工业控制系统安全体系架构与管理平台实用版
工控系统信息安全(ICS)产品选型手册说明书
前言随着企业信息化应用的逐渐深入以及两化深度融合的持续推进,我国工业自动化水平得到了很大提高,信息、网络以及物联网技术在智能化生产设备和信息系统中的应用也日趋广泛。
企业为实现系统间的协同和信息共享,工业控制系统逐渐打破了以往的封闭性:采用标准、通用的通信协议及硬软件系统,从而使工业控制系统面临病毒、木马、黑客入侵、拒绝服务等信息安全威胁。
由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中,其安全事故造成的社会影响和经济损失会更为严重。
工业控制系统安全是工业进行信息化和智能化改造的重要因素,因此,只有在保证工控系统安全的前提下,才能够促进企业生产制造安全,从而保障工业智能化带来的生产效率的提高和附加效益的实现。
如何解决工控安全问题已成为企业面临的严峻挑战。
当前,市场上工控安全类产品众多,如何选择一款合适的产品来帮助企业提升工控系统安全防御能力至关重要。
面对企业选型时的种种困惑,e-works本着客观、中立、公正的原则,发布《工控系统信息安全(ICS)产品选型手册》。
旨在通过对工控系统安全领域厂商的产品及技术的全面分析和梳理,为制造企业工控系统安全解决方案的实施与选型提供参考。
选型手册涵盖了威努特、中国网安、力控华康、匡恩网络、海天炜业、绿盟科技、中科网威、谷神星、安点科技等业内主流厂商。
在此,非常感谢厂商市场人员积极配合本次选型工作,主动提供与产品相关的资料和介绍,给选型手册的编撰工作给予的大力支持。
目录前言 (2)一、工业控制系统概述 (4)1.工业控制系统体系架构 (4)2.工业控制系统功能组件 (5)3.工业控制系统安全现状 (7)4.工业控制系统安全问题分析 (8)4.1. 通信协议漏洞 (8)4.2. 操作系统漏洞 (9)4.3. 杀毒软件漏洞 (9)4.4. 应用软件漏洞 (9)4.5. 安全策略和管理流程漏洞 (9)5.工业控制系统安全保障策略 (10)二、产品选型 (11)1.资质评估 (11)2.需求评估 (13)3.功能评估 (16)4.成本评估 (13)5.合同签订 (17)三、案例分析 (20)1.工控系统安全在汽车行业的应用 (19)2.工控系统安全在数控机床行业的应用 (23)3.工控系统安全在石化行业的应用 (25)四、主流厂商及产品 (27)1.威努特 (27)2.中国网安 (28)3.力控华康 (30)4.匡恩网络 (31)5.海天炜业 (32)6.立思辰 (34)7.绿盟科技 (35)8.中科网威 (37)9.谷神星 (38)10.安点科技 (39)e-works研究院介绍 (42)一、工业控制系统概述工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。
(完整版)解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》制定《指南》的背景通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。
”可以看出,《工业控制系统信息安全防护指南》是根据《意见》制定的。
《意见》中相关要求《意见》“七大任务"中专门有一条“提高工业信息系统安全水平"。
工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。
以上这些,就是政策层面的指导思想和要求。
《指南》条款详细解读《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地.我们从《指南》要求的主体、客体和方法将十一条分为三大类:a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任: 1。
10 供应链管理(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务.解读:工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。
(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
工业控制系统信息安全整体解决方案
北京威努特技术有限公司总经理:龙国东
威努特—工控安全专家
内容提纲
1
2
威努特公司介绍
工控安全标准解读
威努特工控安全理念 威努特工控安全解决方案 行业案例
3
4
5
公司简介
威努特—工控安全专家
北京威努特技术有限公司是一家专注于工业控制系统网络安全产品与解决
方案研发的创新型高科技公司。
3
4
5
威努特工控安全解决方案
行业案例
威努特工控安全解决方案
核心技术理念:
纵深防护
威努特—工控安全专家
白名单机制
工业协议深度解析
实时监控审计
统一平台管理
Page 17
威努特工控安全解决方案—白名单机制
“白名单”主动防御技术是通过提前计划好的协议规则来限制
威努特—工控安全专家
网络数据的交换,在控制网到信息网之间进行动态行为判断。通
防病毒软件在长年不更新病毒库的工控网内的实际作用非常有限,老旧的病毒库无 法抵御新型病毒的攻击;安装防病毒软件只是自欺欺人的一厢情愿罢了。
Page 12
威努特工控安全理念—传统信息安全产品解决不了工控安全问题
可用性和机密性的矛盾 工业控制系统“可用性”第一,而IT信息系统以“机密性”第一
从而要求安全产品的软硬件重新设计。例如:系统fail-to-open。
工控安全
实时适度的吞吐量高延迟或抖动不可接受 重新启动不可接受可用性要求可能需要冗余系统 停机必须有计划和提前预定时间高可用性要求充分的部署前测试 人身安全是最重要的,其次是过程保护 容错是必须的,即使瞬间的停机也可能不可接受 主要的风险影响是不合规,环境影响,生命、设备或生产损失 首要重点是保护边缘设备,如现场设备、过程控制器 中央服务器的保护也很重要 安全产品必须先测试,例如在离线工控系统上测试,以保它们不 会影响工控系统的正常运行 人机交互及紧急情况下快速反应是关键 应严格控制对工控系统的访问,但不应妨碍或干预人机交互 专用的操作系统,往往没有内置的安全功能 软件变更必须慎重,通常由软件供应商操作 系统被设计为支持预定的工业过程,可能没有足够的资源支持增 加安全功能 许多专有的和标准的通信协议 使用多种类型网络,包括有线、无线(无线电和卫星)
火电厂几种主流DCS系统介绍
FoxboroA2自动化控制系统更适合于中小型 装置,采用以太网系统架构.符合lSO/OSl标 准.传输速率最高为100Mb/s,通信介质为 光缆或双绞线,用于连FoxboroA2的控制站、 工程师站、操作员站,也可与多种现场总线 相连.模块采用欧陆公司的2500系列和技术, 人机界面采Wonderware产品和技术.
由于FSSS对作为事件顺序的操作记录的要 求很高,而且可能是多系统组合来完成该项 功能,所以SOE的带有时间戳的开关量输入 设备及相关功能是必须具备的.在时间同步 方面,除了DCS系统内时钟同步方式,还有目 前正兴起的GPS卫星时间同步方式.
由于电厂的主要产品电能的特殊性及电网 调度和电业管理的要求,电厂已推行火力发 电厂厂级监控信息系统技术要求SIS,现在也 基本上做到很好和DCS之间的衔接问题.
优缺点
优点:系统可靠,在中国电力方面用户多达 200多个,新系统和老系统兼容,这有利于以 后的设备改造更新.图形化组态 ,方便于机组 运行中查找维护. 缺点:不能在软件中进行强制. PS:省内电厂使用该系统的有大唐洛河电厂.
西门子Siemens
在全世界已有超过1500套DCS控制系统装 置,是成功的电力和I&C系统供应商.在我国 电站中采用西门子的Tele-perm系统较多.近 年在全集成自动化的架构下,西门子推出 SPPA—T3000系统,已经在国内大型电站项 目陆续使用,效果相当不错.现就SPPATDCS系统进入21世纪,在通信和信息管理技 术、集成电路技术的进步以及工艺设备大 型化的影响下,在节能环保和提高生产效率 的需求下,形成了新一代的DCS,或称为第四 代DCS.在电厂方面,我们重点介绍ABB、西 门子SiemensT3000、艾默生 OvationFOXBORO和日立Hitachi五家相关 产品,这五家也是现在电厂DCS的主流厂家.
智慧工业园区信息化智能化系统平台建设一体化解决方案
感谢您的观看
汇报人:XX
智慧工业园区信息化智能化系 统平台的定义
智慧工业园区信息化智能化系 统平台的发展背景
智慧工业园区信息化智能化系 统平台的建设意义
智慧工业园区信息化智能化系 统平台的架构与功能
平台功能:支持工业园区信息化智能化系统建设,包括设备 管理、能源管理、安全监控等功能
平台特点:采用先进的技术和设备,实现高效、安全、可靠 的系统运行,提高工业园区的整体运营效率和管理水平
智慧工业园区信息化 智能化系统平台建设 一体化解决方案 汇报人:XX
目录
添加目录标题
智慧工业园区信息化 智能化系统平台概述
智慧工业园区信息化智 能化系统平台建设方案
一体化解决方案在智 慧工业园区的应用
一体化解决方案的技 术支持与保障措施
一体化解决方案的效 益评估与推广价值
添加章节标题
智慧工业园区信息 化智能化系统平台 概述
行业内的应用前景展望:未来智慧工业园区将更加注重一体化解决方案的应用,推动行业向数字化、智能化方向 发展
总结与展望:未来 智慧工业园区信息 化智能化系统平台 发展趋势及挑战应 对策略
● 新技术应用:随着物联网、云计算、大数据、人工智能等技术的不断发展,智慧工业园区信息化智能化系统 平台将不断引入新技术,提升系统的智能化水平,提高生产效率和管理效率。
视频监控系统: 实现园区全方位、 无死角监控,提 高安全防范能力
门禁管理系统: 实现园区人员进 出、车辆进出等 管理,确保园区 安全
报警系统:实时 监测园区内异常 情况,及时报警 并处理,减少安 全事故发生
智能巡检系统: 通过机器人、无 人机等设备实现 园区巡检,提高 巡检效率和质量
智能安防系统:实时监控、报警联动,保障园区安全 智能能源管理:实时监测、优化能源消耗,降低运营成本 智能物流管理:实现货物快速、准确送达,提高物流效率 智能设备管理:实时监测设备运行状态,提高设备利用率
工业领域数据安全标准体系建设指南(2023版)
工业领域数据安全标准体系建设指南(2023版)2023年12月目录一、总体要求 (1)(一)基本原则 (1)(二)建设目标 (2)二、主要内容 (2)(一)体系框架 (2)(二)重点领域 (5)1.基础共性标准 (5)2.安全管理标准 (6)3.技术和产品标准 (7)4.安全评估与产业评价标准 (9)5.新兴融合领域标准 (10)6.工业领域细分行业标准 (12)三、组织实施 (13)一、总体要求以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策文件要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。
(一)基本原则统筹规划,全面布局。
统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。
需求引导,多层构建。
结合不同行业工业领域数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各工业领域细分行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。
基础先立,急用先行。
围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。
综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。
注重实效,开放合作。
加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。
积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。
(二)建设目标到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。
iec 62443 标准
iec 62443 标准IEC 62443标准。
IEC 62443标准是针对工业控制系统安全的国际标准,旨在确保工业控制系统的安全性和可靠性。
随着工业互联网的发展,工业控制系统的网络化和智能化程度越来越高,安全问题也日益突出,因此IEC 62443标准的重要性日益凸显。
IEC 62443标准主要包括四个方面的内容,安全管理系统、安全策略和程序、安全技术要求和安全系统评估。
其中,安全管理系统是指组织和管理安全工作的体系,包括安全政策、安全目标、安全责任和安全程序等。
安全策略和程序是指制定和执行安全策略的具体方法和步骤,包括风险评估、安全培训、安全审计和应急响应等。
安全技术要求是指工业控制系统的安全功能和安全性能要求,包括网络安全、数据安全、设备安全和通信安全等。
安全系统评估是指对工业控制系统安全性的评估和验证,包括安全性能测试、安全性能评估和安全性能认证等。
IEC 62443标准的实施对于工业控制系统的安全至关重要。
首先,它可以帮助组织建立健全的安全管理体系,明确安全责任和安全程序,提高安全意识和安全素养。
其次,它可以帮助组织建立完善的安全策略和程序,识别和评估安全风险,制定有效的安全措施,提高安全防护和安全应对能力。
再次,它可以帮助组织实施有效的安全技术要求,确保工业控制系统的安全功能和安全性能,防范和抵御各种安全威胁和攻击。
最后,它可以帮助组织进行全面的安全系统评估,验证工业控制系统的安全性能和安全性能认证,提高安全保障和安全可靠性。
在实施IEC 62443标准的过程中,组织需要重视以下几个方面的工作。
首先,需要建立高层领导的安全意识,明确安全责任和安全目标,推动安全管理体系的建立和落实。
其次,需要开展全面的安全风险评估,识别和评估工业控制系统的安全风险,制定相应的安全策略和程序。
再次,需要加强安全技术的研发和应用,提高工业控制系统的安全功能和安全性能,保障工业控制系统的安全可靠性。
最后,需要进行全面的安全系统评估,验证工业控制系统的安全性能和安全性能认证,提高安全保障和安全可靠性。
工业互联网安全标准体系2021
附件工业互联网安全标准体系(2021年)一、工业互联网安全标准总体框架EA.分类分级安全防护EC.安全应用服务E.工业互联网安全EAA 分类分级定级指南EAB应用工业互联网工业企业安全ECA工业企业安全上云ECC 5G+工业互联网安全EAC工业互联网平台企业安全EAD工业互联网标识解析企业安全EAF工业互联网关键要素安全EB.安全管理EBC安全运维EBD安全评估EBA安全监测ECD密码应用EAE工业互联网企业数据安全ECE安全技术及产品应用EBB安全应急响应EBE安全能力评价ECB安全公共服务二、工业互联网安全标准建设方向。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
YF-ED-J5938可按资料类型定义编号工业控制系统安全体系架构与管理平台实用版Management Of Personal, Equipment And Product Safety In Daily Work, So The Labor Process Can Be Carried Out Under Material Conditions And Work Order That Meet Safety Requirements.(示范文稿)二零XX年XX月XX日工业控制系统安全体系架构与管理平台实用版提示:该安全管理文档适合使用于日常工作中人身安全、设备和产品安全,以及交通运输安全等方面的管理,使劳动过程在符合安全要求的物质条件和工作秩序下进行,防止伤亡事故、设备事故及各种灾害的发生。
下载后可以对文件进行定制修改,请根据实际需要调整使用。
一、工业控制系统安全分析工业控制系统(IndustrialControlSystems,ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。
其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
典型的ICS控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。
1.1工业控制系统潜在的风险1.操作系统的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
2.杀毒软件安装及升级更新问题用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3.使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4.设备维修时笔记本电脑的随便接入问题工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5.存在工业控制系统被有意或无意控制的风险问题如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
1.2“两化融合”给工控系统带来的风险工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。
导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
1.3工控系统采用通用软硬件带来的风险工业控制系统向工业以太网结构发展,开放性越来越强。
基于TCP/IP以太网通讯的OPC 技术在该领域得到广泛应用。
在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC 服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。
二、工业控制系统安全防护设计通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。
通过“三层架构,二层防护”的体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。
通过工控系统安全管理平台,确保HMI、管理机、控制服务工控通信设施安全可信。
2.1构建“三层架构,二层防护”的安全体系工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面,层次不清,你中有我、我中有你。
来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害,网络风暴和拒绝式服务攻击很容易消耗系统的资源,使得正常的服务功能无法进行。
2.1.1工控系统的三层架构一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。
在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。
工控系统三层架构如下图所示:通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。
管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等,管理信息系统融信息服务、决策支持于一体。
制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。
通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。
主要完成加工作业、检测和操控作业、作业管理等功能。
2.1.2工控系统的二层防护1、管理层与MES层之间的安全防护管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。
也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。
管理层与MES层之间的安全防护如下图所示:2、MES层与工业控制层之间的安全防护通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示: 2.1.3工控系统安全防护分域安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。
安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。
对MES、ICS的安全域划分如下图所示:如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
2.1.4工控系统安全防护分等级根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障信息的安全。
安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
2.2构建工业控制系统安全管理平台工业控制系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。
工业控制系统最大的安全需求是唯一性和排它性,在某一特定的工业控制系统中,工业控制系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。
启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。
工业控制系统安全管理平台有两部分组成,一部分是工业控制系统安全管理平台,具有终端管理、网络管理、行为监控功能,另一部分是终端安全管理客户端。
2.2.1管理平台部分工业控制系统的安全运行,主要需要保障工业控制系统相关信息系统基础设施的安全,包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类IT资源的安全,从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控、运行监控与安全监控),实现对安全事件的预警与响应,保障工业控制系统的安全稳定运行。
具体而言,工业控制系统安全管理平台功能如下:1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控,例如CPU、内存、端口流量等等。
2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。
3.能够对各层边界数据交换情况进行监控。
4.能够对工业控制系统中的网络操作行为进行审计。
5.能够对工业控制系统日志进行关联分析和审计。
6.能够对工业控制系统中的异常事件进行预警响应。
7.能够对工业企业信息系统进行虚拟安全域的划分。
2.2.2工业控制系统终端安全管理部分由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒、木马、黑客等攻击行为都利用这些安全弱点,在终端上发生、发起,并通过网络感染或破坏其他系统。
工业控制系统终端最大特点是应用相对固定,终端主要安装工业控制系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。
具体而言,工业控制系统安全管理平台终端安全管理部分功能如下:1.工业控制系统安全管理平台客户端软件轻巧精炼,占用资源极少,能够最大程度保证工业控制系统管理终端的稳定性。