1、卜婵敏Fortinet 华东区技术经理2 Fortinet Inc.All Rights Reserved.政府持续推进工业互联网发展工信部:工业互联网创新发展行动计划(2021-2023年)发展工业互联网 4次写入政府工作报告各类企业持续加强工业互联网l 云计算、大数据、AI、安全等厂商纷纷进军工业互联网l 各行业龙头企业纷纷开展工业互联网应用l 全国5G+工业互联网项目超过1100个工业互联网热度持续不减工业互联网应用之:制造业车间联网建立人员、设备、厂区车辆之间的网络连接产品联网在生产和交付阶段对产品进行全生命周期追踪,采集产品的运行环境和使用状态数据持续分析设备运行参数并实时调整,推动
2、流程优化改进流程优化远程运维远程监测和控制生产线、工业机器人、车辆;统一进行运维通过AR/VR提升安装运维效率、改善操作人员与机器人间的人机交互员工效率提升3 Fortinet Inc.All Rights Reserved.现状:针对OT基础设施的攻击屡见不鲜2010!#$%&()*+,-.2014/0123456789:;?A6789:2013 BCDEFGHI2015JKLMNO6PQRSTUVWXUYW2017Z_abcdefgIh2.5i$jklmnocdef_pqabgIhrsitj2019ASCOufocdefvq_wpqxocdefyvqSolarWinds Orionz|9:
3、2020Ekanscdef9:Molson CoorsM_fJBS KM:vqTampa M78Y“”Kcdef:20212018TRITON:_ eflConticdef9:WxNordexKojima!#$%&()*+,-.28/01/2022ACGOWcdef2016MIRAI-l4 Fortinet Inc.All Rights Reserved.工业互联网用户面临的不足有哪些?异常行为风险缺乏准入控制攻击识别能力差恶意代码识别能力差缺乏安全审计计算环境安全风险未安装终端安全产品样本库更新不及时缺少终端管理网络边界风险缺乏安全域隔离访问控制管理弱协议识别少硬件鲁棒性差运维管理风险责权利
4、界定模糊缺乏专业安全人才运维依赖及缺乏管控未进行定期巡检5 Fortinet Inc.All Rights Reserved.工业互联网用户安全需求有哪些?5 IDC|6 Fortinet Inc.All Rights Reserved.最佳实践:OT网络安全建设最佳实践划分区域和管道网络分段,微分段入侵防御 IPSOT SIEM组成的安全运营中心基于角色的授权&认证IT/OT单独组网OT通讯数据加密*对应工业控制系统安全扩展要求(第三级)*比如“8.5.2”-对应安全网络通讯(架构,传输,访问控制)*8.1.5*8.5.5*8.5.4安全计算环境安全网络运维安全网络边界安全网络通讯*8.5.
5、2*8.5.3法规控制项7 Fortinet Inc.All Rights Reserved.微分段之前微分段之后vlan 201HMI1PLCvlan 101交换机被影响EWS1vlan 201HMI1PLCvlan 101FortiSwitch交换机FortiGate防火墙Fortilink受到保护EWS1防火墙Modbus Master Modbus Master Modbus Slave192.168.101.41192.168.101.99192.168.101.121!#$%&()*https:/ Fortinet Inc.All Rights Reserved.基于意图的应用控制
6、举例:细颗粒度的OT应用控制有设备在读取数据,现有策略允许该行为,我们通过日志继续监测。有设备在发送停机指令,防火墙策略对该IP执行此命令已经进行策略阻止。OT专属特性 2,000+OT协议的应用控制特征码 对60+OT签名的深度检测(DPI)细颗粒度的应用控制防火墙策略:放行,检测,控制(阻断)OT协议异常检测:违规端口传输,功能码错误,功能码携带异常数据OT 协议和应用 ADDP BACnet CIP CN.IP DNP3 Elcom EtherCAT EtherNet/IP IEC 60870-6(TASE 2)/ICCP IEC 60870-5-104 IEC 61850 HART I
7、CCP LONTalk MMS Modbus OPC OpenADR Profinet R.GOOSE S7 SafetyNET Synchrophasor TriStation 9 Fortinet Inc.All Rights Reserved.工控供应商产品应用举例IPS:入侵防御:CVE应对 IPS 签名 对于已知漏洞的保护 包含对OS及应用的保护 协议异常检测 IPS 支持 自定义IP豁免 自定义签名 封包日志记录 源IP隔离IPS 虚拟补丁10 Fortinet Inc.All Rights Reserved.OT设备认证-移动设备,新进设备,维护设备的OT网动态接入-合规需求,设
8、备接入认证日志、安全日志记录设备准入-未认证设备被接入工控网-正常设备被接入错误的交换机端口&分配至错误的VLAN-周期性反复认证导致设备网络连接周期性中断-基于属性(MAC地址,设备类型,设备位置,协议类型等)的动态VLAN划分-OT人员易于掌握的设备准入方式业务需求常见问题解决方案需求,问题及方案11 Fortinet Inc.All Rights Reserved.OT设备 MAB认证新进设备FortiAuthenticatorFortiGate254未知设备首次接入,划入登陆VLAN3根据设备特征策略,验证MAC地址根据认证策略,返回动态VLAN属性5.1 验证成功,设备被划分至生产V
9、LAN4.2 验证失败,设备被划分至隔离VLANFortiSwitchOT运维人员导入设备MAC地址列表1RADIUSClientRADIUSServerFortiAuthenticator+Fortigate+FortiSwitch 联动*MAB:MAC Authentication Bypass未知设备12 Fortinet Inc.All Rights Reserved.OT人员认证需求,问题及方案-登陆类型:OS操作系统登陆,工控软件应用的登陆-人员类型:员工(操作员,工程师),供应商,维护人员等-越来越多的远程管控需求OT人员认证&授权-多因素认证(基于用户角色的认证和授权)-多重认
10、证(基于OS和应用的认证和授权)-零信任访问(基于安全状态实时调整访问策略)业务需求解决方案常见问题-单一认证(账号&口令)-单次认证(OS操作系统&工控软件)13 Fortinet Inc.All Rights Reserved.OS系统的登陆认证,工控软件的登陆认证OT人员认证(多因素认证)Windows多因素认证登陆界面HMI软件多因素认证登陆界面Fortitoken 动态令牌的多种类型14 Fortinet Inc.All Rights Reserved.工控软件的登陆认证OT人员认证后台流程AD 服务器FortiAuthenticatorRemote Auth.ServerHMIRE
11、ST API(HTTPS)(工程师权限)账号,密码口令,一次性OTP口令状态,结果(操作员权限)账号,密码口令选择域进行管理员账号密码登陆选择域进行操作员账号密码登陆Fortitoken手机应用或物理令牌多因素认证完成Windows认证,打开HMI程序作为操作员登陆Windows修改PLC/HMI,需提权至管理员账户HMI应用程序通过 REST API 通过FortiAuthenticator完成认证已切换成管理员账户进行HMI操作后台认证授权流程12345678工控软件应用的多因素认证登陆界面NOTE:HMI application must be able to make REST API
12、 calls with proper API key management mechanism.认证结果15 Fortinet Inc.All Rights Reserved.ZTNA零信任远程访问数据中心远程用户ZTNA 传感器登记报道Fabric 同步ZTNA 隧道检查访问按应用会话隔离EMSFortiGate边界防火墙企业总部工厂公有云IaaSFortiGate-VM供应商云SaaSNP7,CP9 FortiGate-VM NSX-TFortiSASE SIATLS 加密隧道TLS 加密隧道TLS 加密隧道终端证书认证EMS CAFortiAuthenticatorFortiManage
13、r16 Fortinet Inc.All Rights Reserved.Fortinet OT网络安全方案过程/区域控制生产执行层Business&Enterprise Zones次要执法边界主要执法边界主要执法边界外部区域主要执法边界安全区MES/ERPOT SCADA集团应用数据中心互联网/云集团区HMI控制区生产区EWSOPSPLC/控制器安全组网下一代防火墙安全交换机工业加固防火墙,交换机和接入点SD WAN云安全网络通讯安全准入控制多因素验证Single Sign-OnVPNNAC 网络准入控制ZTNA网络边界安全安全运维SIEM-安全事件管理中心化的策略管理,配置和数据库升级中心化的日志管理和报告生成SOAR终端EDR安全网络运维安全服务织网生态圈500+OT 入侵检测数字签名2,000+OT 应用和协议识别控制安全计算环境执行器(阀门,机器手臂,传送带)
浙ICP备2021020529号-1 | 浙B2-20240490 
