工业控制系统的信息安全等级保护工作

工控系统是定制的运行系统，其资源配 置和运行流程具唯一性和排它性特点， 用防火墙、杀病毒、漏洞扫描不仅效果 不好，而且今引起新的安全问题
26
坚持自主创新，采用可信计算技术，使 每个计算节点、通信节点都有可信保障 功能，那么，系统资源不会被篡改，处 理流程不会被干扰破坏，使系统能按预 定的目标正确运行，“震网”、“火焰” 等病毒攻击不查即杀
3）通信网络
现场控制 计算环境
边 界 防 护
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
二级
通信网络子系统通过对通信数据包的保密性和 完整性进行保护，确保其在传输过程中不会被 非授权窃听和篡改，使得数据在传输过程中的 23 系统 安全 审计 一级 安全得到了保障，是三级信息系统的外层安全 23 安全管理中心 屏障
5、应急管理系统（EMS）等
7
随着信息化不断深入，工控系统从封闭、 孤立的系统走向互联体系的IT系统，采用 以太网、TCP/IP网及各种无线网,控制协议 迁移到应用层；采用标准商用操作系统、 中间件与各种通用软件，已变成开放、互 联、通用和标准化的信息系统。因此，安 全风险也等同于通用的信息系统
8
安全管理中心
安全管理中心
安全管理中心
4）管理中心
安全管理子系统是信息系 统的控制中枢，主要实施 审计子系统是系统的监督中 标记管理、授权管理及策 枢，安全审计员通过制定审 略管理等。安全管理子系 计策略，强制节点子系统、 统通过制定相应的系统安 区域边界子系统、通信网络 边 边 全策略，并且强制节点子 子系统、安全管理子系统、 界 界 生产监控 企业管理 现场控制 系统、区域边界子系统、 防 防 系统管理子系统执行，从而 计算环境 计算环境 计算环境 护 护 通信网络子系统及节点子 实现对整个信息系统的行为 系统执行，从而实现了对 审计，确保用户无法抵赖违 整个信息系统的集中管理， 背系统安全策略的行为，同 时为应急处理提供依据 为三级信息系统的安全提 供了有力保障
You can 2、可控 Be like God
You can 3、可管 Be like God
保证资源安全必须实行科学管理 ，强调最小权限管理，尤其是高 等级系统实行三权分离管理体制 ，不许设超级用户
针对工业控制特点，按GB/17859要求 ，构建在 安全管理中心 支持下的 计算环境 区域边界 通信网络
5、加强系统层面安全机制，减少应用层面的 改动，梳理处理流程，制定控制策略，嵌入 系统内核，实现控制。
29
三重防御体系是必要的，可行的 具体设计可参照（GB/T25070-2010）
通信网络安全互联
实 现
区域边界安全防护
计算环境 可信免疫
19
安全管理中心支持下的计算环境、区域边界、 通信网络三重防御多级互联技术框架：
边 界 防 护 边 界 防 护 边 界 隔 离
现场控制 计算环境
生产监控 计算环境
企业管理 计算环境
做好工业控制系统的 信息安全等级保护工作
国家信息化专家咨询委员会委员 沈昌祥 院士
党的十八大报告指出：世界仍然很不安宁。 „„，粮食安全、能源资源安全、网络安全等 全球性问题更加突出。
党的十八大报告要求：建设下一代信息基础设 施，发展现代信息技术产业体系，健全信息安 全保障体系，推进信息网络技术广泛运用。 „„高度关注海洋、太空、网络空间安全。
按国家信息安全等级保护有关标准 和规定，确定定级对象：
一般先划分安全区域，可分为企业管理、 生产监控和现场控制三个大区，每个安 全区内可按统一的生产业务流程、软硬 件资源相对独立和管理责任明确三个条 件确定定级信息系统 再按其重要程度确定具体等级
14
用于冶金、化工、能源、交通、水利系统 领域的工业控制系统会涉及社会稳定和国 家安全，多数系统属3级以上，尤其是生 产监控现和现场控制系统含有大量的4级 系统
15
三、工业控制系统等级保护技术框架
信息安全等级保护要做到
You can 1、可信 Be like
God
针对计算资源（软硬件）构建保 护环境，以可信计算基（TCB） 为基础，层层扩充，对计算资源 进行保护 针对信息资源（数据及应用）构 建业务流程控制链，以访问控制 为核心，实行主体（用户）按策 略规则访问客体（信息资源）
27
坚持纵深防御，克服“封堵查杀”被动局面 1、加强信息系统整体防护，建设区域隔离、 系统控制的三重防护、多级互联体系结构
2、重点做好操作人员使用的终端防护。把住 攻击发起的源头关，做到操作使用安全 3、加强处理流程控制，防止内部攻击，提高 计算节点自我免疫能力，减少封堵
28
4、加强技术平台支持下的安全管理，基于安 全策略，与业务处理、监控及日常管理制度有 机结合。
4
信息安全等级保护是我国信息安全保障 的基本制度，从技术和管理两个方面进 行安全建设，做到可信、可控、可管， 使工业控制系统具有抵御高强度连续攻 击（APT）的能力
5
一、工业控制系统安全需求
工业控制系统（ICS）包括:
1、监控与数据采集（SCADA） 2、分布式控制系统（DCS）
3、过程控制系统（PCS） 4、可编程逻辑控制器（PLC）
系统层设置以了一个严密牢固的防 OA系统等）提供安全支撑服务。通 护层，通过对用户行为的控制，可 过实施三级安全要求的业务应用系统， 以有效防止非授权用户访问和授权 使用安全保护环境所提供的安全机制， 21 用户越权访问，确保信息和信息系 系统 安全 审计 为应用提供符合三级要求的安全功能 统的保密性和完整性安全，从而为 21 一级 支持和安全服务 典型应用子系统的正常运行和免遭 安全管理中心 恶意破坏提供支撑和保障
2010年“震网”病毒事件破坏了伊朗核 设施，震惊全球，这标志着网络攻击从 传统“软攻击”升级为直接攻击电力、 金融、交通、核设施等核心要害系统的 “硬摧毁”，导致基础的工业控制系统 破坏，对国家安全、社会稳定、经济发 展、人民生活安定带来严重损害
3
2011年工信部发布了《关于加强工业控 制系统安全管理的通知》，明确了重点领 域工业控制系统信息安全管理要求，对连 接、组网、配置、设备选择与升级、数据、 应急等管理方面提出了明确要求
互联网
企业管理网
生产监控网
现场控制网
工控网络架构
9
特殊要求:
1、实时性通信 2、系统不允许重启 3、人和控制过程安全 4、加入安全后，不影响控制流程 5、通信协议多种多样 6、设备不易更换 7、设备生命周期为15-20年 传统的“封堵查杀”安全防护技术难以解决 工控系统安全
10
二、信息安全等级保护 适用于工业控制系统
互联网
二级
安全管理中心
安全管理中心
安全管理中心
一级
系统 安全 审计 安全管理中心
20
1）计算环境
现场控制 计算环境
边 界 防 护
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
节点子系统通过在操作系统核心层、 二级 安全管理中心 安全管理中心 安全管理中心 安全保护环境为应用系统（如安全
2）应用区域边界
现场控制 计算环境
边 界 防 护百度文库
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
二级
安全管理中心
安全管理中心
安全管理中心
区域边界子系统通过对进入和流出安全保护环境 的信息流进行安全检查，确保不会有违背系统安 22 全策略的信息流经过边界，是三级信息系统的第 系统 安全 审计 22 一级 二道安全屏障 安全管理中心
工业控制系统网络架构是依托网络技术， 将控制计算节点构建成为工业生产过程 控制的计算环境，是属于等级保护信息 系统范围
12
国际标准化组织ISA提出区域防护概念
1、将ICS按安全等级划分区域
2、区域间通过唯一的管道通信 3.、对区域间和区域内实施不同的安全策略 防止威胁在区域间交叉感染 遏制本区域内的入侵威胁
系统管理子系统负责对 安全保护环境中的计算 节点、安全区域边界、 边 安全通信网络实施集中 界 管理和维护，包括用户 互联网 隔 身份管理、资源管理、 离 应急处理等，为三级信 息系统的安全提供基础 保障
二级
安全管理中心
安全管理中心
安全管理中心
一级
系统 安全 审计 安全管理中心
四、坚持自主创新,纵深防御