做好工业控制系统的信息安全等级保护工作

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,做好工业控制系统的信息平安等级保护工作,党的十八大报告指出：世界仍然很不安宁。,，粮食安全、能源资源安全、网络安全等全球性问题更加突出。,党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。,高度关注海洋、太空、网络空间安全。,3,2021年“震网病毒事件破坏了伊朗核设施，震惊全球，这标志着网络攻击从传统“软攻击升级为直接攻击电力、金融、交通、核设施等核心要害系统的“硬摧毁，导致根底的工业控制系统破坏，对国家平安、社会稳定、经济开展、人民生活安定带来严重损害,4,2021年工信部发布了?关于加强工业控制系统平安管理的通知?，明确了重点领域工业控制系统信息平安管理要求，对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求,5,信息平安等级保护是我国信息平安保障的根本制度，从技术和管理两个方面进行平安建设，做到可信、可控、可管，使工业控制系统具有抵御高强度连续攻击APT的能力,一、工业控制系统平安需求,7,工业控制系统ICS包括:,1、监控与数据采集SCADA,4、可编程逻辑控制器PLC,2、分布式控制系统DCS,3、过程控制系统PCS,5、应急管理系统EMS等,8,随着信息化不断深入，工控系统从封闭、孤立的系统走向互联体系的IT系统，采用以太网、TCP/IP网及各种无线网,控制协议迁移到应用层；采用标准商用操作系统、中间件与各种通用软件，已变成开放、互联、通用和标准化的信息系统。因此，平安风险也等同于通用的信息系统,9,工控网络架构,互联网,企业管理网,生产监控网,现场控制网,10,1、实时性通信,2、系统不允许重启,3、人和控制过程平安,4、参加平安后，不影响控制流程,5、通信协议多种多样,6、设备不易更换,7、设备生命周期为15-20年,特殊要求,:,传统的“封堵查杀平安防护技术难以解决工控系统平安,二、信息平安等级保护,适用于工业控制系统,12,工业控制系统网络架构是依托网络技术，将控制计算节点构建成为工业生产过程控制的计算环境，是属于等级保护信息系统范围,1、将ICS按平安等级划分区域,国际标准化组织,ISA,提出区域防护概念,2,、区域间通过唯一的管道通信,3.、对区域间和区域内实施不同的平安策略,防止威胁在区域间交叉感染,遏制本区域内的入侵威胁,14,按国家信息平安等级保护有关标准和规定，确定定级对象：,一般先划分平安区域，可分为企业管理、生产监控和现场控制三个大区，每个平安区内可按统一的生产业务流程、软硬件资源相对独立和管理责任明确三个条件确定定级信息系统,再按其重要程度确定具体等级,15,用于冶金、化工、能源、交通、水利系统领域的工业控制系统会涉及社会稳定和国家平安，多数系统属3级以上，尤其是生产监控现和现场控制系统含有大量的4级系统,三、工业控制系统等级保护技术框架,针对计算资源软硬件构建保护环境，以可信计算基TCB为根底，层层扩充，对计算资源进行保护,You can,Be like,God,1,、可信,You can,Be like,God,2,、可控,You can,Be like,God,3,、可管,针对信息资源数据及应用构建业务流程控制链，以访问控制为核心，实行主体用户按策略规那么访问客体信息资源,保证资源平安必须实行科学管理，强调最小权限管理，尤其是高等级系统实行三权别离管理体制，不许设超级用户,信息平安等级保护要做到,针对工业控制特点，按GB/17859要求，构建在 平安管理中心 支持下的,计算环境 区域边界 通信网络,三重防御体系是必要的，可行的,具体设计可参照GB/T25070-2021,19,区域边界平安防护,实 现,通信网络平安互联,计算环境 可信免疫,20,平安管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架：,20,边界防护,系统 安全 审计,安全管理中心,现场控制,计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,平安管理中心,平安管理中心,平安管理中心,二级,一级,21,21,边界防护,现场控制,计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,1计算环境,21,21,系统 安全 审计,安全管理中心,平安管理中心,平安管理中心,平安管理中心,二级,一级,节点子系统通过在操作系统核心层、系统层设置以了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性平安，从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障,平安保护环境为应用系统如平安OA系统等提供平安支撑效劳。通过实施三级平安要求的业务应用系统，使用平安保护环境所提供的平安机制，为应用提供符合三级要求的平安功能支持和平安效劳,22,22,2应用区域边界,22,22,系统 安全 审计,安全管理中心,平安管理中心,平安管理中心,平安管理中心,二级,一级,边界防护,现场控制,计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,区域边界子系统通过对进入和流出平安保护环境的信息流进行平安检查，确保不会有违背系统平安策略的信息流经过边界，是三级信息系统的第二道平安屏障,23,23,3通信网络,23,23,系统 安全 审计,安全管理中心,平安管理中心,平安管理中心,平安管理中心,二级,一级,边界防护,现场控制,计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的平安得到了保障，是三级信息系统的外层平安屏障,4管理中心,系统 安全 审计,安全管理中心,平安管理中心,平安管理中心,平安管理中心,二级,一级,边界防护,现场控制,计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,系统管理子系统负责对平安保护环境中的计算节点、平安区域边界、平安通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为三级信息系统的平安提供根底保障,平安管理子系统是信息系统的控制中枢，主要实施标记管理、授权管理及策略管理等。平安管理子系统通过制定相应的系统平安策略，并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行，从而实现了对整个信息系统的集中管理，为三级信息系统的平安提供了有力保障,审计子系统是系统的监督中枢，平安审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、平安管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统平安策略的行为，同时为应急处理提供依据,四、坚持自主创新,纵深防御,26,工控系统是定制的运行系统，其资源配置和运行流程具唯一性和排它性特点，用防火墙、杀病毒、漏洞扫描不仅效果不好，而且今引起新的平安问题,27,坚持自主创新，采用可信计算技术，使每个计算节点、通信节点都有可信保障功能，那么，系统资源不会被篡改，处理流程不会被干扰破坏，使系统能按预定的目标正确运行，“震网、“火焰等病毒攻击不查即杀,28,坚持纵深防御，克服“封堵查杀被动局面,1,、加强信息系统整体防护，建设区域隔离、系统控制的三重防护、多级互联体系结构,2、重点做好操作人员使用的终端防护。把住攻击发起的源头关，做到操作使用平安,3,、加强处理流程控制，防止内部攻击，提高计算节点自我免疫能力，减少封堵,29,4、加强技术平台支持下的平安管理，基于平安策略，与业务处理、监控及日常管理制度有机结合。,5、加强系统层面平安机制，减少应用层面的改动，梳理处理流程，制定控制策略，嵌入系统内核，实现控制。,谢谢！敬请指正！,