明鉴®工业控制系统安全检查工具箱

明鉴®工业控制系统信息安全检查工具箱(以下简称:工控工具箱或工具箱)是公安机关网安部门针对工业控制系统(以下简称:工控系统)信息安全检查工作的一体化专用便携式监察装备,具有规范检查、工具调用、结果展示等功能。
返回列表
1.产品背景

2010年9月24日,伊朗布什尔核电站的工业控制系统遭到震网(Stuxnet)病毒攻击,并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。工控安全被从此拉进公众视野。而工信部“451”号文件《关于加强工业控制系统信息安全管理的通知》极大地推进了工控安全的发展。2012年及2013年国家发改委组织的年度国家信息安全专项中扶持的领域均包括工业控制领域。因此国内厂商和团队借助自身优势,开始布局工控信息安全领域并推动工控信息安全的发展。而后GB/T 30976.1-2014《工业控制系统信息安全:评估规范》的发布,作为我国工控安全第一个有内容国家标准,解决了我国工控安全无标准可依的窘境。工信部2016年10月发布了《工业控制系统信息安全防护指南》,指南有11大要求项,30个条款,有针对性且有明确指导意义地开展工控企业安全防护工作。


工业控制系统信息安全检查主要针对网络中的各类工业控制设备、网络通信设备、安全防护设备、工作站、服务器等及相应的物理管理安全的检查工具集,并在此基础上,能对工控系统的数据流量进行分析,利用设备信息库、漏洞库、异常行为签名库,评估各类设备以及整体网络的安全风险的过程。过去对信息系统测评的方法主要是采用访谈,专业扫描工具扫描,然后检查人员再根据各个专业工具的检查结果,结合访谈内容,依据相关标准,为每一个被检查的工控系统编写、整理、分析出具报告。这种工作方法耗时、耗力,对人员专业要求高,检查结果主观化,结果不可管理。伴随国家对工控行业信息安全越来越重视,基于目前信息安全企业对工控系统不了解,而工控系统专家只关注系统运行而缺乏相应的信息安全知识和意识,公安部门对工控行业信息安全的管理和监督检查环节,越来越成为工控行业信息安全的重点和难点。具体表现在:


      ● 工控行业信息系统内部结构复杂,各种行业信息系统结构多变,无法迅速掌握系统情况,并实施有效的检查;
      ● 公安网安民警对工控系统的信息安全监管工作主要靠访谈和询问,缺乏对工业控制系统安全性的客观了解;
      ● 公安网安民警技术水平参差不齐,检查结果难以被被检查单位认可;
      ● 无法对收集的数据进行汇总、统计、分析和关联;
      ● 公安网安部门缺乏符合标准的专业测评工具,无法对重点系统进行全方面检查和抽查;
      ● 工控系统安全检查信息化水平差,数据质量低,格式不统一,大量错填漏填现象

      ● 工控系统安全检查共享程度低,无法实现信息整合,导致对工控系统重现状发展动态把握不准确;

      ● 对信息安全等级保护已定级或需定级的工控系统,缺少针对性的工控系统安全检查的依据。


拥有一套全面满足公安网安部门民警对工业控制信息系统监管监察工作需要的集成工具,对于公安部门显得尤为迫切。在此背景下,杭州安恒信息技术股份有限公司结合配合公安网警检查的实践,致力于研究如何将GB30976-2014《工业控制系统信息安全评估规范》《工控系统保护轮廓》(NIST SPP-ICS)《工控系统安全指南》(NIST SP800-82)《工控系统安全技术》(ISA-TR99.00.01-2004)《工控系统安全整合技术》(ISA-TR99.00.02- 2004)融入到GB22239《信息安全等级保护基本要求》中去,并与浙江大学工控实验室合作研发出一款切合工控安全自身信息安全要求的便携式检查装备——明鉴®工业控制系统信息安全检查工具箱。


2.产品概述

明鉴®工业控制系统信息安全检查工具箱(以下简称:工控工具箱或工具箱)是公安机关网安部门针对工业控制系统(以下简称:工控系统)信息安全检查工作的一体化专用便携式监察装备,具有规范检查、工具调用、结果展示等功能,集成定制有专门的安全检查工具,为公安机关网络安全执法检查提供专业的针对工控系统的检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高网络安全执法检查的常态化、标准化和规范化水平。


杭州安恒信息技术股份有限公司深入分析与研究工控领域的常见安全漏洞以及流行的攻击技术基础上,通过安恒安全团队攻防研究和风险评估项目经验并结合工控系统信息安全检查的相关标准总结归纳大量的安全漏洞信息和攻击方式后,研制开发的一款针对网络中的各类工业控制设备、网络通信设备、安全防护设备、工作站、服务器等及相应的物理管理安全的检查工具集,并在此基础上,能对工控系统的数据流量进行分析,利用设备信息库、漏洞库、异常行为签名库,评估各类设备以及整体网络的安全风险,及时发现相关安全问题的设备。检查内容支持自定义筛选导出填写后导入。实现工控系统全过程的监督管理。并预留了与公安部重要信息系统基础数据库的接口。


工控工具箱将成为各省、市(县)两级公安网安针对工业控制系统监察管理工作的必要装备。依托工控工具箱,可以动态掌握工业控制系统安全保护状况,为公安机关监督、检查、指导工控系统信息安全检查工作提供重要支撑,进一步提高工控行业信息安全监察水平,为保障工控行业信息系统安全取得良好社会效益。



2.1. 产品功能结构




图2-1 工控工具箱功能结构



工控工具箱由计划管理、检查执行、结果分析、通知书打印、知识库、系统管理六大部分组成。其中检查执行由综合检查与数据汇总组成;综合检查包含问卷调查、工控漏洞、主机漏洞、流量分析、数据库漏洞、配置核查六个部分。


2.1.1. 计划管理模块

计划管理模块为工控系统检查计划的管理模块,提供计划的新建、导入、查询、删除等操作,操作内容包括计划名称、单位信息、工控系统信息、系统运营单位等内容。


2.1.2. 检查执行模块

检查执行模块为工控检查任务的执行管理模块,包括综合检查和数据汇总,综合检查包含问卷调查、工控漏洞、工控主机漏洞、流量分析、数据库漏洞、配置核查六个部分。


问卷调查:以等级保护检查知识库为依托,对单位进行全方位合规检查的检查手段。通过问卷填报可获知单位安全合规情况,洞悉其安全薄弱环节。结合给出的整改建议,能够有效达到指导单位进行安全合规建设的目的。


工控漏洞、主机漏洞、数据库漏洞、配置核查、工业恶意代码:深入分析工控系统的组成及其特性,为每种设备类型设定了合理的工具检查方式。可以在用专用工具检查完毕后,将检查结果在工具检查中进行汇总。对目标单位的工控设备进行较全面的技术分析直击威胁所在,为有针对性的对设备进行整改提供有力的数据支持。


流量分析:根据设定的方式包括流量大小、时间来对目标环境下的流量进行获取。可将获得的流量包通过工具箱中的流量分析工具进行分析,也可以将流量包交由第三方进行解析。


数据汇总:把利用工业主机配置检查工具、工业恶意代码检查工具、无线WIFI检查工具等在工控系统检查时得到的数据,上传导入到工控工具箱中,形成总体的数据报告。


2.1.3. 结果分析模块

结果分析为对目标单位所进行检查的汇总总结模块,已收集的单位信息、工控设备信息、单位问卷填写情况、检查执行情况等都会在结果分析中进行汇集。通过后台智能分析,统计检查层面(总体技术要求、现场控制层、现场设备层、生产管理层、过程监控层)的符合、不符合、不适用、未检查数,形成综合检查分析报告、技术检查分析报告、问卷检查分析报告,并能够依据权威知识库给出专业的整改建议,为工控系统安全建设提供方向与途径,并且可以导出上报检查结果。


2.1.4. 通知书打印模块

通知书打印模块为对工控检查结果通知和反馈模块,包含检查通知书和反馈意见两部分,方便生成公安网安检查人员需要的通知书格式

检查通知书:可以生成等级保护备案表、监督检查通知书、工具检查确认书。


反馈意见:可以生成反馈意见书、限期整改通知书、约谈通知书。



2.1.5. 知识库模块

专家知识库为工控系统安全检查提供相关资料信息,为检查过程提供辅助问题定位的作用。包括工控设备厂商信息、工控漏洞库、威胁特征库、工控协议库、设备指纹库、工控知识库等。可在此根据目标设备的信息及系统版本,查询相应的漏洞介绍、修补建议等内容。


2.1.6. 系统管理模块

系统管理模块用于为工控工具箱管理系统提供运行维护的支撑,包括用户管理,日志管理、资源管理等功能。


2.2. 综合检查

2.2.1. 工控漏洞检查模块

针对工控设备和工控协议进行探查,抓取设备及协议信息,采用低风险轻量级漏洞指纹探测方法,准确获取目标漏洞信息,漏洞库里的漏洞涵盖CVE、CNVD、CNVVD发布的相关工控网络的漏洞,涵盖厂商零日漏洞库。能对上位机工控软件、下位机的各种漏洞进行检测。目前工具箱支持西门子、施耐德、罗克韦尔、倍福、巴合曼、台达、红狮、欧姆龙、和利时、三菱、霍尼韦尔等国内外知名厂商的PLC、DCS、SCADA等150多种;支持主流工控协议如Modbus/TCP、S7、DNP3、Profinet、Ethernet/IP、IEC104、BACnet、Fox、FINS、Melsec-Q、ECOM、PCWorx、ProConOs、Crimson等20多种。


2.2.2. 主机漏洞检查模块

针对工控系统中的操作员站、工程师站、服务器等主机设备进行探查,抓取主机设备信息,对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、Linux、BSD等操作系统进行漏洞扫描,以及Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件漏洞扫描,统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、可列出每一个漏洞所存在的主机、详细描述与修补建议。


2.2.3. 数据库漏洞检查模块

针对Oracle、Sybase、DB2、Informix、MySQL、SQL Server、DaMeng、Kingbase等主流数据库系统进行漏洞检测,内容主要包含了不安全配置、安全策略、补丁升级、权限分配、访问控制、弱口令等。


2.2.4. 配置核查检查模块

配置核查检查模块实现对主机和网络设备配置核查,主机核查内容包括系统信息、硬件信息、系统开机启动项、异常服务、安全策略、帐户信息、审计策略、系统补丁、进程扫描、软件安装、活动端口、用户权限、安全选项、组策略、运行保护、浏览器上网记录、USB使用记录及工具特性等众多配置项进行安全检查。网络设备核查内容包括账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等,支持检查安全审计策略,包含事件类型、SYSLOG服务器,支持检查不必要的服务和端口(如TELNET、FTP、SNMP、HTTP、Sendmail),支持SNMP、SSH服务、版本信息检查等。


2.2.5. 工业恶意代码检查模块

工业恶意代码检查模块用于检查工控主机系统是否遭到木马病毒的感染。除支持常见的木马病毒外,该模块的病毒检测引擎支持检测震网病毒、火焰病毒等工控病毒以及其变种。检测工具提供快速扫描、深度扫描、用户自定义扫描多种扫描方式。



3.产品硬件组成

监管版工控工具

监管版工控工具箱硬件组成:1台加固三防笔记本电脑、1台工具箱检查平台、1个工业主机配置检查工具、1个工业恶意代码检查工具、1台执法记录仪、1台照相机、1台打印机。工控设备专用综合检查工具集成在工业控制系统安全检查平台内。详见图3-1。



图3-1 工控工具箱组成


自查版、测评版工控工具箱

自查版、测评版工控工具箱硬件组成:1台笔记本电脑、1台工具箱检查平台、1个工业主机配置检查工具、1个工业恶意代码检查工具。控设备专用综合检查工具集成在工业控制系统安全检查平台内。详见图3-2






图3-2 工控工具箱组成




4.产品型号

5.产品功能概要

工控工具箱将问卷调查、工控漏洞、主机漏洞、流量分析、数据库漏洞、配置核查、工业恶意代码检查结果通过主程序的智能关联分析、并结合管理要求访谈检查内容,自动生成客观的工控系统信息安全检查报告,使工控系统运营和使用单位从技术和管理角度清晰地掌握当前的信息安全状况及问题,为工控系统后续的是信息安全整改奠定基础,也是将来信息安全建设的最佳依据。详见图5-1:工控工具箱功能流程概要图。



图5-1 工控工具箱功能流程概要图


相关案例

CASES

杭州安恒信息技术有限公司 版权所有 © 2007-2017 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |