「报告」工业互联网信息安全厂商报告-02

本期要点-6.10

【方案】360提出数据驱动的工控信息安全协同防护方案；

【方案】匡恩为网络摄像头设备制造商提供了一套安全加固方案，不涉及最终使用单位的安全防护；

【案例】匡恩宣传了在沙角电厂和常德卷烟厂和某水务公司的案例；

【法规】匡恩宣传了《网络安全法》对工控安全行业的影响；

【方案】威努特宣传了在新能源发电行业的方案，值得一提的是将堡垒机做进了方案；

【方案】威努特宣传了对于SCADA系统的安全理解和方案；

【产品】华创网安发布了一套工控教学工具箱，可完成工控系统搭建和组态等自动化教学任务、工控网络安全攻击审计等工控安全教学任务、病毒木马攻击原理教学任务。

360

一、【解决方案】工控安全防护之道：数据驱动安全

360企业安全工业安全专家王弢在梳理“永恒之蓝”勒索蠕虫对工业系统威胁的基础上，分析了当前工控安全现状、面临的安全挑战，基于数据驱动安全的理念，提出数据驱动的工控信息安全防护方案。

工控安全面临五大安全挑战：

（1）IT和OT的融合打破了传统安全可信的控制环境，网络攻击从IT层渗透到OT层，从工厂外渗透到工厂内，有效的APT攻击检测和防护手段缺乏；

（2）智能化使海量生产装备和产品直接暴露在网络攻击之下，木马病毒在设备之间的传播扩散速度将呈指数级增长；

（3）工厂网络灵活组网需求使网络拓扑的变化更加复杂，传统静态防护策略和安全域划分方法面临动态化、灵活化的挑战；

（4）工业领域业务复杂，数据种类和保护需求多样，数据流动方向和路径复杂，数据保护难度增大。

（5）网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求；

工业互联网企业在安全防护上普遍都面临着三重困境：

检测能力的困境，对于一些可能带来重大损失的安全威胁无法做到及时发现，甚至是出现误报

响应能力的困境，由于企业网络边界的扩大，安全人才的匮乏，在发生安全事件时响应能力更是大打折扣；

应用安全的困境，工业控制、管理系统复杂、更新不及时，导致了应用的漏洞百出，以及攻防的不对称。

提出数据驱动的工控信息安全协同防护方案：

首先企业要有可能被攻破的安全意识，所以要从应急响应变成持续的监测响应；

第二是要数据驱动，建立态势感知能力，通过威胁情报了解现在都在发生什么样的安全事件，比如最近的勒索蠕虫爆发等等；

第三是威胁追踪溯源，一般对企业的攻击是不达目标不甘休的，所以要找到源头，知道他为什么要做这个事；——审计？

第四是建立企业安全运维中心，收集企业各方面的数据，包括安全数据和生产数据，用工业大数据来发现异常。

最后要进行安全协同，主要包括供应链协同云地协同、数据协同以及云端和地面的协同。

匡恩

一、匡恩网络的物联网安全解决方案之：网络摄像头安全防护

在美国断网事件爆发后，安防厂商普遍“觉醒”，但不知如何开展安全加固工作。

匡恩网络的专家团队分析认为，网络摄像头的安全防护包括如下几个方面：

防止入侵：

使用一个种子管理密钥和密钥生产算法（称之为Key Generation Function, KGF）为每个设备产生一个随机口令，这样既满足口令的随机性，又满足管理的方便性。

通过漏洞挖掘，使漏洞被利用率降到最低。

防止成为网络肉鸡： 限制摄像头这类物联网设备“指哪打哪”的灵活性，使入侵黑客不能随意修改与之通信的网络地址和通信端口。

防止数据被非法窃取：原文“保护数据机密性的方法很简单，使用密码技术就可以。但是需要考虑的因素有很多，包括密码算法的合规性、密钥管理的科学性、系统维护的便利性等。在这方面，匡恩网络有一套完整的方案。”——说的很虚。

防止数据假冒：原文“与数据机密性的保护方法类似，使用数据完整性保护即可。但是，数据完整性一般与设备身份鉴别一起提供，即通过少量的数据量和计算量提供更为完备的安全服务。数据假冒攻击只在一些特殊领域有应用需求，一般公开环境的监控摄像头没有此安全需求。”——LZ觉得很虚。

防止设备被毁：在遭受例如勒索病毒的入侵后，能通过物理接触，实现一键恢复出厂状态，然后马上进行漏洞弥补。这样可以避免因遭受攻击而不得不更换设备的问题，因为更换设备不仅仅是设备本身的成本，更换过程的人工费用有时比设备本身的成本还要高。

总结 这套方案是匡恩为安防设备设备制造商提供的方案，不涉及使用单位的安全防护。

二、践行网络安全法，为粤电集团筑安全之墙

保障电力系统可持续稳定运行是重要指标。

匡恩网络以信息安全保障可持续化作为切入点，从人员、技术和管理三个维度基于对电厂生产业务以及电力监控系统架构的理解，在符合国家的法律、法规、国际标准、行业监管等要求的前提下，充分了解电厂在管理和技术上的风险，并提出了以技术改造、管理优化、能力提升等相结合的风险处置机制，实现电厂的有效防护，在保障生产安全运行的同时提高生产效率，保障电力系统安全稳定可持续运行。

匡恩网络利用漏洞挖掘平台、威胁评估平台对沙角发电厂的控制系统进行漏洞挖掘验证和系统风险评估，给出系统的安全风险报告，并根据检测报告设计出监测预警与协调防御于一体的整体安全解决方案。该方案分为两期部署，一期在沙角电厂NCS系统上部署监测审计平台，对与远方调度中心的控制业务进行深度检测，并在发电控制系统DCS部署监测审计平台构建实时安全监测预警系统。

总结 匡恩在沙角电厂项目中有两期实施计划，目前漏洞挖掘平台、威胁评估平台应该不是长期部署的，文中说明部署了两台监测审计，预计二期才可能上工控IAD（工控防火墙）。

三、匡恩携手常德市烟草公司共建的“数字烟草”，成行业参考标准

在省网信办针对工控安全设备的安全检查中，领导对我们设备的防护效果非常满意。并且前段时间，在常德召开制定了湖南省烟草工控网络安全标准的会议，这个标准是按照常德市烟草厂的防护标准进行修正修改的，并要求各个单位参照新的标准开展工控设备的安全部署。

四、为某水务公司系统安全建设构筑基石

为了应对愈演愈烈的网络攻击，某水务公司再生水厂要加强自控系统和厂内再生水管线监控系统的安全性。

替换支持流量镜像的二层交换机，部署匡恩监测审计平台，安装工控卫士。

总结： 匡恩在该项目上是风险评估带产品的做法；该项目没有上工业防火墙。

五、发布多条《网络安全法》系统解读

《网络安全法》系列解读之:与工控安全企业相关的规定

《网络安全法》系列解读之:指方向、促发展、提高度

威努特

一、新能源发电行业工控安全建设浅析

“信息安全”必然成为影响工业企业“生产安全”的重要指标。

风力发电厂、太阳能发电厂存在着以下风险：

病毒在上位机系统间的传播

工控主机操作系统问题

其他风险-常用PLC漏洞

工业协议漏洞

控制软件自身的安全问题

信息安全问题解决思路:根据新能源控制系统的运行环境相对稳定、控制系统无法直接访问外网、系统更新频率较低等特点，并依据工业和信息化部印发的《工业控制系统信息安全防护指南》中的相关要求，构建“分区分域，主动防御，统一管理，综合防护”的纵深防御体系，实现了电力系统的专机专用，专网专用。保证了只有可信任的设备，才能接入工控网络；只有可信任的消息，才能在工控网络上传输；只有可信任的软件，才允许被执行。

电力网络信息安全解决方案:

工控网络安全隔离——工业防火墙，阻止恶意软件在网络中随意传播

网络安全监测与审计——工控审计与监测系统，记录恶意软件在网络中的异常流量信息

主机安全管控——工控主机卫士，保护工业主机免遭恶意软件的攻击

漏洞扫描与挖掘——工控漏挖，发现网络内已知、未知漏洞，杜绝恶意软件对漏洞的利用

系统资源的访问控制——堡垒机，保护主机、服务器、网络设备、应用软件的运维安全，降低由于人的有意、无意操作给控制系统带来的安全威胁

统一安全管理——统一管理平台，通过对安全设备的统一管理，提升安全管理运维效率，提高生产网络整体安全。

安全管理体系建设——安全服务，建立完善管理体系，通过以上技术手段实现对管理办法的有效监督及监管



总结：第一次看到堡垒机出现在工控安全解决方案中。

二、一文读懂“工业控制SCADA系统网络安全”

介绍了SCADA系统的构成->存在的风险->8点建议（很大程度上参考了美国的那份SCADA安全防护建议）->提出威努特的SCADA安全解决方案（通用版+油田和燃气行业的案例）。

华创网安

一、华创网安便携式工控网络安全实验箱，迈向工控网络安全专业人才培养的新高度！

华创网安工控安全团队为了应对培养高级复合型工业网络安全人才的需求，将产业发展与高等教育深度融合，通过不懈的努力，研发了以工控系统网络安全为基础，以物联网安全为导向的工控网络安全移动实验箱。

目标群体：

为高校、研究所、教育培训机构、企事业单位开展专业教育提供了有效的攻防实验工具和实验教程。

简介

实验箱集成主流工业控制器，搭建小型控制系统，可模拟工业现场环境，并结合工控网络安全防护解决方案，实现工控网络安全攻防演练及展示等功能。

产品特点

产品型号众多，不同型号可分别完成工控系统搭建和组态等自动化教学任务、工控网络安全攻击审计等工控安全的教学任务、病毒木马攻击原理的教学任务；

有成熟的工控网络安全课程体系；

总结：产品有创意。