工业控制系统信息安全整体解决方案
北京威努特技术有限公司总经理：龙国东
威努特—工控安全专家
内容提纲
1
2
威努特公司介绍
工控安全标准解读
威努特工控安全理念 威努特工控安全解决方案 行业案例
3
4
5
公司简介

威努特—工控安全专家
北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决
方案研发的创新型高科技公司。
3
4
5
威努特工控安全解决方案
行业案例
威努特工控安全解决方案
核心技术理念：
纵深防护
威努特—工控安全专家
白名单机制
工业协议深度解析
实时监控审计
统一平台管理
Page 17
威努特工控安全解决方案—白名单机制
“白名单”主动防御技术是通过提前计划好的协议规则来限制
威努特—工控安全专家
网络数据的交换，在控制网到信息网之间进行动态行为判断。通
防病毒软件在长年不更新病毒库的工控网内的实际作用非常有限，老旧的病毒库无 法抵御新型病毒的攻击；安装防病毒软件只是自欺欺人的一厢情愿罢了。
Page 12
威努特工控安全理念—传统信息安全产品解决不了工控安全问题
可用性和机密性的矛盾 工业控制系统“可用性”第一，而IT信息系统以“机密性”第一
从而要求安全产品的软硬件重新设计。例如：系统fail-to-open。
工控安全
实时适度的吞吐量高延迟或抖动不可接受 重新启动不可接受可用性要求可能需要冗余系统 停机必须有计划和提前预定时间高可用性要求充分的部署前测试 人身安全是最重要的，其次是过程保护 容错是必须的，即使瞬间的停机也可能不可接受 主要的风险影响是不合规，环境影响，生命、设备或生产损失 首要重点是保护边缘设备，如现场设备、过程控制器 中央服务器的保护也很重要 安全产品必须先测试，例如在离线工控系统上测试，以保它们不 会影响工控系统的正常运行 人机交互及紧急情况下快速反应是关键 应严格控制对工控系统的访问，但不应妨碍或干预人机交互 专用的操作系统，往往没有内置的安全功能 软件变更必须慎重，通常由软件供应商操作 系统被设计为支持预定的工业过程，可能没有足够的资源支持增 加安全功能 许多专有的和标准的通信协议 使用多种类型网络，包括有线、无线（无线电和卫星）
威努特—工控安全专家
管道和区域，划分出了纵深防御的网络结构。
Page 9
威努特—工控安全专家
内容提纲
1 2
威努特公司介
威努特工控安全解决方案 行业案例
5
威努特工控安全理念—工控安全≠传统信息安全
传统信息安全与工控安全差异点 分类
性能 可用性 风险管理
威努特—工控安全专家
A、保护系统所采取的措施； B、由建立和维护保护系统的措施所得到的系统状态； C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。 D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数 据也无法访问系统功能，却保证授权人员和系统不被阻止； E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。
OPC协议接口、方法的过滤；并提供一键式“OPC只读”模板，极大降低运维人员配置难度；
工业网络可视化：网络流量、工业协议识别以及异常操作告警； 工业级硬件：支持宽温、震动军用级使用环境，适应严苛的工业现场；
Page 20
威努特工控安全解决方案—可信区域网关
产品定位
威努特—工控安全专家
保护工控网络内部不同安全区域的边界，阻止来自该安全区域外的安全威胁 产品功能 安全域分区：支持Trust、DMZ、Untrust以及Local等安全域划分，灵活配置不同区域安全规则； 访问控制：基于IP地址、端口、时间以及服务的状态包过滤； 工控协议的深度解析：例如Modbus 、DNP3、IEC 104等； 支持对Modbus协议深度解析：包括功能码控制、参数控制、异常回复以及协议协议完整性、一
2. 国际自动化协会
（ ISA ， the International Society of Automation ） 3. 美国国家标准技术研究院 （ NIST ， National Institute of Standards and Technology ） 我国工控安全标准组织：
1. 2. 3. 4.
RE EN55022:2010 CE EN55022:2010 ESD IEC61000-4-2: 2008 RS IEC61000-4-3: 2006+A1: 2007+A2: 2010 EFT/B IEC61000-4-4: 2004+A1: 2010 SURGE IEC61000-4-5: 2005 CS IEC61000-4-6: 2008 M/S IEC 61000-4-8: 2009 DIPS IEC 61000-4-11: 2004
Page 4
威努特—工控安全专家
内容提纲
1
威努特公司介绍
2
3
4
工控安全标准解读
威努特工控安全理念 威努特工控安全解决方案 行业案例
5
工控安全标准解读
国际工控安全标准组织：
1. 国际电工委员会
威努特—工控安全专家
（ IEC ， International Electro Technical Commission ）
威努特—工控安全专家
升级和兼容性的矛盾 工业控制系统不能接受频繁的升级更新操作
依赖黑名单库的信息安全产品（例如：反病毒软件，IDS/IPS）不适用。
工业协议的识别解析 工业控制系统基于工业控制协议（例如，OPC、Modbus、DNP3、S7）
传统安全产品支持IT通信协议（例如，HTTP、FTP），不支持工业控制协议。

帮助电力、石油、石化、水利、化工、军工、冶金、交通以及市政等关键 行业客户建立稳定可控的工控安全整体防护体系。
Page 3
公司市场地位—产品为王

威努特—工控安全专家
国内第一款“白名单主动防御”主机防病毒软件，比肩美国Bit9的创新产品； 国内第一款“千兆工业防火墙”，性能10-20倍业界一般水平； 与国内外三家以上知名工控系统厂商合作的工控安全厂家； 成功替代McAfee的国内工控安全厂商；
致性检查；
支持对IEC104协议深度解析：包括遥信、遥测、遥控、设点以及电度等访问控制； 工业网络可视化：网络流量、工业协议识别以及异常操作告警； 工业级硬件：支持宽温、震动军用级使用环境，适应严苛的工业现场；
Page 21
威努特工控安全解决方案—可信边界/区域网关
威努特—工控安全专家

传统信息安全
非实时 高吞吐量 高延迟或抖动可接受 重新启动可以接受 可用性的缺陷往往可以容忍 机密性、完整性是最重要的 容错不是太重要，临时停机不是主要风险 主要的风险影响是业务操作的推迟 首要重点是保护IT资产，及这些资产上存储的传 输的信息 信息安全方案围绕典型的IT系统进行设计 快速反应不太重要 可以根据必要的安全程度实施严格的访问控制 使用典型的操作系统 采用自动部署工具使得升级非常简单 资源充足，能支持增加第三方功能，如信息安全 功能 标准通信协议 主要是有线网络，捎带一些本地无线功能 允许多方提供技术支持
技术亮点 及创新点
2.
3. 1. 2. 3.
创新的“软可信”计算技术，降低方案成本，提高实用性； 机器自学习“白环境”智能建模技术，降低维护成本，提高易用性； 工控协议深度解析技术，具备高安全性，低时延影响；
Page 14
威努特工控安全理念—工控安全的三大命门
网络准入
威努特—工控安全专家
现有工控网络无网络准入措施，任意工控设备都可以轻松接入现有网络，安全级别低； 构建有效的网络准入体系，是解决工控安全的首要之选。 网络传输 网络传输层面临诸多安全风险，现有工控网络对此缺乏有效应对措施。
Page 18
威努特工控安全解决方案—工业协议深度解析

威努特—工控安全专家
传统防火墙
IP TCP
Ethernet

工业防火墙
IP TCP 传统防火墙 MAP头
Modbus TCP
功能码 工业防火墙 IP地址（源、目的） 端口（源、目的） 传输层协议类型（TCP/UDP） Modbus功能码 Modbus线圈/寄存器 Modbus读写值域 支持 支持
威努特工控安全理念—“安全白环境”
威努特—工控安全专家
为客户构筑工控系统“安全白环境”整体防护体系，保护国家基础设施安全
核心安全理念
创新性的率先提出了建立工控系统的 可信任网络白环境 和 工控软件白名单 理念 1. 只有可信任的设备，才能接入控制网络； 只有可信任的消息，才能在网络上传输； 只有可信任的软件，才允许被执行；
对工控网络数据传输进行有效监管，拦截，可以防止大量潜在威胁；
应用程序 工控网络功能确定，行为单一，应用可预期。 对工控网络的应用程序进行有效管控，阻止可疑、非法程序的运行，可以大幅度提高工控网络的 安全等级。
Page 15
威努特—工控安全专家
内容提纲
1 2
威努特公司介绍
工控安全标准解读
威努特工控安全理念
Page 19
Ethernet
数据
校验
过滤字段
IP地址（源、目的） 端口（源、目的） 传输层协议类型（TCP/UDP）
Modbus只读 OPC动态端口
无法支持 无法支持
威努特工控安全解决方案—可信边界网关
产品定位
威努特—工控安全专家
保护控制网与管理信息网之间的边界，阻止来自管理信息网的安全威胁 产品功能 网络边界隔离：支持透明和路由工作模式； 安全域分区：支持Trust、DMZ、Untrust以及local等安全域划分，灵活配置不同区域安全规则； 访问控制：基于IP地址、端口、时间以及服务的状态包过滤； 数采协议的深度解析：例如OPC，支持OPC动态端口解析、完整性检查、合法性检查；以及深入到