2016.03.29工业控制系统信息安全整体解决方案北京威努特技术有限公司CEO：龙国东威努特—工控安全专家内容提纲1威努特公司介绍2传统IT安全在工控系统应用困境3威努特工控安全技术理念4威努特工控安全解决方案5成功案例威努特—工控安全专家公司简介北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决方案研发的创新型高科技公司。我们致力于为企业客户提供工控安全整体解决方案与服务，帮助企业客户识别工控系统安全风险，掌控工控安全现状与趋势，提高工控安全防护与事件响应能力。公司组建了一支由业界知名信息安全专家、工控系统专家、成熟产品研发团队组成的专业化团队。可为企业客户提供：稳定可靠的工控安全防护产品；专业深度的工控安全咨询培训；全方位的安全服务：风险评估/漏洞挖掘/渗透测试/攻防演练；帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键行业客户建立稳定可控的工控安全整体防护体系。Page3威努特—工控安全专家公司市场地位—产品独创性&技术领先国内第一款“白名单主动防御”主机防病毒软件，比肩美国Bit9的创新产品；国内第一款“千兆工业防火墙”，性能10-20倍业界一般水平；与国内外四家以上知名工控系统厂商合作的工控安全厂家；成功替代McAfee的国内工控安全厂商；工控系统专用防火墙国家标准、解放军标准主要参与单位之一；工控系统专用主机安全防护软件标准独家起草单位；Page4威努特—工控安全专家内容提纲1威努特公司介绍2传统IT安全在工控系统应用困境3威努特工控安全理念4威努特工控安全解决方案5行业案例威努特—工控安全专家IT安全主流思路威胁管理：检测与阻断•防病毒产品：检测并清除恶意代码。•IDS/IPS：检测并阻断网络攻击报文。•UTM：检测并阻断网络攻击报文、网络病毒。漏洞管理：检测与修复•漏洞扫描产品：检测系统的安全漏洞，并提供修复建议。•补丁管理软件：检测新的安全补丁，并提供自动修复功能。局限性•被动防御：威胁和漏洞，都是层出不穷的，防御方总是被动跟随。Page6威努特—工控安全专家杀毒软件在工控系统中存在的问题无法防御利用0day漏洞的高级病毒•网络战或高级攻击中，通常利用0day漏洞，例如震网病毒利用了4个0day漏洞。工控系统通常无法及时更新病毒库•工业控制系统通常不允许在开车期间进行系统升级。•工控网络通常不允许连接互联网，不具备及时更新病毒库的条件。测试证明：普遍存在对工控软件的误杀•和利时、山西能源等，尝试在工作站上安装主流杀毒软件，均存在误杀现象。•误杀在工业控制系统中可能产生致命的后果，所以现在工作站基本“落跑”。Page7威努特—工控安全专家普通防火墙在工控系统中的问题无法支持对工业控制协议的防护•例如：IT防火墙在保护OPC服务器时，由于不支持OPC协议的动态端口开放，不得不允许OPC客户端和OPC服务器之间大范围内的任何端口号的TCP连接，因此防火墙提供的安全保障被降至最低。IT防火墙的时延不一定满足要求•IT信息系统强调吞吐量、并发连接数、连接速率，对时延要求不太高（几百微秒）；而工业控制系统对时延要求高，某些应用场景要求时延在几十微秒内白名单国测问题。fail-close设计不适合工控系统•IT防火墙故障，则断开内外网的网络连接，不适用于工业控制系统，工业控制系统的需求是防火墙故障时保证网络畅通IT防火墙硬件设计无法满足要求•工业设备要求15-20年的使用寿命，IT防火墙依靠风扇散热，无法支持较长使用寿命。•IT防火墙的防潮、防尘、耐酸碱、适应高低温的能力，无法满足工业控制环境要求。Page8威努特—工控安全专家IDS/IPS用于工控系统的问题无法防御利用0day漏洞的高级攻击•网络战或高级攻击中，通常利用0day漏洞，IDS/IPS的原理决定了它无法防御。工控系统通常无法及时更新攻击库•工业控制系统通常不允许在开车期间进行系统升级。•工控网络通常不允许连接互联网，不具备及时更新攻击库的条件。IDS/IPS的误报无法满足工控系统要求•IDS的高误报率一直是制约它广泛应用的主要因素。•IPS为了降低误报，很大程度上是以牺牲检出率为代价。IDS/IPS硬件设计无法满足工业环境要求Page9威努特—工控安全专家内容提纲1威努特公司介绍2传统IT安全在工控系统应用困境3威努特工控安全技术理念4威努特工控安全解决方案5