工业控制系统安全防护 课件 第六章-工业控制系统安全防护与风险评估

工业控制系统安全防护与风险评估ICSSecurity&Protection工业控制系统安全防护1.工业控制系统安全风险评估2.CONTENTS目录01工业控制系统安全防护ICSSecurity&Protection采用物理隔离、身份认证、漏洞扫描、加密通信和安全监测等技术，保障系统稳定运行。技术手段制定安全策略，开展安全培训，制定应急预案，进行安全审计，全方位保障系统安全。管理措施技术与管理相结合，构建坚固的安全防护体系，抵御各类安全威胁。综合性安全防护概念安全防护方案01物理环境安全防护02网络通信安全防护03主机与设备安全防护04数据安全防护环境控制机房或控制室温度保持在18℃-27℃，相对湿度保持在40%-60%，配备不间断电源和灭火系统。工业控制系统设备安装场地应远离自然灾害高发区，避免强电磁场、强噪声源和易燃易爆场所。场地选择物理环境安全防护网络隔离使用工业防火墙、单向隔离网闸等物理隔离设备，或采用VLAN、ACL等逻辑隔离技术，防止外部攻击。数据加密对通信数据和敏感数据存储进行加密，采用对称加密算法（如AES）或非对称加密算法（如RSA）。网络通信安全防护认证与访问控制采用多因素认证方式，严格分配最小权限，关闭不必要的服务和端口，强化账户管理。恶意软件防护安装防病毒软件，采用应用程序白名单技术，禁止未经授权的移动存储设备连接。主机设备安全防护对工业控制系统中的数据进行分类和分级，根据数据的重要性和敏感性确定保护要求。数据分类与分级定期备份重要数据，建立数据恢复计划，测试数据恢复过程，确保数据安全。数据备份与恢复数据安全防护02工业控制系统安全风险评估ICSSecurity&Protection01风险评估概念02风险评估方法03风险评估过程04风险评估意义ICSSecurity&Protection工业控制系统安全风险评估是对系统面临的安全风险进行识别、分析和评价的过程，涵盖网络攻击、物理破坏等多种风险。评估定义评估能精准把握系统安全态势，制定针对性安全策略，保障工业生产安全，为企业发展奠定基础。重要性风险评估概念邀请专家根据经验和知识对风险进行定性分析，适用于复杂风险判断。专家评估法设计问卷向相关人员了解系统安全状况，通过分析结果获得风险定性认识。问卷调查法风险评估方法-定性评估法将复杂问题分解为多层，比较因素相对重要性确定权重，结合风险可能性和影响计算风险值。基于概率论和数理统计，建立风险模型，计算风险发生概率和损失大小。0102概率风险评估法层次分析法风险评估方法-定量评估法01020403确定评估范围明确工业控制系统边界和组成部分，包括硬件、软件、网络连接和人员。收集信息分析威胁因素识别脆弱性查阅文档、访谈人员、现场勘查获取系统架构、配置、运行状态和安全策略信息。分析黑客攻击、内部恶意行为、自然灾害等可能对系统造成威胁的因素。查找系统中存在的软件漏洞、配置错误、缺乏访问控制等安全弱点。风险评估过程-风险识别0102分析风险对系统和生产的影响，如经济损失、生产中断、环境破坏等，采用定性或定量评估。03根据威胁性质、频率和系统脆弱性，评估风险发生可能性，可采用定性或定量方法。结合风险可能性和影响程度，计算风险值，用于风险排序和优先处理。计算风险值确定风险可能性确定风险影响风险评估过程-风险分析根据风险值大小，将风险划分为高、中、低等级，为决策提供依据。针对不同等级风险，提出安全措施、管理加强、人员培训等处理建议，考虑成本效益和可行性。确定风险等级提出处理建议风险评估过程-风险评价降低事故概率通过评估提前识别潜在风险，采取防范措施，降低事故发生概率，保障生产稳定运行。确保生产连续性发现影响生产连续性的因素，制定应急预案，确保安全事件发生时迅速恢复生产。风险评估意义-保障工业生产安全维护国家经济安全及时发现关键基础设施潜在威胁，采取防护措施，防止被攻击或破坏，维护国家经济安全。提高抗攻击能力识别易受攻击环节，加强安全防范，降低恐怖袭击风险，提高系统抗攻击能力。风险评估意义-保护关键基础设施了解系统安全状况，有针对性地投入，避免盲目投资，降低安全事件损失，减少安全成本。01降低安全成本优化安全配置，提高系统可靠性，减少生产中断和设备维修时间，提高生产效率。02提高生产效率向客户、合作伙伴展示安全管理水平，增强信誉度，提升市场竞争力，保障客户数据安全。03增强企业信誉风险评估意义-提升企业竞争力运用漏洞扫描、渗透测试等技术，推动安全技术创新，提高防护水平。创新技术应用总结评估经验，为制定和完善安全标准提供参考，提高行业整体安全水平。完善安全标准开展评估工作，培养和锻炼一批专业的工业控制系统安全人才，为行业发展提供支持。培养专业人才风险评估意义-推动技术发展独臂焊侠卢仁峰卢仁峰，内蒙古第一机械集团有限公司大成装备制造公司高级焊接技师、中国兵器首席技师。1986年在军品生产攻坚中左手致残后，通过每日100根焊条的训练恢复焊接能力，独创“短段逆向带压焊接操作法”解决坦克装甲焊接难题，职业生涯保持产品100%合格率，参与五九式至第四代主战坦克焊接攻关。卢仁峰2009年攻克某型号轮式战车焊接变形难题，采用“正反面焊接，以变制变”技术将合格率从60%提升至96%。2020年解决海军装备雷达结构件变形问题，为装备研发奠定工艺基础。他参与制造的装备5次亮相阅兵，用一只手践行“执着专注、精益求精”的工匠精神，成为军工领域的传奇。大国工匠谢谢大家ICSSecurity&Protection网络通信安全防护环境搭建ICSSecurity&ProtectionCONTENT目录01网络环境准备02CA证书服务器搭建03HTTPS服务实现01网络环境准备ICSSecurity&Protection模拟内网环境搭建简单网络环境，模拟工业控制系统内网，保障通信安全。实现加密通信搭建CA数字证书服务器，实现服务器与客户机加密通信。任务目标网络拓扑作为CA证书服务器，具备强大网络服务功能与高安全性。WindowsServer2003搭建Web服务器与客户机，实现加密通信。WindowsXP开源虚拟机软件，支持多种操作系统虚拟化，性能稳定。Virtualbox软件准备安装WindowsServer2003在Virtualbox中新建虚拟系统，配置内存、硬盘，加载安装盘并启动安装。安装WindowsXP同样在Virtualbox中安装两台WindowsXP，分别作为Web服务器和客户机。配置网络连接为WindowsServer2003和WindowsXP配置网络，确保主机间通信。环境搭建03CA证书服务器搭建ICSSecurity&Protection0102安装IIS服务确保IIS服务已安装，为证书服务提供支持。安装证书服务组件勾选证书服务组件，选择“独立根CA”，配置CA名称等信息。安装证书服务使用默认设置，完成密钥对配置。配置公钥/私钥对输入CA的公用名称，设置证书有效期等。输入CA识别信息确认证书存储路径，完成证书服务配置。设置证书数据库配置证书服务在服务管理控制台中，确认“CertificateServices”已启动且为自动启动。检查服务状态通过浏览器访问，确认证书服务正常运行。访问证书服务检查服务运行04HTTPS服务实现ICSSecurity&Protection任务概述在本次任务中，我们将实现客户机和Web服务器之间的加密访问。Web服务器向CA证书服务器申请CA证书，搭建HTTPS服务。客户机向CA证书服务器申请Web浏览器证书，从而能访问Web服务器的HTTPS服务。010203配置虚拟目录在IIS中创建虚拟目录，设置别名、路径及访问权限。创建测试文件在虚拟目录中创建index.htm文件，用于测试HTTP服务。配置网站IP配置网站IP地址，确保可通过IP访问网站。搭建HTTP服务配置安全通信要求客户端使用HTTPS访问，配置证书信任关系。提交证书申请将证书请求文件提交至CA证书服务器，等待审批。配置IIS证书将CA证书配置到IIS上，启用HTTPS服务。安装CA证书审批通过后，下载并安装CA证书至Web服务器。生成证书请求在IIS中启动证书向导，生成证书请求文件。0405020301Web端配置在客户机上向CA证书服务器申请Web浏览器证书。申请Web浏览器证书测试客户机通过HTTPS成功访问Web服务器。测试访问安装Web浏览器证书，确保客户端可通过HTTPS访问Web服务器。安装证书在Web服务器端导入根证书，确保证书颁发机构受信任。配置证书信任客户端配置01020304谢谢大家ICSSecurity&Protection工业控制系统网络安全防护指南解读ICSSecurity&Protection目录CONTENTS出台背景和意义01主要内容02适用对象和防护对象03主要特点04对工业企业的指导意义05后续措施0601出台背景和意义ICSSecurity&Protection2017年以来，《网络安全法》《数据安全法》《密码法》等法律法规相继颁布，此前政策文件未能充分衔接。新指南指导工控安全防护工作，确保企业网络安全防护符合法律规定。法律法规衔接需求工业企业数字化转型加快，工业控制系统开放互联，网络安全风险增加。工业控制系统是工业生产核心，其网络安全关系到企业运营、产业链供应链安全稳定、经济社会运行和国家安全。工业企业转型带来的新风险新指南应对新安全风险，保障工业生产安全，具有重要意义。指南重要性02主要内容ICSSecurity&Protection01资产管理：全面梳理工业控制系统及相关资产，明确责任部门和责任人，建立资产清单并及时更新，定期核查资产状态。0302供应链安全：与供应商签订协议时明确安全责任和义务，使用具备资格的机构安全认证合格或安全检测符合要求的设备。配置管理：强化账户及口令管理，避免使用默认口令或弱口令，遵循最小授权原则，合理设置账户权限，建立安全配置清单并定期审计。宣传教育：定期开展网络安全宣传教育，增强企业人员安全意识，针对运维人员开展专业技能培训及考核。04安全管理架构与边界安全：对工业控制网络实施分区分域管理，部署工业防火墙等设备实现域间横向隔离，严格远程访问控制，使用加密协议和算法。系统数据安全：定期梳理数据，开展数据分类分级，使用技术对数据实施安全保护，重要数据和核心数据应在境内存储。0205上云安全：工业云平台自建时做好安全防护，工业设备上云时实施严格标识管理，业务系统上云时确保运行环境安全隔离。03主机与终端安全：部署防病毒软件，采用应用软件白名单技术，拆除或封闭不必要的外部设备接口，对工业主机、终端设备的访问实施用户身份鉴别。应用安全：访问应用服务时进行用户身份认证，工业企业自主研发的软件应通过安全性测试。0104技术防护05漏洞管理：密切关注重大工控安全漏洞发布，及时采取升级措施，定期开展漏洞排查。监测预警：部署监测审计设备或平台，及时发现和预警安全风险，采用威胁诱捕技术提升主动防御能力。01运营中心：有条件的企业建立网络安全运营中心，实现安全设备统一管理和策略配置，提升风险隐患排查和事件响应能力。02应急处置：制定应急预案，定期开展应急演练，发生安全事件时立即启动预案，采取紧急处置措施。03安全评估：新建或升级系统前开展安全风险评估，重要系统每年至少开展一次防护能力评估。04安全运营工业企业承担工控安全主体责任，建立管理制度，明确责任人和责任部门，强化资源保障力度，确保安全防护措施与工业控制系统同步推进。责任落实03适用对象和防护对象ICSSecurity&Protection使用、运营工业控制系统的企业。适用对象包括工业控制系统本身，以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。01防护对象04主要特点ICSSecurity&Protection结合新型工业化背景，针对性制定防护条款，落实法律法规，聚焦新应用趋势及新安全风险。坚持与时俱进1技术和管理措施并重，督促企业落实主体责任，改变重技术轻管理倾向。强调技管结合2结合应用现状、运行特点和安全需求，提出可落地实操的安全要求，提升企业安全防护水平。注重实操实践305对工业企业的指导意义ICSSecurity&Protection为工业企业提供全面、系统的网络安全防护指导，使企业清晰了解工控系统网络安全防护的重点领域和关键环节。明确防护方向和重点1通过实施指南要求，企业可建立完善的安全管理体系和技术防护体系，提高工业控制系统安全性和可靠性，降低网络安全事件发生可能性。提升安全防护能力2在保障网络安全前提下，企业可放心推进数字化转型，实现智能化改造和生产效率提升。促进企业数字化转