压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

《工業(yè)控制系統(tǒng)信息安全整體解決方案》

首先，也是說兩句感謝的話，感謝賽可達實驗室和工業(yè)機械一綜所的李總提供了這么好的平臺。雖然我覺得這次人不多，但畢竟也是一個聲音，至少在我們整個大的信息安全的背景下來講，是一個聲音。也感謝我們的程總主持人。

我給大家從工業(yè)系統(tǒng)信息安全整體解決方案的領域，給大家做一個相對來講比較觸底的，但這里可能有一些很多的牽扯到工控的專業(yè)的名詞，有時候不太好懂，尤其是對其他領域?qū)た夭皇翘貏e了解的。

整體上剛才說到信息安全的確是一個非常大的話題，剛才程總說到春天就要來了，我們習總也是任小組的組長，整個參加了幾次大會，我們國家的院士也都是說把我們的信息安全提高到第五空間的領域，以前是海陸空加上一些別的空間，現(xiàn)在出現(xiàn)了信息安全的空間，的確是另一個國土疆土保衛(wèi)的概念。這個領域的安全問題越來越受到重視，但整體上來講，在整個對于青島多芬諾或者青島海天煒業(yè)在整個信息安全領域，我們的確是一個新兵，來到這里也是向大家學習。但在工控領域，我們的確是一個老兵，包括在工業(yè)控制系統(tǒng)的信息安全領域，我們也是國內(nèi)最早從事這個行業(yè)的企業(yè)之一。剛才講為什么叫做海天煒業(yè)之前有一個公司叫做海天煒業(yè)自動化，我們是全面做工控系統(tǒng)的運維集成的公司，面向石油石化做DCS、PIC，DCS是集散控制系統(tǒng)，分散型的，大家可能看到的比較直觀的就是很多我們叫做航空航天那種大的控制室，它那是比較偏重于遙測，當然也有控制，但相對來講控制的實施性來講，它不像化工或者是其他相關的行業(yè)控制來講要求的，在回路的要求來講比較快，或者是我們做DCS在回路控制要求比較苛刻，尤其是大型的模擬量一般大的控制室也是幾百面的機柜，就像我們大機房一樣，幾百柜控制器，一般來講做成冗余的，操作站也是上百個，大的一體化煉油和大的化工廠都是這樣的規(guī)模。

在這個領域，我們有了十幾年的積累。在2009年的時候我們遇到了用戶來自它的信息安全問題的一個反映，因為我們做運維的時候用戶出現(xiàn)了這方面的問題，我們作為服務商參與到這些問題的解決跟整個的調(diào)研當中，最后發(fā)現(xiàn)的確是工控系統(tǒng)內(nèi)部出現(xiàn)了信息安全的問題，那時候我們就找解決方案、找思路、找方法，一步步也是從最初引進國外的一些技術或者產(chǎn)品，目前來講我們也是推出了自己的一些產(chǎn)品和解決方案，在整個業(yè)界也是跟我們很多行業(yè)公司一起引領整個工控信息安全的發(fā)展。所以，為了更好的發(fā)展信息安全業(yè)務，我們就在2009年成立了多芬諾信息安全技術有限公司，專業(yè)做工控信息安全的一些相關的產(chǎn)品或者服務。

今天報告的內(nèi)容分為四部分。

第一，信息安全現(xiàn)狀。

這個問題可能來自我們底層的用戶，因為我今天談到的更多是只關注的是下層，我們待會兒可以看到一個網(wǎng)絡，剛才李總也講了，我們是工控里面相對一個工廠是分層的，不同的層級，一直到底層的控制層。我今天更多的關注底層的控制層的解決方案。這是來自于控制層我們現(xiàn)場的一些具體的操作或者是車間他們的一些困惑，包括了整個控制網(wǎng)內(nèi)，包括U盤、來自管理網(wǎng)的病毒擴散，我們講兩化融合起來就是網(wǎng)絡互通了，包括我們的工業(yè)控制系統(tǒng)也是現(xiàn)在不斷的進行數(shù)字化，或者說是開放性，我們的平臺可能都是用的工業(yè)以太網(wǎng)，原來傳統(tǒng)的每家各自都有自己的特點，但現(xiàn)在慢慢大家都統(tǒng)一成了工業(yè)以太網(wǎng)，這和我們傳統(tǒng)的商用網(wǎng)絡就非常的接近，它的里面的一些數(shù)據(jù)的交互模式都非常接近，包括現(xiàn)在通用PC機的一些使用，我們的操作站以前也是專用的，但是這幾年應該從2000年以后越來越多的廠家都是用的Windows的一個平臺，只是在這個平臺上的應用不一樣，針對每家工控系統(tǒng)的應用都不一樣。包括工控網(wǎng)絡現(xiàn)在越來越大，剛才我講了一個一千萬噸的煉油，這個大網(wǎng)絡有多大，操作站是有兩三百臺左右，底層的控制器150多對，大型的聯(lián)合裝置，這些基本上講的是核心裝置，中間的水處理、氣可能還沒有參與到這里面。核心裝置就有這么大，所以，它的網(wǎng)絡也是非常的龐大。這幾年越來越多的信息安全問題出現(xiàn)在我們的工業(yè)控制網(wǎng)絡，隨后出現(xiàn)了一些事件，這些事件作為我們不管是工控人，或者是作為我們傳統(tǒng)信息安全的人都知道這些事件，Stuxnex、Duqu、Flame、Havex、Drangonfly，這些都是專門針對工業(yè)控制系統(tǒng)研發(fā)的，或者說很有針對性，在這個領域通過這些問題反映出我們工業(yè)控制信息安全面臨了非常大的挑戰(zhàn)。

這里的一個挑戰(zhàn)解釋一下安全問題，也是我昨天在一綜所在銀川舉行的一次會議上，來自德國的一位專家也是討論了安全的問題。傳統(tǒng)的工控系統(tǒng)里就講信息安全，講究保密性，最早安全問題是密碼學的一些東西，后來涉及到一些文檔，不管是網(wǎng)絡安全，其實它都是類似于叫做security信息安全的范圍，但在工控里面擴展到了security的概念，這兩邊的確是我們在做工控信息安全的時候，現(xiàn)在來講這兩塊是在一起的，它要綜合考慮的，而且我們也感覺到工控信息安全的問題，的確能夠?qū)е挛覀僑ecurity功能安全問題的一些發(fā)生，比如車撞了，罐爆炸了，你家里使用的燃氣、汽車、電梯都和我們的生活密切相關，工控信息安全問題直接導致了人受傷害或者是環(huán)境受傷害，這也是我國不管是工信部還是其他的很多的單位都非常重視這個問題的一個原因，因為它會導致一個Security的發(fā)生。這是我們和傳統(tǒng)信息安全問題相對來講區(qū)別比較大的地方，因為傳統(tǒng)的不管是丟了信息還是少了錢，這個被竊或者那個被盜相對來講沒有直接涉及到security的問題。

這是我們講整個工廠的整個網(wǎng)絡的典型的架構，我們講的是分層，一般是底層是控制網(wǎng)（Control），這個有時候我們叫做Mis網(wǎng)或者生產(chǎn)管理網(wǎng)（Mis-Configured），上層我們叫做信息管理網(wǎng)。上層層面和中間這個層面，其實我們傳統(tǒng)的信息安全的東西在里面已經(jīng)有應用，在這兩個層面的時候，傳統(tǒng)不管是防火墻還是殺毒軟件都有涉及到，我們在工廠的整個架構中。但現(xiàn)在我們更多關注底層，底層有一些控制器，各種類似的控制器，下面我沒有畫就是一些儀表，我們叫做傳感器，溫度、流量等等，輸入輸出和我們的計算機鍵盤輸入，屏幕輸出，通過以太網(wǎng)的一些信息的輸出，在工業(yè)系統(tǒng)內(nèi)它分成卡板，我們分成數(shù)字量和模擬量，它直接控制閥門的開度，對于你的流量、加的壓力和燃燒的控制，所有的東西就是這樣。對應在汽車等方面，對應的你的剎車或者是輸出一個控制信號，這里通常分成數(shù)字量和模擬量。

中間這個層是網(wǎng)絡層，上層是一些操作站，我們叫做HMI，人機接口，HMI層面會讓我們的操作工去參與一些工控系統(tǒng)的參數(shù)的調(diào)整，我們叫做自動化控制系統(tǒng)，但是真正實現(xiàn)比較好的這種自動控制的場合，不是說特別多，很多時候都要人工的一些干預。所以，在這個里面其實我們講的病毒或黑客對控制系統(tǒng)的一些威脅，我們講的一些傳播的途徑，可以看到非常的多，至少在目前我們的大背景下，我們現(xiàn)在叫做工業(yè)互聯(lián)，德國提出來叫做工業(yè)4.0，大的背景下它是一個開放的，我覺得這個趨勢也是不可逆的，不可能說像傳統(tǒng)一樣，我把它斷開，即使斷開，即使這個層面有些網(wǎng)絡是斷開的，相對控制系統(tǒng)內(nèi)部的風險也是很大的，就像伊朗的核電站也是和外面什么都不連的，所以，它也是出現(xiàn)了問題，它是一個系統(tǒng)本身獨立的區(qū)域。所以，在這個層面上來講，目前來講的確是需要在工業(yè)控制領域的一個信息安全方面，可能需要不斷的進行加強這種防護。

工業(yè)里面簡單講一下，第一個是USB，這個很常見了，但現(xiàn)在有很多管理的手段，要求每一次都用新的，或者我說每一次都必須查毒，但現(xiàn)在看到零DAY漏洞等新的病毒層出不窮，殺毒軟件在這個層面是不適用的，所以這個層面有一些特殊性。

有的時候包括外來的維護，很多工控系統(tǒng)需要做定期的維護，像海天煒業(yè)傳統(tǒng)的一個業(yè)務就要做定期的點檢，我們需要外來的一些接入、測試、外來的交互，這是上層的一個互聯(lián)，這個目前來講是非常普遍的，因為以前的報表都是手動抄的，現(xiàn)在都是通過我們的一些應用軟件和優(yōu)化軟件，這些數(shù)據(jù)可以實時的建立數(shù)據(jù)庫），實時數(shù)據(jù)庫不管是有十萬點還是一百萬點的大型數(shù)據(jù)庫都會上去。

還有一些第三方的，剛才我說有一些是核心的主控系統(tǒng)，外圍的PIC、ITU有可能有無線，也都可能通過這個接入到網(wǎng)絡中。所以，它的整個的風險和接入點也是非常多的。

第二，問題總結(jié)與解決方案

針對前面提出的問題我們的整體思路和解決方案分成了三大類。

一是來自網(wǎng)絡訪問控制方面的是一類，我們現(xiàn)在對應的解決方案是工控防火墻，細節(jié)上我之后有介紹，它是包括網(wǎng)絡層面的信息網(wǎng)絡的病毒擴散，包括第三方網(wǎng)絡的病毒擴散或者區(qū)域之間的隔離，現(xiàn)在都可以通過工控防火墻來做的，但這里面有一些工控協(xié)議的深度解析，是這個層面做的一些工作。

二是來自計算機自身的安全問題。工控系統(tǒng)有自身的一些特殊性，它本身對殺毒軟件或者對其他的一些外來的東西不兼容性，包括我們在工控系統(tǒng)內(nèi)你都想象不到，包括現(xiàn)在windows2000都用得非常多，windows? xp現(xiàn)在使用最多的，2003年也非常的普遍，而且基本上從控制系統(tǒng)一裝上以后，這個操作站從來不打補丁的，因為一打補丁有可能就不好用了，不好用了就會影響到生產(chǎn)。因為生產(chǎn)是實時運行的，一般我們講流程工業(yè)，我們工控系統(tǒng)分成流程自動化和工廠自動化，工廠自動化相對來講是離散的，加工一些件你可以停了，在上面再起這個機器可以順著往下走。但流程物業(yè)，比如說煉油加到100度，停了就壞了，你重新開起來還要需要五百萬多的投入才能開起來，所以，流程自動化對宕機是不可能接受的，像地鐵停一下還可以，但如果發(fā)生事故撞車是不可接受的。

工控系統(tǒng)內(nèi)有很多自身的局限性，這個層面也有很多的局限性，在這個里面我總結(jié)了，在工控系統(tǒng)內(nèi)它的行業(yè)和品牌又有很強的獨特性，每個品牌和每個行業(yè)自身都有很強的獨特性，導致我們的策略及應用所有都是白名單化，我們曾經(jīng)和一些工控系統(tǒng)的開發(fā)人員聊天，他們說工控系統(tǒng)是什么？工控系統(tǒng)的軟件就是流氓軟件。什么流氓軟件，它基本上把你的計算機和控制系統(tǒng)的能力要用到最底層、用到最大，都是最快捷的方式來實現(xiàn)，因為它要講究實時性或可靠性，它從來不關心其他的一些流程或者這種東西，他說它本身感覺到自己就是一個流氓軟件。

在這里我們講究的都是應用的白名單化，所以，我們所有的產(chǎn)品和設計、跟整個的思路上走的架構上也全部是一種工控運行白名單的模式，我讓你整個工控的運行環(huán)境、訪問策略和整個的應用來講都是讓你是可控的，然后在這個層面下，其他未知的，我們工控系統(tǒng)自從用上以后15年或者10年都有可能不動，不改。所以，你不用說未來是不是我改一個東西，你這種東西我再重新做一下相關的工作，基本上是不用改的。你去看北京地鐵最早投入的線路，windows32還是幾，它用的還是那個平臺，從來沒有升級改變過，所以，只要它好用和穩(wěn)定，在工控系統(tǒng)內(nèi)就是第一位的，你的一些新的技術、新理念可以加入，但都是在可控條件下一步步的來進行發(fā)展。它不是排斥先進的技術，我們的工控領域也有一些先進的東西，包括總線、無線都在探索用，但每個應用的歷程都是非常長的，它需要驗證。

在這個層面上基于它的自身局限性，我們推出了一個可信計算的平臺，也是基于白名單的模式。

三是安全管理平臺，其實是一個在小的工控領域里形成了網(wǎng)絡狀態(tài)的可視化，我們講類似于可視化和智能化，未來這都是走的一些路線，我們在其他平臺上是這么走，工控領域也是這么走的，類似于可視化和智能化，相對來講給我們的安全人員或者管理人員提供了一個比較好的支撐或決策的平臺。

工控網(wǎng)絡安全防護及預報技術架構。

前兩天我們參加一個石油化工行業(yè)的安全會議時，他們也是講究預報，當你發(fā)生的時候，當你真正事故發(fā)生的時候的確已經(jīng)晚了，但是說怎么能夠提前預防一些事情的發(fā)生，包括我們現(xiàn)在在工控領域也是做了很多時候的預診斷，在工控信息安全上我們也是提出了預報，整個的架構。在底層我們是有防火墻，包括其他研發(fā)的一些產(chǎn)品，我們認為可以在工控領域使用的一些產(chǎn)品和技術未來都會集成到SMP，SMP是安全管理平臺，這個平臺可以從網(wǎng)絡層面的日志或者審計的情況，包括在我們的可信計算平臺自身的、操作站自身的安全日志或者審計的情況都會上升到這個平臺上，包括其他家的安全產(chǎn)品都會集成到我們這個平臺上，從而提供一個可視化的網(wǎng)絡狀態(tài)展示，基于模型的一些統(tǒng)計報告，包括自動化的一些安全報告。

ISC風險引入分析及解決方案–技術層

我們不管講解決方案或者是類似于剛才李總他們出的評估規(guī)范和驗收規(guī)范，其實核心有兩大方面，一個是技術層面，一個是管理層面。管理層面，關鍵我們講的是一種服務，就是說包括你是規(guī)章制度，其他的一些策略或者是一些管理的文檔，我相信這個和我們傳統(tǒng)的信息安全是一個思路，也是對應的。

今天我著重還是從技術層面，技術層面整個我們提出了一個理念，叫做風險隔離，縱深防御。

縱深防御是略微的加了一些中國的色彩叫做縱深，其實其他的一些標準里也是叫做深度防御。我們對應工控可以看到它是分層的，從上層的管理網(wǎng)到生產(chǎn)網(wǎng)、到底層控制網(wǎng)甚至到控制器的前端，我們一層層往下深入，我們叫做縱深防御的一種策略。它無非是把我們的一些風險、接入點進行隔離或者安全防護。

Guard/Tofino工業(yè)防火墻

前面三大塊是具體的方案。第一，從網(wǎng)絡層面解決叫做防火墻，我們有兩款，分別是我們自主的叫做Guard防火墻，我們在今年年初4月份的時候開了我們整個新產(chǎn)品的發(fā)布會，當時是行業(yè)內(nèi)第一家推出的工控防火墻，現(xiàn)在也是取得了我們相關的銷售許可證和工控的技術等級安全防護證書。所以，也是屬于我們國內(nèi)在這塊比較領先的。另一款是我們最早從國外引入代理的一個產(chǎn)品，叫做Tofino，這是國際上領先的一款產(chǎn)品，這兩個防火墻各有特色，但整體的理念目前都是這樣做的。我們里面有一些內(nèi)置的工業(yè)控制協(xié)議和一些模型，方便工控人員在這種場合里使用。因為你也知道，工控人員相對來講對計算機和IT技術掌握不是那么深。

我們有一個工業(yè)協(xié)議包的深度檢測，這個里面還是針對不同的工業(yè)協(xié)議，我們可以管控到指令層，你是個讀命令/寫命令/下裝命令，所以從這里我們可以解析到它的指令層面。當然還可以解析掉類似于寄存器，那些寄存器是受保護的，那些是只讀不允許你寫的，我們這里面都可以做到這樣一些深度的安全防護。

我們有一個叫做無IP的連接技術，我們整個工業(yè)防火墻可以采取無IP的配置管理模式，可以在網(wǎng)絡上進行配置，但本身這個防火墻沒有IP地址，這樣把兩邊的網(wǎng)絡也能夠區(qū)分隔離開，在這個網(wǎng)絡探測不到另外一個網(wǎng)絡，但兩邊我們通過內(nèi)置的策略是相互通信的，實時性非常高。當然我也可以采取USB的配置模式，也可以采取網(wǎng)絡的配置模式，可以布置在一個場內(nèi)，不管是一百臺還是幾百臺也是可以控制所有的防火墻，也可以采取拖拽式的網(wǎng)絡模式，把協(xié)議拖上去就可以了，不需要深入的對IT技術的特別深的了解。當然其他的一些是工控的特點，它的可靠性、MTBF、它的防腐、冗余供電都是在工業(yè)設計里考慮得非常多的設計，因為本身我們也是做工控的。

所以，它解決的問題是阻止了一些病毒的擴散或者是阻止了一些攻擊 滲透，實現(xiàn)了邊界的隔離和區(qū)域的防護，從網(wǎng)絡的層面給我們的工控設備創(chuàng)造了這么一個比較安全的運行的環(huán)境，這是從網(wǎng)絡層面。

它的應用的展示，這是以我們的石化廠為例，應用的一個展示，它可以保護關鍵型的控制器，有一些儀器儀表系統(tǒng)或者關鍵型的控制器一旦癱瘓會造成整個生產(chǎn)的失控、造成一些安全事故，它可以隔離APC，就是說高級過程控制，我們叫做先進控制站，它是基于一種模型和算法的，它是多變量預估型的控制的一個模塊。它還可以對上層網(wǎng)絡的隔離視線，網(wǎng)絡區(qū)域的隔離，這是對它的保護上我們列出的一些應用。

第二大的解決方案叫做InTrust工控可信計算安全平臺。

這個目前我們已經(jīng)推出了，市場的響應非常好。因為在整個控制領域，大家還是希望通過加強自身的免疫力，因為現(xiàn)在看了漏洞、病毒層出不窮，尤其在工控環(huán)境內(nèi)，雖然現(xiàn)在發(fā)現(xiàn)了一些工控的問題，但是核心點還是通過計算機引入的，未來我相信也可以實現(xiàn)在嵌入式系統(tǒng)本身內(nèi)也可以做一些后門或者叫做類似于這種病毒，你像類似于植入到打印機里或者控制器里，或者植入到其他外部的第三方嵌入式設備里都可以實現(xiàn)，但現(xiàn)在核心的威脅還是來源于我們的計算機，來源于我們的操作站本身，我們的工控操作站非常的脆弱，我剛才說了自它投用以后就不打補丁，一開始用的時候有殺毒軟件，因為做我們的組態(tài)、工廠FAT的時候很多人都會介入到這里面，你來編一個程序，他來拷一個東西，我們的廠商也說自投用開始系統(tǒng)就帶著病毒，因為很多人都接觸的。所以，在這個層面上來講，通過操作站本身引入的，這種對控制系統(tǒng)發(fā)生的一些攻擊或者未來在這里面潛在的一些風險是很大的。我們怎么去保護這些操作站，從傳統(tǒng)意義上的一些產(chǎn)品看來，包括一個考察，包括技術分析來講覺得的確是存在了一些技術的缺陷，對工控環(huán)境來講確實存在了技術的一些限制。所以我們通過分析論證，最后銀行團隊也是推出了可信計算安全平臺，通過我們的可信安全芯片，我們建立一個信任根，建立一個信任鏈，最后通過對所有計算機啟動的安全的度量就會給它保護起來，所以，我們叫做類似于基于可信計算的解決方案，我們分成兩個部分，有服務器和客戶端。

它的架構是這樣的，這是一套控制系統(tǒng)的網(wǎng)絡，我們底層是控制器，可信計算的產(chǎn)品就是裝在上層操作站的一個層面。我們有可信的授權的服務器，還有客戶端，客戶端是裝在整個操作站的平臺上，客戶端可以從底層的啟動開始，從操作系統(tǒng)啟動都可以進行完整的度量。工控系統(tǒng)內(nèi)這塊也是一個難點，有很多專家說你怎么保證第一次啟動或者你預裝的系統(tǒng)就是可信的，這里面的確是沒有達到完全的絕對，但我們認為在某一種時刻和狀態(tài)下，我們達到那個標準是可接受的環(huán)境下做整個的一個可信完整的架構度量，最終來講，我們的服務器和我們的執(zhí)行端它是分離的，服務器這邊主要采取了授權，授權和執(zhí)行是分離的模式，保證了我們整個系統(tǒng)的可靠性。

我們的優(yōu)勢。一是利用可信計算的技術，可信計算的理念推出了很多年，但在傳統(tǒng)應用領域很少，可能在金融行業(yè)有一些應用，但整體來講應用很少，因為它比較死，它不是那么靈活，對于我們普通的民眾或者普通的商用來講是非常的不方便。但是在工控領域，它有非常大的獨特性，它只要是好用了，可能它十年都不需要變。所以，基于這樣一些環(huán)節(jié)來講，我們認為這項技術在我們整個工控環(huán)境里的應用有非常大的優(yōu)勢。當然這里面也有一些USB的管控，包括這里面核心來講，就是我們有一個工控知識庫的建立，我剛才講了，工控系統(tǒng)有非常大的獨特性，每家的產(chǎn)品、應用和一些協(xié)議、它的一些處理的機制都是不一樣的，所以，在這里面我們也是建立了非常龐大的工控知識庫，對應的放到每一個不同的工控環(huán)境中它可以對我們的度量非常的方便。當然也是基于白名單的模式。

解決的問題，我們尤其對于未知的或者類似于殺毒軟件基于黑名單的，我們是基于一種白名單的模式，包括對于XP目前有一些漏洞，或者國外的產(chǎn)品我們工控系統(tǒng)80%以上的設備都來源于國外，對于這種類型的我們不是自主的，怎么達到一定程度的可控呢？我們認為可以通過我們的可信計算做到一定程度的解決。在這方面你可以有后門和漏洞，但我不會讓你發(fā)作，也就是說你啟動不起來。這是我們解決的問題。

實現(xiàn)的效果，一個是從USB方面，一個是提高它自身的免疫力。

部署就不講了。

這個是我們上層的安全管理平臺，這個平臺整個來講我們的模式還是可視化和智能化的模式，也是提供了一個預測或者預警的分析，這個東西我們在燕山石化也已經(jīng)部署過，而且也成功的幫助燕山石化和廣州石化發(fā)現(xiàn)了一些問題，通過這個平臺反饋給我們的用戶發(fā)現(xiàn)了一些問題。發(fā)現(xiàn)問題他們?nèi)ゲ椋髞淼拇_發(fā)現(xiàn)了有一些病毒。所以，通過這個平臺，當然這個平臺也是在不斷的完善當中，因為目前我們感覺到也是數(shù)據(jù)量非常大，相對來講在局域的一些控制系統(tǒng)內(nèi)部它比較小，但對于相對較大的網(wǎng)絡來說它的網(wǎng)絡區(qū)域也比較大。我們解決的問題也是審計、安全事件追蹤、網(wǎng)絡狀態(tài)的一些監(jiān)控，尤其是一些關鍵點上的，所以，實現(xiàn)了我們的實時監(jiān)控、智能報警和自動化的報告。

這是一個應用的展示，基本我們分為兩大層面來進行部署。

一是控制網(wǎng)內(nèi)部我們可以單獨布置一臺機器。還有一種是在數(shù)采網(wǎng)（MES）生產(chǎn)執(zhí)行系統(tǒng)，現(xiàn)在MES在各個行業(yè)都有應用，在MES網(wǎng)絡也可以進行相關部署。

第三部分，案例分享。

我們在工控信息安全領域不是一個新的成員，我們經(jīng)過了五年多來的現(xiàn)場的實際解決方案的安裝或?qū)嵤覀円彩钦沓隽撕芏嗟膶τ脩舴浅嵱玫慕鉀Q方案，當然這里面也是拋磚引玉，我們以我們的產(chǎn)品或思路希望對大家有所幫助。

石化行業(yè)

石化行業(yè)是我們目前做得最多的一個行業(yè)，石化的信息化走在前列，他們高溫高壓易燃易爆，他們相對來說各項的人員和技術比較先進一點。在這里我們采取了幾個層面，特別是底層的控制層，我們有關鍵控制器的一些防護，工程師站的隔離，包括在這個層面我們講的可信計算的應用，包括通過兩個網(wǎng)的隔離，也是通過工業(yè)防火墻進行隔離，這里應用了我們OPC的一個通訊協(xié)議進行了深度的隔離，包括上層的APC、MSP的部署，這個層面可能是管到各個通道上，它從整個全場，因為像燕山石化底下可能有十來個分廠，化一到化八廠，再加上其他的電廠和相關的輔助廠，可能有十幾個分廠。在每個分廠內(nèi)部，我們每一套控制系統(tǒng)對應現(xiàn)場有一個裝置，煉油有單塔精餾、有催化煉化，不同的裝置是不同的一套系統(tǒng)。這套系統(tǒng)在地域上可能也有一些差別。所以，從這個層面主要是我們管理在這個口上的整個的安全的分析和狀態(tài)。

這個層面的兩個是不同部門的，上層我們叫做信息管理部管的，底層是移控部門管的。這個層面我們的部署是主要管理內(nèi)部的，這個內(nèi)部我們來自可信計算平臺的一些日志，是不是有人用了這些USB，這里面很常見，操作工閑著晚上沒事了要看看電影，這個在石化里管理比較嚴，因為石化相對來講崗位比較珍惜，但很多小的化工廠管理就沒有那么嚴了，很多人到了晚上以后就自己看電影，或者插上手機充電，曾經(jīng)有一個石化就是因為給手機充電染病毒了。所以，在這個層面，來自于操作站層面的一些管理由原來的非常被動現(xiàn)在管理成主動，定期的這邊所有的日志會對整個的操作站平臺的一些狀況有一些了解，包括是不是有一些病毒或者非法進程要啟動，或者有一些其他的安全事件都會被它收集過來。

這個是我們在SCADA領域，SCADA也是目前國家比較關注的一個行業(yè)，它的特點是跨地域非常廣，通常情況下一個管線一千公里，幾百公里都是少的，每隔一百公里左右可能都有一個控制站和門站，這里有調(diào)控中心，有站控系統(tǒng)，整個SCADA領域?qū)νㄐ乓笠彩潜容^高。在這里，大家非常直觀的知道在我們青島有一次爆炸，就是管線，當然它不是因為信息安全問題導致的，它是因為管道腐蝕漏油，漏到了城市管網(wǎng)中，因為是輕質(zhì)原油揮發(fā)非常強，非常容易爆炸，結(jié)果流到海面上，先在海上起火了，發(fā)現(xiàn)漏油了，是從海里面漏出來了，才發(fā)現(xiàn)漏油了，因為在管網(wǎng)下面一開始沒看到，但是后來就開始鉆，找到漏油點，有一個現(xiàn)場施工的過去一看海上那邊起火了，他就往回趕，但還沒到那兒呢，整個馬路就爆炸了，事故非常大。包括青島出事以后，高行（音）出了一次事，那個是瓦斯爆炸，都是危害非常大的。但中石化在青島出事以后，對整個行業(yè)絕對是幫助非常大。

緊跟著中石油在大連，有一個公司，馬路兩邊都是它的廠房，它要鋪設一根電纜過去，要做定向的打水平鉆，鉆的時候，一開始評估說管道沒問題，后來鉆鉆，鉆不過去，就不停的把鉆的高度提高，提高到了和他的管線差半米左右的地方，因為距離比較長，就鉆偏了，鉆到了石油管線上，也是發(fā)現(xiàn)了管線泄露。但有了中石化的那次教訓以后，中石油的應急處理非常的專業(yè)，從管線的梳理到趕緊把底下的各個古力蓋弄開，往里通風，所以中石油的那個就沒有出事。這里我就強調(diào)一下SCADA信息安全的重要性，包括現(xiàn)在解密，最早前蘇聯(lián)的那次大爆炸，SCADA解密，也是老美往里植入了東西。所以，SCADA在我們的領域也是非常重要的。這塊有調(diào)控中心有站控，也有隔離，包括上層我們統(tǒng)一配置了安全管理平臺。

工業(yè)以太環(huán)網(wǎng)信息安全整體解決方案

以太環(huán)網(wǎng)底下是掛著各個工段的控制器，我們在各個控制器底下加上了一些安全防護，包括上層的設備上。

鋼鐵行業(yè)

這也是類似于以太環(huán)網(wǎng)的，但也類似于信息架構，我們是在高爐做的解決方案。它也發(fā)生一個事故，在底下分料廠的操作工操作的時候，因為他要修改一些程序，結(jié)果它下載的時候下載到了主控室里，就是一個誤操作，后來我們在訪問權限和一些操作上都給它做了一些管控。

第四部分，我們針對這么多年來在工控領域做的事情提出了我們的全生命周期工控信息安全整體解決方案。

中間是我們的工控系統(tǒng)，大環(huán)境下是保護關鍵基礎設施，這些是控制那些基礎設施的，它是關鍵的我們的核心資產(chǎn)。外圍是我們的產(chǎn)品加固層，最外層是我們的服務體系，整個構成了閉環(huán)的產(chǎn)品和體系，我們有可信計算、加固等等，包括其他一些產(chǎn)品我們有工控信息安全實驗室，在實驗室中我們不斷有新技術和新產(chǎn)品都在進行研發(fā)和實驗、測試，這個環(huán)節(jié)我們走得還是比較早，目前國內(nèi)的，不管國內(nèi)外的十幾家品牌的工業(yè)控制系統(tǒng)我們實驗室都是具備的，我們的實驗室也是開放的，包括和我們的科研機構和合作伙伴都是開放的。

外層從評估咨詢、組織管理到工控信息安全培訓，我們這里也是講一點信息安全培訓，現(xiàn)在很多單位也在搞，但我們是偏重于工控，很多安全企業(yè)偏重于攻防或滲透，但我們針對工控的東西講得比較多，未來我們準備和李總他們結(jié)合一下，肯定是要把Safety的東西加進來，因為Safety和Security也是聯(lián)系緊密的。

最后我們提供了信息安全服務，我們覺得在工控安全領域不能通過一次投入一次就把問題全部解決，它需要一個閉環(huán)流程，需要再評估，需要再改進，不管是在策略上還是在產(chǎn)品上可能都需要不斷的改進，最后為我們的工業(yè)用戶提供一個非常好的產(chǎn)品和服務。

下面是我們做的一些項目。謝謝大家。