煙草行業(yè)等保2.0工業(yè)安全建設(shè)思考-落實(shí)等級(jí)保護(hù)規(guī)定，夯實(shí)工控安全基礎(chǔ)宋

強(qiáng)奇安信集團(tuán)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品總監(jiān).

等保2.0工控安全要求.

工控網(wǎng)絡(luò)安全解決方案.

煙草行業(yè)工控安全建設(shè)思考目錄目錄>

2019年3月7日

，

委內(nèi)瑞拉全國(guó)

23個(gè)州中的18個(gè)州電力供應(yīng)中

斷。停電給委內(nèi)瑞拉帶來了重大

損失

，

全國(guó)交通癱瘓

，地鐵系統(tǒng)

關(guān)閉

，

醫(yī)院手術(shù)中斷

，通訊線路

中斷

，航班無法正常起降

……>

3月9日上午

，

全國(guó)70%的電力

供應(yīng)本已恢復(fù)

，

但隨后電力系統(tǒng)

再遭攻擊

，

導(dǎo)致再次發(fā)生大范圍

停電。>

2019年6月

，《紐約時(shí)報(bào)》援引美國(guó)現(xiàn)任和前任安全事務(wù)官員的

話稱

，

美國(guó)正在加大對(duì)俄羅斯電

網(wǎng)的網(wǎng)絡(luò)攻擊

，

“

自2012年以

來

，

美國(guó)已將偵查探測(cè)程序植入

俄羅斯的某著名企業(yè)系統(tǒng)之中

，

但在過

去一年中

，

這些行動(dòng)的強(qiáng)度和規(guī)

模都在加大

，

美國(guó)的行動(dòng)目標(biāo)已

經(jīng)從單純的警告考慮更多轉(zhuǎn)向?yàn)?/p>

進(jìn)攻性的考慮。

”>

2019年2月21日

，

一名伊朗高

級(jí)指揮官稱

，

伊朗曾經(jīng)成功滲

透進(jìn)美國(guó)軍方指揮中心系統(tǒng)

，

并控制了7至8架正在敘利亞和

伊拉克執(zhí)行飛行任務(wù)的美軍無

人機(jī)。>

2019年6月

，

在伊朗擊落美國(guó)

一架無人機(jī)后

，

美國(guó)決定將網(wǎng)

絡(luò)戰(zhàn)作為打擊伊朗的首選項(xiàng)。工業(yè)安全成為國(guó)家之間網(wǎng)絡(luò)戰(zhàn)的主戰(zhàn)場(chǎng)

國(guó)務(wù)院2017.11.《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》建立“工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”發(fā)展目標(biāo)。工信部2011.10.《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（451號(hào)）…加強(qiáng)重點(diǎn)領(lǐng)域工控信息系統(tǒng)安全管理措施，特別提到了與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的控制系統(tǒng)，如核設(shè)施、電力、天然氣、鐵路、城市軌道交通、民航、城市供水等工信部2016.10.《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

（

338號(hào)）工業(yè)企業(yè)開展工控安全防護(hù)工作的整體性指導(dǎo)文件。工信部2017.06.《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》（

122號(hào)）指導(dǎo)做好工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作，保障工業(yè)控制系統(tǒng)信息安全。工信部2017.08.《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》

（

188號(hào)）檢驗(yàn)338號(hào)文的實(shí)踐效果，綜合評(píng)價(jià)工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)能力。工信部2017.12.《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-

2020）》

（

316號(hào)）為全面落實(shí)國(guó)家安全戰(zhàn)略，提升工業(yè)企業(yè)工控安全防護(hù)能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，加快我國(guó)工控安全保障體系建設(shè)，制定本行動(dòng)計(jì)劃。工信部2018.05.《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2018-2020年）

》工業(yè)互聯(lián)網(wǎng)安全指導(dǎo)性文件，明確并落實(shí)企業(yè)主體責(zé)任

，…建立針對(duì)重點(diǎn)行業(yè)、重點(diǎn)企業(yè)的監(jiān)督檢查、信息通報(bào)、應(yīng)急響應(yīng)等管理機(jī)制。網(wǎng)信辦2017.07.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）

》第十八條…應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：（一）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)（供水、供熱、燃?xì)猓┑刃袠I(yè)領(lǐng)域的單位；公安部2019.05.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》…針對(duì)共性安全保護(hù)需求提出安全通用要求，針對(duì)云計(jì)算、某著名企業(yè)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求，形成新

的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。。國(guó)家高度重視工業(yè)安全

機(jī)構(gòu)時(shí)間政策文件政策說明第三十一條

國(guó)家對(duì)公共通信和信息服務(wù)、

能源、交通、水利、金融、

公共服務(wù)、

電

子政務(wù)等重要行業(yè)和領(lǐng)域…關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。.

《中華人民共和某著名企業(yè)絡(luò)安全法》全國(guó)人大2017.062017.06.01從合規(guī)到合法體系結(jié)構(gòu)2019.05.10“等保2.0”安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理?

一個(gè)中心?

三重防御?

擴(kuò)展要求

?云計(jì)算?

某著名企業(yè)互聯(lián)

?

物聯(lián)網(wǎng)?工控系統(tǒng)?

可信計(jì)算工控安全明確納入等保2.0基本要求

安全管理要求安全技術(shù)要求安可全信審驗(yàn)計(jì)證安集

全中管管理控溫防濕靜度電控制某著名企業(yè)

絡(luò)信

架傳

構(gòu)輸

基本要求工業(yè)控制系統(tǒng)安全擴(kuò)展要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等保三級(jí)安全通用要求+工控安全擴(kuò)展要求第三級(jí)安全要求（技術(shù)）安全計(jì)算環(huán)境安全物理環(huán)境安全管理中心安全通信網(wǎng)絡(luò)安全區(qū)域邊界系審

統(tǒng)計(jì)

管管

理理室外設(shè)備防護(hù)控制設(shè)備安全電力供應(yīng)數(shù)據(jù)加密傳輸數(shù)據(jù)備份恢復(fù)可信驗(yàn)證禁止通用服務(wù)數(shù)據(jù)完整性惡意代碼防范電磁防護(hù)惡意代碼防范可信驗(yàn)證電子門禁系統(tǒng)數(shù)據(jù)性個(gè)人信息保護(hù)剩余信息保護(hù)防水和防潮入侵防范入侵防范撥號(hào)使用控制無線使用控制防盜竊身份鑒別防

火邊界防護(hù)訪問控制單向隔離手段安全審計(jì)訪問控制防雷擊控制點(diǎn)（10）一級(jí)二級(jí)三級(jí)（22）四級(jí)安全物理環(huán)境室外控制設(shè)備防護(hù)2222安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)2333通信傳輸0111安全區(qū)域邊界訪問控制1222撥號(hào)使用控制0123無線使用控制2244安全計(jì)算環(huán)境控制設(shè)備安全2255安全建設(shè)管理產(chǎn)品采購和使用0111外包軟件開發(fā)0111安全運(yùn)維管理安全事件處置0111工控安全擴(kuò)展要求控制點(diǎn)與要求項(xiàng)

工控安全擴(kuò)展要求項(xiàng)安全域隔離

網(wǎng)絡(luò)架構(gòu)a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，

區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；b)工業(yè)控制系統(tǒng)應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段；c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，

應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。訪問控制a)應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略，

禁止任何穿越區(qū)域邊界的E-Mail_Web、

Telnet、

Rlogin、

FTP等通用網(wǎng)絡(luò)服務(wù)；控制非法外聯(lián)無線使用控制b)應(yīng)對(duì)所有參與無線通信的用戶（人員、軟件進(jìn)程或者設(shè)備）

進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制；安全功能上移8.5.4.

1控制設(shè)備安全a)…如受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制；慎重更新補(bǔ)丁8.5.4.

1控制設(shè)備安全b)應(yīng)在經(jīng)過充分測(cè)試評(píng)估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作；盡量關(guān)閉接口8.5.4.

1控制設(shè)備安全c)應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、

USB接口、串行口或多余網(wǎng)口等，確需保留的應(yīng)通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；工控安全擴(kuò)展要求要點(diǎn)

.

等保2.0工控安全要求.

工控網(wǎng)絡(luò)安全解決方案.

煙草行業(yè)工控安全建設(shè)思考目錄目錄?硬件配置太低裝不上殺毒軟件?無法升級(jí)殺毒軟件病毒庫老舊?擔(dān)心誤殺工業(yè)軟件，干脆不裝?

擔(dān)心影響生產(chǎn)不想打?

主機(jī)不聯(lián)網(wǎng)無法升級(jí)?系統(tǒng)老舊無補(bǔ)丁可打工控網(wǎng)絡(luò)安全三大痛點(diǎn)-工業(yè)主機(jī)“帶病運(yùn)行”?

工業(yè)主機(jī)家底不清楚?

資產(chǎn)配置分布不可視?整體安全隱患不了解補(bǔ)丁打不上漏洞百出病毒殺不完帶病運(yùn)行資產(chǎn)查不清暗藏隱患工控網(wǎng)絡(luò)安全三大痛點(diǎn)–不了解有什么安全隱患

網(wǎng)絡(luò)空間正在發(fā)生什么？工控網(wǎng)絡(luò)安全三大痛點(diǎn)–不了解有什么安全隱患

挑戰(zhàn)四：不匹配運(yùn)維要求①

不允升級(jí)②策略穩(wěn)妥實(shí)施，不允調(diào)試試錯(cuò)

③訪問控制對(duì)時(shí)延要求更為敏感挑戰(zhàn)三：不滿足高可靠性①平均無故障時(shí)間>10年，使用壽命

15-20年②

從IT“故障關(guān)閉”到OT

“故障暢

通”，處理的原則不同挑戰(zhàn)一：不支持工控協(xié)議①特有的工業(yè)協(xié)議（OPC、

S7、Modbus、

DNP3等），以及存在較多私有協(xié)議②工控系統(tǒng)特有的安全漏洞，與IT系

統(tǒng)應(yīng)對(duì)機(jī)制不一樣挑戰(zhàn)二：不適應(yīng)物理環(huán)境①工業(yè)現(xiàn)場(chǎng)環(huán)境相對(duì)比較惡劣（如

高低溫、粉塵、潮濕、酸堿等）

，

要求專門的硬件設(shè)計(jì)，做到全密

閉、無風(fēng)扇，支持﹣40℃~70℃寬溫工控網(wǎng)絡(luò)安全三大痛點(diǎn)–傳統(tǒng)設(shè)備不適應(yīng)工業(yè)環(huán)境傳統(tǒng)防火墻不適用工業(yè)控制網(wǎng)絡(luò)全網(wǎng)主機(jī)日志工控網(wǎng)絡(luò)安全解決方案

操作員站工業(yè)安全監(jiān)測(cè)控

制平臺(tái)（ISDC）操作員站工業(yè)生產(chǎn)故障誰有隱患不知道誰被攻擊不知道

攻擊后果不知道資產(chǎn)數(shù)量不清楚資產(chǎn)類型不清楚

資產(chǎn)分布不清楚工業(yè)資產(chǎn)為核心的風(fēng)險(xiǎn)可視化設(shè)備斷線難定位設(shè)備停機(jī)難定位

異常操作難定位INTERNET工業(yè)安全威脅工業(yè)資產(chǎn)狀況恐懼源于未知，

看見才能安全企業(yè)信息層/L4生產(chǎn)

管理層/L3控制器/PLC制絲車間現(xiàn)場(chǎng)

控制層/L1現(xiàn)場(chǎng)

設(shè)備層/L0控制器/PLC卷包車間MES工業(yè)主機(jī)安全防護(hù)過程

監(jiān)控層/L2工業(yè)主機(jī)防

護(hù)控制中心工業(yè)安全監(jiān)測(cè)系統(tǒng)工業(yè)安全監(jiān)測(cè)系統(tǒng)工業(yè)防火墻歷史數(shù)據(jù)庫工程師站打印機(jī)Email工藝WebHMIOA“永恒之藍(lán)”超前防御，防藍(lán)屏一鍵設(shè)置白名單，無需升級(jí)網(wǎng)絡(luò)防護(hù)，主機(jī)中毒后防止擴(kuò)散U盤管控，防止非授權(quán)外設(shè)引入病毒三種模式一鍵切換，保障生產(chǎn)連續(xù)性日志審計(jì)，溯源攻擊主機(jī)和惡意程序關(guān)閉告警防護(hù)白名單漏洞防御日志IP端口應(yīng)用程序溯源主機(jī)惡意軟件入口攔截運(yùn)攔截主機(jī)防護(hù)：應(yīng)用程序白名單&關(guān)卡式病毒攔截

擴(kuò)散攔截注

冊(cè)授

權(quán)審計(jì)行自動(dòng)發(fā)現(xiàn)工控漏洞?

資產(chǎn)漏洞映射，開放端口，不安全協(xié)議?支持3大漏洞庫CVE

，VD

，NVD?

覆蓋220+廠商,

3300+條漏洞IDS入侵檢測(cè)?

各種工業(yè)漏洞利用行為?

緩沖區(qū)溢出，拒絕服務(wù)攻擊?

檢測(cè)端口掃描、口令探測(cè)等滲透行為?5000+條規(guī)則，持續(xù)更新檢測(cè)網(wǎng)絡(luò)病毒?

檢測(cè)病毒木馬，僵尸蠕蟲，及各種間諜軟件，及時(shí)告警提示識(shí)別工業(yè)資產(chǎn)，建立資產(chǎn)清單?設(shè)備類型

PLC

，

DCS

，

HMI

，

RTU?品牌型號(hào)西門子，施耐德，羅克韋爾，和利時(shí)?軟件系統(tǒng)Win2000

，Win

XP

，Web站點(diǎn)?設(shè)備屬性

IP

，

MAC，端口建立工控基線，監(jiān)測(cè)生產(chǎn)異常?自學(xué)習(xí)業(yè)務(wù)行為，建立基線模型?

深度解析流量，發(fā)現(xiàn)異常行為安全監(jiān)測(cè)：檢測(cè)網(wǎng)絡(luò)攻擊，識(shí)別安全風(fēng)險(xiǎn)識(shí)別控制器關(guān)鍵操作?

控制器組態(tài)下裝、上載，起動(dòng)、停止、復(fù)位?PLC程序下裝、上載，文件寫入，固件升級(jí)建立動(dòng)態(tài)行為基線?

設(shè)備之間通信模型相對(duì)固定?

協(xié)議，內(nèi)容，時(shí)間，頻次，流量?

偏離基線意味著發(fā)生異常多維數(shù)據(jù)構(gòu)建基線模型?

覆蓋制絲、卷包、集控、能動(dòng)?

采集解析匯聚數(shù)據(jù)資源池?

機(jī)器學(xué)習(xí)梳理優(yōu)化通訊模型偏離基線生產(chǎn)異常監(jiān)測(cè)預(yù)警?

流量峰谷合規(guī)分析?

數(shù)據(jù)上傳時(shí)間頻次審計(jì)?

數(shù)據(jù)交互延遲判斷PLC健康度安全監(jiān)測(cè)：建立工控基線，監(jiān)測(cè)生產(chǎn)異常專有硬件防火墻?

工業(yè)網(wǎng)絡(luò)環(huán)境，寬溫，無風(fēng)扇，導(dǎo)軌/機(jī)架?工業(yè)控制協(xié)議部署位置?

監(jiān)控網(wǎng)與控制網(wǎng)之間?

生產(chǎn)線上位機(jī)與控制設(shè)備之間邊界防護(hù)：劃分安全區(qū)域，隔離控制

INTERNET企業(yè)信息層/L4生產(chǎn)

管理層/L3工程師站工業(yè)防火墻導(dǎo)軌式適用控制現(xiàn)場(chǎng)機(jī)架式適用機(jī)房環(huán)境控制器/PLC生產(chǎn)線控制器/PLC生產(chǎn)線現(xiàn)場(chǎng)

控制層/L1現(xiàn)場(chǎng)

設(shè)備過程

監(jiān)控層/L2工業(yè)防火墻歷史數(shù)據(jù)庫操作員站操作員站層/L0打印機(jī)Email工藝WebMESHMIOA.

等保2.0工控安全要求.

工控網(wǎng)絡(luò)安全解決方案.

煙草行業(yè)工控安全建設(shè)思考目錄目錄數(shù)字化轉(zhuǎn)型互聯(lián)網(wǎng)

+卷煙智能工廠CPS工業(yè)互聯(lián)網(wǎng)平臺(tái)融合創(chuàng)新與產(chǎn)業(yè)升級(jí)工業(yè)互聯(lián)網(wǎng)思考一：迎接技術(shù)變革，必先夯實(shí)基礎(chǔ)邊界瓦解，設(shè)備聯(lián)網(wǎng)，工業(yè)上云，數(shù)據(jù)流動(dòng)，

老問題沒有消失，又迎來新挑戰(zhàn)物理邊界用戶多樣化設(shè)備多樣化邊界瓦解平臺(tái)多樣化業(yè)務(wù)多樣化數(shù)據(jù)的開放、共享、流動(dòng)，增加了泄密風(fēng)險(xiǎn)數(shù)據(jù)分散在不同的業(yè)務(wù)應(yīng)用中并持續(xù)流動(dòng)，流動(dòng)加劇了大數(shù)據(jù)的風(fēng)險(xiǎn)滲透進(jìn)來的攻擊者辦公內(nèi)網(wǎng)

廣域網(wǎng)

互聯(lián)網(wǎng)

DMZ數(shù)據(jù)中心別有用心的人員每一次數(shù)據(jù)“黑天鵝”事件背

后，都隱藏著“灰犀?！笔降奈C(jī)。傳統(tǒng)的網(wǎng)絡(luò)邊界安全架構(gòu)忽視了人員威脅

邊界安全架構(gòu)

：為內(nèi)網(wǎng)中的人和設(shè)備預(yù)設(shè)了過多的信任安全意識(shí)？安全投入？

安全措施？工業(yè)互聯(lián)網(wǎng)安全建設(shè)，基礎(chǔ)不牢，地動(dòng)山搖

思考二：工控安全建設(shè)，重在落實(shí)執(zhí)行

近幾年與合作伙伴一起應(yīng)急服務(wù)過上百起工業(yè)網(wǎng)絡(luò)攻擊事件，包括多家煙草企業(yè)，多數(shù)發(fā)生工業(yè)主機(jī)藍(lán)屏，反復(fù)重啟，勒索加密，甚至生產(chǎn)停工某煙廠數(shù)據(jù)中心，錯(cuò)誤配置導(dǎo)

致直連互聯(lián)網(wǎng)，遭勒索攻擊某煙廠卷包車間，

U盤導(dǎo)致數(shù)

采主機(jī)中毒，批次無法跟蹤某煙廠制絲車間，集控服務(wù)

器反復(fù)藍(lán)屏重啟，停產(chǎn)企業(yè)信息層/L4生產(chǎn)管理層/L3過程監(jiān)控層/L2現(xiàn)場(chǎng)控制層/L1現(xiàn)場(chǎng)設(shè)備層/L0互聯(lián)網(wǎng)IMOMES上位機(jī)PLC馬達(dá)設(shè)備用途系統(tǒng)配置存在漏洞IMOOA服務(wù)器CentOS任意命令執(zhí)行漏洞MES生產(chǎn)管理服務(wù)器Win7

64位“永恒之藍(lán)”漏洞上位機(jī)控制PLCWinXP

SP3，組態(tài)王，雙網(wǎng)

卡配置遠(yuǎn)程堆溢出漏洞PLC控制器西門子300拒絕服務(wù)漏洞事件過程2018年9月，某大型智能制造企業(yè)

遭勒索病毒攻擊，數(shù)十臺(tái)工業(yè)主機(jī)藍(lán)屏重啟，多條生產(chǎn)線停產(chǎn)，損失嚴(yán)重。工業(yè)安全團(tuán)隊(duì)提供緊急安服響應(yīng)，幫助快速恢復(fù)生產(chǎn)。通過對(duì)現(xiàn)場(chǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)多個(gè)安全漏洞。安全事件：某智能制造企業(yè)遭網(wǎng)絡(luò)攻擊停產(chǎn)

在實(shí)驗(yàn)室仿真客戶環(huán)境，還原攻擊過程。生產(chǎn)線4、攻擊PLC繼續(xù)搜索發(fā)現(xiàn)西門子300控制器，向上位機(jī)投遞PLC攻擊