1、煤化工行业工控安全防御体系分享 2020.10目录/CONTENT010203风险/现状/政策 风险、现状、国家及行业相关安全政策 工控安全方案介绍 典型用户项目防护方案公司简介/典型客户公司介绍/典型客户04方案优势/产品介绍方案优势和产品特色介绍 风险、现状、政策 风险、现状、国家及行业相关安全政策01什么是安全?“无危则安,无损则全”周易“安全风险”降低到可以接受的程度。什么是制度?-抵触、怀疑(怕麻烦、不习惯)-被动接受(不自愿、不得不、怕处罚)-习惯、执行(强化、习惯、见效)-自觉执行(受益、习惯、有成就感)-主动接受、离不开(规则)制度孙悟空的紧箍咒安全风险01-1现实的安全威胁公
2、共协议公共协议的潜在风的潜在风险险现有安全现有安全体系的漏体系的漏洞洞不断延伸的网络攻击伊朗铀浓缩工厂乌克兰国家电网台积电中勒索病毒安全事件分析0501001502002503003502010年2011年2012年2013年2014年2015年关键基础设施攻击事件系列 1系列 2系列 32010年攻击事件95,2015年攻击事件295攻击比例水利行业制造业核工业电力行业采矿/化工行业交通行业石油化工23%电力20%水利17%交通13%制造13%核工业17%工控系统已经成为网络战争的必争之地,每年安全事件呈现上升工控系统威胁点MODBU(串行通讯协议)各个层次只采用了OSI层次模型中的三层:物
3、理层,数据链路层和应用层。各层都有各层相应的标准规范。u 物理层标准:EIA/TIA-485(或EIA/TIA-232)u 数据链路层标准:MODBUS Serial Line Protocol MODBUS串行线协议 u 应用层标准:MODBUS Application Protocol MODBUS应用协议工控协议的缺陷Modbus协议目前存在用于串口、以太网以及其他支持互联网协议的网络的版本工业互联网势在必行中国制造2025两化融合工业互联网工业4.0 MIS云平台 电力大数据平台 MES云平台 针对德国工业4.0,我国发布中国制造2025国家战略,目的是实现第四次工业革命的弯道超车。随
4、着物联网、人工智能、大数据、云计算等一系列新技术的发展,企业无论主动还是被动,均无可避免的被席卷入这次智能化改造的浪潮中。工控系统现场检查01-2现场遇到问题一图一:操作系统老旧图二:操作系统老旧图三:开放的端口图一:开放的端口图二:工程师站可以连无线图三:操作站防护靠自觉现场遇到问题二图一:U盘交叉使用图二:出现病毒不敢查杀现场遇到问题三u高层不重视:规模越小,要求越低;传统制造业信息化较弱;u专职管理员:普遍无专职管理员,信息化网管不懂工控;u管理体系:管理体系不健全,部分制造业只有设备使用制度;u信息安全认知:普遍较弱;u办公网渗透:所有企业互联网渗透成功率100%,大部分30分钟内都能
5、渗透成功。现场遇到问题总结 现实的安全威胁(台机电)一个不重视生产安全的企业,早晚要还安全债政策导向01-3国家的重视程度第三十一条第三十三条第三十八条第五十九条中华人民共和国网络安全法全国人民代表大会常务委员会于2016年11月7日发布中华人民共和国网络安全法,2017年6月1日施行。是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑。也是我国首次在法律层面提出关键信息基础设施保护制度。建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用 关键信息基础设施的运营者应当自行或者委托专业机构对其网
6、络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网
7、络安全等级保护制度的基础上,实行重点保护。范围界定保护要求保护义务法律责任工控标准体系自2017年6月1日起施行第5部分:工业控制安全扩展要求国能发监管201836号电力监控系统安全防护规定 2014年第14号令电力行业网络与信息安全管理办法2014317号电力监管条例2005】国务院令第432号工业控制系统信息安全防护指南工业控制系统信息安全行动计划 (2018-2020年)信息安全技术 工业控制系统安全控 制应用指南(GB/T 32919-2016)工业控制系统安全管理基本要求 (GB/T 36323-2018)工业控制系统信息安全分级规范(GB/T 36324-2018)工业控制系统风险
8、评估实施指南 (GB/T 36466-2018)工业控制系统现场测控设备通用安全功能要求(GB/T 36470-2018)工业国际标准Part TWO风险、政策篇工业过程测量、控制和自动化 网络与系统信息安全(IEC 62443)Part TWO 风险、政策篇安全政策导向Part TWO风险、政策篇工控安全防护指南9石油行业信息化标准等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国
9、家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 等级保护定级等级保护内容确定级别后的系统确定级别后的系统物理安全物理安全技术要求技术要求管理要求管理要求相关级别基本要求相关级别基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理测评内容:测评内容:73类类290项项 工控安全方案介绍 方案理念/典型用户防护方案02方案理念02-1“治未病”的安全建设理念预测策略合规防御检测响应“上医治未病”最早源自于黄帝内经上所
10、说:“上工治未病,不治已病,此之谓也”。“治未病”即采取相应措施,防止疾病的发生与发展。其主要的思想是:未病先防和既病防变。安全防护成为必备品【须与网络建设同步】“合规”已经不再是目标,而是安全线上的一条基础线。“刚需”已经不再是合规,而是源于业务自身的基本需求。需求值需求项流量数据治理APT深度行为 自动编排IAMAPI安全合规刚需云+端公有云生产网MES网信息网可视化资源池DDoSIDS防病毒加密身份认证Web安全 FWIPS数据备份全方位立体防护01020304环境人员网络制度基础物理环境f防护是安全防护的最基础工作。如:工作温湿度保持、防灰尘、防火等环境是基础安全的核心是人的安全,包括
11、生命、健康、行为、意识等。比如人员违规操作、违规泄密等人员是核心制度的意义在于执行到位,如果都按照制度执行,即使有风险也很难转变为真正的危害。制度重执行网络及信息的安全需要技术、产品来配合,防止技术性的风险网络靠技术 随着互联网+、两化融合、中国智能制造2025工控系统面临越来越大的安全压力,部分新兴或老牌DCS企业开始研发自己的安全产品;工控厂商多元化发展方案介绍02-2煤化工行业背景u 煤化工行业背景 煤化工是指以煤为原料,经化学加工使煤转化为气体、液体和固体燃料以及化学品的过程。主要包括煤的气化、液化、干馏以及焦油加工和电石乙炔化工等。u 安全防护思路 边界与内部防护:煤化工企业工业控制
12、系统的过程监控层和生产管理层之间的网络边界、过程监控层与现场控制层内部各控制装置相互间的网络边界及与第三方监控系统(如环保、安监、能耗监测等)网络边界、物理安全、主机安全、综合防护等安全防护建设与监督管理。煤化工行业安全域/层划分安全域划分(国标)煤化工常见的组网结构一煤化工常见的组网结构二安全域高安全隔离解决方案一:视频监控安盟华御视频网闸部署于视频环网与集团公司间用于对工业视频网上传到管理网,对工作环境实时监控。二:生产网管理网隔离 安盟华御工业安全隔离装置部署工业环网与监控网用于控制网生产网与监控网的安全隔离,同时过滤控制工业网实时采集向管理网上传的数据到SCADA服务器。保障控制网的绝
13、对安全。工控系统综合解决方案 堡垒机入侵检测安全审计系统安全管理区安盟华御工业安全隔离装置安全管理平台 一:隔离防护 安盟华御工业安全隔离装置部署在生产网与MES边界对 MES和生产网之间隔离,避免管理网/MES遭受攻击后威胁到生产网。安盟华御工业安全隔离装置部署在监控层和控制网之间,隔离实现分层级的安全防护,抵御已知威胁。二:网络安全审计及入侵检测 网络安全审计及入侵检部署在安全管理区检测非法操作、异常事件、外部攻击等,并实时报警。三:主机安全防护 主机卫士部署工程师、服务器等设备上防止违规和误操作、阻止不明程序、授权移动存储介质访问权限等。四:安全运维 堡垒机部署在安全管理区 运维人员的系
14、统登录授权、系统密码代维、操作指令限制、操作全程录屏审计等功能。五:安全管理平台 安全管理平台部署在安全管理区,形成强大的一体化安全管控功能界面,多视角、多层次的管理与态势感知视图。安盟华御工业安全隔离装置安盟华御工控主机卫士 方案特色/产品介绍 方案优势和产品特色介绍03方案价值03-1主机防护主动风险分析、预测屏蔽接触转移攻击拦截隔离抑制事件确认风险检测事件白名单防护实时预警调查取证持续监控与响应阻断事件集中管理可控运维介质管理高安全隔离运维管控综全审计方案价值:综合防护方案价值:合规建设、系统定制 u 无缝兼容 产品即够满足与系统无缝对接,又能够提升系统的稳定性,从而保障系统安全与高可用
15、性,以达到对原系统和将来扩容系统的良好双向无缝对接。u 合规防护 方案参照国家标准、行业规范及实际工控系统安全需求,满足政策法规要求,满足等级保护2.0对应要求。差异防护 针对不同的工控系统安全防护需求,推荐不同安全防护设备与技术手段,“行业订制、重点防护”。u 细粒度防护 方案实施过程中,安盟信息安全专家会根据不同应用类型、业务特点、行业经验,在设备上实现细粒度控制。u 态势感知 安盟信息工控安全方案可对工控设备运行情况监控分析,安全事件关联分析,多角度进行关联,可配合或独立完成态势感知图及预警。方案产品说明03-2工业安全隔离装置(工业网闸)产品简介:最早从事安全隔离产品研发的厂商之一,采
16、用“2+1”的系统架构,由内、外网主机单元与数据交换单元(隔离交换芯片)三部分组成。网络适应性强:支持代理、路由、透明三种工作模式,可适应各种网络环境。数据库广泛:既支持主流数据库与国产数据库的代理和同步,同时支持异构数据同步。文件交换:支持文件传输和文件同步功能工业应用:支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7、电力单向无反馈等;支持对工控协议的深度解析,实现对功能码、线圈值、值域范围等参数的控制,业务数据流单向传输。工业单向光闸 产品简介:2012年,针对涉密、工业、军事等对安全要求极高且数据单向导入的需求场景,安盟信息公司研发并推出安盟华御安全隔离
17、与信息单向导入系统(简称“单向光闸”)。技术原理:安盟华御单向光闸的两个主机之间只是通过外网主机光模块的一个发光器与内网主机光模块的一个收光 器连接,从而从物理原理上实现了数据的绝对单向传输。文件传输:支持主动模式与被动模式,实现文件单向摆渡上传。传输文件完全可控:基于用户账户认证,只有合法用户文件才能被上传。功能适应强:内置文件传输、单向数据库同步、邮件中继、组播代理、应用协议自定义等功能模块。工业数采单向光闸产品简介 :主动采集、实时发布生产数据的与单向上传无缝结合,工控系统(ICS)与安全产品量身定做,2018年全球首次推出安盟华御工业数采单向光闸。多协议支持:内网处理单元主动到生产网的
18、OPC Server或Modbus上读取数据,并主动单向传输至外网处理单元,无需接收信息网的指令。协议转换:对外发布支持OPC、Modbus等。可通过OPC采集,发布为Modbus-slave;也可通过Modbus采集,发布为OPC Server。工业防火墙产品简介:安盟华御工业防火墙基于应用白名单策略、信令控制、参数控制、内容过滤、智能识别等技术手段,实现对生产控制区做整体的通信安全防护。控防分享:管控端:集中实现防护策略下发和日志收集统计分析,管理员无需到生产现场管理设备。防护端:专注于通信数据解析和防护策略执行,节省计算资源、减少网络延迟。硬件结构:采用DIN轨安装和机架式安装,防护端采
19、用双路供电、宽温、宽压、无风扇设计。违规接入告警:对管理范围内未知设备的接入,管控端可实时发现并告警。协议支持:支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控协议。学习模式:防护端智能学习通信流量,并自动产生相应防护策略库,采用专家鉴别的方式选用防护策略。工控主机卫士产品简介:基于系统内核级防护,自主可控,实现用户行为审计、U盘监视管理、业务应用看门狗、进程监视、异常进程及入侵监视警、病毒隔离、内核加固等。软件自身具有免疫力,能做到主动安全,防卸载、数据完整性保护、系统防破坏等特点。应用程序防护:禁止白名单以外的程序加载执行,从而阻止被病毒感染、篡改的程
20、序运行。进程管控:采用实时监控进程信息,控制主机的可信进程运行,对非法进程进行阻拦报警。外联管控:对接入USB设备的读、写和执行等操作行为监控,防止未知USB存储设备接入。防护审计:安全事件全面审计,审计日志不可被手动或自动删除。公司简介/典型客户列表 公司介绍、典型客户列表04公司简介 北京安盟信息技术股份有限公司(证券代码:871035),是一家专业从事工控安全产品的研发、生产、销售及工控安全咨询服务的国家级高新技术企业。坚持技术创新,秉承“自主顶天、可控立地”的安全理念,公司拥有遍布全国的销售服务平台和数百家授权服务商,遍布全国各省、市、自治区,是一个拥有产品、技术、销售、服务和咨询全方
21、位一体化的工控安全整体解决方案的提供商。2005200820132017安盟信息在北京成立成为“奥运安保服务提供商”20153月 新三板挂牌,871035“整体安全解决方案”国内首家创新发布安全通道技术我们的成长纯国产化平台网闸、光闸产品发布。安盟信息传统安全产品工控安全服务工控安全产品等级保护集成 网闸与单向光闸产品:国内领先,功能完善,成熟稳定;其它产品:覆盖防火墙、WAF、IDS、数据库审计、堡垒机、SOC等全线产品。核心竞争力:自主核心技术,10余年行业经验。工业安全隔离装置与工业防火墙:国内最早推出的厂商之一;单向光闸:成熟的工业数采光闸,独创视频采集光闸;核心竞争力:自主核心技术,
22、覆盖各类工业客户的工控安全防护技术积累。安全评估:提供各行业信息安全风险评估咨询;等级保护咨询:定级、备案、差距分析、测评、整改咨询 解决方案:提供各行业安全解决方案;核心竞争力:综合解决方案提供商。工控安全服务:安全检查、安全渗透、风险评估、安全集成、安全培训、安全测评;安全集成:工业防火墙、工业网闸、工业审计;核心竞争力:提供工业安全一体化安全解决方案。核心业务多种部署模式:阿里云首家隔离与交换合作厂商高性能:高德地图服务提供厂商专业性:工信部应急指挥中心设备提供商高稳定性:航天五院隔离与交换方案服务商油、气:中石化“四化”建设中标商制造业:支持各种制造业安全解决方案电力:电力电厂安全解决
23、方案政府:众多部委安全设备提供商行业客户工业典型用户P A R T N E R石油石化燃气管道P A R T N E R自贡市燃气公司天津市燃气管理处辽宁大连水务局武汉东西湖泵站贵州铜仁水务局内蒙兴安盟水务局北京水利自动化研究所中石油大港石化中石化燕山石化中石化华北销售分公司中石化西北应急指挥中心中海油天津中海油莆田中海油珠海中海油北京总部陕西陕化中石油宝世顺钢管秦皇岛中石油宝世顺房管资阳中石化春风油田中石化“四化”一期工业典型用户电力能源P A R T N E R重庆忠县供电局辽宁沈阳金山电厂安徽巢湖供电局安徽宿州供电局黑龙江牡丹江电厂青海西宁电厂苏州普华电力湖北锁金山电厂内蒙兴安盟风电青海
24、桥头铝电山东烟台清泉电厂山西晋城热电厂山西太原重工热力公司松花江电厂达拉特旗蒙达电厂上海青草沙水库河北诚峰热电厂河北陡河发电厂内蒙风电场 青海桥头铝电工业典型用户P A R T N E R轨道交通智能制造P A R T N E R中煤榆林煤矿首钢长治钢铁哈尔滨铁路局三棵树车辆段哈尔滨铁路局电务处中国铁科院12306项目武汉铁路局徐州铁路局内蒙集通铁路太原铁路局太原北站广州高铁长沙高铁南车株洲中铁快运中国海事局新疆轮胎华能电厂华电四川广安电厂河北诚峰热电河北陡河发电厂山东长星风电工业典型用户P A R T N E R煤炭化工冶金制造P A R T N E R神华宁煤集团山西晋城金驹煤电焦作煤业古汉山煤矿陕西陇南尾矿库河钢集团宣化钢铁山东曹庄煤矿山东菏泽郭屯煤矿河南煤业集团内蒙鄂尔多斯煤矿陕西龙门钢铁陕西包钢钢管新疆石河子煤化工内蒙东胜蒙泰煤电海拉尔神华煤矿宝世顺宝鸡钢管厂宝世顺辽宁钢管厂鄂尔多斯马来梁煤矿陕西咸阳煤矿河南鹤壁煤矿山西煤矿运输集团