工业控制系统的信息安全等级保护工作
关于信息安全等级保护工作的实施意见--66号文
关于信息安全等级保护工作的实施意见【颁布单位】公安部国家保密局国家密码管理委员会办公室国务院信息化工作办公室【颁布日期】 20040915【实施日期】 20040917【文号】公通字[2004]66号【名称】关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
一、开展信息安全等级保护工作的重要意义近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。
但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
信息安全等级保护整改工作方案
国家高度重视信息安全
国家先后出台了一系列信息安全文件和举措
2012年国务院以国发〔2012〕23号文件:《国务院关于大力推进信息化发展 和 切实保障信息安全的若干意见》,涉及安全提到提升网络与信息安全保障水 平等六个方面的任务:
健全安全防护和管理,保障重点领域信息安全 一、确保重要信息系统和基础信息网络安全。 二、加强政府和涉密信息系统安全管理。 三、保障工业控制系统安全。 四、强化信息资源和个人信息保护。 加快能力建设,提升网络与信息安全保障水平 一、夯实网络与信息安全基础。 二、加强网络信任体系建设和密码保障。 三、提升网络与信息安全监管能力。 四、加快技术攻关和产业发展。 五、加强宣传教育和人才培养。 六、加快法规制度和标准建设。
• 等级保护的定位和作用: – 是信息安全工作的基本制度、基本国策,是国家意志的体现。 – 是开展信息安全工作的基本方法。 – 是促进信息化、维护国家信息安全的根本保障。 • 五个规定动作:信息系统定级、备案、安全建设整改、等级测评、监督 检查。 • 各单位要按照“准确定级、严格审批、及时备案、认真整改、科学测评” 的要求开展等级保护的定级、备案、整改、测评等工作。
(摘自“《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号 )文件)
信息系统安全保护等级
第五级
信息系统受到破坏后,会对国家安全造成特别 严重损害。 信息系统受到破坏后,会对社会秩序和公共利 益造成特别严重损害,或者对国家安全造成严 重损害。 信息系统受到破坏后,会对社会秩序和公共利 益造成严重损害,或者对国家安全造成损害。
信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信 息 系 统 安 全 等 级 保 护 实 施 指 南
测信 评息 过系 程统 指安 南全 等 级 保 护
工业控制系统信息安全等级保护基本要求概述
工业控制系统信息安全等级保护基本要求概述首先,工业控制系统信息安全等级保护需要建立完善的安全管理体系。
企业应建立专门的信息安全管理机构和岗位,明确相关人员的责任和权限,并建立健全的信息安全管理制度和程序,确保信息资产的安全运行和使用。
其次,工业控制系统信息安全等级保护需要进行风险评估和安全保护措施的规划。
企业应对工业控制系统中的信息资产进行全面的风险评估,找出潜在的信息安全风险和威胁,然后制定相应的安全保护措施和计划,包括安全策略、安全技术、安全控制和安全服务等。
再次,工业控制系统信息安全等级保护需要加强系统安全防护。
企业应采取合适的技术手段和安全措施,对工业控制系统中的信息进行加密保护,建立访问控制和认证措施,设置安全检测和防护设备,防止病毒、木马和网络攻击等安全威胁。
最后,工业控制系统信息安全等级保护需要加强安全监控和应急响应。
企业应建立健全的安全监控机制,实施安全事件的实时监测和告警,加强安全事件的分析和处置,及时掌握和处理安全风险和威胁,保障工业控制系统信息的安全可靠运行和应急响应能力。
工业控制系统信息安全等级保护是一个综合性的工作,需要全面考虑技术、管理和人员等多方面因素。
保护工业控制系统信息安全等级不仅仅是企业内部的事务,也受到政府监管和国际标准的影响。
因此,企业需要深入了解信息安全管理的最新动向和政策法规,严格遵守相关规定和标准,确保工业控制系统的信息安全等级达到国家和国际的要求。
在保护工业控制系统信息安全等级的过程中,企业需要考虑以下几个方面:1. 加强人员安全意识和培训。
作为信息安全的第一道防线,人员的安全意识和行为对工业控制系统的信息安全等级至关重要。
企业应该加强员工的信息安全教育和培训,让员工充分了解信息安全政策、风险和威胁,掌握安全使用信息系统的方法和技巧,形成良好的安全意识和行为习惯。
2. 加强物理安全措施。
工业控制系统信息安全等级保护不仅仅是网络和软件层面的安全,还需要考虑到物理设施的安全。
工业控制系统等级保护主要标准
工业控制系统等级保护主要标准
工业控制系统等级保护主要标准包括以下几个方面:
1.ISA/IEC62443:ISA/IEC62443是一系列工业控制系统安全标准,包括关键基础设施保护、网络和系统安全等。
2. NIST Cybersecurity Framework:NIST Cybersecurity Framework是美国国家标准与技术研究院发布的一个标准框架,用于指导组织的信息安全战略与规划。
3.ISO/IEC27001/27002:ISO/IEC27001/27002是信息安全管理系统的国际标准,其中ISO/IEC27001主要定义了信息安全管理体系的要求和规范,ISO/IEC27002则提供了信息安全管理实践指南和控制目录。
4.DHSCSET:DHSCSET是美国国土安全部开发的一个安全评估工具,用于帮助组织评估工业控制系统的安全性,发现潜在的安全漏洞和风险。
5.IEC62433:IEC62433是国际电工委员会发布的工业控制系统安全标准,覆盖了工业控制系统的安全评估、风险评估、安全管理等方面。
网络信息安全之工业控制系统信息安全技术
关键技术及难点
工业控制系统信息安全防护和测评体系
对信息系统安全实行等级保护是国家信息安全政 策,并颁布了系列国家标准,包括定级、设计、 实施、测评等环节的基本要求和指南 工业控制系统信息安全也应实行等级保护政策, 基于行业/系统重要性不同来分级 现行的等级保护标准并不适合,需要制定针对工 业控制系统信息安全的等级保护标准 通过实施等级保护政策和标准,建立规范化的工 业控制系统信息安全防护和测评体系
网络信息安全之工业控制系统信息安 全技术
安全风险分析
工业控制系统中的管理终端一般没有采取措施对
移动U盘和光盘使用进行有效的管理,导致移动介
质的滥用而引发的安全事件时有发生
在工业控制系统维护时,通常需要接入笔记本电
脑。由于对接入的笔记本电脑缺乏有效的安全监
管,给工业控制系统带来很大的安全风险
由于对工业控制系统的操作行为缺乏有效的安全
网络信息安全之工业控制系统信息安 全技术
国内外技术现状
总体上,我国工业控制系统信息安全工作起 步晚,普遍存在安全意识薄弱、管理制定不 健全、标准规范不完善、技术储备不足、安 全产品缺乏、防护措施不到位等问题 由于工业控制系统的特殊性,现有的信息安 全技术及产品并不能直接用于工业控制系统 中,必须针对工业控制系统的特点,研制适 用的信息安全技术及产品
网络信息安全之工业控制系统信息安 全技术
震网病毒警示
震网病毒给工业控制系统信息安全敲响了 警钟,网络攻击正在从开放的互联网向封 闭的工业控制网蔓延 据权威工业安全事件信息库(RISI)统计,截 止到2011年10月,全球已发生了200余起针 对工业控制系统的攻击事件 2001年后,随着通用开发标准与互联网技 术的广泛使用,针对工业控制系统的攻击 行为也出现大幅度增长
工业控制系统网络安全等级保护的建设
《工业控制系统网络安全等级保护的建设》摘要:【文献标志码,【文章编号,制定统一的工控系统安全管理规范,如保证工控系统设备的运行能满足最大生产需求,优化系统拓扑结构,杜绝系统单点漏洞;调整安全网关策略,防范包括(分布式拒绝服务)在内的各种安全风险;在系统中部署入侵防御系统(IDS)、入侵检测系统(IPS)、安全管理软件等,监测来自系统内外部的入侵;部署工控系统审计系统,对系统的操作、修改、设置等实行审计并记录[2];验证所有连接系统的用户身份,杜绝无相应权限的用户进行管理配置的操作;安装系统数据检查设施,依托数据采集技术,制定管理基线,依据系统实际情况管理和放行数据;增加多种登录方式,如声纹识别、面部识别等生物信息技术,实行双因子登录;防止远程管理系统主机和防火墙,若有实际需求,应当使用密文,防止用户身份信息在传输中被盗取;能防范无认证设施接入系统,防止信息资产流失许新锋Construction of the Network Security Level Protection of Industrial Control SystemXU Xin-feng(Zhengzhou University of Light Industry, Zhengzhou 450000, China)【摘要】现代卷烟工业企业的两化融合程度越来越高,网络的触角已经延伸到各个业务角落,工控网络安全风险也越来越突出。
因而,如何建立一个高质量、稳固牢靠的工控系统网络成为现代卷烟工业企业工控系统建设的一个重要组成部分。
论文剖析了现代卷烟工业企业工控系统安全等保2.0的情况,综合工控系统实际需求,提出等保工作部署的基本策略。
【Abstract】 The integration degree of modernization and industrialization of modern cigarette industrial enterprises is getting higher and higher, the network"s tentacles have been extended to various business corners, and industrial control network security risks have become increasingly prominent. Therefore, how to build a high-quality, stable and reliable industrial control system network has become an important part of the industrial control system construction of modern cigarette industry enterprises. This paper analyzes the safety and security guarantee 2.0 of the industrial control system of modern cigarette industrial enterprises, and combined with the actual needs of the industrial control system, it proposes the basic strategy of the level protection work deployment.【关键词】工业控制系统;安全防护体系建设;部署建议;边界控制【Keywords】 industrial control system; security protection system construction; deployment proposal; boundary control【中圖分类号】TB4 【文献标志码】A 【文章编号】1673-1069(2020)03-0112-021 引言保证各卷烟工业企业生产运行控制系统网络安全的一个有效方法就是工控系统网络安全等级保护制度,实行工控系统网络安全分级防护,能极大地降低当前卷烟工业企业遇到的工控系统网络安全风险,依据“核心优先”的思路,把相关资源优先投入到工控系统的安全防护之中,可以有效促进卷烟工业企业尽快打牢工控系统安全等保的根基。
工业控制系统信息安全标准
工业控制系统信息安全标准工业控制系统信息安全是指通过技术手段保护工业控制系统中的信息资源,确保系统的可靠性、稳定性和安全性。
随着工业控制系统的智能化和网络化发展,信息安全问题日益突出,因此制定和实施信息安全标准显得尤为重要。
首先,工业控制系统信息安全标准应包括系统安全管理、网络安全、数据安全、应用软件安全等方面。
在系统安全管理方面,应建立完善的安全管理制度和流程,包括安全培训、安全意识教育、安全事件响应等,以保证系统的正常运行和安全性。
在网络安全方面,应采取网络隔离、访问控制、流量监测等措施,防范网络攻击和恶意入侵。
在数据安全方面,应加强数据加密、备份和恢复机制,保护系统中的重要数据不被篡改或丢失。
在应用软件安全方面,应对系统中的应用软件进行安全审计和漏洞修复,确保系统不受恶意软件的侵害。
其次,工业控制系统信息安全标准应符合国际标准和行业规范,如ISA/IEC 62443系列标准、国家信息安全等级保护标准等。
这些标准和规范对工业控制系统信息安全提出了具体要求和指导,有助于企业建立科学的信息安全管理体系,提高系统的安全性和稳定性。
另外,工业控制系统信息安全标准的制定和实施需要全员参与,包括技术人员、管理人员、安全人员等。
技术人员应了解系统的安全特性和安全漏洞,及时修复系统中存在的安全隐患;管理人员应制定和执行安全管理制度,确保安全政策得到贯彻执行;安全人员应负责安全事件的监测和响应,及时处置安全事件,保障系统的安全运行。
最后,工业控制系统信息安全标准的落实需要定期进行安全漏洞扫描、安全漏洞修复、安全事件监测等工作,保证系统的安全性和稳定性。
同时,应建立健全的安全管理体系和应急响应机制,确保在安全事件发生时能够及时有效地应对和处置,最大程度地减小安全事件对系统造成的损失。
综上所述,工业控制系统信息安全标准的制定和实施对于保障系统的安全运行和稳定性具有重要意义。
只有加强信息安全意识教育,建立完善的安全管理制度,全面提升系统的安全性和稳定性,才能更好地应对日益复杂的信息安全威胁,确保工业控制系统的正常运行。
工控系统信息安全与等级保护2.0概述
可靠的工控信 息安全产品
工控系统的信息安全
工业控制信息安全·政策法规
《中国人民共和国网络安全法》
▪ 第二十一条 国家实行网络安全等级保护制度 ▪ 第二十三条 网络关键设备和网络安全专用产
品实行销售许可制度 ▪ 第三十一条 关键信息基础设施,在网络安全
等级保护制度的基础上,实行重点保护
工业控制信息安全·政策法规
测试 ▪ 工业控制系统的安全评估/等保
测评
▪ 工业控制信息安全相关的科研工作
谢谢聆听!
等级保护2.0体系升级
等
政策体系
级
• 网络安全等级保护条例起草
保
标准体系
护 2.0
• 主要标准全面修订
体
测评体系
系
技术体系
升
级
教育培训体系
等级保护标准体系
信息安全技术 网络安全等级保护定级指南 信息系统安全等级保护行业定级细则
保信 护息 测系 评统 过安 程全 指等 南级
信 保息 护系 测统 评安 要全 求等
注:允许部分层级合并
工业控制系统安全扩展要求
安ቤተ መጻሕፍቲ ባይዱ要求类 层面
一级
二级
三级
四级
安全物理 环境
2
2
2
2
安全通信 网络
2
4
4
4
技术要求 安全区域 边界
3
5
8
9
安全计算 环境
2
2
5
5
管理要求
安全建设 管理
0
2
2
2
合计
/
9
15
21
22
级差
/
/
6
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5、加强系统层面安全机制,减少应用层面的 改动,梳理处理流程,制定控制策略,嵌入 系统内核,实现控制。
29
三重防御体系是必要的,可行的 具体设计可参照(GB/T25070-2010)
通信网络安全互联
实 现
区域边界安全防护
计算环境 可信免疫
19
安全管理中心支持下的计算环境、区域边界、 通信网络三重防御多级互联技术框架:
边 界 防 护 边 界 防 护 边 界 隔 离
现场控制 计算环境
生产监控 计算环境
企业管理 计算环境
互联网
二级
安全管理中心
安全管理中心
安全管理中心
一级
系统 安全 审计 安全管理中心
20
1)计算环境
现场控制 计算环境
边 界 防 护
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
节点子系统通过在操作系统核心层、 二级 安全管理中心 安全管理中心 安全管理中心 安全保护环境为应用系保护技术框架
信息安全等级保护要做到
You can 1、可信 Be like
God
针对计算资源(软硬件)构建保 护环境,以可信计算基(TCB) 为基础,层层扩充,对计算资源 进行保护 针对信息资源(数据及应用)构 建业务流程控制链,以访问控制 为核心,实行主体(用户)按策 略规则访问客体(信息资源)
4
信息安全等级保护是我国信息安全保障 的基本制度,从技术和管理两个方面进 行安全建设,做到可信、可控、可管, 使工业控制系统具有抵御高强度连续攻 击(APT)的能力
5
一、工业控制系统安全需求
工业控制系统(ICS)包括:
1、监控与数据采集(SCADA) 2、分布式控制系统(DCS)
3、过程控制系统(PCS) 4、可编程逻辑控制器(PLC)
2)应用区域边界
现场控制 计算环境
边 界 防 护
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
二级
安全管理中心
安全管理中心
安全管理中心
区域边界子系统通过对进入和流出安全保护环境 的信息流进行安全检查,确保不会有违背系统安 22 全策略的信息流经过边界,是三级信息系统的第 系统 安全 审计 22 一级 二道安全屏障 安全管理中心
系统管理子系统负责对 安全保护环境中的计算 节点、安全区域边界、 边 安全通信网络实施集中 界 管理和维护,包括用户 互联网 隔 身份管理、资源管理、 离 应急处理等,为三级信 息系统的安全提供基础 保障
二级
安全管理中心
安全管理中心
安全管理中心
一级
系统 安全 审计 安全管理中心
四、坚持自主创新,纵深防御
工业控制系统网络架构是依托网络技术, 将控制计算节点构建成为工业生产过程 控制的计算环境,是属于等级保护信息 系统范围
12
国际标准化组织ISA提出区域防护概念
1、将ICS按安全等级划分区域
2、区域间通过唯一的管道通信 3.、对区域间和区域内实施不同的安全策略 防止威胁在区域间交叉感染 遏制本区域内的入侵威胁
工控系统是定制的运行系统,其资源配 置和运行流程具唯一性和排它性特点, 用防火墙、杀病毒、漏洞扫描不仅效果 不好,而且今引起新的安全问题
26
坚持自主创新,采用可信计算技术,使 每个计算节点、通信节点都有可信保障 功能,那么,系统资源不会被篡改,处 理流程不会被干扰破坏,使系统能按预 定的目标正确运行,“震网”、“火焰” 等病毒攻击不查即杀
5、应急管理系统(EMS)等
7
随着信息化不断深入,工控系统从封闭、 孤立的系统走向互联体系的IT系统,采用 以太网、TCP/IP网及各种无线网,控制协议 迁移到应用层;采用标准商用操作系统、 中间件与各种通用软件,已变成开放、互 联、通用和标准化的信息系统。因此,安 全风险也等同于通用的信息系统
8
3)通信网络
现场控制 计算环境
边 界 防 护
生产监控 计算环境
边 界 防 护
企业管理 计算环境
边 界 隔 离
互联网
二级
通信网络子系统通过对通信数据包的保密性和 完整性进行保护,确保其在传输过程中不会被 非授权窃听和篡改,使得数据在传输过程中的 23 系统 安全 审计 一级 安全得到了保障,是三级信息系统的外层安全 23 安全管理中心 屏障
做好工业控制系统的 信息安全等级保护工作
国家信息化专家咨询委员会委员 沈昌祥 院士
党的十八大报告指出:世界仍然很不安宁。 „„,粮食安全、能源资源安全、网络安全等 全球性问题更加突出。
党的十八大报告要求:建设下一代信息基础设 施,发展现代信息技术产业体系,健全信息安 全保障体系,推进信息网络技术广泛运用。 „„高度关注海洋、太空、网络空间安全。
系统层设置以了一个严密牢固的防 OA系统等)提供安全支撑服务。通 护层,通过对用户行为的控制,可 过实施三级安全要求的业务应用系统, 以有效防止非授权用户访问和授权 使用安全保护环境所提供的安全机制, 21 用户越权访问,确保信息和信息系 系统 安全 审计 为应用提供符合三级要求的安全功能 统的保密性和完整性安全,从而为 21 一级 支持和安全服务 典型应用子系统的正常运行和免遭 安全管理中心 恶意破坏提供支撑和保障
27
坚持纵深防御,克服“封堵查杀”被动局面 1、加强信息系统整体防护,建设区域隔离、 系统控制的三重防护、多级互联体系结构
2、重点做好操作人员使用的终端防护。把住 攻击发起的源头关,做到操作使用安全 3、加强处理流程控制,防止内部攻击,提高 计算节点自我免疫能力,减少封堵
28
4、加强技术平台支持下的安全管理,基于安 全策略,与业务处理、监控及日常管理制度有 机结合。
You can 2、可控 Be like God
You can 3、可管 Be like God
保证资源安全必须实行科学管理 ,强调最小权限管理,尤其是高 等级系统实行三权分离管理体制 ,不许设超级用户
针对工业控制特点,按GB/17859要求 ,构建在 安全管理中心 支持下的 计算环境 区域边界 通信网络
2010年“震网”病毒事件破坏了伊朗核 设施,震惊全球,这标志着网络攻击从 传统“软攻击”升级为直接攻击电力、 金融、交通、核设施等核心要害系统的 “硬摧毁”,导致基础的工业控制系统 破坏,对国家安全、社会稳定、经济发 展、人民生活安定带来严重损害
3
2011年工信部发布了《关于加强工业控 制系统安全管理的通知》,明确了重点领 域工业控制系统信息安全管理要求,对连 接、组网、配置、设备选择与升级、数据、 应急等管理方面提出了明确要求
按国家信息安全等级保护有关标准 和规定,确定定级对象:
一般先划分安全区域,可分为企业管理、 生产监控和现场控制三个大区,每个安 全区内可按统一的生产业务流程、软硬 件资源相对独立和管理责任明确三个条 件确定定级信息系统 再按其重要程度确定具体等级
14
用于冶金、化工、能源、交通、水利系统 领域的工业控制系统会涉及社会稳定和国 家安全,多数系统属3级以上,尤其是生 产监控现和现场控制系统含有大量的4级 系统
互联网
企业管理网
生产监控网
现场控制网
工控网络架构
9
特殊要求:
1、实时性通信 2、系统不允许重启 3、人和控制过程安全 4、加入安全后,不影响控制流程 5、通信协议多种多样 6、设备不易更换 7、设备生命周期为15-20年 传统的“封堵查杀”安全防护技术难以解决 工控系统安全
10
二、信息安全等级保护 适用于工业控制系统
安全管理中心
安全管理中心
安全管理中心
4)管理中心
安全管理子系统是信息系 统的控制中枢,主要实施 审计子系统是系统的监督中 标记管理、授权管理及策 枢,安全审计员通过制定审 略管理等。安全管理子系 计策略,强制节点子系统、 统通过制定相应的系统安 区域边界子系统、通信网络 边 边 全策略,并且强制节点子 子系统、安全管理子系统、 界 界 生产监控 企业管理 现场控制 系统、区域边界子系统、 防 防 系统管理子系统执行,从而 计算环境 计算环境 计算环境 护 护 通信网络子系统及节点子 实现对整个信息系统的行为 系统执行,从而实现了对 审计,确保用户无法抵赖违 整个信息系统的集中管理, 背系统安全策略的行为,同 时为应急处理提供依据 为三级信息系统的安全提 供了有力保障