《GoUpSec:2023工控安全产品及服务购买决策参考(202页).pdf》由会员分享,可在线阅读,更多相关《GoUpSec:2023工控安全产品及服务购买决策参考(202页).pdf(202页珍藏版)》请在三个皮匠报告上搜索。
1、目录前言.1宝牧科技.12博智安全.16长扬科技.26烽台科技.34国舜股份.46国泰网信.52六方云.74珞安科技.91木链科技.106齐安科技.138融安网络.146赛宁网安.156双湃智安.160天地和兴.165网藤科技.172星阑科技.178中电安科.1821前言前言:工控安全迎来引爆点,创新是第一驱动力工控系统是国家关键信息基础设施的重要组成部分,同时也是关键基础设施网络攻击的重点目标。随着互联网在工业控制系统中的广泛应用,针对工业控制系统的各式网络攻击事件日益增多,尤其在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。近年来,
2、随着全球地缘政治冲突加剧、网络犯罪规模化、以及中美对抗导致的工控网络安全风险不断升级,关键基础设施保护成为全球各国政府网络安全战略、政府预算与法规标准的关注重点。2022 年,中美分别以立法形式推动关键基础设施安全防护,从资金、标准、法规三个维度推动跨部门协作,在整体设计和实施阶段为工控安全市场提供支持。2023 年,两化融合、IT/OT 融合为特征的工业数字化革命已经打开了工控安全威胁的潘多拉盒子,工控系统安全态势和策略正在从“以 OT 网络为中心”向“以资产为中心”过渡,攻防技术“军备竞赛”正在快速升级。可以预见,随着相关法规和市场需求的就绪,2023 年全球和中国工控安全市场将迎来引爆点
3、,进入高速发展期。2工控安全面临的独特挑战与痛点与其他网络安全领域相比,工控安全有着巨大差异和独特性,其中较为突出和典型的四个独特挑战如下:1.行业用户对影响业务连续性的安全方案容忍度低2.工控系统设备厂商安全性的高度不透明给漏洞管理和安全运营带来巨大挑战3.IT/OT 融合、物理网络空间攻击面进一步扩大4.工控安全专业人员严重短缺根据 Dragos 和 Honeywell 的 2022 年度工控安全报告,当前全球工业基础设施客户最常见的四大痛点分别是:1.工控系统环境内部缺乏可见性,80%的工控系统 OT 网络可见性有限。(比2021 年减少了 6%)2.半数工控系统在网络分段方面存在问题。
4、(比 2021 年减少了 27%)3.53%的工控系统在其 OT 网络中建立了未公开或不受控制的连接。(比2021 年减少了 17%)4.54%的工控系统 IT 和 OT 之间缺乏用户管理分离。(比 2021 年增加了10%)3工控系统存在五大系统性安全风险2022 年 6 月 GoUpSec 在国内首次报道了 Forescout 的“冰瀑漏洞”报告,该报告曝光 10 家 OT 供应商产品中的 56 个高危漏洞,给工控系统市场投下一枚重磅炸弹。报告指出,主流工控系统产品在设计层面存在根本性的重大安全问题。通俗来说就是:工控系统(包括一些工控安全方案)的安全设计从根上就是烂透了。全球主流工控系统
5、厂商产品不安全设计导致的漏洞比比皆是(下图):“冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃,21%可导致固件篡改位,14%可导致远程代码执行。不安全设计问题的主要例证是与未经4身份验证的协议相关的九个漏洞,报告还发现了大量糟糕的身份验证方案,这些方案在实施后表现出低于标准的安全控制。“冰瀑漏洞报告”暴露了全球工控系统设备普遍存在的五大系统性安全风险:1.大量通过安全认证的工控系统设备依然存在已知安全漏洞:受冰瀑漏洞影响的工控系统产品中有 74%通过了某种形式的安全认证,报告的大多数问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包括有限的评估范围、不透明的安全
6、定义以及对功能测试的关注。2.由于缺乏 CVE 漏洞编号,工控系统风险管理变得复杂:仅知道设备或协议不安全是不够的,资产所有者还需要知道这些组件存在安全漏洞的原因才能做出有效的风险管理决策。不安全设计导致的问题并不总是能够分配CVE,因此经常被忽视。3.存在大量设计不安全的供应链组件:OT 供应链组件中的漏洞往往不会被每个受影响的制造商报告,这导致了风险管理的困难。攻击者通过本机功能在一级设备上获得 RCE 的三种主要途径是:逻辑下载、固件更新和内存读/写操作。大多数工控系统都不支持逻辑签名,并且大多数设备(52%)将其逻辑编译为本机机器代码。这些系统中有 62%接受通过以太网下载固件,而只有
7、 51%具有此功能的身份验证。4.对工控系统的攻击技术开发比想象得更容易:对单个专有协议进行逆向工程需要 1 天到 2 人工周,而对于复杂的多协议系统则需要 5 到 6 个人工月。这意味着,针对 OT 的恶意软件或网络攻击可以由一个规模较小但技5术娴熟的团队以较低成本开发。随着以 ChatGPT 为代表的人工智能专家系统的崛起,时间和成本还将被大大降低。5.普遍缺少专业安全管理人员:2022 年工控安全重大事件中暴露的问题大多与工控系统运营者缺乏专业安全管理人员和相关技能培训有关。2023 年工控安全态势迅速恶化根据 Dragos 最新发布的工控安全报告,2022 年工控系统相关硬件和软件漏洞
8、数量比 2021 年增加了 27%,针对工业组织的勒索软件攻击增加了 87%。针对工业基础设施的攻击的复杂性和数量也有所增加,遭受攻击的工控系统(ICS)中 80%缺乏对 ICS 流量的可见性,一半存在网络分段问题和不受控制的 OT 网络连接。当前工控系统产品普遍存在多个层面的安全问题:从安全认证产品中持续存在不安全设计,到拙劣的安全防御实践。糟糕的漏洞管理以及提供虚假安全感的安全认证,这些都导致工控系统风险管理工作变得异常复杂和艰难。此外,整个工控系统设备行业的不透明性正在损害工控系统产品的安全性。许多不安全的设计问题并未分配 CVE 漏洞编号,因此经常被忽视并继续使用。当前阶段,大量证据显
9、示全球工控安全威胁态势正在快速恶化。除相关报告揭示的问题外,GoUpSec 认为 2023 年工控安全态势还将面临以下五大新挑战:61.地缘战争和黑客活动政治化导致工控系统攻击武器库的“核扩散”和“变异”2.ChatGPT 为代表的生成式人工智能技术大幅降低黑客攻击工控专有协议的技术门槛3.主流工控系统安全设计2022年曝出的大量安全设计缺陷短时间难以改善4.中美对抗或导致对关键基础设施的高级持续攻击威胁进一步提升5.网络犯罪成为第三大“经济体“,在“武器扩散”和生成式人工智能的助力下将扩大对工控系统的行业攻击范围工控安全市场热点与产品关键能力随着企业数字化转型和 IT/OT 融合的深入,资产
10、、漏洞、威胁快速增长,工控安全市场正在转向体系化的纵深防御,但过程并非一帆风顺。无论是专业工控安全厂商还是传统 IT 安全厂商,都意识到用户的痛点就是市场的热点,例如可见性、主动性、业务连续性相关的“安全债”和新威胁的叠加,对工控安全市场的创新能力提出了更高要求。根据 GoUpSec 对数十位国内 CISO 的调查,2023 年中国工控安全市场的九大热点分别是:1.基于风险管理的暴露管理(资产、漏洞发现与管理,工控安全管理平台)72.物理网络安全(U 盘管理、无线工业物联网、智慧城市、车联网、智能武器)3.网络安全(通信加密、分段、基于机器学习和人工智能的流量与行为分析)4.身份与访问管理(零
11、信任)5.主动安全(内部和外部攻击面与资产管理、欺骗式防御)6.威胁检测与响应(勒索软件)7.入侵与攻击模拟(靶场)8.供应链安全9.认证与培训(安全意识、安全工程、安全评估、安全框架、开发和实施咨询服务等)从震网病毒到殖民地管道攻击,“蠕行”十几年的工控安全市场正在经历一次重大蜕变:从进化缓慢的“小众”网络安全细分市场转变为政策、威胁、(外部)技术和创新四轮驱动的高动态高增长市场,新需求和新威胁的迭代周期大大缩短,对工控安全领域网络安全厂商的创新力和敏捷性提出了更高要求。以下,是 GoUpSec 行业 CISO 调查总结的工控安全解决方案十大关键能力和创新点:1.机器学习与人工智能(威胁检测
12、、事件响应)2.自动化资产发现和管理(提高可视性)3.持续网络活动和威胁监控84.二级设备(控制器)完整性验证、访问控制5.漏洞评估和风险管理6.与 SIEM 和 SOC 的平台化集成(面向 IT/OT 融合的一体化工控安全管理平台)7.业务连续性(故障诊断与恢复,ByPass 功能,减少误报,提高安全运维效率)8.可信计算与合规性(满足国家标准(工业控制系统信息安全防护指南与等级保护 V2.0)及相关行业规范9.零信任方法(强化身份与权限管理、内部威胁)10.物理网络安全(生产环境、U 盘与工业无线物联网)工控安全产品的选型常见基准问题综合“以资产为中心”的工控网络安全新阶段面临的挑战、痛点
13、和趋势,工控安全行业客户在选择工控安全解决方案时可能需要与厂商沟通确认以下基准问题:是否支持与客户现有网络安全产品(例如 SIEM、SOAR、配置管理数据库、SOC、NAC、防火墙等)快速集成?是否提供资产发现/分析/库存解决方案?是否提供以资产发现、可见性和网络拓扑为中心的工控安全管理平台功能?是被动还是主动安全解决方案?还是两者兼而有之?9资产发现和威胁检测方案是连续的还是基于时间点的?监控工具如何降低误报和标记优先级?是否提供测试平台、仿真或以安全为中心的数字孪生解决方案?是否提供硬件/固件/软件供应链安全解决方案?是否为 OT 提供托管检测和响应服务?是否提供针对垂直行业(例如医疗、国
14、防、交通运输)的定制安全解决方案/案例?与工控设备厂商、其他相关安全厂商和机构存在何种股权、(潜在)收购、合作关系。是否有预防勒索软件、DDoS、内部威胁、APT 的针对性方案?是否提供免费测试?(由于工控系统部署的独特性,不存在所谓通用的工控安全解决方案,因此在企业环境中对方案进行选型测试很有必要)正如前文所述,在 OT/IT 融合的大背景下,“以资产为中心”工控安全新阶段的核心目标和锚定的关键业绩指标是“运营弹性”,最终目标是将工控环境的物理网络安全与 IT 安全纳入统一的治理模型中。工控系统安全是涉及物理安全、网络安全、供应链安全、生产安全的高度复杂的跨领域综合学科,面临着独特的安全威胁
15、挑战;与此同时,工控安全正经历从“OT网络为中心”向“资产为中心”的重大范型转移,技术创新再次成为第一驱动力。世界上没有完全相同的工控系统,因此也不存在“通用”安全解决方案,面对工10控安全威胁态势的快速恶化,大量工控专业厂商和传统安全厂商针对新威胁和新需求纷纷推出新的解决方案,这也给行业 CISO 的选型增加了难度。为了帮助 CISO 拨开营销迷雾,提高市场能见度,全面了解潜在工控安全战略合作伙伴。GoUpSec 深入调研了 17 家国内工控安全“酷厂商”(包括专业厂商和综合安全厂商),从产品功能、应用行业、成功案例、安全策略等维度对各厂商工控安全产品及服务进行调研了解,整理形成了 2023
16、 年中国网络安全行业工控安全产品及服务购买决策参考。11本次报告共收录 17 家国内网络安全厂商,共计 68 个工控安全产品及服务,具体成功实施案例 42 例,分别来自石油、石化、电力电网、智能制造、钢铁、冶金、烟草、煤矿、市政、燃气、交通、水利、军工等重点行业。以下为 17 家网络安全厂商工控安全产品及服务详情,排名按照公司简称首字母顺序。12宝牧科技一、公司名称:宝牧科技(天津)有限公司二、公司 logo:三、工控安全产品名称:安全通信终端四、产品特点及优势:13特点:宝牧科技安全通信终端是 4G/5G 物联网应用中集数据采集、网络互连、国密加密传输和边缘计算等多个功能的安全接入终端网关,
17、集成了工业、路由、国密芯片加密、终端边界防护和接入认证,可有效解决从终端传输侧发起的数据泄露和篡改、身份伪装、非法接入、恶意攻击等安全问题,实现“最后一公里加密安全”。产品支持有线无线,便于在不改变网络拓扑的情况下使用 VPN 快速组网和链路冗余,完全满足等保和密评的要求。优势:全面支持国家各种标准;高速的数据流加密;支持国密局 IPSec 协议规范;工业国密加密无线路由器(DTU);无线通信支持多种模式;支持 Modbus,IEC104 等工业协议采集;五、成功案例:电网:系统数据加密安全配网自动化防护;电网:电网计量系统的计量数据加密传输安全防护;14燃气:燃气管道监测数据、储气站数据加密
18、安全防护;环保:环保监测数据加密传输安全防护;高速公路:高速公路 ETC 收费数据加密传输安全防护;铁路:客票系统数据加密安全防护;税务局:税务局网络安全保障服务;住房公积金:住房公积金管理中心数据传输安全建设;六、适用行业:烟草、电力、冶金、石油石化、燃气、环保、水务、轨道交通、高速公路等行业客户以及国家关键基础设施。七、联系人姓名及职位姓名:邱锋职位:市场总监联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:宝牧科技是专业从事物联网基础设施网络安全产品自主研发的国家高新技术企业和科技部入库企业,主要为国家关键基础设施企业提供符合等级保护
19、及密评(商用密码应用安全性评估)的产品及解决方案。公司加密产品集成了工业级、15路由器、国密芯片加密、丰富的终端边界防护和接入认证于一体,并且满足等保(信息安全技术网络安全等级保护二级以上)和密评的要求。宝牧科技副总经理 肖海涛16博智安全一、公司名称:博智安全科技股份有限公司二、公司 logo:三、工控安全产品名称:博智工控网络靶场、博智工控安全审计系统、博智工控主机卫士、博智工控漏洞扫描系统、博智工控漏洞挖掘平台、博智工控网络自动化渗透测试平台四、产品特点及优势:博智工控网络靶场特点:博智工控网络靶场,能够基于虚拟化云平台实现多行业设备和业务的仿真,并通过接入相应的物理基础设备完成跨多行业
20、的、具备完整安防体系的靶场环境,让安全验证和渗透测试人员能在网络的各层面开展攻击面获取、边界爆破、横向渗透、权限提升维持、目标攻陷、痕迹清除等操作,也能让网络安全和运维人员开展暴露面收敛、安全加固、防护策略配置、溯源分析等防御相关的操作,支撑各17种专项训练、红蓝对抗、夺旗解题、运维比赛、安全评估等服务。优势:1.虚实结合的环境构建。将虚拟网络环境与真实的物理环境,以即插即用的方式无障碍连通,同时提供第三方设备的接入能力,对虚实结合的网络进行统一的管理和调度,并能通过拼接已有场景的方式快速完成复杂环境的构建2.PDCA 定向培养。具备职业能力模型和评估模型的编排能力,综合学员的学习成绩、练习成
21、绩和考试成绩等数据,多维度、全方面的评估学员的能力,并对标学员的职业目标给出差距和改进建议,让教员可以根据每个学员的实际情况制订差异化的学习计划3.实时评估动态导调。支持 10 种以上的数据探针,通过对采集到的数据进行关联分析,识别出参训人员的行为,精确展现战场的态势,让导调人员能够准确掌握训练情况,按需调整任务内容,做到实侦、实打、实抗,切实提高参训人员的能力,让不会的变会,让会的变精4.基于知识图谱的智能化攻击。内置超过 200 个攻防工具,能够根据知识图谱自动推演攻击路径实施攻击,并能根据攻击反馈实时调整下一步的攻击方式,实现整个攻击过程的自动化及攻防博弈5.成熟的平台架构体系。支持不少
22、于 500 人同时在线进行学习和训练,支持最大1000 节点的大规模网络仿真环境,支持秒级的环境启动和复用博智工控安全审计系统特点:系统采用旁路方式,基于通信报文深度解析技术,实时检测针对 PLC、DCS、上18位机等重要的工控设备的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播行为,并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。优势:1、工控协议指令级检测与审计。支持 25 种以上工控协议(Modbus TCP、S7、DNP3、IEC104 等)通信报文深度解析,能够检测出数据包的有效内
23、容特征、负载和可用匹配信息。2、基于白名单的工业业务审计。系统采用白名单方式包括资产白名单、协议白名单、功能码白名单等,对网络中资产与流量进行审计,及时发现网络威胁。3、恶意代码检查。对工控信息设备进行已知/未知恶意文件攻击、各类木马、蠕虫、间谍软件、WEB 等进行恶意代码检查。4、协议还原。支持 http、ftp、smtp、pop3、imap 等协议的还原与文件病毒检测。博智工控主机卫士特点:博智工控主机卫士能够监控工控主机的进程状态、本地访问控制状态、USB 端口状态,以白名单的技术方式,全方位地保护主机的资源使用,以及监控本地设备安全基线配置。根据白名单的配置,工控主机卫士会禁止非法进程
24、的运行,禁止非法网络的访问连接,禁止非法 USB 设备的接入,从而切断病毒和木马的传播与破坏路径。19优势:1、可信应用白名单。禁止白名单以外的程序加载运行,替代传统杀毒软件黑名单病毒库防范恶意代码的方式,避免误报同时有效防御未知恶意程序和木马。2、可信 USB 白名单。规范 USB 设备使用,并防止各种 USB 作为媒介的攻击行为。3、访问控制。可自动学习工控终端设备与其它设备发起的网络连接,发现非法连接可即时阻断。4、文件完整性保护。对特定的对象(关键文件目录及应用程序、动态链接库、驱动文件等)提供保护,有效阻止恶意程序通过不同途径对关键对象的恶意改变。5、系统基线保护。基线安全监控功能,
25、可对设备本地安全中账户策略、审核策略、安全选项策略、IP 安全策略、进程审计及系统日志策略进行监控配置,灵活配置工控终端设备的基线安全。6、兼容性强。运行环境支持全系列 Windows 操作系统;支持 RedHat、CentOS等主流 Linux 操作系统;支持麒麟等国产操作系统,满足国家自主可控的需要。博智工控漏洞扫描系统特点:博智工控漏洞扫描系统是一款对工控网络进行脆弱性分析和评估的综合管理系统。该系统通过丰富的系统漏洞库,不仅对在工业控制系统中使用的传统 IT 设备/系统,比如操作系统、交换机、路由器、弱口令、FTP 服务器、Web 服务器等进行漏洞风险评估,同时还支持对工业控制系统中所
26、特有的设备/系统,比如SCADA、DCS、PLC 等进行已知漏洞的识别和检测,及时发现安全漏洞,客观20评估工控网络风险等级。博智工控漏洞扫描系统具备发现漏洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞管理能力。优势:1、行业领先的工控漏洞数。支持 6 万余种漏洞测试插件,工控漏洞数超过 1000种,能够定期更新漏洞,工控漏洞数量处于业内领先水平。2、工业资产准确识别。依托态势感知类产品的技术积累,建立工业资产指纹库,能够准确识别工业资产,识别范围广,处于业内领先地位(40 种主流工控协议指纹识别,支持检测的设备型号超过 400 种,支持的工控厂商超过 80 种)。3、无损扫描方式。根据客户需要
27、,可以提供深度扫描(系统离线进行)和无损扫描方式(系统在线进行),扫描方式灵活,解决用户担心扫描过程对系统造成影响的后顾之忧。博智工控漏洞挖掘平台特点:博智工控漏洞挖掘平台是一款采用智能 Fuzzing 技术,对工控设备(PLC、RTU等)、工控系统(DCS、SCADA 等)、工业操作系统(VxWorks 等)进行未知漏洞挖掘、安全性及协议健壮性测试的评估设备。针对不同工控网络通信协议的特点精心构造随机测试报文,深度挖掘工控设备或系统的各类未知漏洞,清晰定位问题并提供测试报文便于问题回溯,能够帮助用户提高工控网络安全等级,提升工控设备厂商产品安全性和竞争力,增强监管单位、测试机构检测能力和权威
28、性。优势:211、支持测试的协议数量业内领先。支持 70 余种协议模糊测试,包括常用网络协议、工控协议、物联网协议等,其中工控协议超过 30 种。不仅支持已知的协议,还支持用户协议自定义。2、测试过程可视化。提供工业资产全方位测试过程的监控,包括 ARP 监控、ICMP监控、TCP 端口监控、离散数据监控及模拟数据监控等手段,具有彩色 TFT 显示屏,能够实时呈现被测试工业资产状态。3、覆盖的工业资产全面。具备网口、WIFI 接口、4G 接口外,还具备业务卡扩展插槽,并提供了相应的 RS232、RS485/422、CAN 等业务卡,能接入大部分的工业控制网络进行测试。4、漏洞根源回溯。被测设备
29、状态异常时,支持通过中继电源掉电和上电、继电器输出(RELAY OUTPUT)两种方式重启被测设备并循环分段回放测试报文,逐步分析完成故障定位。博智工控网络自动化渗透测试平台特点:博智工控网络自动化渗透测试平台以知识图谱技术为核心,知识推演为关键能力,将先验知识转化为自动化的流程,实现工控网络资产测绘、攻击路径推演、攻击载荷加载、目标风险验证等过程自动化,简化了渗透测试过程,降低了人力成本和时间成本,提升了工控网络安全防护能力。优势:1、工控网络资产测绘。支持多种扫描方式,能够全方位、多维度的探测全网或者指定区域内的资产及其信息,通过对资产信息进行关联分析和聚合分析,可自22动绘制包含所有资产
30、的网络拓扑图。2、工控漏洞自动化利用。支持对工控网络中漏洞的自动化利用,包括远程溢出漏洞、代码执行漏洞、命令执行漏洞、上传漏洞、SQL 注入漏洞、未授权漏洞等,能够基于已验证的漏洞进行攻击利用。3、工控漏洞利用知识图谱构建。支持从工控漏洞描述中抽取出漏洞相关信息,并以此快速构建工控漏洞利用知识图谱;支持对工控漏洞利用知识图谱进行展示和管理,支持通过人工方式对知识图谱进行调整和修正。五、成功案例:以建龙西钢工业网络安全为场景,构建面向钢铁行业的工业互联网安全加固解决方案,构建基于边界防护、监测预警、入侵检测、数据保护、配置核查等的多层次纵深防御体系,形成一套适应钢铁行业发展,集指导、监测、防护、
31、响应于一体的防护体系,不断提高钢铁行业工业信息安全保障水平,实现钢铁行业工业控制系统“安全管理规范有序、安全风险管控有数、安全态势直观可见、网络攻击主动防御、安全事件响应快速”的总体目标。从工业互联网防护对象视角出发,围绕设备、控制、网络、平台(应用)、数据五大防护对象,设计基于钢铁工艺流程、基于协议深度解析、基于钢铁智能化生产、基于可信技术框架的平台、基于数据全生命周期的安全防护五大系统,形成整套安全解决方案。本项目结合钢铁企业工业互联网安全的实际情况,形成全面的安全解决方案,从基础自动化、过程自动化、制造执行系统、企业资源计划、决策等多个网络层次,落实网络安全方案的投资部署,结合工控网络安
32、全的特殊性,针对性研发防护手23段,对网络安全防护效果进行评估、创效评定、技术成果的转化,项目具有典型应用示范作用,具有较强的借鉴意义和示范价值,目前已在多家产线和子公司推广应用。本项目在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上,结合钢铁行业工控系统的特点,分析钢铁行业网络安全脆弱性,构建面向钢铁行业的工业互联网网络安全解决方案,并在建龙西林钢铁有限公司等典型钢铁企业进行推广实施,解决了钢铁行业工业网络纵深安全防护需求。(1)项目设计的钢铁行业解决方案防护体系全面,方案主要从工业互联网设备、控制、网络、平台(应用)、数据五个维度构建纵深防护体系,并从分层角度利用隔离技术加强
33、网络安全能力,覆盖了钢铁行业工业互联网领域的所有对象,体系全面,有效解决了目前针对钢铁行业防护措施片面化、表面化的痛点。(2)本项目结合目前钢铁行业 L0,L1,L2,L3、L4 等分层概念,在不同层间,利用不同的隔离技术和安全防护方法,保证各级网络通讯的安全,使得安全防护更加深入,防护措施更加合理,形成了一套适应于钢铁企业指导、监测、防护、响应于一体的防护体系,有效解决了目前无定制化钢铁冶金行业纵深防护方案的困境。(3)本项目以钢铁行业工业互联网设备、控制、网络、平台、数据五个安全因素为对象,覆盖钢铁企业生产经营活动的主要模式和场景,满足各类防护需求,灵活性高,能够在钢铁冶金行业、区域复制推
34、广,具有很好的通用性,解决了目前钢铁行业纵深防护多样化需求。六、适用行业:24军工机构、科研机构、行业监管机构、测评认证机构等;电力、石油、石化、轨道交通、烟草、煤炭、钢铁及智能制造等工业行 业,自动化设备厂商。七、联系人姓名及职位姓名:章丹馨职位:市场经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:在制造强国和网络强国两个战略的驱动下,我国的工业互联网迅速发展。在加快数字化转型的过程中,中国工业互联网市场不断扩大,切实保障工业互联网安全是促进数字经济平稳发展的关键举措。从工业企业端来讲,全球领先的工业互联网企业均在组建 IT&OT 融
35、合的信息安全管理团队,建立企业工业安全运营中心,对工业控制系统进行安全监测和安全运营。在全球工业互联网发展的推动之下,工控安全市场迎来快速发展。博智安全董事长傅涛2526长扬科技一、公司名称:长扬科技(北京)股份有限公司二、公司 logo:三、工控安全产品名称:长扬科技以“智能工业安全大脑”为核心,构建集团级工业网络安全保障体系,以信创安全生态为底座安全,以工业安全靶场为能力提升手段,面向工业网络安全监测、工业网络安全防护、工业视觉安全分析、数据安全防护治理四个层次,自主研发了工业互联网安全态势感知类、安全防护类、监测审计类、漏洞扫描挖掘类、工业终端安全类、安全检测工具类、病毒查杀工具类、工业
36、安全靶场类、睿脑工业视觉 AI 安全类、数据安全类、信创专用产品类、零信任安全类在内的 12 大系列 50 余款产品。四、产品特点及优势:27长扬工业互联网安全态势感知产品体系特点:以可视、可控、可管为建设目标,长扬科技工业互联网安全态势感知平台为安全运营管理赋能。平台以网络安全数据、关键基础设施行业数据为基础,以包含设备资产指纹、漏洞信息、安全事件信息、物联网感知数据及网络模型等海量数据的资源池为支撑,运用自主知识产权的云计算、大数据及人工智安全感知技术,通过 AI 分析方法精准感知网络安全威胁,全面提升企业关键基础设施网络安全风险评估、态势感知、监测预警及应急处置能力。优势:可视协同:管理
37、、运营大数据全面分析与可视化,以统一化视角,实现监、管、控的可视预警与扁平化协同应急指挥。灵活部署:产品部署方式灵活,可结合企业现有结构,进行集中部署或分布式多级部署。多级联动:提供威胁时间应急处置与多级联动,形成事件闭环管理,更加贴合工业现场环境,提高企业的本质安全能力长扬工控安全产品体系特点:长扬科技的工控安全产品系列,是基于主动防御理念,采用机器自学习技术,动态构建控制系统、主机、网络和云平台的安全防护策略和预警策略的产品体系。采用长扬科技工控安全体系产品,可构建满足等保 2.0 及关键信息基础设施安全保护条例要求的安全解决方案,切实加强工业网络的整体安全防御能力,形成事件监测、响应处置
38、、决策反制的安全闭环。优势:28工业为本:依据不同的工业网络场景,定制精细的工业安全控制策略切实增强工业网络的内生安全、网络安全和协同安全。合法合规:国产化、自主可控,产品线全面,技术成熟度高。安全底座:深入主机运行代码、分区隔离、监测与审计、运行与维护、集中化安全管理为决策,协同打造工业网络的互联互通的安全底座。网络协同:自适应构建工业网络互联互通防护体系,从监测预警、实时防护,集中处置,构建完整的工业控制网络、工业互联网网络、工业数据全方位的安全闭环。行业保障:依据行业基础信息设施的滚动发展,建立动态的行业安全保障模型和完整解决方案。长扬睿脑工业视觉 AI 安全产品体系特点:基于计算机视觉
39、深度学习技术,长扬科技构建了智能安全生产预警分析专有模型:工业现场视觉 AI 分析与安全预警平台。通过视觉 AI 识别技术,对安全生产运营过程中的各种行为进行图像建模、行为分析、风险识别,从而降低对监控和安保人员的依赖,提高安全事件监测的及时性和准确性。优势:弹性扩展:采用“中心+边缘”架构设计,AI 算力自由分配,按需扩展。数据协同:特征模型集中存储,中心、边缘同步共享;异常数据集中存储,按需同步到相关部门。算法协同:构建开放算法生态服务架构,多算法融合创新,并实现统一管理。集中管控:组织用户集中管控、算法模型集中升级、边缘设备集中监控、视频流29集中接入等。适用多检测场景:可运用到企业生产
40、安全监测、无人值守巡检等多个生产场景。长扬数据安全服务体系特点:长扬科技依托在工业互联网安全、工控安全领域扎实的技术实力和场景化经验,通过采集、传输、存储、使用、销毁等技术手段,覆盖数据全生命周期,为客户设计一套以“数据资产安全管理平台”为核心的数据安全纵深防御体系。可为客户提供数据资产梳理、数据安全防护能力评估、安全建设增补一体化服务,帮助企业全面抵御数据安全风险,同时助力企业发挥数据的创新应用价值。优势:数据资产可查清:支持主流和常见的结构化和非结构化数据源扫描方式,及时了解数据资产情况。数据安全风险可控制:通过实时安全审计、数据挖掘与分析技术,实时发现数据资产安全风险,发出警告,控制安全
41、风险外溢。数据安全事件可追溯:利用数据安全标签技术,结合安全审计日志,可追溯数据历史状态及安全事件。数据安全态势可视化:通过对数据全生命周期的安全监测,自动生成图表,可直观呈现数据各阶段情况,快速决策。数据安全防护能力可评测:可提供数据安全防护能力评测,检验系统数据安全防护能力水平,发现数据安全风险,持续优化数据安全防护方案。长扬零信任安全产品体系:30特点:长扬零信任安全产品体系,采用“以身份为基石、安全业务访问、动态访问控制、持续信任评估”的机制,为企业提供零信任身份安全产品与解决方案。实现从端点到管道再到云端的身份化、动态化、可度量、自适应的零信任安全访问控制架构,帮助企业快速完成数字化
42、转型下的基础架构升级,保障终端接入安全、数据传输安全、核心应用安全,帮助企业实现网络无边界安全保障。优势:降低安全风险:默认不信任任何设备和用户,基于持续风险评估进行访问决策、加密传输等措施,降低安全风险。节省运营成本:用动态访问控制策略,摒弃静态的访问控制规则,持续评估,动态调整,增强安全性的同时,节省运营成本减少攻击面:采用先认证、后访问的方式,把应用隐藏在后面,减少应用或资产的暴露,从而减少攻击面。提升用户体验:单点登录(SSO)和多因素认证(MFA)结合,既提高安全性,又提升了用户体验。一次认证,全面登陆,提高工作效率。长扬工控系统安全服务特点:基于对国家标准、政策法规的长期研究,长扬
43、科技安全服务团队对工控系统在各行业特点及业务流程特点的研究及工程经验进行总结,运用一系列创新技术手段,配合发展动态的统计分析,打造出一套“全方位、定制化、一站式”的安全服务体系,其内容包括安全咨询、等保建设咨询、风险评估、安全设计、运维管理、安全培训等,用户可根据业务需要选择相应的模块组合。31项目前安全战略规划安全合规咨询安全风险评估解决方案设计项目中项目实施集成全线运维保障项目后安全技术支持安全运营管理安全事件处置安全培训专题研讨文案安全意识培训攻防实践演练五、成功案例:某石油石化企业工控系统等保合规及态势感知建设项目某电力能源企 DCS 控制系统等保三级整改项目某钢铁冶金企业自动化工业网
44、络安全防御解决方案某智能制造企业工业互联网安全体系建设规划落地实践32六、适用行业:电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等行业七、联系人姓名及职位姓名:崔君职位:品牌策划经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:数字化是将现实社会重构的重大的技术发展和革新,将为网络安全市场创造良好的机遇,新时代数字技术的驱动下,紧密结合业务场景的实用主义安全需求成为主流。长扬科技作为工业互联网安全领域的第一批践行者,可为客户提供包括工控风险评估服务、等保 2.0 建设咨询服务、安全集成服务、安全运维服务、安全培训服务、攻防演练现
45、场保障服务、恶意程序分析服务、勒索病毒处理服务、APT 事件处理服务和安全运营处置一体化等 10 余项专业服务,致力为国家关键信息基础设施的稳定运行提供坚实的安全基座。长扬科技副总裁 汪义舟3334烽台科技一、公司名称:烽台科技(北京)有限公司二、公司 logo:三、工控安全产品名称:灯塔数字安全运营中心四、产品特点及优势:特点:1、生产系统集中监测针对工业企业建设的能源管理系统(EMS)、生产执行系统(MES)、集中计量系统等生产信息化系统,提供集中化的安全监测,通过分析设备状态、威胁告警、数据安全等,实现业务系统故障的及时告警与可视化管理,构建信息化系统、自35动化系统等生产系统的监测体系
46、,保障生产业务系统的稳定运行。2、系统故障精准诊断业务故障诊断、工单管理等功能解决了生产系统出现故障问题场景下的故障定位耗时长、效率低的问题,支持系统管理员利用设备拓扑图快速定位故障源,一键分发处理工单,实现故障的闭环处理。3、资产设备远程巡检工业企业集团设备管理日常现场点巡检的场景,存在路程耗时长、纸质报告易丢失、报告汇总效率低等问题,运维管理功能支持用户远程检查设备状态、网络状态等,实现设备巡检的远程化 线上化,具备周期性、电子化的巡检报告生成能力,提高巡检工作的效率。4、安全防护合规检查合规性管理功能基于工业企业安全管理规定、工业控制系统安全防护指南等文件,建立企业安全风险评估能力,实现
47、企业安全风险的综合评估,反映企业的安全状态,以量化的方式体现企业的安全风险和安全工作成果。5、企业安全态势感知通过对工业企业生产信息化的安全态势分析,全面掌握工业企业的实时安全态势,监测生产系统和重要资产的漏洞、威胁、风险等,及时感知网络安全事件,提供分析研判、响应处置的安全闭环管理能力。36优势:灯塔数字安全运营中心借助先进的工业物联网、互联网、云计算、大数据分析、数据建模、5G 通讯等技术,依据 ACCM 设备管理理论,建立适合工业企业的设备管理平台,通过对站点设备(系统)状态、数据、功率、能源等数据的采集、清洗、传输、分析、积累、建模、应用,挖掘数据的潜在价值,使设备状态监控及预测性维修
48、水平得到大幅提升,减少设备故障停机及相关维修费用,实现现场少人值守。最终通过信息化、智能化手段提升设备管理精益化水平,提升设备及公司整体的智能化程度,提高企业的集约化管理水平,以获得更高的设备运行安全性、更高的可靠性、更高的运行效率、更高的投资回报率,达到公司人员受控、工作受控、设备受控,打造成为行业智能管控领先企业。灯塔数字安全运营中心从工控安全本质安全方面提升工控安全系统安全防护水平,落实各工业行业工控系统的业务本质安全、系统环境本质安全、结构本质安全以及工控安全对抗安全需求,实现生产安全与信息安全紧耦合,建立立体化安全防护能力、闭环化风险管理能力、乐高化安全运营等客户价值,助力用户降本增
49、效,满足用户提质、绿色、安全发展需求。五、成功案例:背景介绍我国钢铁行业已初步具备较好的自动化和信息化基础。钢铁行业作为我国国37民经济支柱性产业,历来重视与先进制造技术和信息技术的结合发展,并已形成了较为完备的自动化、信息化体系架构,如主工序装备实现了较好水平的自动化控制,ERP、MES 解决方案已经普遍应用于大型钢企等,生产、管理、供应链等流程初步实现了工序衔接和数据贯通,有效支撑了钢铁行业实现大批量、标准化和成本可控的生产运营。因此,从车间到集团办公室,全面了解工厂设备运行状态,关注相关设备,确保设备健康运行,避免出现安全风险也成了行业发展的重中之重。客户需求某钢铁集团及下属分公司作为特
50、大型工业生产企业,业务管理集中度逐步提高,在钢铁生产中大量使用 SCADA、DCS、PLC、RTU 等工业控制系统及通信链路和网络结点。并且由于其集团及下属分公司涉及层级多、系统集成广、设备复杂程度高等因素,一旦出现系统故障,不能够快速定位故障设备及故障原因,也使运维巡检管理工作中存在诸多痛点和难点。例如:巡检人员少,但需检查设备类型多数量大,巡检工作量大;且巡检工作依赖现场查看、纸质表格记录信息,导致整理和分析工作量大,信息的准确性,一致性无法保证,巡检数据后期利用率低,缺乏综合分析,难以对历史记录进行追溯和审核等。解决方案烽台科技灯塔数字安全运营中心的钢铁行业生产信息化安全保障运营平台(以
51、下简称平台),将传统的网络故障管理从简单流量统计分析,提升到从工控主机、控制设备、安全设备运行状态,周期运行信息,安全风险事件,网络通讯38互联,系统配置等多维度提高故障诊断、溯源恢复的效率。克服了钢铁工业企业网络设备众多、一线人员技术不足的现状,通过在网络节点部署监控探针,计算得到入网设备安全风险溯源结果,帮助对大型网络安全运营的故障进行风险监控修复。平台的两大核心功能故障诊断和远程巡检可以很好地解决某钢铁集团对于设备巡检、事故、故障管理所遇到的问题,充分满足客户所提出的为设备巡检、事故、故障处理提供辅助手段,提高事故、故障处理效率的需求。1.故障诊断平台故障诊断系统分别对主机、网络设备、中
52、间件、安全设备等通用信息采集,包括用户操作行为、系统配置、漏洞及补丁、网络连接、网络服务、网络通信、安全防护状态、应用软件等主机信息;通过 SNMP、SNMPTRAP 收集网络设备、防火墙、入侵检测、安全审计等设备信息;其他数据源信息、文件、syslog、私有协议、nginxmysql 等应用及系统日志。39工控网络流量采集包括对 S7、MODBUS、DNP3、ETHERNET/IP、OPC等网络流量采集,进而深度解析工业协议,包括读/写线圈、读/写寄存器、读/写文件、读取事件记录;写入值、请求下载、下载块、上传、程序调用服务、请求时间、响应时间;测试链接状态、分配类、延迟测量、身份验证请求、
53、删除文件等内容。工业控制设备信息采集包括对 DCS、PLC、RTU、智能仪表、数采网关等工业控制设备信息进行采集,主要包括:基础配置信息(硬件,系统时间,MAC地址,内存)、硬件模块等动态信息(运行模式,模块运行状态,开启的网络服务)、网络连接数等事件日志(普通配置日志、系统运行日志,系统故障日志)等信息。40对工业相关软件/应用信息进行采集,包括生产控制类,如 RTD、SCADA等,及生产管理类,如 MES、EMS 等,采集内容主要包含生产系统、生产辅助类系统(能源管理、MES 等)日志、业务告警等信息。故障诊断系统对收集上来的关联数据进行规则报警,结合故障树分析模型计算输出智能仪器仪表故障
54、、控制设备故障、病毒、入侵行为、终端、服务器、网络设备故障,根据工作人员的告警设置,将对应的故障报警推送至对应的责任部门,并进行跟踪处理。2.远程巡检某钢铁集团各分公司的巡检方式一般分为固定位置检查与巡逻检查,按点检时间还可以分为日检、周检、月检。工作人员通过平台提供的自动化远程巡检功能,根据运维巡检制度内容定期巡检,并自动根据巡检频率要求输出日/周/月度巡检报告,在按质、按量完成工作的前提下大幅提高巡检效率。平台远程巡检系统在故障诊断功能的基础上,根据钢铁行业的巡检需求增加了自动巡检功能。通过关联设备资产,根据巡检的时间周期、设备 IP、事件名称等条件进行检索,结合工控安全报警信息输出点位、
55、点位描述、当前状态值、事件类型、事件描述(如 PS 模块指示灯、开关按钮是否正常;控制模块 CPU、I/O、CP、IM、SM 等电源指示是否正常;辅助部件中继器、DP 接头是否良好等)与点检标准要求生成多种形式的设备画像。最后根据此钢铁集团工作人员的巡检报告设置,自动生成服务器、网络设备、41工业主机、控制设备等多类型全面巡检报告,并支持对巡检中发现的异常问题派发工单并跟进。此钢铁集团通过使用烽台科技钢铁行业生产信息化安全保障运营平台,连接设备、工作人员、贯通业务、挖掘数据价值,形成跨专业数据共享共用的生态,提高管理创新、业务创新和业态创新能力。平台在常态化开展配网设备全景监测的基础上,依托准
56、确的“集团-厂区-部门-设备”数据,全面开展配网故障研判,让设备“开口说话”,做到了先于报修的主动抢修和运维,使运维效率大幅提升,帮助某钢铁集团节约了大量综合资源,提高了巡检效率。应用效果某钢铁集团在使用烽台科技钢铁行业生产信息化安全保障运营平台之前,生产系统出现数据错误或丢失,往往能源调度岗需要给信息化管理部打电话请求帮助排查问题。信息化管理部分别设有通信网管岗、计算机管理岗、信息安全岗,计算机管理岗排查能源管理系统服务器/客户端各项服务是否正常;信息安全岗排查能源管理系统各个组件是否遭受入侵/病毒;通信网管岗排查数据传输路径各节点网络是否正常;信息化管理部在逐步排查故障的同时,设备管理部的
57、仪表维护岗和自控维护岗也会分别进行排查故障数据点位对应现场仪器仪表、对应 PLC 是否正常。如下图所示,整个故障排查过程最少涉及 6 名工作人员,最少需要 10 次通42话,耗时约 340 分钟。使用平台之后,如下图所示,只需要一名工程师登陆系统查看能源管理系统告警,即可按照点位查询数据传输路径,查看故障具体原因,推送工单整个过程用时不超过两分钟,大幅提高了故障诊断效率。对于巡检管理也存在同样的情况,在使用平台之前,如下图所示,至少需要四名工作人员耗时 4 小时到达下属钢厂,通过纸质表格记录现场设备数据,逐一对服务器、网络设备、工业主机、控制设备等进行巡检,总体耗时约 300 分钟。43使用平
58、台之后,只需要一名工程师远程登陆系统查看资产管理界面,查看某资产运行情况,设置平台定期自动化输出自动化巡检报告,全程不超过 5 分钟。总结烽台科技钢铁行业生产信息化安全保障运营平台面向信息自动化部门的设备事故调查分析和巡检场景提供故障诊断、远程巡检等功能。借助先进的工业物联网、互联网、云计算、大数据分析、数据建模、5G 通讯等技术,依据 ACCM 设备管理理论,建立适合公司的设备管理平台,通过对站点设备(系统)状态、数据、功率、能源等数据的采集、清洗、传输、分析、积累、建模、应用,挖掘数据的潜在价值,使设备状态监控及预测性维修水平得到大幅提升,减少设备故障停机及相关维修费用,实现现场少人值守。
59、最终通过信息化、智能化手段提升设备管理精益化水平,提升设备及公司整体的智能化程度,提高企业的集约化管理水平,以获得更高的设备运行安全性、更高的可靠性、更高的运行效率、更高的投资回报率,达到公司人员受控、工作受控、设备受控,打造成为行业智能管控领先企业。44六、适用行业:石油、化工、钢铁、燃气、电力、有色、轨交、烟草七、联系人姓名及职位姓名:林琳职位:市场联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:新年迎接新挑战,烽台科技将坚持以安全赋能业务为导向,以用户需求为中心,聚焦新一代信息技术与工业应用深度融合产生的安全需求,助力工业企业数字化转
60、型升级,为工业各行业用户降本增效,持续价值赋能。烽台科技 联合创始人/总经理 龚亮华4546国舜股份一、公司名称:北京国舜科技股份有限公司二、公司 logo:三、工控安全产品名称:工控安全审计系统四、产品特点及优势:特点:1.工控协议深度解析支持 OPC,Modbus TCP/UDP,IEC104,DNP3,Profinet,MMS,S7,GOOSE,SV,Ethernet/IP 等数十种工控协议报文的深度解析和检测。例如报文格式检查、功能码控制、寄存器控制,连接状态控制等的检测。2.工控行为规则自学习基于对工控协议的深度解析,分析工控协议通信行为过程,自动学习基于工控协议47的操作行为和规则
61、,对正常工控协议的通信行为建立模型,以此作为可信白名单防护的基线,并可通过自定规则进行强化,可准确识别不合规操作等异常通信行为并产生告警。3.多重规则自定义支持自定义工控协议白名单,对指定协议的操作进行细粒度检测和审计。支持通过协议特征的方式添加新的协议,并可以对新添加的协议进行识别,规则匹配,产生相关安全事件。4.实时工控入侵检测实时检测工控网络中的攻击行为,利用内置的工控威胁库,根据己知的威胁特征建立检测规则,对网络中的工控漏洞攻击、病毒攻击等入侵行为进行实时告警。5.工控网络异常状态检测系统基于对工控协议(Modbus TCP/UDP、OPC.Siemens S7、DNP3、IEC104
62、,Ethernet/P,MMS、PROFINET 和 FINS 等)的通信报文进行采集与深度解析,对协议、流量等元素进行统计分析,实时显示网络的运行状态。采用异常流量检测方法,通过对网络流量、通信行为建立模型基线,识别异常流量和异常通信行为并产生告警,可准确识别如:异常指令操作、异常网络连接、不明接入设备(IP地址)等异常状态。支持工业协议无流量监测功能,可持续监测指定工业协议的通信状态,对流量异常中断事件进行实时报警。6.流量分析可视化支持图形化的事件显示、网络流量监控,给用户提供丰富的图形报表。7.安全审计及响应完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,对安全事48件进
63、行审计,及时追溯安全事件的轨迹,便于事后调查取证和回溯分析。独立的告警响应机制,可定义对不同安全级别的安全事件的响应方式。支持对报文进行规约检查,对不符合协议规约的报文,实时上报规约告警事件。支持对指定会话进行审计,实时审计会话的 IP,端口,协议,上下行报文数和字节数等信息;支持对组态变更,控制指令变更,PLC 下装,负载变更等所有写操作作为关键事件进行审计。8.网络数据安全留存系统默认对所有工控网络的原始数据进行加密存储,审计数据可留存六个月及以上时间,也可根据用户自定义设置数据留存事件,满足行业相关的合规性要求。优势:1.贴合工业环境的硬件设计产品硬件采用了适应工业环境的硬件设计。防护等
64、级 IP40,满足工控网络应用环境要求。通过工业级宽温测试,工作温度、湿度满足工业现场要求。低功耗、无风扇、全封闭设计。2.支持多重检测机制通过“黑名单+白名单”策略构建多重检测机制,准确识别不合规操作等异常通信行为,并产生告警。采用以下手段进行攻击威胁防护:1)支持对已知攻击行为的检测和防护,内置了庞大可升级的工控威胁库;2)支持自学习工控协议规则和行为,建立安全检测模型;3)可通过白名单防护阻止一切不明的威胁。3.完整记录工控安全事件完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,便于事后49调查取证和回溯分析。4.工业协议无流量检测支持工业协议无流量检测功能,可持续监测指定
65、工业协议和终端的通信状态,对流量异常中断事件进行实时报警。五、成功案例:随着国际上工业互联网、工业 4.0、国内加强工业发展战略的提出,以及“两化”融合的行业发展需求下,信息化与工业化深度融合的趋势在促进生产高效运行、提升生产管理效率的同时,也给恶意攻击者提供了更多的攻击路径,对工业安全提出新的挑战。某化工企业作为在中间体及新材料、聚合物添加剂、农用化学品、天然橡胶等领域具有核心竞争力的国际化经营大型国有控股上市企业,已进行过“精细化工行业大数据平台”等数字化战略转型的卓越实践。但其也深刻认识到,在“两化”融合和数字化转型不断深入的过程中,客户隐私信息、关键生产数据、工艺数据都面临一定的安全风
66、险。信息安全管控水平决定着企业在数字化转型道路上能够走多远,建立完善的工业安全保护平台,全面提升企业的信息安全保障水平成为公司两化融合和数字化转型的基础与关键。双方通过紧密合作,围绕工业控制系统安全、工业生产网络与管理网络安全、工业数据安全等建设工业企业网络安全综合防护平台,构建包括资产管理、漏洞检测、入侵检测、态势感知、病毒防范、安全审计、数据保护等在内的一体化动态综合防御体系。通过整合客户当前安全防护设备和防护能力,建立综合性的工业企业安全防护能力并输出到下属单位,切实保障企业的生产安全。通过构建工业50企业安全综合防护能力,全天候多方位监控关键生产设备及重要业务系统安全状况,及时发现、处
67、置、阻断、溯源各类网络安全隐患风险,全力助推客户的安全保障能力及安全团队能力提升,打造化工行业安全保障的模板,提升全行业的安全保障水平。六、适用行业:电力、石油、石化、烟草、水利、轨道交通、智能制造等七、联系人姓名及职位姓名:于伟杰职位:市场联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:国舜股份通过分析工控企业的安全痛点、设计合理的安全功能、测试验证了多种安全场景,已完成工业防火墙和工控安全审计系统等产品化,获得了相应软件著作权登记证书,工控产品顺利通过了公安部相关检测并获得了销售许可。目前产品在石化、智能制造、市政等行业已有了典型场景化
68、应用。同时,国舜股份借助安全开发、安全服务等为行业企业提供从软件开发、设计、测试、验收及企业的运营、维护、制度、体系等全方位、立体化的纵深安全防护。副总裁 汤志刚5152国泰网信一、公司名称:北京国泰网信科技有限公司二、公司 logo:三、工控安全产品名称:1.工业防火墙系统2.工控安全监测与审计系统3.工控安全管理平台4.工业安全隔离网闸系统5.工业数采安全隔离与信息交换系统6.工控统一安全运维平台(工控堡垒机)7.工控漏洞扫描系统8.工控入侵检测系统四、产品特点及优势:1.工业防火墙系统53特点:工业防火墙(GTEC-FW)是专用于工业网络中不同安全级别或不同网络安全域之间进行安全隔离防护
69、的产品。产品主要基于对工业网络协议深度解析,利用机器学习技术识别工业资产和应用协议。结合白名单、黑名单、安全域划分、IP/MAC 地址绑定等技术,抵御工业网络中各类已知和未知的恶意攻击行为,为工业网络中各类生产系统和业务系统的稳定运行提供安全保障。优势:1)深度工业协议解析:支持对 OPC UA、OPC DA、SNMP、Ethernet/IP、Modbus/TCP、Profin、IEC104、DNP3、MMS、S7、GOOSE、SV 等 10多种常用工业协议深度解析,并支持自定义扩展私有协议。2)智能构建可信策略:通过流量自学习,建立可信的工控网络安全策略基线,简化策略配置流程,降低人工部署难
70、度,提高现场配置部署效率。3)强大的网络适应性:支持透明模式、路由模式、工作模式、测试模式。各模式间可快速切换,适应复杂的工业网络环境要求,方便实施部署。4)指令精准解析与控制:支持主流工业协议 Modbus TCP、OPC、Profinet、54DNP3 等多种工业控制网络协议的数据包深度解析与精准控制。5)多重防护机制:具备传统网络 DoS/DDoS 恶意攻击防护能力,并基于工控威胁特征识别技术、黑名单特征库匹配机制构建多重防护,抵御针对工控系统的各类攻击。6)高可靠性:硬件设计中增加成对的 bypass 端口,遇设备掉电、宕机等情况仍能保障业务连续性。全系列产品标配双电源,确保设备供电稳
71、定。采用无风扇设计,保障硬件长时间可靠运行。产品可灵活定制硬件接口并可按需拓展处理性能。7)内置专业反病毒引擎:专业脱壳引擎及解压缩引擎,结合特征码扫描、启发式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、SH、Python、PHP、BAT 等多种格式的脚本进行扫描,快速准确检测Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码,正确修复文档。8)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免疫机制,实现对已、未知恶意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定
72、运行。2.工控安全监测与审计系统55特点:工控安全监测与审计系统(GTEC-MA)是针对工业控制网络流量进行行为分析与安全监测的审计类产品。产品基于流量检测技术,快速识别工控网络中的非法操作、异常事件、外部攻击等行为,同时可记录工业协议通信指令行为,为安全事件的调查提供依据。优势:1)深度解析协议指令:支持对 MODBUS、IEC104、MMS、PROFINETIO、SV、OPC UA、OPC DA、SNMP、DNP3、S7、GOOSE、ENIP、PNRTDCP等十余种主流协议解析。可深度分析生产通信环节中的控制指令、参数、遥感、遥测等信息。2)精准识别攻击行为:利用自有的工控威胁黑名单库,建
73、立特征匹配规则,精准识别工业网络中的攻击行为并实时告警。3)实时监测网络流量:实时监测工控网络中通信协议状态、流量等元素并进行统计分析,通过自定义规则或白名单规则,检测业务流量中不合规的工控网络行为,对不合规行为进行实时告警,并留存网络数据。564)安全留存审计数据:对所有工控网络中的原始数据进行安全存储,并根据行业相关审计要求,审计数据留存时间不少于六个月。5)数据保护及自身安全保障:基于国产密码的数据安全防护和安全传输隧道机制,保证上传数据的可靠传输和防窃取。以可信计算为核心、可信硬件为载体、可信算法为纽带,共同构建软硬一体化的安全防护机制,保证业务传输安全和自身安全。6)内置专业反病毒引
74、擎:专业脱壳引擎及解压缩引擎,结合特征码扫描、启发式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、SH、Python、PHP、BAT 等多种格式的脚本进行扫描,快速准确检测Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码,正确修复文档。7)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免疫机制,实现对已、未知恶意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定运行。3.工控安全管理平台57特点:工控安全管理平台(GTEC-UM)是对工控网络中各种安全产品进行统一管理
75、、授权、策略配置和事件统计关联分析的安全产品。通过对安全设备统一监测审计、安全策略集中配置、安全事件集中采集和关联分析的方式,为安全管理及运维人员提供判断和策略依据,从而提高工控网络安全运维管理效率,提升工控网络安全整体防御能力。优势:1)安全设备集中管理:集中管理工业网络中的安全设备和网络资产,具备设备状态管理、事件管理、设备配置管理、网络资产拓扑等功能。2)安全状态统一监测:对全网安全设备的运行状态进行集中监测,实时发现网络中安全设备的运行故障并告警,确保重要业务、生产系统的连续性。3)安全策略集中部署:能够根据当前安全威胁和特定的业务场景对工业防火墙、监测审计等安全设备统一定制和部署安全
76、策略,降低网络安全管理的成本。4)安全日志集中审计:能够通过 Syslog、SNMP 等方式收集安全设备、工控58设备、网络设备、主机等系统的日志数据。5)日志报表集中管理:可对工业网络中收集到的各种日志进行独立分析和关联分析、归档,方便管理员对网络异常事件精确定位。6)数据保护及自身安全保障:基于国产密码的数据安全防护和安全传输隧道机制,保证上传数据的可靠传输和防窃取。以可信计算为核心、可信硬件为载体、可信算法为纽带,共同构建软硬一体化的安全防护机制,保证业务传输安全和自身安全。7)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免
77、疫机制,实现对已、未知恶意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定运行。4.工业安全隔离网闸系统特点:工业安全隔离网闸系统是一款基于“2+1”结构的隔离平台,根据工业环境定制,采用经过安全裁剪加固的安全操作系统,特有控制逻辑和专用通讯协议确保网间59工业协议安全隔离和工业数据的实时安全交换。优势:1)工控协议深度解析:支持 OPC Modbus、S7、DNP3、IEC104 等协议,并可支持自定义协议。2)支持 OPC 协议映射:可动态管理连接端口。支持 OPC 协议解析,进行读拦截、写拦截、读写拦截。3)支持 Modbus 协议映射:可动态管理连接端口,进行读、写、读
78、写拦截。支持 Modbus 协议元素级别控制,支持指定对协议功能码、从站地址、寄存器地址、寄存器值、读寄存器长度进行读、写、读写拦截控制。4)两个安全域间安全隔离:基于对象、应用、时间、通道方向等元素建立安全的数据传输通道,并限制连接数。5)支持跨网 SAT 映射:屏蔽内部网络结构,支持应用数据的纯单向传输,支持工业协议私有化转换,传输工业数据落地加密、安全检查。6)同步支持:支持文件交换同步和数据库交换同步。7)提供视频映射代理或单向传输:支持主流视频厂商视频协议,支持协议二次开发。8)内容审查:可对安全通道内的数据进行内容审查,包括关键字、文件特征、防病毒等。9)高可靠性:冗余电源,支持双
79、机热备/负载均衡,支持端口聚合。10)内置专业反病毒引擎:专业脱壳引擎及解压缩引擎,结合特征码扫描、启发式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、60SH、Python、PHP、BAT 等多种格式的脚本进行扫描,快速准确检测Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码,正确修复文档。11)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免疫机制,实现对已、未知恶意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定运行。5.工业数采安全隔离与信息交换系统特点:工
80、业数采安全隔离与信息交换系统(以下简称“工业数采网闸”)是一款专门为工业生产环境的中心节点设计的高安全性隔离网闸。系统采用“2+1”硬件架构,由内、外网独立的处理单元和安全数据交换单元组成。工业数采网闸为满足工业领域数据的安全采集、安全隔离传输以及安全上报的功能,在隔离网闸的基础上集成工业数据采集模块和应用数据上报模块。通过配置符合业务需要的安全策略,在保证内外网隔离的前提下,实现高效安全的数据传输。支持 MODBUS、OPC61等主流的采集协议与 MQTT、SQL、OPC 等上报协议,适用于石油石化、煤炭、轨道交通及电力电讯等工业控制系统。优势:1)丰富的采集与上报协议:支持 MODBUS_
81、TCP、RTU、ASCII、从站推送、OPC_DA/UA、DL/T645、CJ/T188 等 协 议 的 数 据 采 集,支 持OPCUA_UPLOAD/SERVER、MQTT、SOCKET、SQL 等协议的数据上报;极大的满足各种工控场景的需求。2)业务流程实时监控:实时动态监控采集通道、采集点位状态、上报任务/通道的状态,并进行日、周、月的统计;当采集点位状态异常时,可自动发出警告;当上报系统和上报接收服务器发送故障后,可自动重连接收服务器,继续完成工业数据的上报。3)自定义阈值告警:支持阈值设置,可跟进特定应用场景设置应用指标的高位报警和低位报警,超过阈值自动向系统发送报警信息。4)便捷
82、的管理设计:通过内网专用管理口进行管理,提供 web 图形化界面;对采集通道、采集点具有批量导入和导出功能,解决了复杂应用环境下的配置繁琐和大量配置工作量的问题;大大提高了系统的便利性和可操作性。5)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免疫机制,实现对已、未知恶意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定运行。6.工控统一安全运维平台(工控堡垒机)62特点:工控统一安全运维平台GO TECH-SOP(简称“工控堡垒机”)是国泰网信自主研发的新一代软硬件一体化平台。产品支持对企业运维人员在运维过程中进行
83、统一身份认证、统一授权、统一审计、统一监控,消除了传统运维过程中的盲区,实现了运维简单化、操作可控化、过程可视化,是企业 IT 内控最有效的管理平台。优势:1)强大的应用发布系统:通过应用发布系统,能够极为方便地将用户需要管理的系统托管至堡垒机系统,包括但不限于用户自主开发的各类应用及各类数据库应用。2)审计信息“零管理”:支持“日志零管理”技术,所有管理员需要日常进行的操作日志均可由系统定时自动后台生成。3)强大丰富的管理能力:支持 B/S 管理方式,Web 管理灵活方便,适合在任何 IP 可达地点远程管理。提供带外管理功能,解决远程应急管理的需求,减少用户运营成本、提高运营效率、减少宕机时
84、间、提高服务质量。4)方便灵活的可扩展性:支持多个硬件管理口,管理口即插即用,提供对多个区域网段的同时管理能力;支持通过发送邮件、日志数据库记录、打印机输63出、运行自定义命令等响应方式及时报警。5)高可靠的自身安全性:采用专门设计安全、可靠、高效的硬件运行平台;采用支持热插拔的冗余双电源,具有高可用性;通信采用强加密的 SSL/TLS 传输控制命令,完全避免可能存在的嗅探行为,确保数据传输安全。6)工单下发:支持工单系统申请资源、账号、权限、操作许可等,并支持多人审批及结合指令自动生成工单等功能。7)离线运维:运维用户可使用专用调试终端直接连接资产进行离线运维,也可自带运维终端串行连接移动网
85、关进行离线运维,还可自带运维终端旁挂移动网关,再直连资产进行离线运维。8)日志上传:通过专用调试终端或移动运维网关访问操作日志定时自动上传。7.工控漏洞扫描系统特点:工控漏洞扫描系统能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计,防患于未然。64优势:1)空间资产探测:自动生成网络拓扑,方便用户快速发现、统计全网信息资产,了解安全风险等级。2)系统漏洞扫描:全方位、多侧面对系统进行实时、定期的系统漏洞扫描和分析。3)WEB
86、 漏洞扫描:全面支持 OWASP TOP 10、敏感关键字、挂马、暗链、钓鱼等漏洞检测。4)数据库漏洞扫描:支持十余种数据库,内置扫描策略超 2000 条,并可发现数据库中潜藏的木马。5)基线配置核查:对目标系统进行自动化的基线检测、分析,并提供专业的配置加固建议与合规性报表。6)工控漏洞扫描:支持对主流的工业控制系统进行漏洞扫描和分析,支持远程检测及离线比对方式。丰富的漏洞知识库方便用户及时发现漏洞,通过安全加固降低因工控漏洞带来的经济风险。7)WiFi 安全检测:支持对 WiFi 无线网络进行安全检测并生成 WiFi 安全检测报告。8)Docker 漏洞扫描:可检测 Docker 漏洞、D
87、ocker 镜像漏洞、木马后门以及不安全配置。9)大数据漏洞扫描:支持对主流大数据平台组件进行漏洞扫描和安全配置合规性检查。10)视频监控安全检测:可以对视频监控系统进行漏洞扫描,涵盖了视频监控系统的各种操作系统、网络服务、弱口令。6511)Windows 安全加固:支持对 Windows 操作系统的配置、网络、接入、日志、防护等方面进行自动和手动安全加固。12)全网分布式管理:提供全网分布式管理功能,从而实现了对大规模网络实时、定时的漏洞扫描和风险评估。13)可信计算:基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫机制,保证系统启动的可信引导;同时具备自主免疫机制,实现对已、未知恶
88、意代码的主动防御,降低可执行程序被篡改破坏的风险,保障系统安全稳定运行。8.工控入侵检测系统特点:工控入侵检测系统是一款专门针对工业互联网攻击威胁设计的检测与审计类安全产品。产品内置专业的工控攻击规则库,涵盖包括缓冲区溢出、扫描攻击、DoS/DDoS、SQL 注入、蠕虫病毒、木马、后门类等多种类型的攻击特征;同时可根据业务功能需求制定网站过滤、Email 过滤、应用识别与控制等,对工业控制网络上捕获的数据包进行相应的行为匹配,及时发现来自生产网内外部攻击威胁,为客户提供直观、可落地的安全防护建议,保障生产网络安全运行。66优势:1)丰富的工控攻击库:可以检测和防御针对工控系统的网络攻击,保证工
89、控系统的安全。产品内置了上百种多个 SCADA 特征库,涵盖了 DNP3,ICCP,Modbus 等多种协议,而且也涵盖了多个厂商产品,比如研华、施耐德、西门子、ABB 等产品。2)智能构建安全基线:采用深度自学习技术,对通信报文进行深度解析,完成对工控数据的实时监控和记录,进行自定义调整,定制化安全检测策略,根据自学习的规则模型,实时检测工控数据流,发现异常时进行报警。同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。3)工控协议深度解析:产品内嵌协议深度解析引擎,可解析工控两大类通讯协议,支持主
90、流工控协议(如 OPC、Modbus、S7、DNP3、CIP、MMS 等)深度解析功能,并对数据包完整性、功能码合法性、寄存器值合法性等多个层次进行分析,及时发现异常通讯行为。4)状态检测流量审计:可基于状态检测机制对会话进行分析,跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可直接放行,极大的简化了配置,提高了效率。所有的会话都会维持在会话表供管理员分析及排错使用。67五、成功案例:1.某火电厂工控安全防护项目(电力)项目背景电力行业作为我国重要的基础性行业,支撑着社会经济的发展,关乎国计民生。依据网络安全等级保护基本要求中工业控制系统安全扩展要求,对电力系统的综合安全防护建
91、设工作仍需持续加强。该火电厂工控网络存在缺少边界防护措施、系统缺乏有效监控手段、工作主机无防控措施、多网络接入点、无法高效统一监管等问题,亟待解决。方案介绍通过部署工业防火墙,可有效划分安全区域,提供边界防护及各网之间防护;通过工控安全监测与审计系统,精准发现网络攻击行为;通过部署主机安全卫士,对主机终端加固、解决病毒木马侵扰问题;通过统一安全运维系统,实现服务器等资源的访问权限控制和操作审计;通过漏洞扫描系统,及时发现网络中存在的安全漏洞和脆弱点;通过安全管理平台,实时查看网络现状,对远端运维设备实时了解动态。68客户价值1)符合“等级保护 2.0”相关标准要求,符合电力 36 号文中指出的
92、“安全分区、网络专用、横向隔离、纵向认证”基本原则;2)针对电厂工业系统的不同层级,实现多重网络逻辑隔离安全防护,保证各层级网络相互独立,防止网络攻击在各网络间传播;3)主机多维度安全管控,实时监控主机运行状态、阻止异常操作行为,保证现场关键操作员站和服务器的安全运行,增强系统的整体安全防护能力;4)多角度实时掌握现场设备运行情况,秒级的事件告警传递和详细分析,帮助运维人员尽早发现和解决问题,提高安全运维效率,全方位保障电力系统高效、稳定运行。2.某企业石油炼化工控安全防护项目(石油炼化)项目背景石油炼化产物种类繁多,加工工艺复杂,现场控制器一般都为 DCS 等大型控制69系统,操控较为繁复,
93、但现场控制系统权限管理普遍比较宽松,易造成重大安全事故。此外,随着新一代信息技术与炼油化工行业融合,在提高生产效率和管理效率的同时,也增加了许多新的攻击途径,使得石油炼化企业生产控制系统面临越来越多的安全威胁和挑战。依据网络安全等级保护基本要求中工业控制系统安全扩展要求。该炼化工业生产控制网络缺乏边界的安全防护,操作系统、应用软件漏洞及木马病毒、统一的安全管理问题。方案介绍通过部署一系列工控安全产品,总体保障炼化生产系统网络安全,满足“等级保护 2.0”相关标准要求。其中安全隔离与信息交换系统,保证各炼化系统与 MES系统之间的数据单向传输,防止攻击进入各炼化车间;工业防火墙,可防止网络攻击进
94、入控制网;采用工控安全监测与审计系统采集全网流量、分析对计算环境内的异常行为与攻击前兆特征进行预警;主机安全卫士可识别、阻止任何白名单外的程序运行,阻止病毒、木马、恶意程序运行和传播;通过统一安全运维系统,限制对服务器等重要资源的访问权限分配、访问记录和操作过程的审计;由安全管理平台提供图形化的安全设备统一管理入口,快速设置整体安全策略,批量下发各类安全设备配置;通过漏洞扫描及时发现工控系统中存在的风险和隐患。70客户价值1)满足国家标准(工业控制系统信息安全防护指南与等级保护 V2.0)、行业规范(中国石化工业仪表控制系统安全防护实施之规定)等合规性要求;2)确保各控制系统和中控室网络之间的
95、业务安全和数据可靠性,防止工程师站的恶意操作和工控协议漏洞攻击,降低安全运维风险;3)实时掌握网络运行状况,及时发现控制系统运行异常,协助运检人员发现问题、查找原因和解决问题,保障炼油化工业务系统安全、可靠运转。3.某军工企业工控安全防护项目(军工)项目背景根据科工 XX【2016】347 号令对军工制造业涉密信息系统与工业控制系统连接71的信息安全防护要求,重点加强互联后的网络安全、数据安全、边界防护,阻断工业控制系统到涉密信息系统的威胁途径,防止因工业控制系统导致的失泄密事件发生,为军工制造涉密信息系统与工业控制系统互联提供可靠、有效的信息安全保障。方案介绍在 SM 管理区域和工业控制系统
96、区域单独建立安全数据交换区域,在安全数据交换域部署两台安全隔离与信息交换系统(单导),通过数据摆渡及敏感信息检查功能,完成 SM 管理区域和工业控制系统区域的物理隔离;在工业控制系统的监控层核心交换机旁路部署工控安全监测与审计系统,通过工业协议深度解析、关键网络节点流量监测功能,提高军工工控网络的内外网入侵和恶意代码防御能力;在监控层核心交换与控制层各个区域之间部署工业防火墙,通过工业防火墙的协议深度解析、黑白名单防护功能实现各区域间数据传输的域间逻辑隔离防护;在工控系统的工程师站、操作员站、DNC/MDC 等服务器部署工控主机卫士,通过主机卫士的白名单自学系统能结合主机加固和外设管控功能,实
97、现对操作系统的安全防护;在监控曾建立安全管理中心区域,在安全管理中心部署工控漏洞扫描系统、安全运维管理系统和安全管理平台,对工控系统内的安全设备统一管理、策略统一下发、工控设备的定期安全检查和运维人员的访问权限控制及运维审计。72客户价值1)通过工业防火墙、工控审计、工控 IDS、安全管理平台等工控安全防护设备,使工控网络的安全防护达到等保 2.0 的三级防护要求,解决客户工业生产网络的安全;2)建立数据安全缓冲域,通过工控网络安全隔离装置完成数据单向隔离传输,帮助客户实现涉密与非密的交互安全。六、适用行业:电力、石油石化、能源、党政军企、铁路、轨道交通、烟草等行业七、联系人姓名及职位姓名:史
98、瑀职位:品牌运营事业部-总经理联系方式:73八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:国泰网信深耕工控网络安全多年,已自主研发出全套工控网络安全产品,并对工业企业,特别是电力、能源等关乎国计民生的关键基础设施行业的用户场景、业务流程等有着深刻的理解。公司可针对用户系统安全防护需求,结合行业标准及规范,构建系统级的内生安全防护体系,实现安全与业务的深度融合,为用户的业务安全保驾护航。北京国泰网信科技有限公司 CEO 李欣74六方云一、公司名称:北京六方云信息技术有限公司二、公司 logo:三、工控安全产品名称:工业防火墙工业网络审计工业主机卫士工
99、业安全管理平台工业网闸工业漏扫工业态势感知与安全运营平台75四、产品特点及优势:工业防火墙特点:工业级专用硬件,适应各种工业环境采用工业级芯片和电子元器件、无风扇一体化设计,支持-4085宽温工业环境,设备在高湿,盐雾等恶劣环境正常运行。一体化防护引擎,适用OT与IT深度融合场景六方云工业防火墙实现三位一体的OT与IT融合,安全防护引擎一体化、安全防护知识一体化、安全防护功能一体化。OT与IT协议深度解析,访问控制更精细支持基于用户,基于网络,基于工业协议,基于白名单,基于关键字,基于时间的六维访问控制,可根据安全场景和目标灵活进行组合设置,安全运维灵活性得到大幅度提升。自研安全操作系统,满足
100、低时延和低抖动要求基于自研嵌入式操作系统,控制与转发平面分离,计算资源更多专注于安全业务,整机性能比同等配置高出50%以上,满足工控系统时延、时序、抖动等严苛要求。IPv6、NAT和VPN丰富工业互联网安全部署方式支持IPv6与IPv4双栈以及各种过渡方案,工业NAT可隐藏工控系统,缩小受攻击面,工业VPN支持国密加密算法,可靠性更高。76可信计算构建可信工控系统,满足等保合规要求采用可信计算技术,基于硬件可信根,实现启动、固件、系统、功能的完整可信链,确保防火墙系统安全可信,为工业控制系统和工厂构建安全可信环境。优势:工业级硬件支持机架式和导轨式两种产品形态,满足不同工业现场的部署要求;采用
101、工业级硬件平台,支持无风扇设计、冗余电源,适用于高湿、宽温等复杂、恶劣 的工业环境。协议识别广而深支持主流工控厂商OT协议的深度解析;支持常见IT协议的深度解析。工业漏洞库涵盖主流厂商的工业漏洞;精细分类工业漏洞,精确防护工业设备。白名单与机器学习对工业控制网络中所有不符合白名单的数据和行为特征进行阻断和告警,消除未知漏洞危害;通过机器学习自动收集系统正常运行状态下的数据行为,识别工业网络环境网络的安全数据特征,建立网络流量安全基线。高可靠性77硬件ByPass,当机器出现能源异常时,Bypass网口自动导通,保证业务正常运行;软件ByPass,当网络数据超出防火墙最大负荷时,在条件地将部分安
102、全数据软bypass,保证网络时效性。符合工业操作习惯符合工业习惯的操作界面,运行情况一目了然;符合工业习惯的设置方式,运行方式简单易懂;符合工业习惯的展现形式,安全事件查看驾轻就熟。工业网络审计特点:一体化引擎,实现OT与IT融合安全OT与IT走向融合是当前工业互联网场景下的必然趋势,六方云工业网络审计实现三位一体的OT与IT融合:安全检测引擎一体化、安全检测知识一体化、安全检测功能一体化。多级安全检测,让安全审计全面与精准支持协议、流量、运维、内容四级安全检测,使得安全审计更加全面与详尽。四维工业威胁画像,让安全风险可见支持从威胁类别、威胁数量、攻击链,威胁损失等四个维度进行威胁画像,让工
103、业场景下的安全风险可以直观看见,及时采取必要安全措施,避免造成损失。两级网络拓扑结构展示,让工业网络可视78支持工控网络、厂站网络的拓扑结构绘制,结合网络类的资产属性,让工业网络的结构和状态一目了然。工业流量统计与证据留存,让异常行为无处遁形支持针对工控通信流量从协议类别,吞吐,速率,时延,抖动,流向,异常等七层钻取,通过统计图表展示,并将异常流量与攻击流量留存在本地或远程审计服务器上,从而让异常流量和威胁行为无处遁形。丰富的审计报表,让安全运维更简单支持各种审计报表导出格式,在操作界面上即可实现审计报表内容、格式、生成与发送周期等定制设置。优势:丰富的报表内容及告警样式可定制的报表内容,可定
104、制的报表生成周期,以及可定制的报表导出格式。定制告警内容,根据需要灵活配置告警聚合规则,减少告警数量及状态。领先的OT与IT融合引擎工业互联网的建设加速,OT与IT网络的边界扁平化,单OT和单IT的防护能力无法防护现代工控系统的边界,六方云领先的OT和IT融合引擎,将OT与IT的协议行为检测、工控设备的漏洞检测技术有机地整合,无死角监测工控网络内部与边界。79多层次的深度检测技术基于应用层的流量检测,透明化工业控制网络通讯数据,在人机交互界面中展示通讯的数据。能有效检测20余种工业协议的深度解析,并根据解析内容,将报文在人机界面上转换为业务信息,给予全方位的展示,作为事后审计的依据。自学习的白
105、名单策略工业白名单是通过学习网络数据流量中的工业协议,生成特定的工业协议特征库,包括网络数据中的源IP,目的IP,协议名称,详细协议数据。在默认情况下,任何未经批准的主机、协议或功能指令都认为是潜在威胁,一旦检测到未经批准即白名单以外的网络数据,及时上报异常事件,从而为审计恶意软件的针对性攻击提供识别依据。丰富的工业漏洞库工业漏洞库丰富并持续维护,其中包含1000余种工业漏洞,涵盖了目前主流厂商的工业漏洞信息。精细分类工业漏洞,精确审计工业设备和主机漏洞。为工业客户排除安全风险,及时发现隐患。以资产为核心进行安全状态展示工业网络审计与入侵检测系统以资产为核心展示安全状态,对资产的各个维度进行分
106、析,评估资产安全风险,帮助用户掌握网络安全态势,事件发生趋势及资产风险行为一目了然。工业主机卫士80特点:精准白名单管理,阻止非法程序运行自动扫描、跟踪软件安装及升级、自定义添加、手工导入等方式管理白名单。并且内置操作系统和主流工控软件白名单,提升部署效率。智能“灰过白”策略,无忧批量部署通过在集中管理端对待保护主机的精细学习,自动生成“灰过白”的安全策略,从而实现同类型工业主机安全策略的批量化部署,高效提升安全运维效率。预置“白名单”机制,安全管控更高效基于丰富的工业实践经验,收集了大部分操作系统和主流工业应用软件并提取白名单,实现无需提前查杀病毒即可部署工业主机卫士,大大节省实施时间,提高
107、防护精确度。灵活外设管控,减少数据泄漏与病毒感染路径控制安全U盘和普通U盘的读写权限,杜绝数据泄露和感染病毒事件发生。可对安全U盘进行认证,方便数据安全摆渡。全面外联检测,及时发现潜在威胁对自定义的ip或域名进行网络检查,对非法网络连接进行日志记录和告警。并且支持冗余网卡、移动网卡检测。资源占用小,业务“零影响”工业主机卫士采用轻重量的白名单机制对主机进行防护,系统资源占用少,安装81部署后对工控系统零影响,无需重启系统。支持在不影响使用的情况下对工控软件的安装和升级。优势:白名单快速生成通过扫描主机可信路径或目录,自动快速创建主机应用程序白名单。主机加固系统内核加固维护主机完整性,防止操作系
108、统被恶意破坏。外设管控基于硬件ID进行识别和匹配,仅允许授权外设使用。兼容性强兼容各版本Windows、Linux、Unix和国产化操作系统。工业安全管理平台特点资产统一管理,拓扑清晰展示对工业主机、工业网络设备、工业安全防护设备、工业控制器等资产进行统一管理,消除信息孤岛并高效的掌握网络环境安全态势。82安全集中管控,运维效率倍增支持对网络安全设备进行策略集中配置管理,定时对网络安全设备的策略进行备份,批量对多台安全设备进行策略下发、简化用户管理多台设备的维护成本,提高运维效率。事件关联分析,挖掘潜在威胁对安全防护设备所产生的安全事件及系统操作日志进行详细记录及整体分析,基于关联分析算法、机
109、器学习算法、威胁情报等手段对企业资产潜在的安全威胁进行全方位监测,为攻击溯源提供重要依据。智能生成“灰过白”策略,部署精准又高效平台集成智能AI分析算法,对工业卫士扫描生成的系统和应用灰名单进行智能检测与过滤,最终生成安全可信的白名单,并可批量下发与应用到工业终端。优势清晰拓扑展示可建立资产组织管理、工业层级、安全域等各类拓扑图,监测资产状态。安全统一管理可对安全设备进行策略的集中下发、增量配置、远程升级等集中管理日志分析溯源可对安全事件进行全面记录、分析及展示,便于用户对历史事件追溯。83工业网闸特点:协议中断,信息落地内/外端机是内/外网络各自通用协议的终点,一方的网络协议不可向对方延伸。
110、所有过往的应用层信息都从协议包中剥离,被还原为应用层信息,保证传输安全可靠。工业协议应用数据传输支持工控领域常见的主流工业控制协议,工业协议应用可以正常通过网闸通道,满足不同安全域数据传输的需求。数据库同步交换提供多种主流数据库的单、双向数据交换,支持同步表双向检索,无需修改数据库表结构,不涉及到代码修改及二次开发,便捷高效。文件同步交换支持多种文件传输协议,支持一对多或多对一同步传输,支持多级子目录同步,可对文件类型、后缀名、关键词等进行过滤。视频协议传输实现视频网络与信息通信网的网络隔离,支持多种视频硬件平台,如摄像头、DVR(数字硬盘机)、流媒体服务器、视频服务器等设备。84优势:安全的
111、操作系统设备所依赖的操作系统引擎经过了最大化精简,是在专门进行了安全优化和加固的基础上建立起来的,其本身的安全性值得信赖。多种安全机制加持双机热备、链路聚合、黑白名单、冗余电源等多种机制加持,保障系统高可靠运行。专用硬件在六方云工业网闸系统内部,采用了专用高速数据处理部件,使系统具有了极高的数据吞吐能力。专用通信协议通过在专用操作系统内核中嵌入特有协议和认证机制,使得系统的安全隔离的能力进一步增强。工业漏扫特点:空间资产探测85综合运用多种手段,全面、快速、准确的发现被扫描网络中的存活设备,准确识别其属性,为进一步的漏洞扫描做好准备。漏洞扫描全方位、多侧面对主流的操作系统、应用服务、数据库、网
112、络设备、虚拟化平台、大数据、视频监控系统、工业控制系统等进行实时、定期的系统漏洞扫描和分析,帮助客户对网络进行安全加固。报表关联分析采用报表和图形的形式对扫描结果进行分析,可以预定义、自定义和多角度多层次的分析扫描结果,方便用户网络中的漏洞情况。分布式管理系统向下级引擎下达扫描任务,接收下级引擎上传的扫描结果,进行统一分析,生成整体扫描报告,从而实现对大规模网络的实时、定时的漏洞扫描和风险评估。技术优势 Technical advantages优势:丰富的漏洞知识库漏洞知识库涵盖了各种主流操作系统、数据库、网络设备、应用程序,兼容CVE等标准,全面发现信息系统中的各类安全风险。工控无损扫描采用
113、低发包率、非漏洞触发的远程指纹探测技术,对工业生产零影响,方便用户86及时发现工业控制系统中存在的安全漏洞,降低因工控漏洞带来的经济风险。专业、直观的报表管理将扫描结果通过灵活的报表呈现给用户,提供定性的趋势分析、定量的风险分析,帮助用户更加直观地了解当前网络安全状况。及时、快捷的升级服务利用系统内置的升级模块,对漏洞库、软件进行升级,确保系统可以及时准确的检测到最新公布的漏洞,保障信息系统的安全。工业态势感知与安全运营平台特点:高效安全运维平台集成多种故障诊断工具,结合不同维度的安全日志及丰富的威胁情报知识库对安全运维提供重要保障。工业资产管理基于企业内网络对企业内部工业资产进行精准、无损探
114、测识别,支持资产手工注册,自定义资产分组及资产的实时状态监测。工业资产画像对企业内资产进行不同视角的脆弱性扫描监测,支持多种扫描指标(漏洞类型、漏洞威胁等级等)可视分析,支持漏洞详情展示、漏洞情报处理等功能。87工业应用威胁可视自动描绘企业内工控网络拓扑,对企业内部发生的纵向威胁、横向威胁、僵木蠕等威胁事件进行集中监测、异常行为分析呈现。工业协议威胁可视支持对工业协议的相关指标、指令进行统计分析和监测,对工业流量和日志进行收集、存储、汇总分析及呈现。工控资产、应用脆弱性管理对工控资产、应用漏洞进行综合评级、评分并给出相应的漏洞解决方案。攻击溯源取证通过对企业内部的1-4层纵向业务链内资产的监测
115、,利用异常扫描、入侵事件、非法访问、病毒投放等威胁行为生成攻击溯源链,清晰刻画出攻击者的攻击行为轨迹。优势:运用数据融合技术,支持异构数据源的采集基于多传感器数据融合MSDF理论,采集各类安全日志进行自动化智能分析、挖掘未知威胁,实现整体安全清晰可视。深度解析并识别业务应用,看清业务逻辑从网络风险访问、外联风险识别、核心业务资产识别归类、业务资产的访问关系、88业务脆弱性监测、新增业务监测等角度进行整体业务画像呈现。清晰还原攻击过程并取证,看懂安全风险集中呈现企业内部访问视图,分析攻击入侵过程,利用分类的手段将攻击划分至攻击链中,直观呈现出攻击的入侵轨迹及危害程度。自动发现并精准识别资产,多维
116、资产画像多维度对资产进行详细画像,通过主动扫描和被动监测,对资产的脆弱性进行详细画像,基于实时动态监测实现互联网暴露资产及站点的综合管理。分析并发现潜在威胁,看清安全态势借助人工智能技术进行行为建模学习、流量建模学习及模型自我训练,从而可分析出潜在的高级威胁与未知威胁,精准定位及呈现潜在威胁态势。事件关联分析并智能聚合,高效辅助运维安全事件日志智能归一聚合处理,从百万级日志中快速且精准的识别网络风险,实现事件的快速应急通报,满足政策要求及监管合规。五、成功案例:案例一:助力轨道交通综合监控系统构建 AI 安全防护体系案例二:助力某能源化工集团构筑信息安全防护体系案例三:“智”造码头,干散货码头
117、智慧港口工控安全建设89案例四:天燃气电厂“燃气-蒸汽”热电联产工控大区安全防护六、适用行业:七、联系人姓名及职位姓名:闫志坤职位:品牌总监联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:对行业发展寄语:习总书记说,没有信息安全就没有国家安全,安全行业将在未来更大幅的增长,希望行业同仁能在 2023 年有更多的合作,铸就我们的信息安90全长城!对甲方的寄语:创新是发展的动力源泉,希望给予创新技术公司更多的机会,让他们有生存的空气和土壤,创新技术的发展会让整个行业更有生命力!六方云总裁 李江力91珞安科技一、公司名称:北京珞安科技有限责任公司
118、二、公司 logo:三、工控安全产品名称:USB 安全管理系统、工业主机安全卫士、工业防火墙、工业安全管理与态势分析系统四、产品特点及优势USB 安全管理系统92特点:1、隔离式全流程使用控制:USB 设备不直接接入内部网络,必须通过专用设备进行数据的中转。使用前需经过恶意代码的查杀,使用中基于安全策略进行访问控制,使用后可进行文件操作审计。既可防范一般的病毒木马,也可隔离固件级恶意代码攻击。2、白含单式设备入网管控:基于 USB 存储设备的硬件序列号,实现白名单式的设备准入控制,只有在白名单中的设备才允许入网使用,避免设备的滥用。3、多样化文件访问模式:提供标准的 HTTPS 协议、FTP
119、协议、SFTP 协议形式的网络化文件访问,授权用户可以从任意主机访问自己的 U 盘文件;系统支持 OTG 模式的文件访问,允许用户像操作普通 U 盘一样进行文件访问,真正实现对用户使用习惯零影响。4、丰富的策略管理模式:支持文件白名单管理及文件下载黑名单两种管理模式。可对拷出数据进行严格管控,保证重要数据不可以外流。5、分权分级式权限管控:U 盘可以根据需要限制使用范围,划分为全域使用、部门内使用以及个人使用;系统还可以根据用户身份,进行读文件、写文件的分权控制,践行最小化授权原则,降低使用风险。优势:1、隔离式接入控制,可防范固件级攻击。2、多样化文件访问模式,适应各种使用场景。3、细粒度权
120、限控制,让 U 盘使用安全又高效。4、入网强制杀毒,阻断病毒木马的传播。93工业主机安全卫士特点:1、防范未知恶意程序:基于可信白名单防护机制,禁止白名单以外的非法进程运行,能有效阻止各类未知恶意代码的感染、运行和扩散。2、操作系统安全加固:从操作系统完整性保护、数据执行保护、配置文件和注册表完整性保护等方面,对工作站、服务器等主机进行安全加固,防止操作系统被恶意破坏。3、细粒度的 U 盘管控:系统提供基于白名单的 U 盘接入管控,可细化至单一 U 盘进行读写权限控制,杜绝 U 盘滥用,减少病毒传播隐患;提供基于硬94件级 AES256 高强度加密算法的安全盘,有效防止暴力破解导致的数据泄密。
121、4、智能化的补丁与软件更新支持:借助智能化的系统补丁更新和应用软件更新追踪技术,可以在不降低安全的情况下,后台自动化实现白名单的更新,极大降低运维管理压力。5、良好的系统兼容性:采用轻量级的内核访问控制技术,系统资源占用率低、软件兼容性良好,最大限度贴合工业主机可用性第一的安全管控目标。6、全面的操作系统覆盖:支持全系列 Windows 操作系统,从 Windows2000、XP 到最新的 Win10,从 Server2003 到 2019;支持 RHEL、CentOS等主流 Linux 操作系统;支持中标麒麟、凝思等国产操作系统,满足国家自主可控的需要。优势:1、极简化部署,方便快捷2、智能
122、化的补丁与软件更新支持3、实用的操作系统安全加固配置4、细粒度的 U 盘管控5、全面的兼容性覆盖6、多维度的安全审计95工业防火墙特点:1、全面的工控协议深度解析:内置工业通讯协议的过滤模块,实现对工业协议识别及过滤,能够对近百种工业协议进行识别,并能够对 OPC、Modbus.Siemens S7、EtherNet IP、IEC104、DNP3、IEC61850、Profinet、BacNet、Omron Fins、MELSEC-Q、SCNet、SONet、MOTT 等数十种主流工业协议进行深度解析,同时支持自定义扩展的方式对私有协议进行适配。2、细粒度的指令精准管控:支持对主流工控协议进行
123、细致值域级的精准指令控制。支持 OPC、FTP 等协议动态端口,支持 OPCDA 协议状态自动备份和恢复,结合 BYPASS 能力,保证 OPCDA 协议在设备断电、重启等任何状态下都保证业务连续性。3、文件级还原审计:支持 FTP 及重点工控协议的文件还原,能够还原特定协议流量中传输的文件;对于 NC 文件,支持 NC 文件的语义核查。4、多重防护机制:具备传统网络层恶意攻击防护能力,并基于工控威胁特征识别技术、可信白名单技术构建多重防护机制,业务流量通过可信白名单的检测后,可对报文信息做进一步的黑名单检测,黑白结合,以及 IP 地址盗用、未知设备接入监控,DOS 攻击、工控规约检查和工控关
124、键事件审计等多重防护机制,更有效地抵御针对工控系统的各类网络攻击。5、智能构建可信规则:通过流量自学习建立工控业务可信行为基线,辅助用户构建安全防护规则,降低人工部署的难度。6、强大的网络适应性:支持透明模式和路由模式部署,路由模式下支持静态路由和动态路由(OSPF),适应复杂的工业网络环境,同时可工作在测试模式或工作模式,方便实施部署。96优势:1、贴合工业环境的硬件设计。2、全面的工控协议支持。3、多层次的安全防护。4、便捷的访问控制规则构建。5、灵活的部署管理。工业安全管理与态势分析系统特点:1、全面的资产管理:自动识别企业内各种网络设备资产情况,支持对业务层资产精准识别和动态感知,辅助
125、手动编辑主干网络拓扑和区域层级,实现企业复杂网络中的资产和网络关系可视化。2、全面的流量分析:实时监视和分析生产控制网和生产管理网的网络流量状况,包含业务、应用、网络性能等维度分析和故障定位,能够识别攻击行为并分析潜在风险。3、全方位的威胁感知:通过大数据引擎、机器学习、流式分析、分布式存储架构等技术,采集和分析全维度安全数据。通过威胁特征匹配、威胁情报碰撞、事件关联分析并结合业务深度自定义事件规则,准确检测网络中威胁流量和97安全事件,识别网络中异常行为和网络威胁。4、深度溯源分析:通过攻击路径和事件逻辑关系来分析,将大量类型的安全事件通过多维度的关联进行攻击事件溯源和威胁度推理,可呈现出易
126、于了解的整体安全指标或者事件场景化展现。5、可量化风险评估:对网络中漏洞、攻击、系统可用性、违规事件等进行监测、梳理和分析,量化评估出风险值,并进行预警与趋势预测。6、安全态势可视化:支持资产、漏洞、威胁、事件、网络指标等维度的态势可视化呈现,可直观的了解系统整体状态以及分布趋势,通过图形化点选数据可便捷地进一步了解各维度安全业务的细节信息。优势:1、全要素数据信息采集2、大数据安全建模分析3、多维度安全威胁感知4、多设备安全协同防御。四、成功案例:某石化企业工控安全解决方案客户概述:客户为某汽车制造企业,是集全系列商用车、乘用车及动力总成研产销和服务于一体,致力打造一个“全生态链、全产业链、
127、全价值链”的综合性汽车服务平台。基于当前严峻的网络安全环境,需要按照国家相关政策、法规要求不断强化和完善网络安全防护体系建设,实现生产网络安全的全面防护和动态监控,满足企业98对生产网络安全多层次、全方位、细粒度、高可靠、易扩展、易管理等安全方面的需求,提升安全防护能力,改善网络安全现状,提高生产效率。方案内容:珞安科技针对该客户的需求与网络安全现状,依据相关政策、法规和标准,运用先进技术和专业产品,为其制定专属的工控安全防护体系建设方案。1、顶层设计架构珞安科技参考 信息安全技术网络安全等级保护 工业控制系统安全防护指南等相关技术要求,以纵深防御的防护理念为核心,结合汽车制造行业工业控制系统
128、网络的业务特点,构建以工业控制网络、设备、数据、控制、应用为目标防护对象的立体安全防护思路。99图 1设计思路方案中的安全技术防护和安全管理防护是工业控制系统纵深防御的核心内容,是保障工业控制系统安全运营的两翼,缺少其中任何一个,都无法确保系统的安全。在安全技术方向,方案遵从 P2DR 模型,并主要从威胁防护、监测感知、处置恢复三个维度开展安全技术防护工作。在安全管理方向,主要从汽车制造行业工业控制系统的全生命周期安全风险管理、企业安全建设目标、系统安全建设策略三个方面展开安全管理工作。1002、安全互联架构图 2整体网络架构01 边界安全防护通过在过程管理域核心交换机与各生产车间之间串接部署
129、工业防火墙,有效检测和防御来自互联网、异常状态场站发起的网络攻击,同时针对工控系统的工业协议进行指令级安全过滤,通过机器自学习的方式建立可信业务模型,形成业务白名单规则,防止过程管理域向工艺车间生产控制系统发送恶意操作指令,实现未知攻击的有效拦截,满足边界安全防护的技术要求。02 入侵行为检测在过程管理域核心交换机旁路接入入侵检测系统,及时发现内网中利用网络针对101服务器、操作站进行端口扫描、嗅探、伪装、SQL 注入等主流网络攻击进行实时报警和定位,将告警信息上传给态势预警平台进行安全分析和集中决策。03 网络行为审计在过程管理域核心交换机旁路部署工控网络审计系统,通过对工业协议深度解析,实
130、时记录操作过程中的人员、指令、荷载、目标设备、时间、动作等一系列操作关键信息,通过可信业务模型针对违规操作、误操作、非法设备接入等进行及时发现、审计和告警,实现事后取证,帮助还原具体时间段的操作细节。04 操作系统安全加固在生产监控系统的服务器、工程师站操作员站分别部署主机加固系统,针对使用人员实现双因素认证,通过技术手段规避管理方面执行不到位的风险;针对操作系统主机策略进行基线配置,密码策略、日志策略、审核策略等统一配置,提高操作系统的安全等级;通过主机 PE 文件、SCADA 程序文件的指纹提取,构建主机防护可信任的白名单防护规则,有效抵御已知攻击和未知威胁;通过安全标记实现强制访问;同时
131、针对外设进行统一管控,杜绝不明 U 盘违规接入,配合安全 U 盘实现安全的数据摆渡。满足等级保护三级安全计算环境的计算要求。05 日志集中采集与分析通过对过程管理域与各工艺车间的网络设备、安全设备、操作站、Windows、Linux、Unix、数据库、SCADA 的运行状态信息、告警信息进行集中采集、分类、过滤、范式与合并,对网络全局的日志安全事件进行自动联系分析,根据系102统默认或自定义规则识别网络威胁和负责的攻击模式,从而确定事件的真实性、进行事件分级并进行有效的响应。通过对日志内容的深度分析,对采集到的日志数据进行动态分析,将网络非法访问、数据违规操作、系统进程异常、设备故障等高危安全
132、事件,从海量日志数据中提取出来,并通过内置告警规则采用桌面屏幕、邮件、短信、SYSLOG、SNMP 等方式通知管理员及时处理。06 运维审计与管控在过程管理域部署运维安全审计系统,实现系统账号、权限的集中管控和审计,通过对登录人员的身份识别,按需分配操作权限,实现安全管理的同时,实现精准的操作审计,帮助用户规避越权访问、误操作、账号过期未清除、策略无法落地等管理方面的安全风险。07 集中安全管理为了实现各防护设备和软件的协调联动,需要在过程管理域部署集中安全管理平台,对各场站和过程管理域的工控防护设备和软件进行集中管理,提供统一的策略配置接口,总览各设备和软件的运行状态、事件记录和威胁日志等关
133、键信息。各安全防护设备和软件由集中管理装置统一控制、配置和管理,统一部署安全策略,并监测工控网络的通信流量与安全事件,对工控网络内的安全威胁进行分析,消除安全孤岛,从整体视角进行安全事件分析、安全攻击溯源等,重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。08 态势感知与威胁预警103通过态势感知与预警平台能够实现针对汽车生产系统全局风险的感知,如工控资产分类与统计、资产存在的漏洞等级与数量统计,同时依据国内外最新通报的安全事件和威胁信息,通过内置威胁感知引擎和外部威胁情报的支持,利用现场安全设备的告警日志、网络流量异常状态、主机安全状态分析,针对潜在的风险进行高级动态分
134、析和定位,提供网络安全应急处置策略和建议,同时,为使用方提供威胁预警能力,基于少量的异常行为和特征信息预测当前将要出现的网络攻击和威胁,为决策指挥人员提供技术依据和支撑,便于有针对制定安全防范措施和预案。方案以工控资产及业务为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的风险模型,实现对各类资产和业务的信息采集、关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响应,做到“集中监控、统一管理、全面分析、快速响应”。整体采用分布式架构,支持单级或多级应用部署(厂区级、分公司级、集团级)满足不同层级的用户应用场景。支持全方位工控安全数据采集,主要包
135、括来自于工控主机、工控网络设备、工控网络安全设备、工控数据库软件的威胁事件、操作日志,以及关键位置的工控流量数据采集。并通过对安全大数据的深度挖掘,借助 AI 智能技术,充分利用资产管理、流量分析、威胁感知、关联分析、风险评估、可视化等技术和功能,实现整体安全防护能力和运营能力的提升。客户收益1041、优化了网络安全管理模式,减轻网络安全运维人员的网络安全现状检查及分析的工作;同时,按照近年各行业事故数量和经济损失统计估算,本成果推广应用预期可对事故发生进行合理规避,减少经济损失。2、既做好了安全风险把控,又节省了人力物力,节约了工作成本,减少经济损失,提升了经济效益。3、增强对全局工控系统信
136、息安全的掌控能力,提升网络安全防护管理和运营水平,实现了国家、行业和企业对网络安全的要求。六、适用行业电力电网、石油石化、轨道交通、智能制造、煤炭、钢铁、化工、市政、水利、烟草、军工、教育实训等 20 多个重点工业行业七、联系人姓名及职位姓名:李连昭职位:市场经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:伴随着我国政府网络强国和制造强国战略的深入实施,在国家政策和市场需求的双核驱动下,工控安全市场进入发展“快车道”。珞安科技作为专注工业网络空间安全的国家级专精特新企业,将充分发挥自身在人才、技术和产品方面的领先优势,携手产业界各方力量
137、促进产学研用高效转化,牢筑工业网络空间防线,全105力保障国家关键信息基础设施的安全与稳定。北京珞安科技有限责任公司 副总裁 肖智中106木链科技一、公司名称:浙江木链物联网科技有限公司(简称“木链科技”)二、公司 logo:三、工控安全产品名称:BoleanGuard工业互联网安全运营平台BoleanGuard工控网络安全靶场BoleanGuard工控安全防火墙BoleanGuard工控安全审计平台BoleanGuard工控安全综合管理平台BoleanGuard主机卫士四、产品特点及优势:产品一:BoleanGuard工业互联网安全运营平台BoleanGuard工业互联网安全运营平台以建立完
138、整的工业互联网安全技术和107管理体系为目的,融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个环节实现对业务信息系统的统一安全保障。为用户提供安全合规,实时监测,智能分析,安全可视,追踪溯源,高效协同等价值体验。图 BoleanGuard工业互联网安全运营平台-产线态势概览特点:目前,BoleanGuard工业互联网安全运营平台产品功能涵盖:图 BoleanGuard工业互联网安全运营平台-五大中心概览1081.资产中心,通过资产空间测绘,实现 IT、OT 资产的一体化管理,构筑数据中心资产数据
139、中台。2.安全中心,对生产网内的各类信息安全威胁、风险和事件进行监测、研判、处置。3.运营中心,多维度、指标化的形式呈现企业全网整体安全运行态势。4.管理中心,构建工控安全管理体系,建立安全管理标准、流程、规范。5.配置中心,进行平台相关系统配置,监控组件运行状态。优势:1.分布采集,统一处理分布式部署探针采集数据,针对于不同网络环境,在边缘端通过探针获取和解析数据,统一发送到中央处理服务器做大数据分析和响应。覆盖工业领域全场景,支持工业流量、组态软件、工控设备、工业互联网平台等多维度的数据采集。109实现对网络安全组件的灵活配置;支持模拟仿真固件运行环境,实现固件的模拟及安全分析。2.安全监
140、测,风险可控全面采集工控网络中的安全事件信息、资产流量数据、工控操作指令等。结合CNVD、CNNVD、CVE 等工控威胁特征库,对目标区域资产进行智能分析和综合评估,及时识别安全风险,采取相应的安全策略完成闭环处置。3.全面感知,主动防护平台集成各类安全信息感知模块,实现安全态势问题全面监控和快速发现,支持场景化分析,自动化分析,精准捕捉网络威胁,实现主动防护,提供丰富的攻击,资产和用户画像,挖掘海量安全数据背后的真正价值。4.数据可视,概况总览平台提供多种全局安全态势大屏界面,如安全态势、运营态势、资产态势,流量态势,3D 生产模型,溯源视图等。满足客户整体安全态势感知需求,实现对安全运营的
141、有效支撑。5.生产安全,行业定制基于木链科技自身对安全和工控领域的能力积累,平台可以根据用户实际需求,按照行业进行定制化开发,深入业务生产,利用安全与信息技术,赋能传统工业,加强安全管控,节能降耗,提升经济稳定运营能力,探索行业高质量发展路径,110使工业生产环境可知、可管。产品二:BoleanGuard工控网络安全靶场BoleanGuard工控网络安全靶场是木链科技自主研发的集“仿真、实训、竞赛、演练、科研”为一体的,面向企业、政府、高校、关键信息基础设施单位等客户推出的工控安全孪生演兵场,可帮助用户解决无法在真实环境中对复杂大规模异构网络和用户进行逼真模拟测试以及风险评估等问题。Bolea
142、nGuard工控网络安全靶场通过虚拟化、虚实结合组网等技术,能够低成本、高效率地仿真出接近真实的工控网络环境和企业网络环境,同时还具备可视化拓扑组网引擎,丰富的靶标资源,开放的第三方接入支撑,多样化的赛事支持,定制化的教学课程,创新性的高阶安全工具等功能。用户可依托 BoleanGuard工控网络安全靶场进行网络体系规划验证、人才教学培训、能力测试评估、安全攻防演练、安全赛事承建、产品研发试验、产品安全性测试、前沿技术评估等任务。图 BoleanGuard工控网络安全靶场场景效果展示特点:目前,BoleanGuard工控网络安全靶场产品功能涵盖:1.教学培训,通过原创理论课程、网络安全实验、多
143、维度能力考核,搭建学评测111一体化教学体系平台。图 部分课程列表2.攻防演练,通过构建贴近真实的网络环境、高仿真的数字沙盘场景,支持开展常规红蓝对抗、实战 HVV 演练、应急响应演练,考察、评估企业安全能力,发现潜在安全问题,让错误发生在靶场。图 应急响应演练界面图3.安全竞赛,支持 CTF、AWD 等多种竞技模式,通过赛前培训、赛事解说、赛后复盘,全阶段多方位把控赛事。112图 AWD 攻防赛界面图4.研究分析,专业的安全测评体系,能从多个维度对关键信息设备进行综合安全检测,包括但不限于工控设备、网络设备、行业专用安全设备、物联网终端设备、信息系统。图 固件分析界面图优势:1.虚拟化仿真能
144、力支持虚拟设备与真实物理设备互联,实现对网络安全组件的灵活配置;支持模拟仿真固件运行环境,实现固件的模拟及安全分析。1132.全方位资源包补给完备的课程培训资源,丰富的靶标资源,复杂的攻防剧本资源,海量的漏洞库资源,全面的攻防工具资源。3.多业务场景结合打造高度还原核能、电力(火电/风力/光伏)、钢铁、水务等业务环境的数字仿真场景,为用户提供优质可视化平台,帮助直观、快速了解工艺流程和工控技术,帮助推演、展示各类安全威胁对工业安全生产所造成的影响。4、高稳定底层架构支撑构建专业的、高并发的、高可靠的底层平台和架构,采用分布式存储高可用方案,确保业务数据、靶场服务的高可用性和稳定性。5、攻防复现
145、分析能力木链科技星期五安全研究团队为协议解析、漏洞挖掘、固件分析、仿真技术、网络安全、渗透测试等前沿技术研究和科研课题承接提供能力支撑,其研究成果为靶标构建、场景搭建、案例复现、赛题设置、课程培训、数据采集等持续赋能。6、重点行业持续落地木链科技以工控网络安全靶场为核心,通过搭配自动化攻击系统,数字、实体沙盘,工控安全审计,工控防火墙,工控 PLC 设备,物联网设备综合检测平台等114产品,以安全实验室为主要落地形态,为用户构建网络安全生态环境,在军工、电力、钢铁、智能制造、教育等多个行业持续落地。产品三:BoleanGuard工控安全防火墙BoleanGuard工控安全防火墙是一款集合智能学
146、习引擎、深度协议数据包解析引擎、开放式特征匹配、实时会话控制,安全审计追溯的多种智能引擎的工控网络安全防御产品。兼容目前业界对访问控制类产品的认知,满足访问控制类产品相关标准,通过设置网络流量规则实现网络防护。BoleanGuard工控安全防火墙产品基于木链科技多年技术积累,支持 Modbus/TCP,OPC,IEC104,DNP3,Profinet 等众多工业协议深度包检测和智能白名单学习及规则部署。特点:1.多重立体防御体系针对 APT 高级可持续性威胁攻击提供了全面的防护方案:支持设置黑名单策略防护各类已知恶意行为,支持自学习实际应用的工控协议规则和网络行为,建立安全白名单,IP/MAC
147、 深度绑定,防止非法设备接入。2.工控协议深度解析引擎BoleanGuard工 控 安 全 防 火 墙 支 持 多 种 工 控 协 议 的 识 别与 检 测,对其中 Modbus/TCP、IEC104、DNP3、FINS、S7COMM、OpcUA、115OpcDA、OpcAE 等工控协议进行深度检测。3.支持自定义协议防护BoleanGuard工控安全防火墙支持协议自定义。可对未知协议或私有协议通过开发 SDK 进行私有协议扩展和定制化开发。能够满足各个行业不同客户的定制化需求。4.灵活的模式切换功能BoleanGuard工控安全防火墙可进行灵活部署模式,既支持传统的路由模式,也支持透明桥模式
148、。同时,它支持学习,测试和工作模式,区分了白名单自学习,测试部署和正常工作模式,可减少对业务系统的影响。优势:1.工业级硬件配置按照工业现场的使用实际环境对硬件进行选型:1)基于 Intel Coffee Lake 处理器,C246 PCH,板载多电口,丰富网络扩展。2)工作温度通过工业级宽温测试,满足工业现场要求。3)支持 Bypass 功能,一旦设备软硬件故障,设备自动切换,保证正常业务运行。4)低功耗、全封闭设计。2.多重立体防御体系116针对 APT 高级可持续性威胁攻击提供了全面的防护方案:1)支持设置黑名单策略防护各类已知恶意行为。2)支持自学习实际应用的工控协议规则和网络行为,建
149、立安全白名单,对名单外的非法攻击进行告警或阻断。3)IP/MAC 深度绑定,防止非法设备接入。3.协议精准识别和深度解析BoleanGuard工控安全防火墙支持多种工业协议的识别与深度解析,对工业协议中的 Modbus/TCP、IEC104、DNP3、FINS、S7COMM、OpcUA、OpcDA、OpcAE、ADS、S7COMM-PlUS、Melsoft 等协议都能实现深度解析。支持大多数传统 IT 协议的深度识别和解析,例如 HTTP、FTP、Telnet、DNS 等。4.智能访问控制基于现场正常运行流量,通过产品智能自学习功能,一键添加学习到的白名单和IP/MAC 规则,省时省力,快速识
150、别非法接入设备、阻断异常事件。5.灵活的模式切换功能BoleanGuard工控安全防火墙可灵活地部署模式,既支持传统的路由模式,也支持透明模式。同时,它支持防护和测试模式,区分了测试部署和正常工作模式,可减少对业务系统的影响。6.安全分区,细粒度重点防护117BoleanGuard工控安全防火墙是为客户网络解决结构性安全的基础性安全产品,也是工控网络安全整体性防护的重要组成部分。根据网络层级进行逻辑分区,阻止网络攻击在不同区域间渗透,保障核心资产和业务的安全。7.智能学习,防范未知威胁通过规则自学习建立白名单策略库形成整体防护框架,能够阻断非可信的流量数据和操作指令,最大程度的防范未知威胁,有
151、效应对 APT 攻击和防范未知病毒的感染。8.指令级访问控制,实时监测风险对工控指令攻击、参数篡改、恶意连接和攻击等行为进行阻断,工控网络数据可实时监测,规则与策略可实时部署,实时掌握运行状况,安全风险可知可控。9.完整的防护体系,杜绝恶意操作通过工控协议的深度解析,防护规则能精准到操作码和详细参数;黑、白名单策略相结合的防护机制,可有效的杜绝攻击者的恶意行为,内部员工的误操作行为也能被有效的阻止,极大地降低了工控系统受损的风险。产品四:BoleanGuard工控安全审计平台BoleanGuard工控安全审计平台通过对控制网数据的采集、解析、鉴别,实时动态监测通信内容,发现并捕获异常指令和数据
152、,实时告警响应,全面记录控制网中各种会话和事件,实现对控制网信息的风险审计和对安全事件的准确回溯118定位,为工控网络安全策略的制定提供可靠的支撑。特点:1.全面可靠的通讯审计BoleanGuard工控安全审计平台采取旁路部署的方式接入工业现场工控网,对生产数据无阻断、无延迟、无修改,不影响工业现场的可用性和可靠性。2.通讯协议深度解析BoleanGuard工控安全审计平台搭载木链科技自研的通讯协议深度解析引擎,支持 IP 分片重组和 TCP 分段还原重组,从而实现工业协议的指令集和数据报文的深度解析,对组态变更、指令变更等操作进行还原。3.全局网络动态掌握支持复杂网络环境多路流量的同时审计,
153、既能确保流量收听完整性,又能对工业现场工控网影响降至最低,实现无感部署。实时监测控制网流量帮助用户实时掌握工控网络运行状况,及时发现异常并进行告警,构建贴合专属工业控制网的安全防御体系。1194.高速数据处理引擎组群通过分析行业特点,结合自身技术优势,研发了高速数据处理引擎组群。在面对工控网络海量数据时,能够在毫秒间完成百万条数据的流式处理任务。满足大型工控网络中高并发、低延时的数据审计处理要求,极大提升了审计效率,综合审计能力全行业领先。优势:1.用户身份管理BoleanGuard工控安全审计平台将用户分为两个层级,其中超级用户面向客户企业的高级安全主管,主要功能为用户管理;普通用户分为工程
154、师权限、审计员权限和限,通过系统权限的最小粒度和最小重叠分配,以及对用户行为日志的详细记录和分析,强化自身的安全能力。2.可靠性保障BoleanGuard工控安全审计平台十分注重审计结果及审计策略的完整性保护。采用 PostgreSQL 作为数据库,并将审计日志与审计记录分开保存,提供了多重冗余和灾备、恢复策略,能够在保证数据安全性的同时应对高并发读取、写入。同时将流式和批式数据分析技术相结合,保证设备的高可用性。此外也支持审计策略的备份和恢复,支持审计策略定时自动备份。3.设备远程管理通过BoleanGuard工控安全综合管理平台可以远程对BoleanGuard工控安120全审计平台进行管理
155、和配置,在操作中心即可完成工控网络状态的查看。通讯采用了 SSL 加密技术,以密文形式在局域网中传输,可以防止恶意攻击者使用网络监听工具窃取信息,保障了设备自身的安全性。4.高速数据处理引擎组群木链科技通过分析行业特点,结合自身技术优势,研发了高速数据处理引擎组群。在面对工控网络海量数据时,能够在毫秒间完成百万条数据的流式处理任务。满足大型工控网络中高并发、低延时的数据审计处理要求,极大提升了审计效率,针对 DDoS 等形式攻击能够及时发现并告警。综合审计能力全行业领先。BoleanGuard工控安全审计平台能够结合时间维度,对海量、独立的流量进行快速解析建模,运用算法进行关联分析,识别出不同
156、维度的关联关系。从历史数据中学习到工程师操作的置信区间,分辨如停机等非常规命令是生产需要,还是黑客的恶意攻击。此外,还能进行行为预测,通过分辨黑客攻击前试探踩点行为预知其潜在攻击行为,多维度帮助企业做出更有价值的实时安全决策。5.CNNVD 兼容性服务认证BoleanGuard工控安全审计平台已通过 CNNVD 兼容性服务认证。CNNVD 兼容性是指通过使用 CNNVD 标识,在各类安全工具、漏洞数据存储库及信息安全服务之间,以及与其他漏洞披露平台之间,实现漏洞信息交叉关联的方式。通过 CNNVD 兼容性服务的信息安全产品,可实现其漏洞信息拥有统一的规范性命名与标准化描述,从而提高和加强国内信
157、息安全行业漏洞信息资源的共享与服务能力。121木链科技星期五安全实验室致力于与 CNNVD 共建工控软件和设备的安全漏洞统一收集验证、预警发布及应急处置体系,切实提升在安全漏洞方面的整体研究水平和及时预防能力。通过长期的积累与完善,目前已在 BoleanGuard工控安全审计平台中内置了近千条黑名单漏洞数据,大面积覆盖了工控网络中各类攻击方式或恶意指令,能够第一时间识别并进行告警。黑白名单技术和机器学习在审计平台中共同发挥作用,大大加强了对未知威胁、内部破坏和 APT 高级长期威胁的鉴别能力,实现精确定位,及时告警。产品五:BoleanGuard工控安全综合管理平台BoleanGuard工控安
158、全综合管理平台是对工控网络安全设备(工控安全防火墙、工控安全审计系统、主机卫士等)进行统一管理、配置、授权和响应的安全平台。它能对目前所支持工控安全设备的安全策略和安全事件进行集中、有效的管理,打破安全孤岛,使他们成为一个活的有机系统来抵御网络中的各种威胁。特点:1.工业协议环境支持设备针对工控系统进行防御设计,能快速识别系统中的非法操作、异常事件以及外部攻击并及时告警。2.多种安全策略支持122集成了工控环境下白名单、黑名单、IP/MAC 地址绑定、异常流量等常用的安全策略,辅以自定义的安全策略,能调用工业防火墙、工控安全审计等安全产品实现对工控网络 APT 攻击、异常行为和非法数据包等多种
159、威胁进行多方式保护,保护工业控制网络安全。3.集成多重检测机制采用以下手段对工控环境网络安全提供了全面的防护:支持对已知攻击行为的检测和防护,内置了庞大可升级的工控威胁库;支持自学习工控协议规则和行为,建立安全检测模型;可通过白名单防护阻止一切不明的威胁。4.全方位实时监控BoleanGuard工控安全综合管理平台以工控资产及业务为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的风险模型,做到“集中监控、统一管理、全面分析、快速响应”。优势:1.多层次的管理能力BoleanGuard工控安全综合管理平台作为集成化管理的智能中心和管理大脑,集成了注册设备的所有安全策略配置和安
160、全信息回收,结合自身的多种功能架构,从策略配置到安全信息反馈,到安全事件定位再到事件处理,多层次的管理机制,实现了这个智能大脑的闭环管理,确保管理的安全高效。1232.高效的设备运维通过 BoleanGuard工控安全综合管理平台进行安全设备的集中管理,策略配置,帮助企业安全管理运维人员应对随着工控安全建设而增加的数量巨大,彼此割裂的安全设备,提升安全运维效率,减少安全管理运维人员工作量,降低企业人力资源投入。3.安全威胁精准定位BoleanGuard工控安全综合管理平台整合了自身的资源优势,将安全事件进行统一管理,通过安全数据和知识库累积,形成全局性的资源协调体系,帮助用户掌握洞察资产和业务
161、中的安全漏洞,及时发现,辅助完善安全防护体系,为系统的全局可控性提供有力保障。解决了各个安全设备中安全事件分散独立,信息难以形成全局观的问题。4.满足合规需求等保 2.0 中明确对安全计算环境,安全通信网络,安全区域边界进行统一管理,构建“一个中心,三重防护”体系。其中一个中心既要求企业建设安全管理中心,对设备进行集中管控,管理平台满足行业政策法规及技术要求,提供合规化报表管理,实现安全管理中的高效合规。产品六:BoleanGuard主机卫士BoleanGuard主机卫士是面向工控网络终端设备设计的安全防护软件,安装在管理主机、数据库或服务器等网络设备上。通过白名单能够控制可信程序执行、124
162、加载驱动程序、读写移动存储设备等,彻底阻断恶意程序的侵入路径。同时,BoleanGuard主机卫士允许经过签名的应用程序自主进行更新、加载和扩展。BoleanGuard主机卫士能够针对关键文件目录及应用程序、动态链接库、驱动文件等进行保护,有效阻止恶意程序篡改相关内容。特点:1.面向应用程序的管理机制程序在启动时将对比可信程序白名单,仅允许白名单列表中的程序加载。列表外的程序启动将被中止。此外,还将从程序签名方面进行配合查验,确认白名单程序的合法性。2.面向移动存储设备的管理机制结合白名单,设计了移动存储设备安全管理机制,限制白名单外的 USB 存储设备在主机上的读写等操作。仅允许白名单中的设
163、备与主机进行数据交换。可有效防御来自移动存储设备的安全隐患;安全专用 U 盘的注册、认证、授权,支持读写权限管理。1253.面向主机内容的保护机制BoleanGuard主机卫士一方面面向应用程序和操作系统提供完整性保护,另一方面也将保护程序运行环境和进程空间的安全;防止运行环境被破环,系统出现可利用的安全漏洞。4.面向工控网络的攻击防护机制BoleanGuard主机卫士能有效阻止震网、Havex、沙虫及其变种工控病毒的感染,也能阻止来自移动存储介质对工控主机的攻击。优势:1.保障主机安全,阻止已知病毒及其变种BoleanGuard主机卫士是专门针对工控网络中的主机或服务器进行完全适用于工控行业
164、安全防护标准的应用程序。为保障核心业务的运行不被影响,BoleanGuard主机卫士会对系统进行加固,建立稳定的运行环境,同时它能有效遏止工控病毒(如“震网”、Havex、“勒索”等)及其变种的运行。2.适用工控环境,维护成本低BoleanGuard主机卫士通过对系统进行加固和稳定,能对未知的病毒“免疫”。无论是黑客通过社会工程学的方式,还是利用 0-Day 漏洞的高级可持续性威胁攻击,都无法侵入加固后的主机环境。BoleanGuard主机卫士不需要做任何更新就能抵御不明的攻击行为。软件更新和维护成本极低。1263.从技术层面解决非法应用BoleanGuard主机卫士通过应用程序、移动存储设备
165、的白名单策略,可以有效降低用户在业务主机上违规运行不合规程序或违规使用移动存储设备带来的潜在威胁。4.关键信息完整性保护BoleanGuard主机卫士对关键对象进行完整性保护,包括特定目录、特定程序和文件等。防止对程序的修改、删除、加密等恶意操作。同时,也防止内部员工的误操作,确保核心的数据资产的完整性。5.安全审计,规避风险BoleanGuard主机卫士能对系统上的操作进行监控,如监测进程的运行状态、监测 USB 接口及操作,并记录详细的日志,方便还原安全真相。五、成功案例:案例一:某钢铁集团工控安全生态运营平台建设项目客户简介:某钢铁集团有限公司作为全球单体最大的优特钢棒线材基地,连续多年
166、位居全球钢企粗钢产量 50 强、中国企业 500 强、中国制造业百强行列。集团借助“无人化工厂、平台化运营、协同化生态”的扁平化架构体系,打造集经营管理、生产管控、电子商务及大数据为一体的“3+1”智能化平台,助推企业全方位提升。127客户所属行业:钢铁制造客户需求:集团原有网络安全体系在“智慧工厂”的背景下显得捉襟见肘,无法有效处理数据安全、生产安全等业务场景,成为了制约智能制造的瓶颈。集团主要存在以下问题亟待解决:1.传统的防火墙、入侵防御等安全设备无法有效应对针对工控系统的攻击行为。2.互联互通的新场景下,无法有效处理数据安全、生产安全等业务场景成为了制约智能制造的瓶颈。因此,集团亟需建
167、立一套与当前业务场景相匹配的网络安全体系,保障业务安全,促进业务发展。解决方案:该项目根据用户的要求和调研,决定采用平台化方案解决现有的安全问题,根据各厂区实际情况部署定制化探针与集团工控安全生态运营平台,实现数据联动。128图 某钢铁工控安全生态运营平台建设拓扑示意图定制化探针:本项目定制化流量探针、日志探针、主机探针,全方位采集工控数据,为集团工控安全生态运营平台提供数据支撑。所有的探针上联至集团监控中心,从集团侧对全集团各个分厂的安全状态进行统一集中管控,配合技术人员对出现的异常告警第一时间进行处理。工控安全生态运营平台:采用多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的
168、合理调配,帮助用户从识别认定、安全防护、检测评估、监测预警、应急处置,全环节实现对业务信息系统的统一安全保障。集团工控安全生态运营平台建成效果如下:129图 集团工控安全生态运营平台效果示意图客户收益1.打造国内领先的工控安全标杆项目某集团工业互联网安全生态运营平台建设入选年度该省“十大网络安全优秀实践案例”,集团已成为工业互联网工控网络安全平台建设极具示范效应的企业之一。2.提升运维效率,促进降本增效通过管理平台进行安全设备的集中管理,策略配置,提升安全运维效率,减少安全运维人员工作量,降低企业人力资源投入。1303.掌握安全态势,打造安全生态平台整合自身的资源优势,形成全局性的资源协调体系
169、,帮助用户掌握现有安全态势,预测安全的趋势、凸显安全数据价值,辅助完善安全防护体系,为系统的全局可控性提供有力保障。案例二:国网某省电科院工控安全实验室建设项目客户简介:国网某省电力科学研究院承担该省发供电企业以及企业涉电专业安全管理人员的安全技术培训、特种作业安全培训、电力工程调试、计量检测等职能,是该省电力体系的支撑单位,科技创新和人才培养基地,同时也是行业的技术监督、技术服务、技术信息、技术研发中心。客户所属行业:电力能源客户需求:严峻的国际网络安全态势下,针对电力系统的网络攻击事件频发且影响巨大。国网某省电力科学研究院经多年实践总结,认为安全建设的重点不仅在于部署各类网络安全设备,其运
170、维团队本身的安全意识和技能水平也是影响安全防护效果的重要因素。而着力推进网络安全实验室建设,可有效提升电力系统关键信息基础设施网络安全防护能力,保障电力系统安全稳定运行。解决方案:131此次项目中,网络安全实验室采用分层递阶的设计思路进行设计,分三期进行。第一期主要围绕网络安全实验室基础能力建设。二、三期在第一期基础上提供了丰富的工控环境测试验证系统,可供用户进行深入的数据验证分析,同时配置了安全竞赛系统、攻击诱捕系统及高级安全工具,用于提高团队“安全实战”能力以及攻击应对能力。主要包含四大模块:1.新能源光伏场站仿真平台平台由控制系统和物理沙盘组合而成,结合新能源光伏场站典型模块化柔性生产线
171、工艺,以新能源光伏场站为原型,创新开发了机电一体化教学、实验、实训综合应用平台。2.工控安全防护及监测系统工控安全攻防及监测系统的核心内容包括攻击系统和防御系统、监测系统,其中攻击系统包括各类攻击组件,防御系统包括软件、硬件结合的安全防护体系,监测系统以工控审计平台、流式处理平台等设备系统组成,用于监测当前工控仿真系统的安全情况。3.工控网络靶场平台工控网络靶场平台基于工控仿真系统,可仿真各类工控安全问题,包括工控设备通信数据截获及防御、通信协议劫持及动态加密、GPS、GIS 欺骗及安全验证防132御技术、工控设备弱账号密码入侵、工控设备仪器参数设置误修改,工控传感器数据劫持,及与之对应的防御
172、技术等。4.安全实训系统安全实训系统由木链科技自主开发完成,该平台依托于自主研发的工控网络靶场平台,以虚拟化技术为基础,以全面、精准的考核方式为核心,集竞赛运维、赛题管理、攻防可视化、考核选拔于一体,用于专业、科学、全面、精准的评测及人才选拔。客户收益:1.完善工控安全课程体系实验室以电力行业需求为导向建立科学的课程体系,课程体系中应理论基础与工程实践并重,建立“理论教学+安全实操”的多模式相结合的创新的教学模式。2.加强红蓝方实战对抗水平“红队攻点、蓝队防面、以攻促防、全面消缺”,全面提升新能源场站网络安全人才梯队的工控网络安全“战时”水平,培养复合型人才,提升专业技能,有效提高该地区新能源
173、场站网络安全“战时”应急响应能力。3.构建工控安全实训基地建成的工控网络安全实验室为电科院相关研究人员提供实战对抗的环境,也有能力为行业内相关从业人员提供培训环境。最终实现培养新能源领域工控网络安全133专业人才的目标,并成为本地区的标杆电力工控网络安全实训基地。案例三:电力设备制造公司工控安全建设项目客户简介:某公司是国内电力设备制造领域的隐形冠军。该公司积极响应国家号召,通过推动数字化工厂建设,大幅缩短产品设计周期、提高生产效率和生产方式的灵活性,成为行业领先的“智慧工厂”典范企业,制造全过程应用国际先进的 MES 系统、ERP 系统,物联网智能立库物流系统,全程无行车。所属行业:智能制造
174、客户需求:根据GB/T 39116-2020 智能制造能力成熟度模型以及中华人民共和国网络安全法相关要求,合规性需求包含补充主机恶意代码防护功能、提升工控系统边界防护能力、提升安全运维能力实现数据防泄露、构建基于工业协议深度解析的关键设施防护能力、实时网络监测、建设基于自学习、自优化的集中管控能力、日志存储需求、搭建离线验证环境。安全运营需求包含建设工控系统脆弱性分析能力、打造网络安全动态防御能力。134解决方案:1.提升工控基础防御能力通过部署工控安全防火墙提升边界访问控制能力、部署工控安全审计平台提升全局流量监测能力、部署主机卫士提升终端防护能力、部署安全管理与运维审计系统提升安全运维能力
175、。2.构建基于协议深度解析的入侵防御能力边界防护除了访问控制策略,还需做好入侵防御。而工控网识别入侵攻击的前提是实现工业协议的深度解析,需要能够对 OPC、Modbus、S7、ADS 等常见工业协议进行解析,并能做到指令级的控制,以防止攻击利用合法的指令进行非法的操作。3.建设安全运营中心安全策略集中管控、联动 构建“三位一体”安全防护体系除了依赖不同的安全措施或防护设备,在工业控制系统不同层面进行防护,还需要通过安全运营中心对安全设备进行精准配置,实现不同设备基于安全策略进行联动防护,形成动态防护效果,提高安全防护能力。135客户收益:1.强化企业安全运营能力量身定制纵深防御体系,同时结合木
176、链科技“安全运营”理念,立足客户视角从全网威胁、资产状态、工业生产基线、协议脆弱性等十余个纬度进行安全数据采集、分析、研判和展示,实现对产线实时安全态势监测和应急处置的安全目标。2.为数字化转型保驾护航有效保障用户数字化转型成果,助力完成GB/T39116-2020 智能制造能力成熟度模型第四级相关建设要求。3.推动地区工业互联网安全建设发展帮助用户落实安全生产主体责任,稳步提升安全生产能力和效率,为实现高质量发展,新增长点创造提供坚实安全支撑。同时可发挥行业“领头羊”效应,为地区内企业建设指明方向,加速行业乃至地区工业互联网安全建设进程。136六、适用行业:BoleanGuard工业互联网安
177、全运营平台、工控安全防火墙、工控安全审计平台、工控安全综合管理平台、主机卫士适用于:电力能源、军工、钢铁冶金、智能制造、轨道交通、市政水务、石油石化、烟草等。BoleanGuard工控网络安全靶场适用于:科研院校、关键信息基础设施单位、工业企业、政府部门。七、联系人姓名及职位姓名:章经理职位:市场经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:2022 年,网络安全行业受多重因素交织影响增速放缓,企业业务增长、财务管理、人员架构经受考验。令人欣喜的是,大多企业管理者在逆境中仍能保持冷静且具备韧性,承压而上,谋求增长。木链科技非常感谢客户
178、伙伴在这艰难的一年中所给予的信任和支持,紧密的“伙伴关系”让我们增强了抵御风险的能力,同时也激发出新的发展活力。随着多个行业标杆项目的落地,我们与客户伙伴加速推动安全技术与业务场景相互融合,实现价值创造,相互赋能成长。网络安全建设工作任重道远,仍要继续走深走实,这需要全行业伙伴的共同努力。木链科技相信 2023 年会是提振信心、万象更新的一年。我们会继续耐着性子坚137持干,撸起袖子加油干,为制造强国和网络强国建设赋能、赋值、赋智!浙江木链物联网科技有限公司副总裁 郭宾138齐安科技一、公司名称:浙江齐安信息科技有限公司二、公司 logo:三、工控安全产品名称:工业安全评估系统工业安全审计系统
179、检修作业安全运维系统四、产品特点及优势:工业安全评估系统特点:1.全面的评估目标可对操作系统、工控产品、安防设备、网站、数据库、大数据组件、Docker 镜像、无线设备、移动应用、源代码、电力协议规约进行安全检查及渗透测试,并对网络流量进行威胁分析。2.精准的指纹识别139通过无损探测对工业控制系统各组成单元进行精准识别,支持逾 30 家主流厂商的工控产品。3.丰富的工控协议支持超过 30 种工业协议,包括 Modbus TCP、S7、DNP3、Profinet、IEC104、BACnet、Fox、FINS、MMS 等常见协议。4.无损漏洞探测采用非验证式漏洞探测的方式进行漏洞检测,不影响系统
180、正常运行,满足各种应用场景。5.持续更新的知识库设备指纹库、工控产品库、权威漏洞库和威胁特征库支持可持续更新,为安全评估提供强有力的支撑。6.丰富的产品形态可适配便携式设备、机架式工控机、以及国产化硬件,并支持软件形态。优势:有效安全检查工具,配合进行工控系统网络安全等级保护检查;支持企业完成安全检查,满足工控安全建设要求;重要任务安全保障,由被动修补变为主动防范;攻击事件安全排查,尽可能多地为溯源工作提供有效信息。工业安全审计系统特点:1401.准确识别入侵利用自有的工控威胁知识库建立检测规则,准确识别漏洞利用攻击和恶意代码攻击等入侵行为。2.精准识别分析精准识别 OPC、Modbus TC
181、P、S7 等主流工控协议,可深度分析通信协议中的控制指令、参数等信息。3.网络实时监测实时监测工控网络的运行状态,自动学习通信规则,建立可信行为基线,对网络中的异常指令和行为进行实时监测和告警。4.审计数据留存支持用户自定义留存工控网络日志数据,符合政策法规规定,同时为还原事故真相提供了有效的技术手段。优势:符合网络安全等级保护要求,避免重复建设,节省企业经济成本;无损采集和多协议分析,安全排查更可靠;及时发现风险隐患,威胁风险今早消除;安全留存审计数据,支持信息还原和事件追溯。检修作业安全运维系统特点:1.身份验证141采用双因子认证方式,进行权限分级管理。支持多指纹识别,提高验证效率。2.
182、行为管控对违规外联、外设接入实时监控并告警,协议实时分析、高危指令识别及阻断。3.安全防护基于最小化访问控制权限,在文件传输过程进行恶意代码检查,恶意攻击行为监测并进行告警及阻断。4.安全审计提供全面的审计信息,通过国密算法进行加密,保障存储安全,分类清晰,检索关联便捷。优势:1.通过对运维操作过程的行为审计和取证,对运维所引发的安全事故提供了强有力的追踪溯源能力;2.不改变运维人员操作操作习惯和运维工具,保障安全性的同时保持原有工作效率;3.通过技术手段使用户具备安全防护能力,极大地提升了安全管理人员现场管控水平;4.移动便携的部署方式,可灵活应对运维作业点多面广的特点,降低运维成本。五、成
183、功案例:xx 省电网有限责任公司变电站系统实施案例142实际应用:通过 x 市公司与各地调中心机房部署管理平台,现场试点检修班组配置两套安全运维装置,覆盖智能变电站的检修运维接入作业过程,装置实现身份鉴别与检修权限控制,检修过程临时边界安全防护,恶意代码防范,入侵防范,安全审计,数据防泄密与安全存储等综合功能。通过移动式部署模式,形成针对外来接入检修作业一体化综合性的安全解决方案。项目背景:对运维过程的外部接入进行全面管理、防护与授权,且无需固定式部署,以降低实施成本,主要安全需求包括:(1)接入过程的安全审计和操作日志,便于事故之后追踪溯源与责任定位,规范作业;(2)实现对接入的操作对象、操
184、作过程、操作内容的控制,保护重点涉密数据;(3)对外部设备接入过程系统性的防护措施,避免恶意代码交叉感染,避免恶意代码进入系统;(4)屏蔽运维过程中任意形式的内外网连接。方案能力:1.系统安全评估:对工控系统进行威胁检测,对其构成单元(工控控制设备、网络通信设备、安全防护设备、工作站及服务器等)进行安全检查、漏洞分析和风险评估,同时通过采用无损检测技术,快速对整个系统进行安全评估并生成完整的评估报告。2.监测审计:通过采集工控网络中所有协议,对全局网络安全状况进行综合分析,能实时发现143匿藏在工控流量中的威胁,如病毒、木马、恶意攻击以及违规操作、误操作等行为,同时能为快速追溯根源提供数据支撑
185、。3.主机防护:在安全一、二区主机上部署工业主机卫士,防范木马、工控病毒及恶意程序对主机操作系统的破坏。4.边界安全:在工控系统数据交汇处部署工业防火墙,通过传统 IT 防火墙的安全检测基础上,进一步对常见工控协议进行深度分析,阻断针对工控设备的网络安全威胁,实现工控系统网络边界安全隔离5.运维安全:在运维检修时接入检修作业安全运维系统,可以对外部接入设备操作实时监控,避免恶意代码感染工控系统,阻止高危指令执行,同时能留存图形化审计记录,便于后期安全事故的追踪溯源。客户价值:安全合规,符合国家各项政策安全防护要求高防御力,增强电力工控网络的安全防护能力安全运维,提高工控网络安全威胁的应对能力改
186、进安全策略,提高工控网络的抗攻击能力高效管理,提升企业管理水平,降低人员成本系统部署:144六、适用行业:电力、烟草、轨道交通、石油石化、市政燃气、煤矿、智能制造七、联系人姓名及职位姓名:毛兆君职位:新媒体运营联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:工业信息安全领域受到越来越多的关注,国家层面对此行业领域的政策和法规也日渐完善,未来已至,齐安科技将在技术发展与业务拓展上加力,面对不断变化的市场需求,助力更多的工业企业在数字化转型升级进程中的网络安全防护建设,为推动我国工业信息安全贡献积极力量。齐安科技 CEO 阮涛145146融安网
187、络一、公司名称:深圳融安网络科技有限公司二、公司 logo:三、工控安全产品名称:1、工业防火墙;2、边缘智能控制器;3、工控安全管理与态势分析平台。四、产品特点及优势:特点:工业防火墙:融安网络工业防火墙作为针对工业控制系统环境设计开发的集检测、防护、预警、响应功能于一体的边界隔离和安全防护产品,集成了智能学习引擎、深度协议数据包解析引擎、开放式特征匹配引擎、应用感知引擎等多种智能引擎,147提供 L2-L7 层的访问控制、实时业务可视化和安全审计追溯等功能,是一款智能型综合性安全防御产品。边缘智能控制器:边缘智能控制器是融安公司推出的物联网边缘智能产品。产品提供了时序数据分析、设备快速接入
188、、设备信息管理、设备数据解析、指令下发、边缘应用管理、边缘计算等能力,进一步结合可视化编程方式,面向不同场景提供基于流程、事件等策略的智能化管理能力。创新地实现已有系统与边缘计算的物联网设备统一。通过将数据处理转移到边缘,可以释放现有网络中的带宽以访问比以往更多的数据获得实时、可操作的洞察力,从而真正实现运营效率和生产输出的逐步改变。工控安全管理与态势分析平台:融安网络工控安全管理与态势分析平台作为一款安全设备集中化管理的产品,平台与多种智能安全设备构成一整套安全防护方案。能够实时监测安全设备状态并采集设备产生的日志、事件、流量数据,对工控网络内的安全威胁进行综合分析、追溯攻击源,统一下发安全
189、策略处置威胁事件,从而实现安全防护的高效运营。优势:工业防火墙:(1)精准的工业协议识别分析能力内置 MODBUS、OPC、IEC-(1)04、ENIP、S7、PROFINET 等数十种工业协议和 2800 多种应用特征,可精确识别网络中的流量并进行控制,避免未许可的148流量威胁到网络安全。支持自定义应用和服务,可以定义应用和服务的协议类型、端口,更可精确定义负载内容,包括偏移量、数据宽度与数据取值范围。(2)深层次的工业协议控制集成深度协议解析引擎,对数十种工业协议进行深度解析与精细控制。支持创新的可视化会话拓扑、精细的连接控制和细粒度区域访问控制。同时系统支持对所有控制字段进行自定义配置
190、,实现对扩展协议的控制。(3)工业高危漏洞实时防护集成 IPS 引擎,通过对网络中的数据和行为进行分析、提取,与漏洞库特征进行匹配,结合黑名单和白名单结合的防御机制,人工智能学习引擎生成白名单规则,实现只让合法工业协议和操作通过;内置工业病毒和漏洞库,DPI 深度解析实现已知漏洞攻击的告警或者阻断。并提供漏洞库在线更新功能,可实时更新到最新漏洞库,实现对流行高危漏洞的实时防护。(4)高可靠性设计,满足工业现场需求采用工业级芯片,IP40 防护、无风扇散热、双电源冗余、重负荷铝合金全封闭设计,支持透明模式、路由模式以及桥和路由的混合模式,支持 NAT 功能,从容应对现场设计和实施。同时支持 HA
191、 冗余保护,软硬件一体化的保障用户工业网络可持续的安全可靠。边缘智能控制器:(1)简易运维,远程可视化管理采用云管理架构,支持百万终端设备的全生命周期远程可视化管理,实时监控全网状态,实现故障快速定位;设备、网络、容器、应用统一管理,提升运维效率。149(2)高效部署,物联传感器设备全采集支持多种接口转换,统一转换,全面满足业务接入需求;实现即插即用,免停电安装,提升部署效率;屏蔽设备差异性,实现各类设备快速接入。(3)云边端深度解耦构建云-边-端、深度解耦的物联网架构,可进行各行业 APP 二次开发和独立部署,快速实现综合行业应用。(4)边缘智能,云边协同更高效云端主要实现用能大数据分析,完
192、成人机交互、策略生成;在边缘侧主要完成数据的预处理及策略的分解执行,云边高效协同;采用多容器技术,容器资源和接口可配置,实现业务安全隔离;支持 APP 化部署,APP 资源隔离,保障 APP安全运行。工控安全管理与态势分析平台:(1)虚拟化资源高效利用技术通过实现智能认知的虚拟网络资源管理模型,实现动态资源感知与虚拟网络流量特性和要求相结合的有效方法,并通过资源自动调整来自动分配计算资源,从而在不增加计算开销的情况下实现虚拟资源的高效利用,使得产品可扩展的安全分析和计算得以实现;(2)技术协同扩充技术150可实时分析和离线批处理分析模块设计成交互式分离解耦的方式,运用安全分析模块动态扩展技术,
193、实现了模块级别扩展,可快速应用于安全分析场景的扩充,实现网络安全在线监控、实时预警、精准分析、核对、审查、控制等平台功能;(3)安全态势预测技术采用大数据机器学习和自编码 FAHP 算法进行分析预测,在使用基于自编码FAHP 模型得到具体量化分值后,将评分结果与目前行业领域专家依据经验判断出的结果进行对比,的更加准确的预测结果。(4)基于双曲算法计算结合安全业务特点在学习模型建立算法上综合双曲算法技术和层次分析法技术优点,自动收集、分析和学习系统正常运行状态下的数据计算资产健康指数。五、成功案例:案例 1电力行业:福建可门发电厂应用项目应用产品:工控安全管理与态势分析平台以发电厂安全数据为基础
194、,以安全能力为核心,建设覆盖风险识别、安全防御、安全检测和安全响应能力的安全编排、自动化与响应平台,具有脆弱性识别、弱点识别、网络层防护、应用层防护、系统层防护、运维层防护、流量检测、入侵检测、日志检测、事件响应等安全能力的安全管理平台。紧密结合发电厂网络架构,设计大数据智能化安全体系,确保整体架构先进性;利用前瞻性 SOAR 技术,深入结合大数据技术,确保技术先进性。151通过安全自动化编排响应体系建设,加强发电厂安全的实战能力与保障能力,不断利用系统手段和人员力量,做好安全监测与防护、自动化事件响应等工作,形成运转高效、处置得当的安全编排响应机制。发电厂安全自动化编排响应体系建设应按照网络
195、安全等级保护制度和相关规范的要求,并行开展技术手段建设和管理制度建设,实现技术配合管理,管理指导技术,确保技术与管理双管齐下,切实落实相关工作科学有效开展。根据国家等有关发电厂网络安全政策文件规定,以实际需求为导向,在合规的基础上考虑整体安全设计,规范做好发电厂安全自动化编排响应体系建设,保障安全工作推进的统一性、一致性、有效性和规范性。参照“分层解耦,异构兼容”的设计思路,将安全体系分为安全管理层、安全使能层、安全平台层、安全资源层,各层之间完全解耦,实现异构兼容。续对威胁进行监控和检测,依靠安全大数据驱动的智能化、自动化的安全检测能力,及时发现异常安全事件,实现智能化主动安全;通过策略自动
196、编排,协同平台、网络、终端、应用等的安全资源,对网络安全异常事件进行协同闭环处置,确保威胁能够在最短的时间内得到清除或缓解,保护核心资产安全。案例 2石油石化行业:西南油气田应用项目应用产品:智能边缘控制器智能边缘控制器在石油化工和新能源行业,基于数据隐私计算和边缘云架构,实现数据分级管理,保障数据安全和完整性;通过石油化工行业的大量基础数据,对设备健康监控,根据数据分析并建模,在边缘智能网关侧进行推理分析,实现152对设备工况状态、设备故障和设备信息安全进行安全感知和故障预测评估并告警,在实现石油化工的数字化基础上,提升生产安全保障。为用户提供的应用价值:丰富的接口:适配油田的各种异构采集、
197、监控设备,支持不同协议的接入;可远程部署 APP、协议驱动、远程设备管理等,面对分散安装的传感器和控制设备,极大地减少了维护工作量;支持本地规则引擎,可进行设备联动、数据清洗和生成告警事件等;实现有限的边缘自治功能,在网络出现中断或故障时,可实现边缘本地智能策略,继续进行工作,保证正常的油田自动化生成,避免因网络故障导致设备无法控制等因素,造成重大经济损失等。案例 3冶金行业:广西广投新材料集团智慧工厂网络安全建设项目应用产品:工业防火墙在熔铸/挤压/热轧/冷轧/供电/污水等进行相应的区域划分,区域间采用工业防火墙进行隔离,采用适用于工控网络的“黑白名单”机制和协议解析,细化访问控制粒度,对非
198、法及异常访问行为进行拦截阻断,构筑网络边界防护防线。为用户提供的核心功能如下:低时延转发:工业网络通常要求实时数据通信,防火墙作为直路设备,直接插入到通信链路中,因此工业防火墙的时延是极其重要的指标。RSF 工业防火墙支持极低的转发时延,轻载时延小于 30us,重载时延小于 50us,满载时延小于100us,可以保障工控网络的通信实时性。渐进式部署:RSF 工业防火墙内置全通模式、学习模式、测试模式、正常模153式等工作模式,支持渐进式部署。首次上线可以运行在全通模式,保证网络联通,确保业务不受影响;网络稳定后开启学习模式,持续学习网络中的流量和协议,自动生成规则;然后切换到测试模式,部署学习
199、到的规则进行测试和策略调试;最后切换到正常模式进行工作。渐进式部署既保证了网络的连通和业务的稳定,又可逐步增强安全防护,最大限度地规避网络调整的风险。全面防护能力:在网络层,支持基于五元组、MAC 地址、时间段的访问控制,还提供 IPMAC 绑定、ARP 防护、会话控制、攻击防护、带宽管理与保障带宽等安全功能。在应用层,提供黑名单漏洞防护、白名单、应用控制等全面而精细的防护六、适用行业:工业防火墙边缘智能网关工控安全管理与态势分析平台工业入侵检测系统:广泛适用于电力、轨道交通、石化、冶金、燃气、水务、智能制造等工业应用场景。七、联系人姓名及职位姓名:肖存峰职位:销售 VP联系方式:136323
200、96532八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:寄语:当前,随着工业互联网、云计算、大数据等新兴技术的加速进一154步发展,预测 2023 年网络安全形势依旧严峻,攻击模式呈现急剧多元化、复杂化,传统的单一功能产品无法再满足数据安全防护需求,要求行业厂商/企业领导者不断重构他们的网络安全方法,从被动转主动地去提供安全防护。稳定的市场需求增量将吸引越来越多安全厂商推出和提升网络安全相关产品和服务,抢占市场份额,引领行业发展。未来,网络安全产品将向专业化、体系化方向不断迈进,给专业型企业发展带来新机遇和挑战,为中国安全从“网络大国”到“网络强国”战略迈进赋能。作为国
201、内专注于工控安全的创新技术型厂商,融安网络将紧抓技术革新和提升产品服务。目前已拥有自主知识产权近百项,参与多项国家和行业相关标准的编制,实践数十个行业近千个案例;已构建工业白环境纵深防御体系,切实落地工业控制系统安全、工业互联网安全等领域的安全解决方案,全面提升工业企业安全防护能力,加速中国新型工业化进程,为中国经济发展注入新动能。融安网络 CEO 陈桂耀155156赛宁网安一、公司名称:赛宁网安二、公司 logo:三、工控安全产品名称:赛宁工控安全产品体系四、产品特点及优势:特点:赛宁工控安全产品体系围绕工业类客户的痛点、难点等需求,提出工控攻防靶场、工控体系防护、工控安全咨询三大板块业务。
202、优势:产品聚焦全方位把控关基设施面临的潜在风险,从人员技术能力提高、安全防护体系建设、全员安全意识普及等多方面提升工控安全防护能力水平,能够着重于事前、事中、事后体系化抵御可能突发的各类攻击。五、成功案例:1、某石油集团企业-石油石化157客户需求:1)培训需求:建设工控安全培训环境,为检测、攻防、科研等专职安全人员提供专业技术培训,不仅要提升理论知识储备,也需要具备安全事件应急响应处置能力。2)科研需求:建设石油采购、运输、存储、加油等业务仿真环境,研究工控病毒、漏洞、工控安全设备。效果:通过体系化的课程、练习,助力用户快速培养工控网络安全人才;检测实网脆弱性、真实工控安全设备能力,提升集团
203、整体安全性;通过定期的攻防演练,可以提升专业人员的技术能力,并通过电子沙盘、物理沙盘展示工控安全事件的危害,加强全员安全意识。2、某能源集团-电力热力生产、煤矿投资开发、天然气开发利用和能源服务等客户需求:能源集团的安全人员多为网络运维出身,亟需加强专业网络安全人才培养,以及建立有效的人才激励、考核机制与选拔手段;响应国家政策,定期开展实网攻防演练来挖掘现网脆弱性,同时可以提高安全人员的应急响应能力;过多的实网演练会影响现网业务的开展,并且每次实网攻防的组织成本较大。效果:通过体系化的实训、竞赛,形成网络安全人才培养“体系化”以及人才培训及考核选拔,大幅度提升客户网络安全人员综合实战能力;通过
204、仿真技术,实现攻防演练“常态化”。基于各类仿真场景,依托主动防御技术开展网络空间安全防护。158六、适用行业:部队、军工、能源、石油石化、发电企业、智能制造、轨道交通、通信、水利、金融、煤炭、国防科技工业、地方监管机构、高等院校、科研机构等。七、联系人姓名及职位姓名:张静职位:市场总监联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:当前,全球网络安全局势面临挑战,大规模的网络攻击威胁到了国家安全,更切实影响了民众的生活。网络空间安全,已经开始对国家安全产生了全面的颠覆性影响,也更加坚定了贯彻实施网络强国战略的必要性和正确性。前不久,在世界互
205、联网大会上,习近平总书记强调“加快构建网络空间命运共同体,为世界和平发展和人类文明进步贡献智慧和力量”。推动构建更加公平合理、开放包容、安全稳定、富有生机活力的网络空间。举国之力重视网络安全发展,势必会给网安行业创造更优质的发展空间。赛宁网安 CEO 谢峥159160双湃智安一、公司名称:北京双湃智安科技有限公司二、公司 logo:三、工控安全产品名称:双湃智安工业互联网安全监测与响应三级联动平台四、产品特点及优势:特点:双湃智安工业互联网安全监测与响应三级联动平台,以 IT-OT 融合的深度资产探测和持续威胁发现为基础,以威胁分析和安全运营为核心,以事前预防目标,将企业安全风险在萌芽阶段处理
206、,帮助企业最小的投入,获得最大的安全能力提升。优势:项目面向中小工业企业,提供提供资产探查、漏洞发现、风险评估、威胁推送、工业现场检查、工业应急响应等安全服务,填补在线安全服务的空白,帮助企业构建全天候、全方位的安全监测、威胁感知、相应处置能力,通过自动化161工具和流程开展实时安全监测、风险评估、威胁推送、预警通报等一对一企业服务,提高工业互联网企业的安全管理能力,降低工业互联网企业因安全事件导致的资产和人员损失,保障工业互联网企业安全生产。五、成功案例:案例 1:双湃智安工业互联网安全态势感知平台(卡奥斯工业互联网平台安全解决方案)客户:海尔工业智能研究院有限公司双湃智安工业互联网安全态势
207、感知平台,是集安全态势感知和安全运营于一体的综合性工业网络安全平台。以工业互联网平台企业用户资产为防护目标,以用户数据安全为核心,基于整体环境动态地洞悉安全风险,以安全大数据为基础,从全局视角对安全威胁进行发现识别、理解分析和响应处置。最终形成针对网络安全的决策与行动,是网络安全能力的有效落地策略。卡奥斯工业互联网平台安全解决方案:162案例 2:紫光工业互联网平台网络安全综合防护系统客户:紫光云引擎有限公司紫光 UNIPower 工业互联网平台服务特点包括以下几个方面:一是全面的设备连接与数据整合能力;二是强大的数据分析和工业算法模型构建;三是提供 PaaS层四库四池,为企业和开发者提供工业
208、应用开发所需的丰富资源服务;四是建设以“工业为基础、数据为核心、云平台为支撑”的安全能力,建立一个智能分析、协同防护、安全可控的工业互联网安全平台,做到事前预警、事中监控、事后分析响应,全面的提升工业互联网平台安全管理与防护水平。(1)建设工业互联网平台企业安全综合防护系统,加强工业互联网平台自身的安全防护能力,保证平台自身稳定性,保障工业互联网平台的快速建设及应用推广,为加快建设制造强国,推动制造业经济高质量发展提供有力的安全保障。(2)建设工业互联网平台企业安全综合防护系统,作为工业互联网平台的重要应用,快速建立工业互联网平台下企业的网络安全状况可见性,帮助企业直观、清晰、准确、全面地查看
209、 IT、OT、IOT 资产状况、隐患、网络威胁等163信息。能够帮助企业摸清家底,有针对性地提出网络安全建设的意见。(3)建设工业互联网平台企业安全综合防护系统,实现网络安全工作从“持续监测”到“积极响应”的业务闭环,通过自动化响应、设备联动等功能发挥全部网络安全设备的最大效能,能够帮助企业提升安全运营能力和安全防护水平,避免因网络安全问题造成的业务停产所带来的经济损失。六、适用行业:制造业、信息传输、软件和信息技术服务业。七、联系人姓名及职位姓名:任浩源职位:市场总监联系方式:,八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:工业控制系统是国家关键
210、基础设施的重要组成部分,工控安全关系到国家的战略安全。随着资产数据的爆发式激增、新型攻击形态不断出现,近几年我国网络安全事件频发,加之疫情常态化催生的远程、混合办公需求,传统的内外网边界趋于模糊,为企业的安全治理带来了前所未有的挑战。建立纵深防御安全防护技术体系,构建一套工业互联网安全监测与响应解决方案,利用全监测与响应支撑工业互联网安全防御体系落地。要利用资产探查、隐患发现、威胁监测、安全态势可视化、企业安全事件分析与处置、企业安全运营多端联动、自动化编辑运营报164告等能力,为工业企业客户提供个性化定制服务,从而彻底解决工业企业网络安全“看不见、投不起、没人管、响应长”的用户痛点,能够为企
211、业提供高效、可信赖、易获取的工业互联网安全服务订阅(SECaaS)。双湃智安 CEO/首席科学家 陶耀东165天地和兴一、公司名称:北京天地和兴科技有限公司二、公司 logo:三、工控安全产品名称:天地和兴工控防火墙天地和兴工控安全审计平台天地和兴工控信息安全监管与分析平台天地和兴主机安全卫士天地和兴智能安全分析平台天地和兴 USB 安全隔离系统等系列工控安全产品四、产品特点及优势:特点:工业级专用硬件平台、专属工业加密通道(国密),全面且细粒度的工控协议解析、全面的攻击防护能力、集中的安全策略配置、多维度的安全威胁呈现、多维166度的用户行为审计、可视化的算法配置平台、完善的工控系统兼容等。
212、优势:1.案例多,稳定运行时间长,功能聚焦且可靠性高,对工控协议深度解析满足工控场景的安全防护需求。2.兼容性强,适用于各种业务场景,同时支持 windows、Linux、Unix、和国产多平台。3.一键策略部署,适合部署在工业网络各边界位置,满足工控用户差异化的安全防护需求。4.丰富的知识库支撑,自动识别工控资产,建立工控网络安全通信模型,能够实时监测工控网络的状态。五、成功案例:某大型能源公司供热管网控制系统网络安全防护项目项目背景本案例客户公司所辖供热公司的供热管网控制系统属于典型的物理分散、系统分散、风险分散的系统。城市热力站地理位置分散,覆盖面广,大部分城市热力站通过电信运营商互联网
213、网络与控制系统的数据通信,调度中心控制指令和各热力站实时控制数据以不安全的传输协议进行数据传输,极易被恶意攻击者窃取信息数据或者对信息数据进行篡改,导致无法真实传递控制指令和反映当前热力站控制系统运行状态。167项目分析1、日常安全巡检难度大市政供热网络一般具有管网数量多、分布范围广等特点,因此对实现集中监控、无人值守的工业控制网络,难度较大。供热管网对边界防护、异物入侵、图像对比、行为识别、分析预警等业务分析需求越来越多,迫切需要视频流的数据挖掘分析技术守护日常的管网运行安全;同时打破视频数据孤岛问题,供热管网实现对识别对象进行分析预警预测数据挖掘分析更为迫切。2、供热行业数据安全的需求供热
214、行业相关单位的数据格外引人注目,除了企业内的财务、行政、人力等管理数据外,更多的敏感数据为供热用户信息等。任何由内外原因疏漏导致的数据泄漏都将使企业遭受重创,后果会很严重。供热行业的管理趋于数字化,网络安全法及更多法律法规的出台,可能会加剧企业保护数据安全的负担。但数据是核心的信息资产,企业必须适应环境的变化,不能消极、退让、躲避,只有不断寻求更佳的安全防护体系和措施才是真正的办法。3、供热行业业务安全的需求安全不仅仅只是保护基础设施,更要保障业务系统的安全。也就是说,将安全控制融入到业务流程之中,对业务操作中的安全控制点进行同步监测,进而提前做到安全态势感知,防患于未然,并节省宝贵的事件响应
215、时间。解决方案168天地和兴公司的 AI 赋能城市供热管网安全防护一体化解决方案,能够 全面保障管网安全,有效预防和避免数据泄露现象,减少或避免因人员操作管理失误造成的损失,具体的应用场景如下:1、安全的物理环境:对换热站的视频监控中的蒸汽/烟雾泄漏、液体滴漏等异常生产环境视频适配 AI 算法,对异常视频画面进行智能分析并告警。2、安全的通信网络:对供热公司的业务网络进行分区优化,具备控制功能的自控系统独立组网,在换热站与供热管网控制系统链路部署加密设备,进行身份认证与数据传输加密防护。其他生产相关但不具备控制功能的划分到管理信息网络。3、安全的区域边界:在自控系统网络边界(外联 DMZ 区和
216、管理信息网)部署工业网闸,对自控系统区域进行安全隔离。在供热管网控制系统核心交换机旁路部署入侵检测系统,通过交换机镜像功能,把网络出入口、重要安全域的通信数据送给入侵检测系统进行实时检测。4、安全的计算环境:针对市政供热企业工控网络中的相关应用服务器、管169理操作终端等主机系统,设计安装部署主机安全防护软件系统,实现了对人机交互界面的主机系统必要的安全管控。白名单的主动防御机制可占用更小的系统计算资源,实现最大的防护效能;有效的实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口的管控,USB 外接存储设备的认证管控、防病毒与操作行为审计,为主机系统安全运行提供必要的安全保障。5、
217、安全的管理中心:在热管网控制系统划分出安全管理域,部署日志审计系统、堡垒机系统及定制开发安全管理平台,安全管理平台采用两级管控平台的创新布局,实现报警分级、管控分权的网络安全平台建设,可向上对接上级监管机构的管控平台。应用效果本解决方案通过对供热公司供热管网控制系统的网络架构、边界及系统风险进行明确,对其面临的网络安全风险进行研究,依据等级保护要求,就现有控制系统的网络安全问题,提出针对型的安全防护解决方案,从区域隔离、接入双向认证、网络通信链路防护、软件系统安全、集中监管、主动防护等方面出发,构建了供热控制系统网络安全纵深防御体系,确保终端和主站之间的通信链路安全,保障终端和主站之间传输数据
218、的保密性和完整性,同时实现主站和终端之间的双向身份鉴别;重点防范各种主动攻击对系统的恶意破坏和攻击以及其它非法操作,防止由此导致供热管网系统事故,确保供热公司供热系统的安全运行,具有很强的现实需求;对与公司其它供热系统具有广阔的应用前景和示范作用。六、适用行业:能源电力、石油石化、轨道交通、智能制造、钢铁冶金和军工等各类国家关键信170息基础设施行业。七、联系人姓名及职位姓名:胡心恬职位:市场经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:随着越来越多的工业生产设备和系统联网,制造环境走向开放、跨域、互联,网络攻击范围不断扩大,工业全产
219、业链都面临着网络攻击的风险,已经对世界各国的政治稳定、国防安全、经济发展产生了严重的负面影响。要构建构建科学的安全防护体系,工业企业首先需要明确“保护什么”,通过各类价值评定方式确定企业的各类保护对象与安全目标设定。并通过安全评估及渗透测试,识别保护对象的安全风险,审查网络系统中存在的安全弱点,确定防护工作的优先级。再结合自身业务类型与保护对象,制定有针对性的安全防护策略与安全解决方案,部署相关安全产品、平台。天地和兴 CTO 李凯斌171172网藤科技一、公司名称:北京网藤科技有限公司二、公司 logo:三、工控安全产品名称:USB 安全隔离装置四、产品特点及优势:特点:USB 安全隔离装置
220、创新性地采用外设杀毒技术,集“认证、授权、审计、杀毒”于一体,可以对 U 盘等移动存储介质进行全流程细粒度管控。优势:1、三引擎一机多杀USB 安全隔离装置具备网藤基础引擎、深度引擎、辅助引擎三引擎威胁处理能力,支持多用户、多台工业主机、多 U 盘同时进行病毒查杀,节约用户投资。1732、共享存储空间USB 安全隔离装置内置大容量存储空间,可以满足多用户、多工业主机同时进行安全数据共享。3、文件加密传输内外网交互的文件在传输过程中可选择加密,只有通过 USB 安全隔离装置才可对加密的文件解密,防止文件离开设备后泄密。4、与工控主机安全卫士联动USB 安全隔离装置可以通过与网藤工控主机安全卫士联
221、动,在 USB 安全隔离装置上获取认证授权标记及查杀标记的移动存储介质,才可通过主机上工控主机安全卫士的安全校验和使用。五、成功案例:1、客户名称:新疆某新能源发电公司2、案例名称:基于工业控制动态防御方法的新能源网络安全创新应用3、客户痛点(1)外部网络安全威胁;(2)工控系统缺乏内生安全措施,长期处于独立运行状态,漏洞等脆弱性风险无法修复;(3)人员安全意识薄弱,移动存储设备滥用;(4)安全技术滞后于新技术的应用,高级持续性威胁虎视眈眈。4、案例描述网藤科技提出业界领先的动态防御新理念,打破传统防御观念,以基于工业174工资动态防御方法为核心,构建一体化网络安全防御体系,可针对新能源电力行
222、业网络及业务进行整体安全防护,保证网络信息系统安全,助力新能源电力企业网络安全满足国家合规性要求的安全防御能力,结合新疆某新能源发电公司电力系统的实际情况,形成全面的动态防御网络安全解决方案:(1)区域划分根据能源电力 36 号文要求,确定生产控制大区(包括控制区和非控制区)和管理信息大区范围,并根据业务子系统做进一步划分,为边界安全防护夯实基础。(2)边界防护在安全域划分基础上,对控制区和非控制区边界及内部子系统间部署工控协议深度解析的工业防火墙,根据安全策略对跨边界流量进行管控,避免安全威胁跨区传播。同时,在生产控制大区部署入侵检测系统,实现网络威胁入侵检测,及时发现网络异常情况,蠕虫、木
223、马病毒以及 APT 等恶意程序的传播,实现网络运行状态实时监控。(3)主机加固通过在生产控制大区各主机终端部署工业控制动态防御系统,实现终端进程的可信管理,只允许需要的业务软件运行,以首创可控的 USB 安全隔离装置,对移动存储介质数据传输过程进行病毒查杀隔离,创新性的将静态防御和主动的动态防御相结合的安全部署方式,通过严格安全隔离和访问控制机制,从根本上提高了工控主机安全性。(4)合规性分析漏洞扫描系统通过接入工控网络,可快速识别现场资产及漏洞,根据相关政策要求对工控网络安全状况进行评估,满足关键信息基础设施定期安全检查要求。175(5)安全管理中心为满足集中统一管理要求,在安全管理中心部署
224、综合监管预警平台,构建企业统一管理平台,实现对安全设备的集中管控,将实时分析结果推送到展示平台,为安全运维人员提供技术支撑,同时实现对运维人员访问过程进行细粒度的授权、全过程操作记录和审计。5、网络部署拓扑图6、案例成效本方案采用主动防御体系及纵深防御思想,创新性的将静态防御和主动的动态防御相结合的安全部署方式,实现新疆某新能源发电公司网络结构安全和深层防御能力,满足合规性要求。(1)实施后,对网络攻击、违规使用等情况,采用深度分析技术对网络进行不间断监控,分析来自网络内部和外部的入侵企图,并进行报警、响应和防范,有效延伸了网络安全防御层次,提高各系统网络安全事件识别和响应能力;176(2)实
225、施后,提高系统识别各类网络攻击行为的能力,并有效应对内部发起的或外部发起的网络入侵行为;(3)实施后,利于管理员定期分析各系统日志信息,对安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息进行集中管理分析;(4)实施后,减轻新能源电站日常 IOT 资产设备的运维强度和成本,可通过集控中心统一安管平台,快速识别业务系统中的安全风险;提高系统管理人员安全意识,提高现场设备应对外来威胁的防御能力,减少自身脆弱性。六、适用行业:石油石化、电力电网、智能制造、轨道交通、智慧城市、冶金矿山七、联系人姓名及职位姓名:刘佳职位:市场总监联系方式:八、CEO/创始人
226、/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:随着工业互联网和数字化转型的到来,加速了 IT 和 OT 全方位融合,也导致了工业互联网安全环境更加复杂多变。网络边界逐渐模糊、工艺场景复杂多变、生产安全问题日益突出,工业互联网安全面临设备安全、控制安全、网络安全、应用安全、数据安全以及生产安全等177全方位的新挑战。工业互联网安全将从生产业务中来到生产业务中去,利用工业大数据、人工智能等技术打造工业互联网+安全整体解决方案,从数字空间、工艺行为、物理空间上进行全方位智能化泛安全监测预警及纵深防御,实现全面可视化监控和精准的科学管理。网藤科技副总裁 胡仁豪178星阑科技一、公司名称:北京星阑
227、科技有限公司二、公司 logo:三、工控安全产品名称:Intelligent Recognition 系统四、产品特点及优势:特点:该系统支持多种工业网络通信协议,包含常用传统网络控制协议,现场总线,工业以太网,工业无线网等多种工控协议数据包的深度解析,还能基于工业网络流量特征智能识别安全风险,并支持基于分布式的流量采集方案和高性能数据分析平台,具备多重检测全面防护、自身安全性高、多维度分析,一体化防护等功能。179优势:该系统能够加强工业控制系统信息安全管理的重点领域和重点环节,弥补传统安全产品的检测盲区,可针对工业信息系统风险威胁、行为风险、数据风险,适配覆盖全生命周期的工控安全产品及解决
228、方案,帮助用户打造安全可靠的工控安全整体防护体系,为工业用户提供全面的安全保障。通过对工业控制系统中的工控语言进行专项解读,形成特有的工控网络检测策略,实现对各工业控制系统的有效威胁检测,威胁处理闭环。并且涵盖了空间资产探测、系统漏洞扫描、WEB漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、WIFI 安全检测、APP 安全扫描、大数据漏洞扫描、Windows 安全加固、等保合规关联、分布式管理等功能。五、成功案例:客户:某石油公司所属行业:石油化工客户需求:解决工业控制系统面临的安全隐患解决办法:依据国家信息安全等级保护制度、工业控制系统信息安全防护指南等标准,针对该企业
229、控制系统网络特点,对安全防护难题进行了分析,为客户定制化设计并构建了控制系统网络安全纵深防护体系。系统采用基于流会话的状态检测技术,并且集成了强大的基于会话管理的核心技术,可以支持优异的每秒新建连接的性能,支持涵盖 Modbus/TCP,OPC Classic,OPC UA,DNP3,S7,S7 plus,IEC60870-5-104,MMS,Ethernet/IP 等在内的各类主流工控网络协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。180六、适用行业:政府、电力、水利、教育、医疗、石油化工七、联系人姓名及职位姓名:郝明职位:市场总监联系方式:八、CEO/
230、创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:万物互联的时代,机遇与风险并存,应对网络安全风险挑战,需要防患于未然。如今我国网络安全政策体系不断完善,网络和数据安全管理体系日臻完善,行业数据安全监管体系初步建立,基础电信网络保持安全稳定运行,工业互联网、车联网、5G 等新型基础设施安全保障框架体系初步形成。而随着企业数字化转型的深入,API 作为云原生环境下的基础通信设施,在大型企业、金融机构的线上服务、数据库、云存储、开放平台等多种业务中变得越来越高频多元。API 作为驱动开放共享的核心能力,已深度应用于各行各业,其巨大的流量和访问频率也让 API 的风险面变得更广、影响更大。星
231、阑科技将站在 API 这个通信和数据的汇聚点和交叉点上,统筹好发展与安全“一体之两翼、驱动之双轮”,扩展新应用场景,转化更多价值,解决各类技术上的难题,守护数字世界的每一次网络调用。星阑科技 CEO 王郁181182中电安科一、公司名称:杭州中电安科现代科技有限公司二、公司 logo:三、工控安全产品名称:工控安全监测审计系统、日志审计系统、工控入侵检测系统、工控防火墙、工控隔离网闸、网络准入系统、工控安全管理平台、配置核查管理系统、数据库审计系统、工控终端防护系统、网络防病毒系统四、产品特点及优势:工控安全监测审计系统:工控安全监测审计系统旁路部署在工控网络中,实现网络流量监测、协议分析、资
232、产识别、安全审计等功能,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业183优势:通过对工控网络流量的采集、分析和监测,可自动发现网络中的所有IoT 和 ICS 资产,并维护最新的资产清单,显示设备类型、制造商、开放的端口、序列号、固件版本、IP/MAC 地址等。支持 IEC61850、IEC60870-5-104、DNP3、Modbus TCP、S7Comm、CIP、OPC 等上百种工业协议深度解析,对网络数据中通讯行为进行建模,自动构建安全基线,快速识别网络异常行为并实时告警。彻底改变工控网络不可知的现状,将工控网络变得“可知”、“可管”,及时发现工控网络中的信息安
233、全风险。日志审计系统:日志审计系统作为一个统一日志监控与审计平台,能够实时、不间断地将将用户网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、业务系统的日志等信息汇集到审计中心,实现全网综合安全审计。优势:大数据技术支撑海量日志处理;基于机器学习的日志模式识别;可视化日志审计;配置灵活方便的仪表板;智能分析发现攻击链全过程;内资丰富的合规报表工控入侵检测系统:入侵检测系统是针对办公网络网络设计的、提供网络入侵发现、事件关联分析、安全设备联动等功能的信息安全产品。优势:拥有丰富的系统漏洞利用规则库,超 10000 条策略过滤规则;支持病毒检测、行为管理等功能;高效的威胁入侵行为
234、检测能力,内置关联分析算法和大数据分析能力;强大的横向扩展能力;具有完善的自我管理功能;工控防火墙:工控防火墙是面向工业控制网络研发的涵盖传统防火墙、工控协议数据包深184度解析、工控协议指令控制等功能在内的工控网络安全防护产品。优势:综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智能优化技术等多种安全技术,可检测并轻松阻断多种攻击;多种工作模式灵活部署安装,适用各种网络;采用安全策略规则高速匹配算法,性能优越,延时小,速度快;支持黑、白名单配置,丰富的安全策略,启发式扫描,精准识别;通过集成工控漏洞库和工控入侵检测特征库,智能识别利用协议漏洞发起的攻击并阻断;支持 Modbu
235、s、OPC、DNP3、S7Comm、IEC60870-5-104、IEC61850-MMS等 40 多种工控协议深度解析和策略过滤。工控隔离网闸:工控隔离网闸是在保证内外网络有效隔离的基础上,实现了内外 网间安全、受控的数据交换。优势:采用多机系统架构,通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理,有效防止黑客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现工控环境的网间安全隔离和信息交换。网络准入系统:网络准入控制系统采用旁路部署方式接入用户网络,准确识别入网终端身份,提供终端健康检查与隔离修复,实现对网络终端的全面接入控制。优势:灵活的部署方式;全
236、方位的准入控制;直观高效的可视化管理;多维度管理模式工控安全管理平台:工控安全管理平台是针对工业网络设计的,集安全可视化、监测、预警和响应处置于一体的信息安全产品。工控安全管理平台采用组件化开发技术,专注于185安全管理和安全分析。优势:内置工控资产指纹库,实现精准的工控资产识别;先进的大数据技术架构,满足海量异构数据的采集、存储和分析;灵活的组件化架构设计;支持百余种工控协议的智能解析;智能数据处理和分析。配置核查管理系统:配置核查管理系统是一款针对自动合规性核查的轻量级工具。优势:丰富的配置核查项;自定义核查项目;基于规范模板的配置核查;多样的设备管理模型;灵活的部署方案;支持多实例、多应
237、用域自动探测;更细的自有检查规范粒度数据库审计系统:数据库审计系统是自主研发的业界首创智能自动学习、自动建模、风险自识别、细粒度审计、精准化行为告警、全方位的数据库安全审计产品。产品基于“CII”(Compliance、Independence、Intelligence)设计理念,为客户的核心数据库资产构建“最后一道安全防线”。优势:产品支持旁路审计、代理审计和插件审计三种工作模式,通过对数据流量的深度解析实现对数据库的审计,实时统计访问数据库的请求和风险,提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追
238、溯。工控终端防护系统工控终端防护系统提供了多层次防御、多手段管理相结合的终端安全解决方案。系统采用控制台、客户端的两层防护架构设计和一体化部署模式,可轻松实现超大规模终端用户多级可视化管理。186优势:集成式、高可用、可复用、多元化的终端安全管理方案;提供安全检查、快速修复问题的终端自助安全维护能力;全面的防护功能;成熟的技术优势。稳定、可靠的平台优势;采用驱动及操作系统底层技术实现,保障安全防护效果,提高的安全防护的效率,系统的资源占用最小;采用高性能的网络通讯机制,在大规模网络中能够高效、快速的进行终端管理,提供高效的技术机制保障。网络防病毒系统防病毒系统基于大数据安全分析领域的优势,对服
239、务器与终端未知威胁检测和未知恶意代码防御方面进行防御优势:产品采用机器学习、大数据分析技术、高级行为分析技术以及漏洞利用检测技术,提供针对高级威胁的及时检测和快速响应。系统通过对服务器与终端行为数据的持续监控、主动检测和关联分析,对检测出的安全威胁实时处置防御,实现对安全事件的快速响应和威胁根源的快速定位。五、成功案例:一、案例名称:某市地铁工控网络安全项目案例(因涉及敏感信息,因此做脱敏处理)项目背景及需求:某市轨道交通网络运营控制中心(NOCC)工程是将线网运营控制中心、各条线路运营控制中心(OCC)、应急指挥协调中心(TCC)及票务清分中心(ACC)合建一体的项目,支撑轨道交通网络运营、
240、多元化主体格局下轨道交通网络运营管理。某市轨道交通网络运营控制中心(NOCC)主要包含 XXX 市城市轨道交通近远期建设规划后续 20 条线路及现已开通运营的 5 条线路运营控制中心187(OCC)、线网指挥中心(TCC)、网络运营管理中心(NCC)、线网 AFC 系统的清分清算中心(ACC)、AFC 多线路共用线路中心(CLC)及线网服务中心相关配套设施。截止 2016 年,XXX 地铁一期工程、二期工程、三期工程已陆续开通运营,随着网络安全法版本实施,以及等保 2.0 相关标准、规范落地,网安主管部门多次对地铁生产业务系统的网络安全等级保护定级、备案、测评、整改提出了具体要求。同时由于 N
241、OCC 一期、二期工程一个融合平台,后续新线均接入 NCC,如既有线信息安全风险不升级,风险会持续叠加,一旦发生信息安全事件,容易互相传播,对 XXX 地铁整个线网的威胁极大。本项目将依据地铁运营公司对一期工程、二期工程、三期工程的生产业务系统(综合监控、电力 SCADAD、AFC、PIS、通信、综合安防等)风险评估的结果,进行安全加固整改,同时按照国家相关要求进行等保定级、备案、测评。基于等保 2.0 的要求,以及风险评估的结果,目前 XXX 地铁既有线业务系统主要存在如下的安全风险及隐患:序号安全风险类型风 险 等级风 险 来源1网络边界设计不合理,网络未有效隔离高网 络 安全2安全架构不
242、完善高网 络 安188序号安全风险类型风 险 等级风 险 来源全3缺少终端安全防护措施高应 用 安全4缺少专业安全管理人员中管 理 安全5存在 ARP 攻击风险中应 用 安全6通信指令缺乏验证机制中应 用 安全7核心业务系统应用程序缺乏数字签名中应 用 安全8核心业务系统数据库连接信息明文存储中网 络 安全9系统缺乏正确的安全配置高网 络 安全10基础软件系统漏洞未安装补丁程序高系 统 安全11安全设备及软件授权过期中网 络 安全12关键系统采用弱口令并长时间不修高管 理 安189序号安全风险类型风 险 等级风 险 来源改全安全防护思路:本次既有线网络安全升级改造,一方面应解决上述的风险及隐患
243、,另一方面应达到等级保护的要求。本次升级改造包括但不限于以下几项工作:等保安全防护方案深化设计;新增安全产品采购、现场上架安装接线、调试;业务系统交换机等网络设备配置修改;业务系统终端、服务器安装防病毒软件、终端防护软件的配合;业务系统本身及其操作系统、数据库、网络设备的安全加固与中高危漏洞整改;等保定级、备案、测评,制度梳理等。各系统升级改造后的安全保护等级如下:综合监控系统、信号系统、pSCADA 系统、AFC 系统应达到三级等保;综合安防、PIS 系统、通信系统应达到二级等保。结合当前地铁综合监控系统面临的诸多安全问题,依据信息安全技术 网络安全等级保护基本要求,在安全物理环境、安全通信
244、网络、安全区域边界、安全计算环境、安全管理中心、安全策略和管理制度、安全管理机构和人员、安190全建设管理、安全运维管理等方面采取必要的措施以使综合监控系统达到信息安全等级保护三级的要求,同时具备对已知、未知恶意代码、病毒的入侵、黑客入侵防护的能力,能够对网络流量、网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析,满足网络数据审计功能要求。安全防护措施:针对工业控制系统内部威胁部署工控安全监测审计系统,实时监测系统内部异常行为,异常流量告警;针对各互联系统间存在的安全威胁,部署工业防火墙,做到系统之间的逻辑隔离,保障各互联系统同综合监控系统数据交换的安全性;同时针对终端安全
245、问题,部署终端安全管理系统严格监管终端异常行为及非法数据外传等操作。针对安全运维情况,在云平台部署账号风险洞察系统,实现对运维人员操作服务器、网络设备、数据库过程的记录与回放,对违规操作行为进行阻断与审计,有效降低运维人员越权访问、误操作、滥用、恶意破坏等运维风险;针对综合监控系统工业资产及异常数据监控方面,通过部署工控安全理平台,基于数据流分析的网络拓扑绘制,实现对工业资产的实时统计并对整套控制系统的安全态势做到实时展现。同时,在管理建设方面,在安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理加强建设。安全方案效果:1911.合规性满足根据等保 2.0、行业知道要求要求,建
246、设的地铁工控网络安全解决方案可以满足相应级别的合规性,同时在定级备案等保测评过程可以相对顺利符合测评技术要求。2.提高生产稳定性通过地铁工控安全防护体系、监测体系、响应体系的建设,能够有效的降低生产网络中的各种安全风险,提高生产的连续性和稳定性,有利于保障企业的安全生产。3.有效保障业务流程安全通过地铁工控安全防护体系的建设,对各网络边界、区域边界、重要控制设备进行隔离、防护,切断病毒、木马、恶意攻击的传播途径,保障网络区域内生产控制系统安全;通过工控安全监测体系的建设,对工控网络内控制指令、操作行为、传输数据进行安全审计与监测,及时发现非法操作、恶意篡改、网络攻击等安全事件,保障工业业务流程
247、、生产数据安全;通过工控安全防护体系、工控安全监测体系以及工控安全监控管理平台的建设,形成符合业务特点的工控安全响应体系,及时预警安全事件发现安全问题,做到安全防护、安全监测、安全事件响应的可视化。4.提高生产控制网络信息化水平通过地铁工控安全防护体系、监测体系、响应体系的建设,能够有效的提高网络安全认识,切实提升信息化管理水平和管理效率,使管理人员的决策更加及192时、准确,使信息流通结构更加合理,增强综合竞争力。5.提升抵御网络安全风险能力通过地铁工控安全防护体系、监测体系、响应体系的建设,增强生产控制网络行为的合规性识别能力,避免各种有可能出现的由网络安全引起的突发问题,避免或减少生产控
248、制网络安全威胁。6.提升安全生产水平通过地铁工控安全防护体系、监测体系、响应体系的建设,规范生产控制网络中的资产和行为,可以事前防御由病毒、入侵、异常接入、程序逻辑等导致的安全生产事故,杜绝重大灾难性事件,为企业安全生产做贡献,产生良好的经济效益。二、案例名称:中电安科生物制药工控网络安全建设项目(涉及对外时,需做脱敏处理)项目背景及需求:国内疫苗管理法意见出台,将疫苗管理上升到了国家安全的高度,同时也对疫苗的研制,生产,上市,流通以及监管提出了更深入的要求。MES 项目的建设和规划,符合国药集团总体发展的布局,是新形势下和未来战略性发展的迫切需要。工业控制系统的网络化、智能化在提高生产效率和
249、管理效率的同时,也为恶意攻击者增加了新的攻击途径,针对生产控制系统的攻击技术和手段不断发展,193各种生产控制系统恶意软件以及安全事件层出不穷,使得生产控制系统面临越来越多的安全威胁和挑战。我国政府和有关监管部门对此高度重视,分别在法律法规、政策、工作要求等方面积极行动。从 2011 年工信部的 451 号 关于加强工业控制系统信息安全管理的通知,2016 年工信部的 338 号工业控制系统信息安全防护指南,再到 2017 年工信部 122 号 工业控制系统信息安全事件应急管理工作指南 以及 2017 年 6 月 1 日正式实施的网络安全法,这一系列出台的政策都已表明我国政府和有关部门高度重视
250、工控系统的安全,已经上升到国家战略的高度。解决思路:工控网络安全防护方案不单单是一个技术问题,不是一两个安全产品设备所能解决的。安全防护一定是站在自身业务发展的需要而进行设计的,符合整个企业的治理、风险和合规管理思路。组织治理:企业在建设工控安全体系时结合企业的战略目标,明确组织职责、运作机制和流程,建立有效的管理循环,保证企业目标得以实现。风险管理:从风险背景的建立开始,到开展风险评估工作、进行风险响应和风险监测,建立自上而下的风险管理架构能够帮助企业各个层级明确自身的风险管理职责和风险管理流程,有利于企业认知的信息安全风险。合规管理:企业通过建立自身控制基线,满足当前对风险控制的要求,同时
251、符合国家相关法律法规要求以及等级保护要求等,基线的建立除了要满足相关的监管要求外,还需要满足自身企业的业务目标,而这些离不开合规的管理。企业在两化融合的深入过程中,已经开始从最初的数据采集开始往“智能制造”“智慧工厂”方向发展,所以在设计安全防护方案时一定要以动态的眼光来194对待工控网络安全问题。工控网络安全防护措施的设计遵循“以治理为保障、以风险为导向、以合规为基线”作为指导方针来建设公共安全,既需要考虑当前企业的工控网络安全现状,也需要考虑未来企业发展的需要的。产品部署:1.边界防护在各 PLC 控制系统之间部署工业防火墙,将各控制系统进行逻辑隔离,并设置严格的访问控制策略,通基于 IP
252、、端口、协议等的访问控制策略,杜绝控制系统的非法访问,隔离网络攻击和病毒(包含工业病毒)的跨区域的串扰,保护工业环网的安全运行。实现不同系统之间的逻辑隔离,解决生产网各工控系统之间以及管理网与生产网之间的违规访问与边界防护。2.监测审计在各场站的工控系统分别部署监测引擎,监测引擎对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP 变更、组态变更、PLC 启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在调度中心的工控安全监测审计管理系统中。工控安全监测审计管理系统对监测引擎进行统一监控与管理,将监测引擎传送过来的异常数据进行统计分析
253、,并告警显示,同时依据通讯流量进行节点网络拓扑动态生成,工控资产识别,实现对工控网络的监测与审计,为事后提供追溯分析依据。3.终端安全为保证主机设备的正常运行,制药控制系统的操作员站和工程师站基本不安装杀毒软件,导致主机设备可能存在未被发现的恶意代码程序且无法抵御病毒、木马等恶意代码的入侵。195所以,本方案在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署工控安全卫士,在调度中心部署工控终端防护系统。管理系统对工控安全卫士进行统一管理与监控,策略下发,异常报警等。实现对工业主机的进程白名单管理,对流量、USB 口管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的
254、攻击,实现工业主机安全防护与加固。同时,部署 1套配置核查管理系统,对工业主机、服务器以及网络设备的安全配置基线进行核查。4.安全运维在调度中心部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。解决远程运维行为无法监控问题以及在访问系统资源,操作记录无法做到安全审计、事后可追溯问题。5.配置管理做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。具体管理措施有:建立工
255、业控制系统配置清单,明确配置管理责任人及职责;定期对配置清单进行配置审计;所有重大配置变更制定变更计划并进行影响分析,定义配置变更审批流程,配置变更实施前进行严格的安全测试。6.安全管理196制药控制系统在做好信息安全的相关建设或整改后,增加了网络安全性,但是也增加了一定的管理难度。因此,在调度中心部署安全管理平台。主要包括数据监测、日志收集和报警展示,通过使用安全管理平台大大降低运维管理的工作难度和工作量、同时可采集制药控制系统的主机设备、网络设备、安全、业务软件的日志进行统一留存和管理,运维管理人员可通过安全管理平台监控全网的报警信息,发生安全事件后,可第一时间采取处置措施,提升制药行业安
256、全防护整体水平。方案亮点:1.合规性满足网络安全法框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求以及防护指南等政策的有关要求。2.技术与管理并重安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。3.可视化实现工控网络资产的可视化管理,动态识别非法接入设备,直观展示工控网络安全威胁。4.全面防护从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护。5.最小干扰所有安全组件均采用非侵入式安全监测与防护工作方式,可确保将设备对工197控网络的干扰降低到最低
257、。6.多工业协议支持支持常见工控协议:S7、Modbus、OPC、IEC61850、IEC60870、IEC104、DLT645、BacNet、CIP、DNP3、MMS、ProfiNet、EIP 等近百种工业协议的深度解析。解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值,同时还支持私有协议的定制开发。六、适用行业:电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业七、联系人姓名及职位姓名:赵萌职位:市场经理联系方式:八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:工控安全建设的重点防护有三大方向:一是合规建设,工控系统的安全建
258、设需满足网络安全法、关键信息基础设施安全保护条例、网络安全等级保护基本要求以及工业控制系统信息安全防护指南等有关国家政策、标准对工控系统的安全防护要求。二是全面防护,需对包含网络、终端、应用数据、运维、管理等多个层面建立完整的安全防护与管理手段,实现工控网络全方位的立体安全保护,具备可延续性和扩展能力,实现纵深防护能力建设。工控安全攻198击和防护是一个持续性的过程,是“矛”和“盾”的关系,工业系统遭受的攻击手段持续升级,愈加复杂,而防护技术、产品及解决方案也在不断提升和完善。三是安全运营,工控安全运营需要一方面确保对工控系统零干扰,另一方面能切实有效实现工控安全的自动化运营管控,实现安全管理
259、集中化、智能化、可视化,提高安全威胁应急响应能力,提升运维水平和效率,形成监测预警、动态防御、响应处置、追踪溯源的网络安全运营体系。中电安科提出的“可知、可管、可控”的工控安全整体防护理念可大大助力企业的工控网络安全建设。举例来说,“可知”就是摸清家底,利用工控流量监测审计产品旁路获取工控系统的资产信息、流量信息、链路信息、工控行为信息、协议信息等等,并形成白名单特征库,之后是“可管”,通过多个维度实时与白名单库对比分析,识别异常行为并发出告警,最后是“可控”,有了相对精准的告警信息、日志信息,以及庞大的安全处置知识库,可以从技术和管理两个维度对威胁进行管控,从而达成工控安全防护目标。杭州中电安科现代科技有限公司总经理 赵峰199