2019年中小企業如何做好工業互聯網安全防護.pdf

《2019年中小企業如何做好工業互聯網安全防護.pdf》由會員分享，可在線閱讀，更多相關《2019年中小企業如何做好工業互聯網安全防護.pdf（41頁珍藏版）》請在三個皮匠報告上搜索。

1、中小企業如何做好工業互聯網安全防護目錄工業互聯網安全現狀與趨勢中小企業面臨的工業互聯網安全挑戰怎樣的防護方案對中小企業更適用嗎？中小企業工業互聯網安全防護建議目錄安全漏洞數量快速增長，且高危漏洞呈高發態勢 基于CVE、NVD、CNVD、CNNVD漏洞平臺收錄的工控漏洞為基礎，2018全年，高危漏洞數量占比最高，達到53.6%基于CNVD漏洞平臺收錄的漏洞為基礎，2018年全年，新增工控漏洞達到442個，創歷史新高 工業互聯網安全風險突出，安全態勢嚴峻攻擊手段多樣化明顯，以制造業、能源行業為主 漏洞涉及行業廣泛，以制造業、能源行業為主 制造業占比最高，高達30.6%，能源行業涉及的相關漏洞占比高

2、達23.9%漏洞攻擊類型多樣化特征明顯，技術類型多達30種以上 無論攻擊者無論利用何種漏洞造成生產廠區的異常運行，均會造成嚴重的安全問題工業系統互聯網暴露數量增多，攻擊面增大 全球工控系統聯網暴露組件總數量約為17.6萬個，暴露數量增加明顯 中國工控系統暴露數量為6223，占比3.5%，排名全球第五 以奇安信工業互聯網安全大數據分析平臺哈勃平臺統計，工控設備暴露數量基本處于穩定狀態 工控設備：PLC、DCS、SCADA等設備大型企業停產，損失越來越大：海德魯&驅動人生 3月19日 全球最大鋁制造商 Norsk Hydro 歐美多工廠遭“大規模的網絡攻擊”，工廠運營模式改為“可以使用的”手動 L

3、ockerGoga勒索軟件是本次感染的源頭，可加密擴展名的文件：doc,dot,wbk.全球現貨市場鋁價上漲超1%下,股價下跌近3%8月3日周五，臺積電新機臺安裝引入疑似永恒之藍勒索病毒數分鐘內大規模攻擊導致3個工廠停產，工業主機藍屏重啟損失慘重，3天損失近2億美元、毛利降1%8月6日下午召開記者會：應對完畢。工業互聯網安全事件層出不窮，整體形式嚴峻2018年2月，臺灣臺達電子公司修復了公司兩款工業自動化產品中的多個漏洞，包括可導致遠程代碼執行問題的缺陷。2018年4月，德國納圖醫療設備曝光多個漏洞，可導致設備遭遠程攻擊。該廠商已發布固件更新予以修復。2018年4月，研究人員在某些西門子繼電保

4、護設備中找到多個潛在的嚴重漏洞，它們可導致變電站和其它供電設施易遭黑客攻擊。2018年4月，工業安全公司 Applied Risk在新加坡工控網絡安全會議上披露影響多家主要供應商安全控制器的DoS 漏洞，可能對設備和人員造成物理傷害。2018年6月，德國安全公司 ERNW 的研究人員發現，瑞士工業技術公司 ABB 的門禁通信系統中存在多個嚴重漏洞。2018年4月，羅克韋爾自動化通知客戶稱其工業路由器易遭遠程攻擊，原因是所 使用的 思科IOS 軟件中存在多個漏洞。2018年5月，施耐德電氣開發工具爆嚴重漏洞：可遠程代碼執行。2018年6月，日本橫河電 機 有 限 公 司 為STARDOM 控制器

5、發布固件更新，解決可被遠程用于控制設備的一個嚴重漏洞。2018年7月，西門子通知消費者稱，公司的某些SIPROTEC 中繼保護設備的 EN100 通信模塊中存在多個漏洞，導致其易受 DoS 攻擊。2018年7月，西門子指出，SICLOCK中央工廠時鐘系統共受六個漏洞的影響，可致使設備宕機、命令執行以及重啟。2018年8月，兩家公司研究人員在艾默生DeltaVDCS工作站中發現了多個嚴重和高危漏洞，攻擊者在目標網絡中橫向移動并可能控制其它DeltaV工作站。國內工業企業頻繁遭到“永恒之藍”&“挖礦”攻擊近兩年奇安信應急響應過的工業企業網絡攻擊事件，涉及:汽車生產、智能制造、能源電力、煙草等行業，

6、工業主機成為最主要的攻擊對象。幾十余家企業，大多數都導致了工業主機藍屏，文件加密，生產停工2017.052018.072018.10某汽車模具廠，停產某冷軋鋼板廠，停產某煉鋼廠，停產2019.01某關鍵IC廠，停產2019.04某奶粉企業，停產安全事件：某智能制造企業遭網絡攻擊停產事件過程2018年9月，某大型智能制造企業遭勒索病毒攻擊，數十臺工業主機藍屏重啟，多條生產線停產，損失嚴重。奇安信工業安全提供緊急安服響應，幫助快速恢復生產。通過對現場網絡安全風險評估，發現多個安全漏洞。設備用途系統配置存在漏洞IMOOA服務器CentOS任意命令執行漏洞MES生產管理服務器Win7 64位“永恒之藍

7、”漏洞上位機控制PLCWinXP SP3，組態王，雙網卡配置遠程堆溢出漏洞PLC控制器西門子300拒絕服務漏洞在實驗室仿真客戶環境，還原攻擊過程。企業網絡層/L4生產管理層/L3過程監控層/L2現場控制層/L1現場設備層/L0MESIMO互聯網上位機車間PLC馬達工控安全事件回顧（某智能制造企業受到攻擊而停產）企業網絡層/L4生產管理層/L3過程監控層/L2現場控制層/L1現場設備層/L0工藝配方MES打印機EmailWebIMO互聯網上位機車間PLC馬達攻擊者2.攻陷MES服務器搜索內網發現MES主機，利用MES存在的“永恒之藍”漏洞，獲取權限；將勒索病毒樣本上傳至MES主機運行，病毒在內網

8、中蔓延傳播。3、攻陷上位機搜索內網發現雙網卡配置的XPSP3上位機，利用上位機組態軟件的遠程堆溢出漏洞，獲取上位機權限。4、攻擊PLC繼續搜索發現西門子300控制器，向上位機投遞PLC攻擊軟件，程序運行后向PLC發送特制Crash漏洞攻擊報文，致使PLC進入Defeat狀態，其控制的馬達（生產線）停轉。1.攻陷IMO服務器攻擊者利用辦公網IMO服務器的任意執行漏洞，發起攻擊獲得服務器權限。攻擊過程實驗室復現目錄工業互聯網安全現狀與趨勢中小企業面臨的工業互聯網安全挑戰怎樣的防護方案對中小企業更適用嗎？中小企業工業互聯網安全防護建議目錄年收入在50005000萬美元至1010億美元之間的組織。中小

9、企業的定義廣義的中小企業：有一定生產規模和網絡化基礎，在行業排名中處在中上水平的工業企業。關于印發中小企業劃型標準規定的通知（二）工業。從業人員10001000人以下或營業收入4000040000萬元以下的為中小微型企業。其中，從業人員300300人及以上，且營業收入20002000萬元及以上的為中型企業；從業人員2020人及以上，且營業收入300300萬元及以上的為小型企業；從業人員2020人以下或營業收入300300萬元以下的為微型企業。中小企業面臨的安全挑戰中小企業而外的安全挑戰有限的安全控制、人員分配、預算和流程使中小型企業面臨安全問題 無專門的OT安全團隊，IT人員難以處理工業安全事

10、件和策略實施 人才稀缺，難于跟大公司競爭相同網絡安全人才中小企業面臨和大公司相同的威脅中小企業大企業威脅、風險CIMT2019 上500家工業企業調研CIMT2019 中國國際機床展集中企業調研中國國際機床展集中企業調研企業調研結果分析 超過50%50%企業生產聯網工業互聯網發展潛力大 超過50%50%的出現藍屏重啟（勒索）安全事件頻發、損失大 網絡事件37%37%找安全廠商，36.4%36.4%找工控廠商產業協同必要案例一：某家具制造企業出現藍屏、重啟現象工廠投資1.2億元，擁有2.5萬平方米數字化定制工廠，致力于德國品質板式家具的研發與生產。2019年5月27日，車間板件加工主機出現CPU

11、使用率達100%現象，占用CPU最高的進程為powershell.exe；同時，同時有其他板件加工主機出現系統重啟后，工控軟件無法正常運行的現象。對問題進行全面了解后，6月24日應急人員出發前往現場協助問題處置。事件分析：整個廠區的網絡結構較簡單，車間近20臺主機與辦公網主機路由可達，且均能上外網，最大的特點為網絡未進行分區分域規劃（劃分辦公網與生產網）網絡中無基本的安全防護設備。另外，車間的主機密碼存在相似、未滿足密碼復雜度要求的現象。當前生產網絡中存在各類病毒：DTLMinner、驅動人生病毒，可推測DTLMinner病毒為外部攻擊、滲透進入。案例二：某IC生產企業出現藍屏、重啟現象201

12、9年2月，該制造企業將機臺設備集體進行上線，臥式爐、厚度檢測儀、四探針測試儀、銅區等多個車間的機臺主機以及MES客戶端都不同程度的遭受蠕蟲病毒攻擊，出現藍屏、重啟現象。事件分析：操作站上抓取挖礦病毒樣本、勒索蠕蟲變種樣本，病毒可被檢測，后端進行樣本分析，在現場處于MES網絡的主機上，同時發現“永恒之藍”蠕蟲變種和挖礦病毒。目錄工業互聯網安全現狀與趨勢中小企業面臨的工業互聯網安全挑戰現有防護方案對中小企業適用嗎？中小企業工業互聯網安全防護建議目錄數據驅動安全理念，協同聯動防護體系工業安全網關工業安全檢查評工具工業安全監測工業主機防護工業安全網閘工業安全實驗室工業安全監測控制平臺大數據安全分析應急

13、響應與托管服務中心創新的安全服務工業互聯網安全監測服務平臺威脅情報中心數據情報態勢感知層安全運營層防護監測層工業控制安全網關（Gate）工控協議的深度解析；IT、OT一體化安全防護；白名單智能學習；入侵防御、病毒等威脅檢測；全面風險信息展示及分析；高可靠的傳輸加密；資產發現及梳理（asset）工業安全主機防護（Endpoint Protect）智能機器匹配白名單生成多種模式一鍵切換；外部設備安全管控；針對wannacry防御技術；支持多種操作系統；工業主機統一管理；安全隔離與防護安全監控與審計(Monitoring and auditing)工業安全監測系統工控網絡異常檢測；工控關鍵事件檢測；

14、工控關鍵業務中斷檢測；工控網絡流量審計；支持協議規約檢測；支持基線檢測功能；工業安全監測控制臺企業級工業安全運營平臺應急響應平臺與可視化基于威脅情報的攻擊發現工控關鍵操作監測流量監測、異常行為監測關鍵資產管理、日志采集與管理上報風險事件、響應處理工業安全管理系統工控安全設備和系統管理;統一配置和運維;實現策略配置下發;網絡流量分析;工業控制網絡運行實時掌握;安全管理與運營（Management and operation）01030204安全隔離與防護(Isolation and protection)工業安全服務services資產發現和梳理；流量分析，威脅發現；工控安全體系化設計；模擬環境

15、滲透測試；對安全事件響應演練；安全意識培訓；工業安全檢查評估工具（Tools）威脅情報匹配；異常行為和未知威脅檢測；工控資產發現與漏洞掃描；工控合規檢查及報告生成；工控協議解析、流量分析；行為日志、項目管理等；工業態勢感知(Situation Awareness)05工業態勢感知區域行業威脅風險和事件感知工業安全監測系統預警通報系統事件處置系統情報信息系統綜合管理系統工業互聯網安全防護整體思路大型企業工業互聯網安全戰略推進時間表由于大型企業，具有較強的實力和基礎，應落實高、中、低優先級的戰略路線安全治理是長期且復雜的過程，難以一蹴而就，需要循序漸進戰略路線圖時間表201920202021202

16、22023業務連續性、安全、彈性驅動驅動打破IT、OT間的隔閡驅動新的數字業務能力 資產清單/摸清OT資產；基于風險提供安全控制；基于OT網絡架構模型提供參考 將OT人員納入安全意識培訓項目 進行網絡監測和端點保護 監管一體化 操作模型一體化 策略框架一體化 建設和運營 周期滲透測試 測試/部署新的OT安全工具和技術 持續評估IT/OT一體化安全等級、風險和進程高優先級中優先級低優先級戰略推進節拍-高優先級（意識、團隊、評估、監測）高優先級安全意識培訓大多數安全事件是由于人為錯誤造成的。人仍然是網絡安全環境中最脆弱的環節，IT如是，OT亦然。形成一個統一的IT/OT安全治理機構統一的IT/OT

17、安全治理機構，由：管理層、IT團隊、OT團隊成員組成，在實現安全治理時提供最全面、代表企業最根本利益的解決方案。OT資產管理對OT資產進行充分管理，包括清點、分類、跟蹤記錄等。OT資產一般包括設備、過程、軟件、網絡資源、人員等。根據OT資產相對應的風險等級，制定安全應對方案。對目標系統的安全評估確定系統中存在的安全風險。包括：遠程訪問、VLAN不當使用、BYOD安全控制、第三方服務水平等持續實施安全監測開始并持續實施安全監測，例如：資產發現、實施配置管理、變更管理、定期審計等。實施工業主機（端點）防護工業主機是連接信息世界、物理世界的門戶，首先做好防護。戰略推進節拍-中優先級（運營、流程、系統

18、）中優先級繼續將統一的IT/OT安全治理工作正式化-OT安全功能范圍的準確劃分、選擇合適的安全模型、什么技能至關重要、哪些技術需要更改建立共同的IT/OT安全運營模式，建立聯合角色、責任、流程和系統-確定了OT安全運營內容。資產和系統之間的互聯和關系的復雜性和指數級增長，IT、OT和安全功能的縱向和橫向集成和融合，網絡威脅不斷增長，需要更靈活和響應的運營模式。修訂現有安全策略框架-針對IT和OT的角色和責任定制安全策略或更新現有安全策略、保證宣貫和落地使用工業防火墻實施IT/OT網絡安全控制-OT系統中存在許多架構限制，選擇合適的工業防火墻可有效解決工業網絡分段和安全控制問題。選擇合適的主機防

19、護和工業主機防護，保護端點安全問題提高OT安全流程的成熟度-如變更管理、配置管理、訪問管理、事件管理等流程的成熟度。OT網絡建設網絡分割、身份和訪問控制管理、遠程訪問控制、無線網絡安全控制等。OT網絡中無線網絡安全控制要一同部署，保障OT安全戰略推進節拍-低優先級（持續運營、評估、改進）低優先級定期進行測試定期進行外部滲透測試、漏洞掃描等安全測試工作。應用新的OT安全工具和技術-發現、引入先進的IT、OT安全工具和技術，進行的概念驗證、實現、測試、部署、維護衡量和控制OT安全流程及其有效性持續評估綜合IT/OT安全級別識別可能影響OT功能的基礎設施和系統的潛在變化物理安全網絡安全設備安全數據安

20、全視頻監控漏水檢測精密空調靜電地板UPS備用電源防雷擊系統門禁系統電磁屏蔽邊界隔離入侵防范安全審計鏈路冗余訪問控制惡意代碼防范可信驗證身份驗證訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護個人信息保護安全管理中心新等保2.0 2.0 發布為指明了方向！成本呢？入侵檢測 主機與網絡設備加固 應用安全控制 安全審計 專用安全產品的管理 備份與容災 惡意代碼防范 設備選型及漏洞整改工業行業代表工業行業代表電力電力電力監控系統安全防護總體方案電力監控系統安全防護總體方案安全分區網絡專用橫向隔離縱向加密綜合防護等保等保1.01.0信息安全技術信息安全技術 網絡安

21、全等級保護基網絡安全等級保護基本要求本要求工業控制系統安全擴展要求安全物理環境安全通信網絡安全區域邊界安全計算環境安全管理中心安全物理環境安全通信網絡安全區域邊界安全計算環境安全通用要求擴展要求等保等保2.0 2.0 一個中心一個中心三重防護三重防護目錄工業互聯網安全現狀與趨勢中小企業面臨的工業互聯網安全挑戰怎樣的防護方案對中小企業更適用嗎？中小企業工業互聯網安全防護建議目錄工業主機是CPSCPS的“大門”OR未來之門?黑客之門?信息世界物理世界工業主機工程師站操作員站HMISCADA歷史數據庫實時數據庫。工業主機安全管理痛點補丁打不上漏洞百出擔心影響生產不想打主機不聯網無法升級系統老舊無補丁

22、可打病毒殺不完帶病運行硬件配置太低裝不上殺毒軟件無法升級殺毒軟件病毒庫老舊擔心誤殺工業軟件，干脆不裝資產查不清暗藏隱患工業主機家底不清楚資產配置分布不可視整體安全隱患不了解應用程序白名單&關卡式病毒攔截“永恒之藍”超前防御，防藍屏U盤管控，防止非授權外設引入病毒注冊授權審計入口攔截一鍵設置白名單，無需升級關閉告警防護三種模式一鍵切換，保障生產連續性運行攔截網絡防護，主機中毒后防止擴散日志審計，溯源攻擊主機和惡意程序白名單漏洞防御日志IP端口應用程序溯源主機惡意軟件擴散攔截工業主機集中管理，降低運維成本 配置策略下發 日志匯總分析 資產匯總分析 主機風險展示集中管理 靈活部署模塊 靈活設置權限

23、靈活配置頁面 靈活掃描時間靈活配置操作員站生產線1操作員站生產線2HMIMES歷史數據庫工程師站工業主機防護控制中心日志上報資產上報策略下發任務下發日志上報資產上報策略下發任務下發工業網絡安全管理缺少“抓手”看清、看透、看全工業生產中的威脅，是保障工業安全的基礎和前提資產狀況資產數量不清楚資產類型不清楚資產分布不清楚安全威脅設備斷線難定位設備停機難定位違規外聯難定位生產故障誰有隱患不知道誰被攻擊不知道攻擊后果不知道恐懼源于未知，看見才能安全工業安全監測系統企業信息層/L4生產管理層/L3過程監控層/L2現場控制層/L1現場設備層/L0操作員站生產線操作員站生產線歷史數據庫工程師站HMI工藝ME

24、S打印機EmailWebOAINTERNET控制器/PLC控制器/PLC工業防火墻工業安全監測系統工業安全監測系統工業安全監測系統 旁路監聽網絡流量 自動發現工業資產 自動發現資產漏洞 實時監測業務操作 實時檢測網絡攻擊 實時檢測病毒傳播安全監測系統ISD（硬件）匯集安全檢測數據 匯集主機安全數據 全局安全風險評分 大屏實時態勢展示 安全事件應急處置 統一安全運維管理安全監測控制平臺ISDC（軟件）工業主機防護控制中心工業安全監測控制平臺（ISDC）全網主機日志防火墻日志生產網絡“三板斧”解決90%90%工業安全問題企業信息層/L4生產管理層/L3過程監控層/L2現場控制層/L1現場設備層/L

25、0操作員站生產線操作員站生產線歷史數據庫工程師站HMI工藝MES打印機EmailWebOAINTERNET控制器/PLC控制器/PLC【主機防護】工業主機安全防護系統-軟件形態，安裝在工業主機，防病毒攻擊-白名單管控，兼容老舊軟硬件系統-入口、運行、擴散三重關卡病毒攔截-永恒之藍專防，無需打補丁、關端口工業主機安全防護工業主機防護控制中心工業防火墻【網絡分區】工業防火墻/交換機-隔離不同網絡，防止跨網攻擊-專有硬件適應工業生產環境-工業協議及子協議深度識別-網絡、應用、規約指令、規約數據四重防護【安全監測】工業安全監測系統-旁路部署，監聽網絡流量-自動發現資產，監測非法設備接入-檢測工控漏洞，

26、識別工控安全風險-監測設備異常操作，保障連續生產-風險集中分析，大屏展示安全態勢工業安全監測系統工業安全監測系統工業安全監測控制平臺（ISDC）全網主機日志工業安全產業安全生態：協同共治安全漏洞 安全意識相對薄弱 安全開發能力不足 漏洞研究人才匱乏工控系統廠商網絡安全產業工業安全領域 工控系統品類繁多 獲取成本相對較高 工業領域認知有限網絡安全廠商+以用戶知情為宗旨的漏洞披露和協同治理機制45000+已注冊白帽子數量5000+已注冊機構數量30萬+已發現漏洞總數2000萬+已發放獎金總額補天漏洞響應平臺漏洞驗證-外部力量 白帽子與補天平臺政企聯動構建多級安全服務體系城市本地工業互聯網安全威脅情

27、報中心中小企業工業互聯網安全公共服務平臺全國工業互聯網安全監測與響應中心工業互聯網平臺防護區域防護云區域云監測安全管理體系建設專家服務工業互聯網企業1(ISDC）工業互聯網企業2(ISDC）奇安信工業實驗室(ISDC）安全運維安全響應互聯網安全中心人員培訓威脅情報安全事件情報/服務事件情報/服務事件情報/服務事件安全服務工業互聯網安全運營體系建立以內外網監測為基礎，以協同聯動和信息共享為驅動，以安全運營為中心，以業務服務為目標的面向工業企業的工業互聯網安全防護體系。工業網絡OT工業企業安全監測中心（ISDC/ISD)工控系統集成商或原廠安全企業工業互聯網安全監測平臺（平臺+安全運營服務）工業企

28、業政府主管部門實時跟蹤和研判漏洞、病毒事件大數據威脅情報應急解決方案建立應急響應機制應急解決方案實時呈現工業互聯網風險安全管理自動安全信息上報威脅情報實時威脅情報分享風險通報協同安全解決方案實時威脅情報風險匯報信息上報旁路數據，分析比對自動化服務安全服務安全服務應急報警商業網絡IT其他第三方應急資源通報預警應急報警城市公共安全服務工業互聯網系統保護系統上線前檢查應急服務&日常支撐奇安信中小企業戰略防護重點做好安全服務中小型企業資金緊張，無法按照普渡參考模型進行安全部署，要想做好安全建設應該與安全企業做好產業合作；將網絡安全的能力，將變成一種可定制的服務，工業互聯網企業可以根據自己的威脅、成本、

29、人才和運行階段按需使用；加強安全培訓領導者應在采購、運營和工程的執行層面建立安全意識，以確保在選擇和采購新生產設備的過程中包含適當的安全要求。每年進行一次安全培訓；將安全培訓作為新員工入職培訓的強制部分；從意識培訓教育三方面落實，關注安全，培養相關技能和能力，培養安全專家；主機防護+安全監測+安全響應服務（找誰？）=解決80%80%的網絡安全問題中小企業工業互聯網安全戰略推進時間表由于中小企業，做好業務基本面抵御常見威脅，購買安全服務，降低安全支出需要循序漸進，完善安全能力戰略路線圖時間表20192020202120222023業務基本面驅動驅動IT-OT融合的安全服務驅動完善安全能力 梳理資產清單，摸清網絡現狀；將全體人員納入安全意識培訓項目 進行網絡監測 進行端點保護 設置安全崗位 制定安全計劃 購買外部安全服務 持續建設和運營 同步測試/部署新的OT安全工具和技術 持續評估IT/OT一體化安全等級、風險和進程高優先級中優先級低優先級THANKS