1、中小企业如何做好工业互联网安全防护目录工业互联网安全现状与趋势中小企业面临的工业互联网安全挑战怎样的防护方案对中小企业更适用吗？中小企业工业互联网安全防护建议目录安全漏洞数量快速增长，且高危漏洞呈高发态势 基于CVE、NVD、CNVD、CNNVD漏洞平台收录的工控漏洞为基础，2018全年，高危漏洞数量占比最高，达到53.6%基于CNVD漏洞平台收录的漏洞为基础，2018年全年，新增工控漏洞达到442个，创历史新高 工业互联网安全风险突出，安全态势严峻攻击手段多样化明显，以制造业、能源行业为主 漏洞涉及行业广泛，以制造业、能源行业为主 制造业占比最高，高达30.6%，能源行业涉及的相关漏洞占比高

2、达23.9%漏洞攻击类型多样化特征明显，技术类型多达30种以上 无论攻击者无论利用何种漏洞造成生产厂区的异常运行，均会造成严重的安全问题工业系统互联网暴露数量增多，攻击面增大 全球工控系统联网暴露组件总数量约为17.6万个，暴露数量增加明显 中国工控系统暴露数量为6223，占比3.5%，排名全球第五 以奇安信工业互联网安全大数据分析平台哈勃平台统计，工控设备暴露数量基本处于稳定状态 工控设备：PLC、DCS、SCADA等设备大型企业停产，损失越来越大：海德鲁&驱动人生 3月19日 全球最大铝制造商 Norsk Hydro 欧美多工厂遭“大规模的网络攻击”，工厂运营模式改为“可以使用的”手动 L

3、ockerGoga勒索软件是本次感染的源头，可加密扩展名的文件：doc,dot,wbk.全球现货市场铝价上涨超1%下,股价下跌近3%8月3日周五，台积电新机台安装引入疑似永恒之蓝勒索病毒数分钟内大规模攻击导致3个工厂停产，工业主机蓝屏重启损失惨重，3天损失近2亿美元、毛利降1%8月6日下午召开记者会：应对完毕。工业互联网安全事件层出不穷，整体形式严峻2018年2月，台湾台达电子公司修复了公司两款工业自动化产品中的多个漏洞，包括可导致远程代码执行问题的缺陷。2018年4月，德国纳图医疗设备曝光多个漏洞，可导致设备遭远程攻击。该厂商已发布固件更新予以修复。2018年4月，研究人员在某些西门子继电保

4、护设备中找到多个潜在的严重漏洞，它们可导致变电站和其它供电设施易遭黑客攻击。2018年4月，工业安全公司 Applied Risk在新加坡工控网络安全会议上披露影响多家主要供应商安全控制器的DoS 漏洞，可能对设备和人员造成物理伤害。2018年6月，德国安全公司 ERNW 的研究人员发现，瑞士工业技术公司 ABB 的门禁通信系统中存在多个严重漏洞。2018年4月，罗克韦尔自动化通知客户称其工业路由器易遭远程攻击，原因是所 使用的 思科IOS 软件中存在多个漏洞。2018年5月，施耐德电气开发工具爆严重漏洞：可远程代码执行。2018年6月，日本横河电 机 有 限 公 司 为STARDOM 控制器

5、发布固件更新，解决可被远程用于控制设备的一个严重漏洞。2018年7月，西门子通知消费者称，公司的某些SIPROTEC 中继保护设备的 EN100 通信模块中存在多个漏洞，导致其易受 DoS 攻击。2018年7月，西门子指出，SICLOCK中央工厂时钟系统共受六个漏洞的影响，可致使设备宕机、命令执行以及重启。2018年8月，两家公司研究人员在艾默生DeltaVDCS工作站中发现了多个严重和高危漏洞，攻击者在目标网络中横向移动并可能控制其它DeltaV工作站。国内工业企业频繁遭到“永恒之蓝”&“挖矿”攻击近两年奇安信应急响应过的工业企业网络攻击事件，涉及:汽车生产、智能制造、能源电力、烟草等行业，

6、工业主机成为最主要的攻击对象。几十余家企业，大多数都导致了工业主机蓝屏，文件加密，生产停工2017.052018.072018.10某汽车模具厂，停产某冷轧钢板厂，停产某炼钢厂，停产2019.01某关键IC厂，停产2019.04某奶粉企业，停产安全事件：某智能制造企业遭网络攻击停产事件过程2018年9月，某大型智能制造企业遭勒索病毒攻击，数十台工业主机蓝屏重启，多条生产线停产，损失严重。奇安信工业安全提供紧急安服响应，帮助快速恢复生产。通过对现场网络安全风险评估，发现多个安全漏洞。设备用途系统配置存在漏洞IMOOA服务器CentOS任意命令执行漏洞MES生产管理服务器Win7 64位“永恒之蓝

7、”漏洞上位机控制PLCWinXP SP3，组态王，双网卡配置远程堆溢出漏洞PLC控制器西门子300拒绝服务漏洞在实验室仿真客户环境，还原攻击过程。企业网络层/L4生产管理层/L3过程监控层/L2现场控制层/L1现场设备层/L0MESIMO互联网上位机车间PLC马达工控安全事件回顾（某智能制造企业受到攻击而停产）企业网络层/L4生产管理层/L3过程监控层/L2现场控制层/L1现场设备层/L0工艺配方MES打印机EmailWebIMO互联网上位机车间PLC马达攻击者2.攻陷MES服务器搜索内网发现MES主机，利用MES存在的“永恒之蓝”漏洞，获取权限；将勒索病毒样本上传至MES主机运行，病毒在内网

8、中蔓延传播。3、攻陷上位机搜索内网发现双网卡配置的XPSP3上位机，利用上位机组态软件的远程堆溢出漏洞，获取上位机权限。4、攻击PLC继续搜索发现西门子300控制器，向上位机投递PLC攻击软件，程序运行后向PLC发送特制Crash漏洞攻击报文，致使PLC进入Defeat状态，其控制的马达（生产线）停转。1.攻陷IMO服务器攻击者利用办公网IMO服务器的任意执行漏洞，发起攻击获得服务器权限。攻击过程实验室复现目录工业互联网安全现状与趋势中小企业面临的工业互联网安全挑战怎样的防护方案对中小企业更适用吗？中小企业工业互联网安全防护建议目录年收入在50005000万美元至1010亿美元之间的组织。中小

9、企业的定义广义的中小企业：有一定生产规模和网络化基础，在行业排名中处在中上水平的工业企业。关于印发中小企业划型标准规定的通知（二）工业。从业人员10001000人以下或营业收入4000040000万元以下的为中小微型企业。其中，从业人员300300人及以上，且营业收入20002000万元及以上的为中型企业；从业人员2020人及以上，且营业收入300300万元及以上的为小型企业；从业人员2020人以下或营业收入300300万元以下的为微型企业。中小企业面临的安全挑战中小企业而外的安全挑战有限的安全控制、人员分配、预算和流程使中小型企业面临安全问题 无专门的OT安全团队，IT人员难以处理工业安全事

10、件和策略实施 人才稀缺，难于跟大公司竞争相同网络安全人才中小企业面临和大公司相同的威胁中小企业大企业威胁、风险CIMT2019 上500家工业企业调研CIMT2019 中国国际机床展集中企业调研中国国际机床展集中企业调研企业调研结果分析 超过50%50%企业生产联网工业互联网发展潜力大 超过50%50%的出现蓝屏重启（勒索）安全事件频发、损失大 网络事件37%37%找安全厂商，36.4%36.4%找工控厂商产业协同必要案例一：某家具制造企业出现蓝屏、重启现象工厂投资1.2亿元，拥有2.5万平方米数字化定制工厂，致力于德国品质板式家具的研发与生产。2019年5月27日，车间板件加工主机出现CPU

11、使用率达100%现象，占用CPU最高的进程为powershell.exe；同时，同时有其他板件加工主机出现系统重启后，工控软件无法正常运行的现象。对问题进行全面了解后，6月24日应急人员出发前往现场协助问题处置。事件分析：整个厂区的网络结构较简单，车间近20台主机与办公网主机路由可达，且均能上外网，最大的特点为网络未进行分区分域规划（划分办公网与生产网）网络中无基本的安全防护设备。另外，车间的主机密码存在相似、未满足密码复杂度要求的现象。当前生产网络中存在各类病毒：DTLMinner、驱动人生病毒，可推测DTLMinner病毒为外部攻击、渗透进入。案例二：某IC生产企业出现蓝屏、重启现象201

12、9年2月，该制造企业将机台设备集体进行上线，卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES客户端都不同程度的遭受蠕虫病毒攻击，出现蓝屏、重启现象。事件分析：操作站上抓取挖矿病毒样本、勒索蠕虫变种样本，病毒可被检测，后端进行样本分析，在现场处于MES网络的主机上，同时发现“永恒之蓝”蠕虫变种和挖矿病毒。目录工业互联网安全现状与趋势中小企业面临的工业互联网安全挑战现有防护方案对中小企业适用吗？中小企业工业互联网安全防护建议目录数据驱动安全理念，协同联动防护体系工业安全网关工业安全检查评工具工业安全监测工业主机防护工业安全网闸工业安全实验室工业安全监测控制平台大数据安全分析应急

13、响应与托管服务中心创新的安全服务工业互联网安全监测服务平台威胁情报中心数据情报态势感知层安全运营层防护监测层工业控制安全网关（Gate）工控协议的深度解析；IT、OT一体化安全防护；白名单智能学习；入侵防御、病毒等威胁检测；全面风险信息展示及分析；高可靠的传输加密；资产发现及梳理（asset）工业安全主机防护（Endpoint Protect）智能机器匹配白名单生成多种模式一键切换；外部设备安全管控；针对wannacry防御技术；支持多种操作系统；工业主机统一管理；安全隔离与防护安全监控与审计(Monitoring and auditing)工业安全监测系统工控网络异常检测；工控关键事件检测；

14、工控关键业务中断检测；工控网络流量审计；支持协议规约检测；支持基线检测功能；工业安全监测控制台企业级工业安全运营平台应急响应平台与可视化基于威胁情报的攻击发现工控关键操作监测流量监测、异常行为监测关键资产管理、日志采集与管理上报风险事件、响应处理工业安全管理系统工控安全设备和系统管理;统一配置和运维;实现策略配置下发;网络流量分析;工业控制网络运行实时掌握;安全管理与运营（Management and operation）01030204安全隔离与防护(Isolation and protection)工业安全服务services资产发现和梳理；流量分析，威胁发现；工控安全体系化设计；模拟环境

15、渗透测试；对安全事件响应演练；安全意识培训；工业安全检查评估工具（Tools）威胁情报匹配；异常行为和未知威胁检测；工控资产发现与漏洞扫描；工控合规检查及报告生成；工控协议解析、流量分析；行为日志、项目管理等；工业态势感知(Situation Awareness)05工业态势感知区域行业威胁风险和事件感知工业安全监测系统预警通报系统事件处置系统情报信息系统综合管理系统工业互联网安全防护整体思路大型企业工业互联网安全战略推进时间表由于大型企业，具有较强的实力和基础，应落实高、中、低优先级的战略路线安全治理是长期且复杂的过程，难以一蹴而就，需要循序渐进战略路线图时间表2002

16、22023业务连续性、安全、弹性驱动驱动打破IT、OT间的隔阂驱动新的数字业务能力 资产清单/摸清OT资产；基于风险提供安全控制；基于OT网络架构模型提供参考 将OT人员纳入安全意识培训项目 进行网络监测和端点保护 监管一体化 操作模型一体化 策略框架一体化 建设和运营 周期渗透测试 测试/部署新的OT安全工具和技术 持续评估IT/OT一体化安全等级、风险和进程高优先级中优先级低优先级战略推进节拍-高优先级（意识、团队、评估、监测）高优先级安全意识培训大多数安全事件是由于人为错误造成的。人仍然是网络安全环境中最脆弱的环节，IT如是，OT亦然。形成一个统一的IT/OT安全治理机构统一的IT/OT

17、安全治理机构，由：管理层、IT团队、OT团队成员组成，在实现安全治理时提供最全面、代表企业最根本利益的解决方案。OT资产管理对OT资产进行充分管理，包括清点、分类、跟踪记录等。OT资产一般包括设备、过程、软件、网络资源、人员等。根据OT资产相对应的风险等级，制定安全应对方案。对目标系统的安全评估确定系统中存在的安全风险。包括：远程访问、VLAN不当使用、BYOD安全控制、第三方服务水平等持续实施安全监测开始并持续实施安全监测，例如：资产发现、实施配置管理、变更管理、定期审计等。实施工业主机（端点）防护工业主机是连接信息世界、物理世界的门户，首先做好防护。战略推进节拍-中优先级（运营、流程、系统

18、）中优先级继续将统一的IT/OT安全治理工作正式化-OT安全功能范围的准确划分、选择合适的安全模型、什么技能至关重要、哪些技术需要更改建立共同的IT/OT安全运营模式，建立联合角色、责任、流程和系统-确定了OT安全运营内容。资产和系统之间的互联和关系的复杂性和指数级增长，IT、OT和安全功能的纵向和横向集成和融合，网络威胁不断增长，需要更灵活和响应的运营模式。修订现有安全策略框架-针对IT和OT的角色和责任定制安全策略或更新现有安全策略、保证宣贯和落地使用工业防火墙实施IT/OT网络安全控制-OT系统中存在许多架构限制，选择合适的工业防火墙可有效解决工业网络分段和安全控制问题。选择合适的主机防

19、护和工业主机防护，保护端点安全问题提高OT安全流程的成熟度-如变更管理、配置管理、访问管理、事件管理等流程的成熟度。OT网络建设网络分割、身份和访问控制管理、远程访问控制、无线网络安全控制等。OT网络中无线网络安全控制要一同部署，保障OT安全战略推进节拍-低优先级（持续运营、评估、改进）低优先级定期进行测试定期进行外部渗透测试、漏洞扫描等安全测试工作。应用新的OT安全工具和技术-发现、引入先进的IT、OT安全工具和技术，进行的概念验证、实现、测试、部署、维护衡量和控制OT安全流程及其有效性持续评估综合IT/OT安全级别识别可能影响OT功能的基础设施和系统的潜在变化物理安全网络安全设备安全数据安

20、全视频监控漏水检测精密空调静电地板UPS备用电源防雷击系统门禁系统电磁屏蔽边界隔离入侵防范安全审计链路冗余访问控制恶意代码防范可信验证身份验证访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全管理中心新等保2.0 2.0 发布为指明了方向！成本呢？入侵检测 主机与网络设备加固 应用安全控制 安全审计 专用安全产品的管理 备份与容灾 恶意代码防范 设备选型及漏洞整改工业行业代表工业行业代表电力电力电力监控系统安全防护总体方案电力监控系统安全防护总体方案安全分区网络专用横向隔离纵向加密综合防护等保等保1.01.0信息安全技术信息安全技术 网络安

21、全等级保护基网络安全等级保护基本要求本要求工业控制系统安全扩展要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全物理环境安全通信网络安全区域边界安全计算环境安全通用要求扩展要求等保等保2.0 2.0 一个中心一个中心三重防护三重防护目录工业互联网安全现状与趋势中小企业面临的工业互联网安全挑战怎样的防护方案对中小企业更适用吗？中小企业工业互联网安全防护建议目录工业主机是CPSCPS的“大门”OR未来之门?黑客之门?信息世界物理世界工业主机工程师站操作员站HMISCADA历史数据库实时数据库。工业主机安全管理痛点补丁打不上漏洞百出担心影响生产不想打主机不联网无法升级系统老旧无补丁

22、可打病毒杀不完带病运行硬件配置太低装不上杀毒软件无法升级杀毒软件病毒库老旧担心误杀工业软件，干脆不装资产查不清暗藏隐患工业主机家底不清楚资产配置分布不可视整体安全隐患不了解应用程序白名单&关卡式病毒拦截“永恒之蓝”超前防御，防蓝屏U盘管控，防止非授权外设引入病毒注册授权审计入口拦截一键设置白名单，无需升级关闭告警防护三种模式一键切换，保障生产连续性运行拦截网络防护，主机中毒后防止扩散日志审计，溯源攻击主机和恶意程序白名单漏洞防御日志IP端口应用程序溯源主机恶意软件扩散拦截工业主机集中管理，降低运维成本 配置策略下发 日志汇总分析 资产汇总分析 主机风险展示集中管理 灵活部署模块 灵活设置权限

23、灵活配置页面 灵活扫描时间灵活配置操作员站生产线1操作员站生产线2HMIMES历史数据库工程师站工业主机防护控制中心日志上报资产上报策略下发任务下发日志上报资产上报策略下发任务下发工业网络安全管理缺少“抓手”看清、看透、看全工业生产中的威胁，是保障工业安全的基础和前提资产状况资产数量不清楚资产类型不清楚资产分布不清楚安全威胁设备断线难定位设备停机难定位违规外联难定位生产故障谁有隐患不知道谁被攻击不知道攻击后果不知道恐惧源于未知，看见才能安全工业安全监测系统企业信息层/L4生产管理层/L3过程监控层/L2现场控制层/L1现场设备层/L0操作员站生产线操作员站生产线历史数据库工程师站HMI工艺ME

24、S打印机EmailWebOAINTERNET控制器/PLC控制器/PLC工业防火墙工业安全监测系统工业安全监测系统工业安全监测系统 旁路监听网络流量 自动发现工业资产 自动发现资产漏洞 实时监测业务操作 实时检测网络攻击 实时检测病毒传播安全监测系统ISD（硬件）汇集安全检测数据 汇集主机安全数据 全局安全风险评分 大屏实时态势展示 安全事件应急处置 统一安全运维管理安全监测控制平台ISDC（软件）工业主机防护控制中心工业安全监测控制平台（ISDC）全网主机日志防火墙日志生产网络“三板斧”解决90%90%工业安全问题企业信息层/L4生产管理层/L3过程监控层/L2现场控制层/L1现场设备层/L

25、0操作员站生产线操作员站生产线历史数据库工程师站HMI工艺MES打印机EmailWebOAINTERNET控制器/PLC控制器/PLC【主机防护】工业主机安全防护系统-软件形态，安装在工业主机，防病毒攻击-白名单管控，兼容老旧软硬件系统-入口、运行、扩散三重关卡病毒拦截-永恒之蓝专防，无需打补丁、关端口工业主机安全防护工业主机防护控制中心工业防火墙【网络分区】工业防火墙/交换机-隔离不同网络，防止跨网攻击-专有硬件适应工业生产环境-工业协议及子协议深度识别-网络、应用、规约指令、规约数据四重防护【安全监测】工业安全监测系统-旁路部署，监听网络流量-自动发现资产，监测非法设备接入-检测工控漏洞，

26、识别工控安全风险-监测设备异常操作，保障连续生产-风险集中分析，大屏展示安全态势工业安全监测系统工业安全监测系统工业安全监测控制平台（ISDC）全网主机日志工业安全产业安全生态：协同共治安全漏洞 安全意识相对薄弱 安全开发能力不足 漏洞研究人才匮乏工控系统厂商网络安全产业工业安全领域 工控系统品类繁多 获取成本相对较高 工业领域认知有限网络安全厂商+以用户知情为宗旨的漏洞披露和协同治理机制45000+已注册白帽子数量5000+已注册机构数量30万+已发现漏洞总数2000万+已发放奖金总额补天漏洞响应平台漏洞验证-外部力量 白帽子与补天平台政企联动构建多级安全服务体系城市本地工业互联网安全威胁情

27、报中心中小企业工业互联网安全公共服务平台全国工业互联网安全监测与响应中心工业互联网平台防护区域防护云区域云监测安全管理体系建设专家服务工业互联网企业1(ISDC）工业互联网企业2(ISDC）奇安信工业实验室(ISDC）安全运维安全响应互联网安全中心人员培训威胁情报安全事件情报/服务事件情报/服务事件情报/服务事件安全服务工业互联网安全运营体系建立以内外网监测为基础，以协同联动和信息共享为驱动，以安全运营为中心，以业务服务为目标的面向工业企业的工业互联网安全防护体系。工业网络OT工业企业安全监测中心（ISDC/ISD)工控系统集成商或原厂安全企业工业互联网安全监测平台（平台+安全运营服务）工业企

28、业政府主管部门实时跟踪和研判漏洞、病毒事件大数据威胁情报应急解决方案建立应急响应机制应急解决方案实时呈现工业互联网风险安全管理自动安全信息上报威胁情报实时威胁情报分享风险通报协同安全解决方案实时威胁情报风险汇报信息上报旁路数据，分析比对自动化服务安全服务安全服务应急报警商业网络IT其他第三方应急资源通报预警应急报警城市公共安全服务工业互联网系统保护系统上线前检查应急服务&日常支撑奇安信中小企业战略防护重点做好安全服务中小型企业资金紧张，无法按照普渡参考模型进行安全部署，要想做好安全建设应该与安全企业做好产业合作；将网络安全的能力，将变成一种可定制的服务，工业互联网企业可以根据自己的威胁、成本、

29、人才和运行阶段按需使用；加强安全培训领导者应在采购、运营和工程的执行层面建立安全意识，以确保在选择和采购新生产设备的过程中包含适当的安全要求。每年进行一次安全培训；将安全培训作为新员工入职培训的强制部分；从意识培训教育三方面落实，关注安全，培养相关技能和能力，培养安全专家；主机防护+安全监测+安全响应服务（找谁？）=解决80%80%的网络安全问题中小企业工业互联网安全战略推进时间表由于中小企业，做好业务基本面抵御常见威胁，购买安全服务，降低安全支出需要循序渐进，完善安全能力战略路线图时间表200222023业务基本面驱动驱动IT-OT融合的安全服务驱动完善安全能力 梳理资产清单，摸清网络现状；将全体人员纳入安全意识培训项目 进行网络监测 进行端点保护 设置安全岗位 制定安全计划 购买外部安全服务 持续建设和运营 同步测试/部署新的OT安全工具和技术 持续评估IT/OT一体化安全等级、风险和进程高优先级中优先级低优先级THANKS