工业控制系统的信息安全等级保护工作

1、做好工业控制系统的信息安全等级保护工作,国家信息化专家咨询委员会委员 沈昌祥 院士,党的十八大报告指出：世界仍然很不安宁。，粮食安全、能源资源安全、网络安全等全球性问题更加突出。,党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。高度关注海洋、太空、网络空间安全。,3,2010年“震网”病毒事件破坏了伊朗核设施，震惊全球，这标志着网络攻击从传统“软攻击”升级为直接攻击电力、金融、交通、核设施等核心要害系统的“硬摧毁”，导致基础的工业控制系统破坏，对国家安全、社会稳定、经济发展、人民生活安定带来严重损害,4,2011年工信部发布

2、了关于加强工业控制系统安全管理的通知，明确了重点领域工业控制系统信息安全管理要求，对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求,5,信息安全等级保护是我国信息安全保障的基本制度，从技术和管理两个方面进行安全建设，做到可信、可控、可管，使工业控制系统具有抵御高强度连续攻击（APT）的能力,一、工业控制系统安全需求,7,工业控制系统（ICS）包括:,1、监控与数据采集（SCADA）,4、可编程逻辑控制器（PLC）,2、分布式控制系统（DCS）,3、过程控制系统（PCS）,5、应急管理系统（EMS）等,8,随着信息化不断深入，工控系统从封闭、孤立的系统走向互联体系的IT系统

3、，采用以太网、TCP/IP网及各种无线网,控制协议迁移到应用层；采用标准商用操作系统、中间件与各种通用软件，已变成开放、互联、通用和标准化的信息系统。因此，安全风险也等同于通用的信息系统,9,工控网络架构,互联网,企业管理网,生产监控网,现场控制网,10,1、实时性通信 2、系统不允许重启 3、人和控制过程安全 4、加入安全后，不影响控制流程 5、通信协议多种多样 6、设备不易更换 7、设备生命周期为15-20年,特殊要求:,传统的“封堵查杀”安全防护技术难以解决工控系统安全,二、信息安全等级保护 适用于工业控制系统,12,工业控制系统网络架构是依托网络技术，将控制计算节点构建成为工业生产过程

4、控制的计算环境，是属于等级保护信息系统范围,1、将ICS按安全等级划分区域,国际标准化组织ISA提出区域防护概念,2、区域间通过唯一的管道通信,3.、对区域间和区域内实施不同的安全策略 防止威胁在区域间交叉感染 遏制本区域内的入侵威胁,14,按国家信息安全等级保护有关标准和规定，确定定级对象：,一般先划分安全区域，可分为企业管理、生产监控和现场控制三个大区，每个安全区内可按统一的生产业务流程、软硬件资源相对独立和管理责任明确三个条件确定定级信息系统,再按其重要程度确定具体等级,15,用于冶金、化工、能源、交通、水利系统领域的工业控制系统会涉及社会稳定和国家安全，多数系统属3级以上，尤其是生产监

5、控现和现场控制系统含有大量的4级系统,三、工业控制系统等级保护技术框架,针对计算资源（软硬件）构建保护环境，以可信计算基（TCB）为基础，层层扩充，对计算资源进行保护,针对信息资源（数据及应用）构建业务流程控制链，以访问控制为核心，实行主体（用户）按策略规则访问客体（信息资源）,保证资源安全必须实行科学管理，强调最小权限管理，尤其是高等级系统实行三权分离管理体制，不许设超级用户,信息安全等级保护要做到,针对工业控制特点，按GB/17859要求，构建在 安全管理中心 支持下的 计算环境 区域边界 通信网络 三重防御体系是必要的，可行的 具体设计可参照（GB/T25070-2010）,19,区域边

6、界安全防护,实 现,通信网络安全互联,计算环境 可信免疫,20,安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架：,20,边界防护,现场控制 计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,安全管理中心,安全管理中心,安全管理中心,二级,一级,21,21,边界防护,现场控制 计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,1）计算环境,21,21,安全管理中心,安全管理中心,安全管理中心,二级,一级,节点子系统通过在操作系统核心层、系统层设置以了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授

7、权用户越权访问，确保信息和信息系统的保密性和完整性安全，从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障,安全保护环境为应用系统（如安全OA系统等）提供安全支撑服务。通过实施三级安全要求的业务应用系统，使用安全保护环境所提供的安全机制，为应用提供符合三级要求的安全功能支持和安全服务,22,22,2）应用区域边界,22,22,安全管理中心,安全管理中心,安全管理中心,二级,一级,边界防护,现场控制 计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查，确保不会有违背系统安全策略的信息流经过边界，是三级信

8、息系统的第二道安全屏障,23,23,3）通信网络,23,23,安全管理中心,安全管理中心,安全管理中心,二级,一级,边界防护,现场控制 计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的安全得到了保障，是三级信息系统的外层安全屏障,4）管理中心,安全管理中心,安全管理中心,安全管理中心,二级,一级,边界防护,现场控制 计算环境,生产监控计算环境,企业管理计算环境,边界防护,边界隔离,互联网,系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安

9、全通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为三级信息系统的安全提供基础保障,安全管理子系统是信息系统的控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行，从而实现了对整个信息系统的集中管理，为三级信息系统的安全提供了有力保障,审计子系统是系统的监督中枢，安全审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据,四、坚持自主创新,纵深防御,26,工控系统是定制的运行系统，其资源配置和运行流程具唯一性和排它性特点，用防火墙、杀病毒、漏洞扫描不仅效果不好，而且今引起新的安全问题,27,坚持自主创新，采用可信计算技术，使每个计算节点、通信节点都有可信保障功能，那么，系统资源不会被篡改，处理流程不会被干扰破坏，使系统能按预定的目标正确运行，“震网”、“火焰”等病毒攻击不查即杀,28,坚持纵深防御，克服“封堵查杀”被动局面,1、加强信息系统整体防护，建设区域隔离、系统控制的三重防护、多级互联体系结构,2、重点做好操作人员使用的终端防护。把住攻击发起的