2016.03.29 工业控制系统信息安全整体解决方案 北京威努特技术有限公司 CEO: 龙国东
内容提纲 1 2 3 4 5 威努特公司介绍 传统 IT 安全在工控系统应用困境威努特工控安全技术理念威努特工控安全解决方案成功案例
公司简介 北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司 我们致力于为企业客户提供工控安全整体解决方案与服务, 帮助企业客户识别工控系统安全风险, 掌控工控安全现状与趋势, 提高工控安全防护与事件响应能力 公司组建了一支由业界知名信息安全专家 工控系统专家 成熟产品研发团队组成的专业化团队 可为企业客户提供: 稳定可靠的工控安全防护产品 ; 专业深度的工控安全咨询培训 ; 全方位的安全服务 : 风险评估 / 漏洞挖掘 / 渗透测试 / 攻防演练 ; 帮助电力 石油 石化 水利 化工 军工 冶金 交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系 Page 3
公司市场地位 产品独创性 & 技术领先 国内第一款 白名单主动防御 主机防病毒软件, 比肩美国 Bit9 的创新产品 ; 国内第一款 千兆工业防火墙, 性能 10-20 倍业界一般水平 ; 与国内外四家以上知名工控系统厂商合作的工控安全厂家 ; 成功替代 McAfee 的国内工控安全厂商 ; 工控系统专用防火墙国家标准 解放军标准主要参与单位之一 ; 工控系统专用主机安全防护软件标准独家起草单位 ; Page 4
内容提纲 1 2 3 4 5 威努特公司介绍 传统 IT 安全在工控系统应用困境 威努特工控安全理念威努特工控安全解决方案行业案例
IT 安全主流思路 威胁管理 : 检测与阻断 防病毒产品 : 检测并清除恶意代码 IDS/IPS: 检测并阻断网络攻击报文 UTM: 检测并阻断网络攻击报文 网络病毒 漏洞管理 : 检测与修复 漏洞扫描产品 : 检测系统的安全漏洞, 并提供修复建议 补丁管理软件 : 检测新的安全补丁, 并提供自动修复功能 局限性 被动防御 : 威胁和漏洞, 都是层出不穷的, 防御方总是被动跟随 Page 6
杀毒软件在工控系统中存在的问题 无法防御利用 0day 漏洞的高级病毒 网络战或高级攻击中, 通常利用 0day 漏洞, 例如震网病毒利用了 4 个 0day 漏洞 工控系统通常无法及时更新病毒库 工业控制系统通常不允许在开车期间进行系统升级 工控网络通常不允许连接互联网, 不具备及时更新病毒库的条件 测试证明 : 普遍存在对工控软件的误杀 和利时 山西能源等, 尝试在工作站上安装主流杀毒软件, 均存在误杀现象 误杀在工业控制系统中可能产生致命的后果, 所以现在工作站基本 落跑 Page 7
普通防火墙在工控系统中的问题 无法支持对工业控制协议的防护 例如 :IT 防火墙在保护 O P C 服务器时, 由于不支持 OPC 协议的动态端口开放, 不得不允许 O P C 客户端和 O P C 服务器之间大范围内的任何端口号的 T C P 连接, 因此防火墙提供的安全保障被降至最低 IT 防火墙的时延不一定满足要求 IT 信息系统强调吞吐量 并发连接数 连接速率, 对时延要求不太高 ( 几百微秒 ); 而工业控制系统对时延要求高, 某些应用场景要求时延在几十微秒内白名单国测问题 fail-close 设计不适合工控系统 IT 防火墙故障, 则断开内外网的网络连接, 不适用于工业控制系统, 工业控制系统的需求是防火墙故障时保 证网络畅通 IT 防火墙硬件设计无法满足要求 工业设备要求 15-20 年的使用寿命,IT 防火墙依靠风扇散热, 无法支持较长使用寿命 IT 防火墙的防潮 防尘 耐酸碱 适应高低温的能力, 无法满足工业控制环境要求 Page 8
IDS/IPS 用于工控系统的问题 无法防御利用 0day 漏洞的高级攻击 网络战或高级攻击中, 通常利用 0day 漏洞,IDS/IPS 的原理决定了它无法防御 工控系统通常无法及时更新攻击库 工业控制系统通常不允许在开车期间进行系统升级 工控网络通常不允许连接互联网, 不具备及时更新攻击库的条件 IDS/IPS 的误报无法满足工控系统要求 IDS 的高误报率一直是制约它广泛应用的主要因素 IPS 为了降低误报, 很大程度上是以牺牲检出率为代价 IDS/IPS 硬件设计无法满足工业环境要求 Page 9
内容提纲 1 2 3 4 5 威努特公司介绍传统 IT 安全在工控系统应用困境 威努特工控安全技术理念 威努特工控安全解决方案成功案例
威努特工控安全理念 工控安全三大误区 工控安全 漏洞扫描漏洞扫描是指基于漏洞数据库, 通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测, 发现可利用的漏洞的一种安全检测 ( 渗透攻击 ) 行为工控设备由于长期忽视信息安全设计, 存在应对攻击数据包能力低下, 协议栈不健全等问题, 漏洞扫描会直接导致设备崩溃, 影响实际生产 工控安全 打补丁给工控设备打补丁是个很困难的事 工控网常常担负着企业最重要的生产流程 而停掉这些流程往往会产生巨大的成本以及运营风险 因此, 集中式的自动化的补丁管理系统是不存在的 几乎所有的工控网补丁都必须手动下载并安装 而且很多情况下, 只能由供应商认证的技术人员进行安装 工控安全 防病毒防病毒软件在长年不更新病毒库的工控网内的实际作用非常有限, 老旧的病毒库无法抵御新型病毒的攻击 ; 安装防病毒软件只是自欺欺人的一厢情愿罢了 Page 11
威努特工控安全理念 传统信息安全产品解决不了工控安全问题 可用性和机密性的矛盾 工业控制系统 可用性 第一, 而 IT 信息系统以 机密性 第一从而要求安全产品的软硬件重新设计 例如 : 系统 fail-to-open 升级和兼容性的矛盾 工业控制系统不能接受频繁的升级更新操作依赖黑名单库的信息安全产品 ( 例如 : 反病毒软件,IDS/IPS) 不适用 工业协议的识别解析 工业控制系统基于工业控制协议 ( 例如,OPC Modbus DNP3 S7) 传统安全产品支持 IT 通信协议 ( 例如,HTTP FTP), 不支持工业控制协议 延时敏感 工业控制系统对报文时延很敏感, 而 IT 信息系统通常强调高吞吐量工控安全产品, 必须从硬件选型 软件架构设计上保证低时延 工业级硬件要求 工业控制系统的工业现场环境恶劣 ( 如, 野外零下几十度的低温 潮湿 ) 按照工业现场环境的要求专门设计硬件, 做到全密闭 无风扇, 支持-40 ~70 等 Page 12
威努特工控安全理念 安全白环境 为客户构筑工控系统 安全白环境 整体防护体系, 保护国家基础设施安全 核心安全理念 创新性的率先提出了建立工控系统的可信任网络白环境和工控软件白名单理念 1. 2. 3. 只有可信任的设备, 才能接入控制网络 ; 只有可信任的消息, 才能在网络上传输 ; 只有可信任的软件, 才允许被执行 ; 技术亮点及创新点 1. 2. 3. 创新的 软可信 计算技术, 降低方案成本, 提高实用性 ; 机器自学习 白环境 智能建模技术, 降低维护成本, 提高易用性 ; 工控协议深度解析技术, 具备高安全性, 低时延影响 ; Page 13
威努特工控安全理念 工控安全的三大命门 网络准入 现有工控网络无网络准入措施, 任意工控设备都可以轻松接入现有网络, 安全级别低 ; 构建有效的网络准入体系, 是解决工控安全的首要之选 网络传输 网络传输层面临诸多安全风险, 现有工控网络对此缺乏有效应对措施 对工控网络数据传输进行有效监管, 拦截, 可以防止大量潜在威胁 ; 应用程序工控网络功能确定, 行为单一, 应用可预期 对工控网络的应用程序进行有效管控, 阻止可疑 非法程序的运行, 可以大幅度提高工控网络的安全等级 Page 14
内容提纲 1 2 3 4 5 威努特公司介绍传统 IT 安全在工控系统应用困境威努特工控安全技术理念 威努特工控安全解决方案 成功案例
威努特工控安全解决方案 核心技术理念 : 纵深防御 白名单机制 工业协议深度解析 实时监控审计 统一平台管理 Page 16
威努特工控安全解决方案 白名单机制 白名单 主动防御技术是通过提前计划好的协议规则来限制网络数据的交换, 在控制网到信息网之间进行动态行为判断 通过对约定协议的特征分析和端口限制的方法, 从根源上节制未知恶意软件的运行和传播 白名单 安全机制是一种安全管理规范, 不仅应用于防火墙软件的设置规则, 也是在实际管理中要遵循的原则, 例如在对设备和计算机进行实际操作时, 需要使用指定的笔记本 U 盘等, 管理人员只信任可识别的身份, 未经授权的行为将被拒绝 Page 17
威努特工控安全解决方案 工业协议深度解析 传统防火墙 Ethernet IP TCP 工业防火墙 Modbus TCP Ethernet IP TCP MAP 头功能码数据校验 传统防火墙 过滤字段 IP 地址 ( 源 目的 ) 端口 ( 源 目的 ) 传输层协议类型 (TCP/UDP) Modbus 只读无法支持支持 OPC 动态端口无法支持支持 工业防火墙 IP 地址 ( 源 目的 ) 端口 ( 源 目的 ) 传输层协议类型 (TCP/UDP) Modbus 功能码 Modbus 线圈 / 寄存器 Modbus 读写值域 Page 18
威努特工控安全解决方案 可信边界网关 产品定位 保护控制网与管理信息网之间的边界, 阻止来自管理信息网的安全威胁 产品功能 网络边界隔离 : 支持透明和路由工作模式 ; 安全域分区 : 支持 Trust DMZ Untrust 以及 local 等安全域划分, 灵活配置不同区域安全规则 ; 访问控制 : 基于 IP 地址 端口 时间以及服务的状态包过滤 ; 数采协议的深度解析 : 例如 OPC, 支持 OPC 动态端口解析 完整性检查 合法性检查 ; 以及深入到 OPC 协议接口 方法的过滤 ; 并提供一键式 OPC 只读 模板, 极大降低运维人员配置难度 ; 工业网络可视化 : 网络流量 工业协议识别以及异常操作告警 ; 工业级硬件 : 支持宽温 震动军用级使用环境, 适应严苛的工业现场 ; Page 19
威努特工控安全解决方案 可信区域网关 产品定位 保护工控网络内部不同安全区域的边界, 阻止来自该安全区域外的安全威胁 产品功能 安全域分区 : 支持 Trust DMZ Untrust 以及 Local 等安全域划分, 灵活配置不同区域安全规则 ; 访问控制 : 基于 IP 地址 端口 时间以及服务的状态包过滤 ; 工控协议的深度解析 : 例如 Modbus DNP3 IEC 104 等 ; 支持对 Modbus 协议深度解析 : 包括功能码控制 参数控制 异常回复以及协议协议完整性 一致性检查 ; 支持对 IEC104 协议深度解析 : 包括遥信 遥测 遥控 设点以及电度等访问控制 ; 工业网络可视化 : 网络流量 工业协议识别以及异常操作告警 ; 工业级硬件 : 支持宽温 震动军用级使用环境, 适应严苛的工业现场 ; Page 20
威努特工控安全解决方案 可信边界 / 区域网关 RE EN55022:2010 CE EN55022:2010 ESD IEC61000-4-2: 2008 RS IEC61000-4-3: 2006+A1: 2007+A2: 2010 EFT/B IEC61000-4-4: 2004+A1: 2010 SURGE IEC61000-4-5: 2005 CS IEC61000-4-6: 2008 M/S IEC 61000-4-8: 2009 DIPS IEC 61000-4-11: 2004 Page 21
威努特工控安全解决方案 可信边界 / 区域网关关键参数 Page 22
威努特工控安全解决方案 工作站可信卫士 保护工作站 ( 工程师站 操作员站等 ) 的安全可控 ; 保护服务器 ( 应用服务器 实时数据服务器 历史数据服务器 OPC 服务器等 ) 的安全可控 ; Page 23
威努特工控安全解决方案 工作站可信卫士工作原理 当恶意软件被用户无意下载到本机之后, 可信卫士可阻断恶意软件的安装 及运行, 同时生成审计日志, 协助管理员发现病毒 Page 24
威努特工控安全解决方案 工作站可信卫士核心优势 核心优势 有效抵御零日攻击及高级持久性威胁 (APT); 灵活配置白名单, 增强安全的同时降低维护成本 ; 完全避免传统杀毒软件 误杀 和 误报 ; 系统资源低开销, 不影响正常工控软件运行 ; 操作极致简单, 适合工控环境, 减少安全生产事故 ; 保护不受支持的 Microsoft Windows XP 等旧系统 ; 全方位的日志审计, 安全隐患一目了然 ; Page 25
威努特工控安全解决方案 工作站可信卫士产品界面 Page 26
威努特工控安全解决方案 工控安全审计管理平台 产品定位 监控并记录工控系统运行过程中的一切操作行为, 为事故追溯 责任划分提供证据 产品功能 网络异常检测 : 忠实记录工控协议通信记录, 自学习建立正常通信行为基线模型, 对偏离基线异常操作行为进行告警上报 ; 网络攻击检测 : 识别并检测工控协议攻击 TCP/IP 攻击 网络风暴 参数阈值检测 ; 关键事件检测 : 例对工程师站组态并更 操控指令变 PLC 程序下装以及负载变更等关键事件告警工业网络可视化 : 提供多维度网络流量视图, 统计视图 ; 合规需求 : GA/T695-2007 信息安全技术- 网络通讯安全审计 - 数据留存功能要求 及 安全审计工控协议加测内容 ; Page 27
威努特工控安全解决方案 高性能软硬件架构 发明专利申请号 :201510349977.9 实用新型申请号 :201520434066.1 外观专利申请号 :201530209865.4 高性能 : 报文转发不走内核协议栈 高可靠 : 转发平面与控制平面分离 Control Plane Real Time Forwarding Plane Linux user-space Configuration Process SEC-Daemon SEC-Daemon SEC-Daemon kernel TCP-IP Stack octeon-ethernet.ko core0 Core1 Core2 Core3 Port:AGL agl0 Port:QSGMII eth0-eth3 Phy Memory CPU Reigsters Page 28
威努特工控安全解决方案 高可靠性设计 掉电硬件 Bypass 设备断电, 网络接口直接导通, 保证工业网络通信正常 ; 软件故障 Bypass 软件异常退出, 数据直接通过 CPU 转发, 保证工业网络通信正常 ; 看门狗检测机制 看门狗自动检测软件挂死, 自动重置并恢复系统运行 ; 三种模式 : 学习模式 > 测试模式 > 运行模式 学习模式 : 通过学习网络流量, 建立工业协议白名单 ; 测试模式 : 对违反白名单的数据进行告警, 不阻断 ; 运行模式 : 对违法白名单的数据告警并阻断 ; Page 29
威努特工控安全解决方案 多厂家兼容性测试通过 浙大中控 国家信息安全测评中心 与中控 DCS 组态软件 VisualField 3.10 以 后版本兼容性测试通过 ; 与国测多个工控系统模拟平台进行产品兼容性测试, 包括 : 霍尼韦尔 PKS 系统 ; 西门子 WIN CC 等系统 ; 艾默生 与艾默生 Delta-V DCS 系统进行全面兼容性测试, 已正式引入艾默生供应体系 ; 测试包括以下模块 : 备份与恢复服务器 Delta V Remote Desktop SHM Server Delta V OPC DA Delta OPC A&E 和利时 与和利时组态软件 HolliAS_MACS6.5.2 进行兼容性测试并通过 ; Page 30
威努特工控安全解决方案 震网病毒防护 安全 U 盘阻止病毒带入 可信卫士阻止病毒执行 可信区域网关阻止篡改 PLC 程序 Page 31
威努特工控安全解决方案 Havex 病毒防护 可信卫士阻止木马执行 边界可信网关阻止非法指令 Page 32
内容提纲 1 2 3 4 5 威努特公司介绍传统 IT 安全在工控系统应用困境威努特工控安全技术理念威努特工控安全解决方案 成功案例
行业案例 烟草行业可信网关 & 工作站可信卫士应用 客户价值 工作站可信卫士保护产线免受病毒侵袭 可信边界网关进行产线数采协议 OPC 的只读防护 ; 可信区域网关进行各生产线之间的网络隔离, 访问控制以及专用工控协议的控制 ; Page 34
行业案例 石化行业可信网关 & 工作站可信卫士应用 客户价值 工作站可信卫士保护产线免受病毒侵袭 可信边界网关进行产线数采协议 OPC 的只读防护 ; 可信区域网关进行各生产线之间的网络隔离, 访问控制以及专用工控协议的控制 ; Page 35
国家工控安全工程实验室 电子 6 所联合发布工控漏洞挖掘平台 Page 36
中控 威努特联合品牌可信卫士产品 Page 37
Thank You! Page 38