始就被正确的设计(审核安全开发生命周期相关文档),并最终落实到产品中(审核设计的安全属性是否正确落实到产品中,可以在产品中验证)。
所以,安全开发是贯穿工控系统(产品)的整个生命周期的事情。
一个完整的工控系统(产品)开发生命周期如下图:在该图中,上半部分是业务开发生命周期,下半部分是安全开发生命周期,两者融合在一起形成完整的系统(产品)开发生命周期。
我们今天主要讲讲安全设计阶段的威胁建模。
威胁建模威胁建模是安全设计的一部分,目的是识别系统里的安全风险,确保系统被安全的设计。
风险,指没有发生的,可能带来损失或伤害的危险。
要识别没有发生的事情,就需要使用抽象的方法和概念来思考问题,也就是安全威胁建模方法。
使用安全威胁建模的方法,可以更全面的识别出系统的安全威胁,有利于设计更安全的系统。
一个可靠安全的系统一般都需要做两种模型分析:系统业务模型、安全威胁模型。
安全威胁建模有多种方法,我们今天讲的是来自微软的STRIDE建模方法,这个方法被广泛应用于微软的各个产品。
STRIDE 是5个英文单词的缩写,包括:●Spoofing 假冒:伪装成非自己真实身份的人或物。
●Tampering 篡改:修改自己不应该修改的东西。
●Repudiation 否认:宣称自己没做某事(不管是否做了)。
大话工控安全“白环境”
编者按:本文的目的是尽量通俗的让那些对工控安全感兴趣,但对如何做安全防护却不甚了解的读者理解工控安全的技术特点。
工控安全这个安全的细分领域现如今也是流派纷呈、百家争鸣、欣欣向荣的景象。
概括来讲,厂商可以分成三个大类:自动化背景的厂商、传统IT安全厂商和专业工控安全厂商(对这部分详情感兴趣的读者可以参考我司公众号上的相关文章,这里不再细表)。
北京威努特技术有限公司属于第三种类型-专业工控安全厂商,因为专业,所以专注,因为专注,所以创新。
小威在客户现场经常会被人问到如下一些问题:我们的方案是如何设计定的?产品是如何工作的?防护的效果是怎么样的?小威是一个专业的技术人员,于是乎会不厌其烦、滔滔不绝的给客户讲方案、讲技术……,但面对的听众其技术基础不尽相同,琴瑟和鸣的情况也有,但曲高和寡的情形更多。
今天我们就大话一下小威公司在业界首创的工控安全“白环境”解决方案。
开讲之前,上个图先,正所谓有图有真相。
工业控制系统的安全问题有别于传统IT网络安全问题,因此在技术理念和产品实现上也完全不同。
威努特创新性的提出了建立工控系统的可信任网络白环境和工控软件白名单理念,为客户构筑工控系统“安全白环境”整体防护体系,保护国家基础工业设施安全。
•只有可信任的设备,才能接入控制网络;
•只有可信任的消息,才能在网络上传输;
•只有可信任的软件,才允许被执行。
我们的防护理念:从“黑”到“白”,从“被动防御”到“主动防护”。
理念过于技术化,大家会表示看不懂,那么让我们一一解惑。
这是如何做到的呢?
网络分层、区域隔离,只有可信任的主机间才能通信,主机上只有可信任的软件才能运行,只有可信任软件发送的工控消息才能在监控网与控制网传输。
何为可信任的主机?
经过技术检测及处理过并安装了可信卫士的主机。
何为可信任的软件?
经过技术鉴定完整可用的业务相关软件(存在于可信卫士白名单中的软件)。
什么样的工控消息是可信任的?
由可信任的业务软件发出的到另一台可信设备之间的且额定参数在合理区间的数据消息。
以上基础的白环境中需要使用两个基础产品:可信网关、可信卫士。
下面我们来简要的说下,它们是如何工作的。
先说可信网关的产品架构:它采用专用多核硬件平台,主处理器为专用MIPS架构,自主设计开发的威努特智能工控安全操作系统集设备智能调度、工控协议解析、内容检测审计于一体,极大提高了底层硬件的安全性、工控协议解析处理速度。
可信网关的架构看完了,再来介绍下功能,比如防火墙的功能大家都知道,但是它是怎么实现的呢?
五元组 + DPI
五元组是通信术语。
通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议;DPI是通信术语,这里指工控协议的深度解析;
话说有个土匪A,要到城里搞事情,在进城时被抓捕了,因为他说自己是从A处来,要到金库去兑换外币,而A是个匪山,源就不被信任且金库不兑换外币(五元组不符);
第二天土匪B来了,他说自他说自己是从邻市来的,要到金库去检修损坏的设备,也被抓捕了,因为检查工具包的时候发现了不和谐器具而不是检修工具(DPI解析,协议不符合);
五元组+DPI 实现了网络访问和工控协议的管控,那这样是不是万事大吉了呢?
NO!
第三天有个“聪明”的土匪C,化妆成了李铁柱(金库员工)想进城到金库搞事情,依然抓捕了!
土匪想不明白,自己绕过了五元组、绕过了DPI的协议识别,怎么还是被发现了呢?!
………
原来警察(可信网关)对金库的每位员工的身份(值域)、工作内容(控制指令)等细节立了白名单库(可信安全通信模型)。
铁柱是位优秀的员工,但她是位女士 ~~ 土匪却是男性!这就是白名单思想~
在工业网环境中相比信息网要“单纯”很多,可信安全通信模型其威力强大有着得天独厚的优势,如该技术可以抵御0Day恶意软件和有针对性的攻击等。
可信网关使用以上技术打出一套组合拳,去解决现今工控行业遇见的安全问题以及隐患,如:
防止非法的对工控系统的指令操作;
防止非法身份的用户对工控系统的访问;
防止非法时间段对工控系统的操作;
防止非法协议进入工控系统。
威努特工控主机卫士具有完全自主的知识产权,能够帮助涉密单位、关系国计民生的大型工控企业对工控系统工作站、服务器进行安全防护和安全加固,杜绝安全后门隐患,使用先进的白名单防护技术,能够有效抵御病毒、木马、恶意软件、零日攻击对工控网络工作站、服务器的攻击与破坏行为,真正帮助企业发现工控网络攻击,解决安全问题,使企业的安全投入物有所值。
工控主机卫士是运行在主机操作系统上的白名单思想的安全防护软件,工控主机卫士的
白名单和可信网关的白名单名字一样但意义不同!!(此处重点理解~)
首先,主机在安装工控主机卫士之前我们会进行技术检测,确保主机就当前情况下是安全的,业务软件是完整可用的(想知道怎么做的吗?欢迎技术交流~)。
其次,安装我们的工控主机卫士到主机上,简单配置后开启安全防护。
我们的可信卫士内置白名单list,目前的操作系统及工控组态软件大部分文件已经被我们收录,如果现场主机上的组态软件没有被收录可信卫士也有手动追加白名单的功能。
在开启防护后,没有在白名单内的可执行程序(PE类、脚本语言类)将不允许执行(来我们这交流啊!我们当面告诉你~)。
再次,工控主机卫士还可以对操作系统完整性、进程完整性进行检测,也对移动存储等外设设备进行控制(工控主机卫士还有很多功能,再次欢迎技术交流~)。
随着工业4.0及两化融合的趋势到来,传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战,受到越来越多的企业及政府关注。
针对广泛分布于工控网络的工作站、服务器等设备,北京威努特技术有限公司提供了基于白名单主动防御技术的威努特工控主机卫士产品,和威努特可信网关、检测与审计系统一起构建可控、可靠、可管理的工控网络“白环境”纵深安全防御体系。
这就是我们的解决思路,我们的设备,我们的方案。
关于工控安全的宏观思考,行业方案可参见我司公众号的其他文章。
