当前位置:文档之家 › 工业控制系统网络安全等级保护探索

工业控制系统网络安全等级保护探索

  • 格式:pdf
  • 大小:4.83 MB
  • 文档页数:40

下载文档原格式

  / 40

合集下载

工业互联网安全与等级保护测评研究

工业互联网安全与等级保护测评研究

SYS SECURITY 系统安全一、前言工业互联网融合了工业控制系统、物联网、云计算、大数据、移动互联网等技术。

2012年美国通用电气公司(GE)发布《工业互联网:打破智慧与机器的边界》白皮书,随后推出Predix,在全球掀起了工业互联网的热潮[1]。

西门子、ROBERTBOSCH、霍尼韦尔、ABB、施耐德、艾默生电气等跨国企业也相继推出了自身的工业互联网解决方案,我国工业和信息化部也在2017年发布了《工业互联网平台白皮书(2017版)》。

工业互联网的应用是未来工业企业发展的趋势,也是我国民族工业走向智能化、集约化、网络化的重要途径,是实现“中国制造2025”的重要目标。

近年来,随着我国基础设施网络化、信息化进程脚步不断加快,工业互联网的应用不断崭露头角,网络安全问题也日益增多,网络攻击行为从最开始的IT层渗透到OT层,工业企业在推进工业互联网的过程中面临的网络安全问题也逐渐暴露,无论是上层的传统计算机系统,还是底层的工业控制系统,一旦遭到攻击,将会给企业和国家带来难以估量的损失,网络空间安全已上升为国家战略。

工业互联网既涵盖了传统互联网产业,也将新一代信息技术,如物联网、云计算、大数据、移动互联网等技术与工业控制技术进行了多维度的整合,为实现工业智能化发展提供了关键综合信息系统基础设施;构建工业互联网环境,需要实现对一线生产机器、控制系统、产品生产信息管理系统、产品需求信息管理系统、销售信息管理系统、经营信息管理系统和生产运维人员、客户等客体的互联互通,通过对工业生产和供求实时数据进行全面深度感知、实时传输交换、分布式计算处理和深度建模分析,实现智能调度、能源管控优化、高效弹性化运营和绿色生产模式变革。

2017年11月,国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,该意见作为推进工业互联网的纲领性文件和指导规范,提出要加快发展工业互联网,构建网络、平台、安全三大功能体系,强化工业互联网安全保障,推进制造强国和网络强国建设[2];在三大体系中,网络体系是基础,平台体系是核心,安全体系是保障。

网络安全等级保护2 0:定级、测评、实施与运维

网络安全等级保护2 0:定级、测评、实施与运维

5.3安全区域边界
5.5安全运营管理 中心
5.4安全计算环境 设计
5.6整体安全防护 效果
5.1.1安全物理环境技术标准 5.1.2物理位置选择 5.1.3物理访问控制 5.1.4防盗窃和防破坏 5.1.5防雷击 5.1.6防火 5.1.7防水和防潮 5.1.8防静电 5.1.9温湿度控制
5.2.1网络和通信安全技术标准 5.2.2安全体系架构 5.2.3网络通信安全
3.2.1信息系统 3.2.2通信网络设施 3.2.3数据资源
3.3.1定级方法概述 3.3.2确定受侵害的客体 3.3.3确定对客体的侵害程度 3.3.4初步确定等级
4.1总体安全
1
规划工作流程
4.2系统安全 2
风险及需求分 析
3 4.3总体设计
原则和思路
4 4.4安全防护
体系总体设计
5 4.5安全建设
9.1等级测评
1
概述
9.2测评准备
2
活动
3 9.3方案编制
活动
4 9.4现场测评
活动
5 9.5报告编制
活动
9.1.1等级测评风险 9.1.2等级测评风险规避
9.2.1测评准备活动工作流程 9.2.2测评准备活动主要任务 9.2.3测评准备活动输出文档 9.2.4测评活动中双方职责
9.3.1测评对象确定 9.3.2方案编制活动主要任务 9.3.3方案编制活动输出文档 9.3.4方案编制活动中双方职责
读书笔记
这书老实说很一般啊,大段大段抄标准,各种重复,不说人话,唯一有点看头的可能就是最后一章。
编者的等保测评以及网络安全工程建设经验丰富,尤其是实践案例部分很有借鉴意义。
这本书还是很不错的,表格将等级保护要求归纳的很好。

基于SDN和集成学习的工业控制网络安全防护系统

基于SDN和集成学习的工业控制网络安全防护系统

基于SDN和集成学习的工业控制网络安全防护系统
杨凡;丁之;王扬;卿凌云
【期刊名称】《现代电子技术》
【年(卷),期】2024(47)6
【摘要】针对工业控制网络通信信息安全与稳定问题,设计一种基于SDN和集成
学习的工业控制网络安全防护系统。

该系统采用SDN技术,分为物理层、现场层、转发层、控制层和应用层等5个层次。

物理层包含现场终端设备;现场层通过控制
模块与操作员站实现对现场终端的控制;转发层使用SDN交换机进行通信数据传输,并将数据镜像传输至应用层进行安全分析;控制层中的SDN控制器管理和控制SDN交换机,并执行应用层下发的安全防护策略;应用层利用集成学习算法对工业控制网络进行入侵行为检测,通过安全响应模块分析入侵信息并选择相应的防御机制。

实验结果表明,所设计系统满足工业控制网络通信的实时性要求,能准确地实施入侵
检测,从而保障工业控制网络的安全性和正常通信。

【总页数】5页(P22-26)
【作者】杨凡;丁之;王扬;卿凌云
【作者单位】中国科学院大学成都计算所;四川中烟工业有限责任公司信息中心【正文语种】中文
【中图分类】TN915.1-34;TP393
【相关文献】
1.基于在线集成学习技术的工业控制网络入侵防范技术探讨
2.工业控制网络安全系列之一工业控制系统网络安全防护的九大误区
3.基于等级保护2.0工业控制系统网络安全防护体系研究
4.DDoS攻击下基于SDN的工业控制系统边云协同信息安全防护方法
因版权原因,仅展示原文概要,查看原文内容请购买。

解读《工业控制系统信息安全防护指南》

解读《工业控制系统信息安全防护指南》

解读《工业控制系统信息安全防护指南》工业控制系统信息安全防护指南》是为了贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》而制定的。

该指南是根据政策层面的指导思想和要求编制的,旨在保障工业企业工业控制系统信息安全。

政策中明确要求提高工业信息系统安全水平,___根据要求编制了《___关于印发信息化和工业化融合发展规划(2016-2020年)》,其中提到工业信息安全形势日益严峻,对两化融合发展提出新要求。

工业控制系统信息安全防护指南》提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。

指南的整体思路借鉴了等级保护的思想。

这些要求可以分为三大类,即针对主体目标(法人或人)的要求、针对工业控制系统的要求和针对安全管理的要求。

针对主体目标的要求包括第十条供应链管理和第十一条人员责任。

在选择工业控制系统规划、设计、建设、运维或评估等服务商时,应优先考虑具备工控安全防护经验的企事业单位,并以合同等方式明确服务商应承担的信息安全责任和义务。

同时,要求与工业控制系统安全服务方签定保密协议,要求服务商及其服务人员严格做好保密工作,尤其对工业控制系统内部的敏感信息进行重点保护,防范敏感信息外泄。

除此之外,《工业控制系统信息安全防护指南》还提出了其他要求,如加强网络安全防护、加强物理安全防护、加强安全事件应急处置等。

这些要求的提出有助于逐步完善工业信息安全保障体系,进一步提高工业信息系统的安全水平。

为了加强工控安全,需要建立工控安全管理机制并成立信息安全协调小组,明确工控安全管理责任人,部署工控安全防护措施。

这个职能部门应负责工业控制系统全生命周期的安全防护体系建设和管理,制定安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。

针对资产和数据的安全要求,需要建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。

所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程解读网络安全等级保护2.0背景及变化一、首先跟大家讲讲什么是网络安全等级保护?网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、了解网络安全等级保护发展历程●1994-2007 网络安全等级保护起步与探索1994年2月18日《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年9月15日《关于信息安全等级保护工作的实施意见》2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43号)2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)●2007-2016 网络安全等级保护标准化与发展GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

●2016-2019 网络安全等级保护行业深耕落地2017年6月1日《中华人民共和国网络安全法》2018年6月27日《网络安全等级保护管理条例(征求意见稿)》●2019——进入网络安全等级保护2.0时代2019年5月13日《信息安全技术网络安全等级保护基本要求》2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)2020年11月1日《信息安全技术网络安全等级保护定级指南GB/T22240-2020》正式实施三、了解网络安全等级保护2.0的背景自1994年第“147号令”,我国开始实施信息系统等级保护。

十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。

工业控制系统信息安全等级保护基本要求概述

工业控制系统信息安全等级保护基本要求概述

工业控制系统信息安全等级保护基本要求概述首先,工业控制系统信息安全等级保护需要建立完善的安全管理体系。

企业应建立专门的信息安全管理机构和岗位,明确相关人员的责任和权限,并建立健全的信息安全管理制度和程序,确保信息资产的安全运行和使用。

其次,工业控制系统信息安全等级保护需要进行风险评估和安全保护措施的规划。

企业应对工业控制系统中的信息资产进行全面的风险评估,找出潜在的信息安全风险和威胁,然后制定相应的安全保护措施和计划,包括安全策略、安全技术、安全控制和安全服务等。

再次,工业控制系统信息安全等级保护需要加强系统安全防护。

企业应采取合适的技术手段和安全措施,对工业控制系统中的信息进行加密保护,建立访问控制和认证措施,设置安全检测和防护设备,防止病毒、木马和网络攻击等安全威胁。

最后,工业控制系统信息安全等级保护需要加强安全监控和应急响应。

企业应建立健全的安全监控机制,实施安全事件的实时监测和告警,加强安全事件的分析和处置,及时掌握和处理安全风险和威胁,保障工业控制系统信息的安全可靠运行和应急响应能力。

工业控制系统信息安全等级保护是一个综合性的工作,需要全面考虑技术、管理和人员等多方面因素。

保护工业控制系统信息安全等级不仅仅是企业内部的事务,也受到政府监管和国际标准的影响。

因此,企业需要深入了解信息安全管理的最新动向和政策法规,严格遵守相关规定和标准,确保工业控制系统的信息安全等级达到国家和国际的要求。

在保护工业控制系统信息安全等级的过程中,企业需要考虑以下几个方面:1. 加强人员安全意识和培训。

作为信息安全的第一道防线,人员的安全意识和行为对工业控制系统的信息安全等级至关重要。

企业应该加强员工的信息安全教育和培训,让员工充分了解信息安全政策、风险和威胁,掌握安全使用信息系统的方法和技巧,形成良好的安全意识和行为习惯。

2. 加强物理安全措施。

工业控制系统信息安全等级保护不仅仅是网络和软件层面的安全,还需要考虑到物理设施的安全。

工业控制系统等级保护主要标准

工业控制系统等级保护主要标准
工业控制系统等级保护主要标准包括以下几个方面:
1.ISA/IEC62443:ISA/IEC62443是一系列工业控制系统安全标准,包括关键基础设施保护、网络和系统安全等。

2. NIST Cybersecurity Framework:NIST Cybersecurity Framework是美国国家标准与技术研究院发布的一个标准框架,用于指导组织的信息安全战略与规划。

3.ISO/IEC27001/27002:ISO/IEC27001/27002是信息安全管理系统的国际标准,其中ISO/IEC27001主要定义了信息安全管理体系的要求和规范,ISO/IEC27002则提供了信息安全管理实践指南和控制目录。

4.DHSCSET:DHSCSET是美国国土安全部开发的一个安全评估工具,用于帮助组织评估工业控制系统的安全性,发现潜在的安全漏洞和风险。

5.IEC62433:IEC62433是国际电工委员会发布的工业控制系统安全标准,覆盖了工业控制系统的安全评估、风险评估、安全管理等方面。

网络信息安全之工业控制系统信息安全技术

网络信息安全之工业控制系统信息安 全技术
关键技术及难点
工业控制系统信息安全防护和测评体系
对信息系统安全实行等级保护是国家信息安全政 策,并颁布了系列国家标准,包括定级、设计、 实施、测评等环节的基本要求和指南 工业控制系统信息安全也应实行等级保护政策, 基于行业/系统重要性不同来分级 现行的等级保护标准并不适合,需要制定针对工 业控制系统信息安全的等级保护标准 通过实施等级保护政策和标准,建立规范化的工 业控制系统信息安全防护和测评体系
网络信息安全之工业控制系统信息安 全技术
安全风险分析
工业控制系统中的管理终端一般没有采取措施对
移动U盘和光盘使用进行有效的管理,导致移动介
质的滥用而引发的安全事件时有发生
在工业控制系统维护时,通常需要接入笔记本电
脑。由于对接入的笔记本电脑缺乏有效的安全监
管,给工业控制系统带来很大的安全风险
由于对工业控制系统的操作行为缺乏有效的安全
网络信息安全之工业控制系统信息安 全技术
国内外技术现状
总体上,我国工业控制系统信息安全工作起 步晚,普遍存在安全意识薄弱、管理制定不 健全、标准规范不完善、技术储备不足、安 全产品缺乏、防护措施不到位等问题 由于工业控制系统的特殊性,现有的信息安 全技术及产品并不能直接用于工业控制系统 中,必须针对工业控制系统的特点,研制适 用的信息安全技术及产品
网络信息安全之工业控制系统信息安 全技术
震网病毒警示
震网病毒给工业控制系统信息安全敲响了 警钟,网络攻击正在从开放的互联网向封 闭的工业控制网蔓延 据权威工业安全事件信息库(RISI)统计,截 止到2011年10月,全球已发生了200余起针 对工业控制系统的攻击事件 2001年后,随着通用开发标准与互联网技 术的广泛使用,针对工业控制系统的攻击 行为也出现大幅度增长

工业控制系统网络安全等级保护的建设

《工业控制系统网络安全等级保护的建设》摘要:【文献标志码,【文章编号,制定统一的工控系统安全管理规范,如保证工控系统设备的运行能满足最大生产需求,优化系统拓扑结构,杜绝系统单点漏洞;调整安全网关策略,防范包括(分布式拒绝服务)在内的各种安全风险;在系统中部署入侵防御系统(IDS)、入侵检测系统(IPS)、安全管理软件等,监测来自系统内外部的入侵;部署工控系统审计系统,对系统的操作、修改、设置等实行审计并记录[2];验证所有连接系统的用户身份,杜绝无相应权限的用户进行管理配置的操作;安装系统数据检查设施,依托数据采集技术,制定管理基线,依据系统实际情况管理和放行数据;增加多种登录方式,如声纹识别、面部识别等生物信息技术,实行双因子登录;防止远程管理系统主机和防火墙,若有实际需求,应当使用密文,防止用户身份信息在传输中被盗取;能防范无认证设施接入系统,防止信息资产流失许新锋Construction of the Network Security Level Protection of Industrial Control SystemXU Xin-feng(Zhengzhou University of Light Industry, Zhengzhou 450000, China)【摘要】现代卷烟工业企业的两化融合程度越来越高,网络的触角已经延伸到各个业务角落,工控网络安全风险也越来越突出。

因而,如何建立一个高质量、稳固牢靠的工控系统网络成为现代卷烟工业企业工控系统建设的一个重要组成部分。

论文剖析了现代卷烟工业企业工控系统安全等保2.0的情况,综合工控系统实际需求,提出等保工作部署的基本策略。

【Abstract】 The integration degree of modernization and industrialization of modern cigarette industrial enterprises is getting higher and higher, the network"s tentacles have been extended to various business corners, and industrial control network security risks have become increasingly prominent. Therefore, how to build a high-quality, stable and reliable industrial control system network has become an important part of the industrial control system construction of modern cigarette industry enterprises. This paper analyzes the safety and security guarantee 2.0 of the industrial control system of modern cigarette industrial enterprises, and combined with the actual needs of the industrial control system, it proposes the basic strategy of the level protection work deployment.【关键词】工业控制系统;安全防护体系建设;部署建议;边界控制【Keywords】 industrial control system; security protection system construction; deployment proposal; boundary control【中圖分类号】TB4 【文献标志码】A 【文章编号】1673-1069(2020)03-0112-021 引言保证各卷烟工业企业生产运行控制系统网络安全的一个有效方法就是工控系统网络安全等级保护制度,实行工控系统网络安全分级防护,能极大地降低当前卷烟工业企业遇到的工控系统网络安全风险,依据“核心优先”的思路,把相关资源优先投入到工控系统的安全防护之中,可以有效促进卷烟工业企业尽快打牢工控系统安全等保的根基。

工控系统信息安全与等级保护2.0概述


可靠的工控信 息安全产品
工控系统的信息安全
工业控制信息安全·政策法规
《中国人民共和国网络安全法》
▪ 第二十一条 国家实行网络安全等级保护制度 ▪ 第二十三条 网络关键设备和网络安全专用产
品实行销售许可制度 ▪ 第三十一条 关键信息基础设施,在网络安全
等级保护制度的基础上,实行重点保护
工业控制信息安全·政策法规
测试 ▪ 工业控制系统的安全评估/等保
测评
▪ 工业控制信息安全相关的科研工作
谢谢聆听!
等级保护2.0体系升级

政策体系

• 网络安全等级保护条例起草

标准体系
护 2.0
• 主要标准全面修订

测评体系

技术体系


教育培训体系
等级保护标准体系
信息安全技术 网络安全等级保护定级指南 信息系统安全等级保护行业定级细则
保信 护息 测系 评统 过安 程全 指等 南级
信 保息 护系 测统 评安 要全 求等
注:允许部分层级合并
工业控制系统安全扩展要求
安ቤተ መጻሕፍቲ ባይዱ要求类 层面
一级
二级
三级
四级
安全物理 环境
2
2
2
2
安全通信 网络
2
4
4
4
技术要求 安全区域 边界
3
5
8
9
安全计算 环境
2
2
5
5
管理要求
安全建设 管理
0
2
2
2
合计
/
9
15
21
22
级差
/
/
6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

工业控制系统是国家安全战略重要组成部分
工业控制系统涉及战略性生产能力、军队军工等重点行业,一旦 遭到攻击或破坏,不仅是控制系统性能下降、控制能力丧失、甚 至还会造成人员伤亡、环境灾难,危及国家安全,导致国家的战 略被动、受制于人!
2. 工业控制系统网络安全现状
工业智能化成为国家战略制高点
“再工业化”
通过多种手段提高石化DCS系统的安全性,及时解决困扰多年的工控网络安全
问题; 对石化DCS全网的流量实时监控,及时发现异常行为和流量,形成风险预警机 制,有效应对已知的或未知的网络威胁。
某烟草制造场景
背景和需求
XX卷烟厂是XX中烟工业有限责任公司旗下的一家大型的卷烟厂,为了进一步加 强信息安全管理,保障信息系统安全稳定运行,按照国家烟草总局的要求,需要 对厂内制丝集控系统进行风险评估,主要需求如下,: 对整个制丝集控系统工控网络进行安全风险评估,发现目前制丝工控系统中潜 在的风险; 基于风险评估结果对全网进行安全加固,对现阶段可行的安全改造与持续性的 安全维护提供建议方案;
忽视工业控制系统网络安 全发展趋势,就会输在起 跑线上!
没有工业控制系统网络 安全,信息化发展越快, 造成的危害就可能越大!
工业控制网络安全与人民生活息息相关 互联网(攻击介质)
智能制造 基础设施 交通 商业服务 环境保护
邮电
科研与技术服务
供水供电 园林绿化 卫生事业
文化教育
超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制 系统已是国家安全战略的重要组成部分。
3. 工业控制系统网络安全与等级保护结合的实践
工业控制系统网络安全与信息安全等级保护结合的重要意义
工业控制系统等级保护 有利于在工业智能化建 设过程中同步建设网络 安全设施
工业控制系统等级保护为 工业控制系统安全建设和 管理提供了系统性、针对 性、可行性的指导和服务
保障工业控制系统 网络安全与智能化 建设协同发展
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。 依据信息安全等级保护的等级定义,工业控制系统网络安全等级定义为四个级别。
安全等级
第一级
工业控制系统网络安全等级定义
采用安全机制,识别和认证工业控制系统中所有用户(人员、软件、设备),保护工业控 制系统免受来自未认证实体的偶然或碰巧发生的非授权访问或攻击。 采用安全机制,识别和认证工业控制系统所有用户(人员、软件、设备),并保护工业控 制系统免受来自外部网络及小型组织发起的一般性恶意攻击。 采用安全机制,识别和认证工业控制系统中所有用户(人员、软件、设备),并保护工业 控制系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起有技巧的恶意攻击 。
工业控制网络安全等级保护风险分析与等级划分
工业控制系统风险评估等级保护实施过程
《工业控制系统信息安全等级保护设计技术指南》—工业控制系统风险分析
资产确定 威胁分析 脆弱性分析 等级划分
对客体的侵害程度
受侵害的客体
一般损害
公民、法人和其他组织的 合法权益 ,一般领域的 工业生产运行 社会秩序、公共利益和重 要公共财产,重点领域的 工业生产运行 国家安全、国家经济安全 及关键领域的工业生产运 行
工业控制系统网络安全 等级保护探索
2016年6月25日
井柯 匡恩网络 技术总监
目 录
1 2 3 4
工业控制系统是国家安全战略重要组成部分
工业控制系统网络安全现状
工业控制系统网络安全与等级保护结合的实践探索
工业控制系统网络安全案例分享
协作构建工业控制系统网络安全评估和防护体系
5
1.工业控制系统是国家安全战略重要组成部分
解决方案
对XX烟草的制丝车间工业控制系统及PLC进行安全检查、漏洞分析和风险评估, 根据风险评估的相关结果,对相关风险点进行安全加固,采用匡恩工控网络整
提供总体风险评估报告;
体解决方案,部署智能保护平台、监测审计平台、数采隔离平台、威胁管理平台 和安全监管平台,构建检测、保护、数据分析立体防御体系;
资产确定 威胁分析 脆弱性分析 等级划分
工业控制系统风险评估初步实践探索
行业特点
工艺流程
控制设备覆盖率
工业控制系统网络安全等级化风险分析实施
工业控制系统风险评估等级保护实施过程
《工业控制系统信息安全等级保护设计技术指南》—工业控制系统风险分析
资产确定 威胁分析 脆弱性分析 等级划分
工业控制系统风险评估初步实践探索
网络结构安全性分析
攻击路径发现及验证
网络行为分析 安全流程审计
工业控制系统网络安全等级化风险分析实施
工业控制系统风险评估等级保护实施过程
《工业控制系统信息安全等级保护设计技术指南》—工业控制系统风险分析
资产确定 威胁分析 脆弱性分析 等级划分
工业控制系统风险评估初步实践探索
策略与规程脆弱性 平台脆弱性 网络脆弱性
工业控制系统网络安全等级保护实践经验分享
威胁感知和管理
漏洞检测
减少攻击界面
注重网络 结构安全性
与生产工艺 相结合
持续性防护
渐进式的推广
行业定制化
某石化场景
背景和需求
某石化3#酮苯装置Honeywell TPS系统安全检测与加固项目,对3#酮苯装置 Honeywell TPS系统进行针对性的安全加固,以示范应用的形式将石化行业工 控网络安全工作落到实处。信号系统和外部系统互联接口引入的风险可能会威胁 到信号系统的正常运行; DCS系统内部缺乏有效的网络安全审计监控手段,网络中存在蠕虫病毒痕迹; DCS系统与上层管理层OPC通信缺乏安全防护,无法及时防御安全威胁。
美国
“工业4.0”
德国
“中国制造2025”
中国
日本
相关智能制造 振兴计划
工业智能化依赖软件智能化和设备网络化
工业智能化背景下,网络安全己经成为功能安全和数据安全的核心元素
网络安全己经成为功能安全和数据安全的核心元素
功能安全包含网络安全
数据安全依赖网络安全
工业控制系统网络安全保障 智能化工业系统基本职能的 实现
第二级
第三级
第四级
采用安全机制,识别和认证工业控制系统中所有用户(人员、软件、设备),能够在安全 策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的有技巧 的恶意攻击。
工业控制系统网络安全等级化风险分析实施
工业控制系统风险评估等级保护实施过程
《工业控制系统信息安全等级保护设计技术指南》—工业控制系统风险分析
纵深防御体系
由传统信息安全厂商提出 的,大多数项目演变为信 息安全产品的简单堆砌, 不能完全适应工业网络安 全的特点。
由工业控制系统内部 生长的持续性防御体系
适应工业控制系统网络的特 点,通过基础硬件创新来实 现,低延时,高可靠,可定 制化,持续更新,简单化的 实施和操作等。
以攻为守的国家战略
以美国、以色列为代表, 在国家层面注重攻击技术 的研究、实验、突破和攻 防演示实验室的建设,以 攻击技术的提高,带动防 御技术的提高,以攻击威 慑力,换取安全性。
有效控制工业控 制系统网络安全 建设成本
对工业控制系统网络的 分级保护,有利于优化 工业控制网络安全资源 配置
重点保障国家关 键基础设施安全
工业控制系统网 络安全建设得以 行之有效的推广
信息安全等级保护制度 是一个完备的体系,制 度完善、组织严密、可 实施性强,并具备强制 执行力
工业控制系统网络安全等级定义
严重损害 第二级 第三级 第四级
特别严重损害 第二级 第四级 第四级
第一级 第二级 第三级
工业控制系统网络安全防护原则
以区域划分、深度防御为基础进行防护,主用手段包括防护软件的部署、防护 设备的部署、技术防护以及深层防御。
防护软件部署原则
防护设备部署原则
技术防护原则
深度防御原则
实施建议: 工业控制系统网络安全防护要明确减少攻击界面、减少由于安全设备的布署造 成的故障点。注重网络结构安全的可行性,确保与生产工艺的结合。
工业控制系统网络安全建设
基因安全
生 命 周 期 防 护
统 一 规 划 、 分 步 实 施
一键恢复、工控系统SIS、安全完整性等级(SIL),包括硬件故障裕 度(HFT)和受控设备EUC的完整性,随机失效可能性可用性
行为安全 时 间 持 续 性
攻防实验、业务流向、协议
本体安全
设备本体防护、安全漏洞库、建立烟草工控黑名单
结构安全
公司级纵向层次划分,厂级横向业务分区,网络标准统一
对工业控制系统网络安全等级保护建设模型的深化和实践
全生命周期防护体系
检查
设备检测
覆盖主要工业控制协议 支持未知协议检测 针对工业控制设备系统
策划
安全服务
系统风险评估 设备漏洞挖掘 安全渗透攻击 安全技术培训
整改
威胁管理
离线威胁管理平台 多种威胁评估工具 工业控制设备漏洞验证 全网防御方案建议
工业控制系统成为网络攻击的重要目标
暴露在互联网上的工业控制系统
工业控制 系统
始终处于高位的工业控制系统高危漏洞
日益增多的工业控制系统网络攻击事件
使用工业控制系统的重点行业成为主要 被攻击对象(能源、关键制造行业等)
数据来源:2014年互联网网络安全报告
工业控制系统网络安全是保障工业生产安全的前提
某炼化厂智能工 厂项目 2013. 10
北方某油田 2014.8
北方某油田 2014. 12
南方某炼化厂 2015. 3
主机U盘接口物理防 护形同虚设
单一物理通讯链路承 载多业务数据
现有的传统安全防护 设备无法满足工业场 景的安全要求