工业控制系统信息安全整体解决方案共34页
工业控制系统信息安全行动计划(2018—2020年)
工业控制系统信息安全行动计划(2018—2020年)作者:来源:《中国电子报》2018年第02期工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障。
近年来,随着中国制造全面推进,工业数字化、网络化、智能化加快发展,我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。
为全面落实国家安全战略,提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快我国工控安全保障体系建设,制定本行动计划。
一、总体要求(一)指导思想全面贯彻落实党的十九大精神,以习近平新时代中国特色社会主义思想为指引,坚持总体国家安全观,以落实企业主体责任为关键,紧紧围绕新时期两化深度融合发展需求,重点提升工控安全态势感知、安全防护和应急处置能力,促进产业创新发展,建立多级联防联动工作机制,为制造强国和网络强国战略建设奠定坚实基础。
确保信息安全与信息化建设同步规划、同步建设、同步运行。
坚持落实企业主体责任。
确立企业工控安全主体责任地位,强化责任意识,把工控安全作为工业生产安全的重要组成部分,将安全要求纳入企业生产、经营、管理各环节。
坚持因地制宜分类指导。
准确把握工控安全在不同行业、不同地区的发展基础和特征,结合工控安全威胁的多样性和复杂性,分类别、分层次、分步骤精准施策。
坚持技术和管理并重。
统筹技术防护与安全管理,充分运用先进技术提升工控安全防护能力,创新企业安全管理机制,全面落实安全管理制度。
(二)主要目标到2020年,全系统工控安全管理工作体系基本建立,全社会工控安全意识明显增强。
建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台),态势感知、安全防护、应急处置能力显著提升。
培育一批影响力大、竞争力强的龙头骨干企业,创建3~5个国家新型工业化产业示范基地(工业信息安全),产业创新发展能力大幅提高。
二、主要行动(一)安全管理水平提升落实企业主体责任。
工业控制系统信息安全浅析
1 工业控制系统信息安全简介工业控制系统被广泛应用于现代社会的诸多关键领域,包括能源、水电、通信、交通、调度、工业制造等。
在工业控制系统与互联网连接的趋势下,工业控制系统信息安全越来越引起业界的关注。
一个完整的工控企业的信息系统通常分为四层,即企业管理层、生产管理层、生产控制层和设备层。
企业管理层实现企业内部办公系统功能,生产相关数据不包括在内。
一般将生产管理层、生产控制层和设备层涉及的部分统称为工业控信息系统。
工业控制信息系统不但包括SCADA、DCS、PLC、RTU等专用的信号采集、数据传输和信息控制系统,还包括专用的工业通信输设备及工业企业专用数据库。
S C A D A(S u p e r v i s o r y C o n t r o l A n d D a t a Acquisition)即数据采集与监视控制系统,用来控制地域上分散的大型分布式系统。
SCADA系统控制的分布式系统,地域跨度大,分散的数据采集和集中的数据处理是SCADA的主要特点。
典型的SCADA系统有供水和污水收集系统、石油和天然气管道、电力电网及铁路运输系统等。
DCS(Distributed Control System)即分布式控制系作者简介:李莉中国信息通信研究院泰尔系统实验工程师。
统,是对工业系统的生产过程进行集中管理和分散控制的计算机系统。
DCS对实时性和可靠性要求较高。
DCS 通常是专用定制化系统,使用专用处理器,采用私有通信协议通信,运行针对企业特定应用的定制化软件系统。
DCS广泛应用在在能源化工、汽车生产、食品、废水处理等行业。
图1 工业控制系统架构PLC(Programmable Logic Controller)即可编程逻辑控制器,用于控制工业设备和生产过程。
PLC通常在较小的控制系统配置中作为主要组件,用于提供离散过工业控制系统信息安全浅析Analysis of Certification Requirements for IoT Wireless Communication Products at Home and Abroad李 莉(中国信息通信研究院,北京 100191)摘 要:本文首先研究了工业控制系统信息安全的范畴和发展现状,然后对工业控制信息体统安全行业发展带来的新机遇进行了探讨,接下来对促进工控信息系统发展的国内外相关标准做了梳理,最后给出了工控安全行业发展展望和建议。
工业控制系统信息安全防护技术
工业控制系统信息安全防护技术在当今数字化、智能化的时代,工业控制系统在各个领域的应用越来越广泛,从制造业到能源领域,从交通运输到基础设施,其重要性不言而喻。
然而,随着工业控制系统与信息技术的深度融合,信息安全问题也日益凸显,给工业生产和国家安全带来了严峻的挑战。
因此,加强工业控制系统信息安全防护技术的研究和应用,已成为当务之急。
工业控制系统是指用于控制工业生产过程的自动化系统,包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等。
这些系统通过传感器、执行器、网络等设备实现对工业生产过程的监测、控制和优化,以提高生产效率、保证产品质量、降低成本和能耗。
然而,由于工业控制系统通常具有开放性、互联性和复杂性等特点,使其面临着诸多信息安全威胁。
首先,工业控制系统面临着网络攻击的威胁。
黑客可以通过网络入侵工业控制系统,窃取敏感信息、篡改控制指令、破坏生产设备,从而导致生产中断、产品质量下降、环境污染甚至人员伤亡等严重后果。
例如,2010 年“震网”病毒攻击了伊朗的核设施,导致大量离心机损坏,给伊朗的核计划造成了重大打击。
其次,工业控制系统面临着恶意软件的威胁。
恶意软件可以通过移动存储设备、网络下载等途径进入工业控制系统,窃取数据、破坏系统功能、传播病毒等。
此外,工业控制系统还面临着物理攻击、社会工程学攻击等多种威胁。
为了应对这些威胁,需要采取一系列的信息安全防护技术。
一是访问控制技术。
访问控制是限制对工业控制系统资源访问的重要手段。
通过设置用户身份认证、授权和访问权限,可以确保只有合法的用户能够访问系统资源,从而降低信息泄露和恶意操作的风险。
常见的访问控制技术包括用户名/密码认证、数字证书认证、生物识别认证等。
二是加密技术。
加密技术可以对工业控制系统中的敏感数据进行加密处理,使其在传输和存储过程中保持机密性和完整性。
例如,对控制指令、生产数据等进行加密,可以防止数据被窃取和篡改。
关于工业网络安全 PPT
传统的IT安全产品无法解决工控安全问题
对比项 建设目标
工业控制系统(ICS)
传统IT信息系统
利用各种自动化控制技术、不同的工业协 利用通用的计算机、互联网
国内工控信息安全相关政策
•国务院关于大力推进信息化发展和切实保障信息安全的若干 意见,国发〔2012〕23号 •《意见》6-3明确,保障工业控制系统安全。加强核设施、航 空航天、先进制造、石油石化、油气管网、电力系统、交通运 输、水利枢纽、城市设施等重要领域工业控制系统,以及物联 网应用、数字城市建设中的安全防护和管理。
制造业
2005年:Zotob蠕虫事 件对全球制造行业造成巨大经 济损失超过$1,400,000
水利
2007年:攻击者入侵加
拿大一水利SCADA控制系统
,破坏了取水调度的控制计算
机
自2009年以来中国网 络遭受黑客攻击增长 15倍以上,30%是针 对国家基础设施
市政
2008年:攻击者利用电 视遥控器改变轨道扳道器,攻 击了波兰Lodz的城铁系统,导 致4节车厢出轨,12名乘客受 伤
工业控制系统信息安全主要目标
1 可用性 2 完整性
3保密性
保护工控系统免受病毒等恶意代码的侵袭。 避免工控系统遭受人为恶意或者无意的违规操作。 防范外部、内部的网络攻击。 在不利条件下维护生产系统功能。 安全事件发生后能迅速定位找出问题根源。
工控网络攻击入侵途径分析
企业办公网 远程维护通道 手机等智能终端
数据库 ERP MES 服务器 服务器 服务器 OPC OPC 服OPC ERP 数据库 监控终端 客户端 客户端
工业控制系统安全指南(40页)
网络方面的脆弱性
在ICS中的漏洞可能会出现缺陷,错误配置,或对ICS网络及 与其他网络的连接管理不善。这些漏洞可以通过各种安全 控制消除或者弱化,如防御深入的网络设计,网络通信加 密,限制网络流量,并提供网络组件的物理访问控制。
网络配置漏洞 网络硬件漏洞 网络边界漏洞 网络监控和记录漏洞 通信中的漏洞 无线连接中的漏洞
14
ICS特性
本文中ICS特性主要是通过与IT系统的区别而列举出来的。
起初,ICS与IT系统并无相似之处,随着ICS采 用广泛使用的、低成本的互联网协议(IP)设备 取代专有的解决方案,以促进企业连接和远程访 问能力,并正在使用行业标准的计算机、操作系 统(OS)和网络协议进行设计和实施,它们已经 开始类似于IT系统了。但是,ICS有许多区别于传 统IT系统的特点,包括不同的风险和优先级别。其 中包括对人类健康和生命安全的重大风险,对环 境的严重破坏,以及金融问题如生产损失和对国 家经济的负面影响。
38
以上概要介绍了美国在解决工业控制 系统安全问题上的思想、途径以及方法, 这些内容对我国目前实际开展的ICS安 全工作,对我国ICS安全战略制定、标 准化工作、安全技术研发和创新等,均 具有很好的参考价值。
39
谢谢!
40
NISTSP800-82
1
开始语
《SP 800—82 :工业控制系统(ICS)安全指南》于 2010年1O月发布,是NIST依据2002年联邦信息安 全管理法 、2003年国土安全总统令HSPD-7等编制 而成。它遵循《OMB手册 》的要求“保障机构信 息系统 ,为联邦机构使用,同时允许非政府组织 自愿使用,不受版权管制。”
DCS系统用于控制在同一地理位置的生产系统,被 用来控制工业生产过程,如炼油厂,水和污水处 理,发电设备,化学品制造工厂,和医药加工设 施等行业。
工业控制系统信息安全标准体系
工业控制系统信息安全标准体系工业控制系统信息安全标准体系主要包含以下几个部分:
1. 基础标准:这部分标准提供了工业控制系统安全的基本框架和要求,包括工控安全的技术要求、管理要求和评估要求等。
2. 技术标准:这部分标准主要针对工控安全的具体技术领域,包括工
控系统的安全防护、安全检测、应急响应等方面的技术要求和规范。
3. 管理标准:这部分标准主要针对工控安全的管理活动,包括工控系
统的风险评估、安全管理、安全培训等方面的要求和规范。
4. 评估标准:这部分标准主要针对工控安全的评估活动,包括对工控
系统进行安全检查、安全测试等方面的要求和规范。
在工业控制系统信息安全标准体系的建设过程中,需要关注以下几个
方面:
1. 完善基础标准,建立符合我国工业控制系统的安全框架和基本要求。
2. 加强技术标准的研究和制定,提高工控系统的安全防护能力和应急
响应能力。
3. 强化管理标准的建设,完善工控系统的风险管理、安全管理体系等
方面的要求和规范。
4. 重视评估标准的制定,确保工控系统的安全检查和测试的有效性和
规范性。
同时,还需要关注以下几个方面的标准化工作:
1. 工业控制系统的网络安全防护和检测技术。
2. 工业控制系统的数据安全保护技术。
3. 工业控制系统的应用软件安全技术。
4. 工业控制系统的安全管理及安全评估技术。
工业控制系统信息安全管理制度
工业控制系统信息安全管理制度工业控制系统(Industrial Control System,ICS)是现代工业生产的重要组成部分,其涵盖了电力、化工、交通、通信等多个领域,负责实现生产过程的自动化控制、数据采集、监测调度等功能,是保障重要国家基础设施运行的关键性技术。
但随着计算机网络技术的快速发展和广泛应用,ICS也面临着日益复杂的安全挑战。
因此,建立和完善工业控制系统的信息安全管理制度至关重要。
一、制度背景在工业控制系统中,安全风险极高,一旦被攻击往往会产生灾难性的后果。
例如,2010年伊朗核设施袭击事件中,针对该国的工业控制系统实施的恶意软件攻击,直接导致核设施的瘫痪,一度引发国际关注。
而在国内,随着工业互联网、5G等技术的广泛应用,工业控制系统也正日益融入数字网络体系,相关的信息安全问题也愈加突出。
因此,制定工业控制系统信息安全管理制度,建立科学的防护机制,是保障我国重要基础设施安全的必要手段。
二、制度原则1.安全优先原则:工业控制系统的安全性需要放在优先位置,任何设计和部署措施的考虑和决策都应以安全需求为核心。
2.信息分类原则:区分信息的机密性、完整性和可用性不同层次,为不同级别的信息提供相应的保护措施。
3.全员安全原则:所有涉及工业控制系统的人员都应该接受安全教育和培训,积极参与安全实践,本制度的实施应对全员普及。
4.预测性原则:工业控制系统安全是一个不断变化的过程,需要预判风险,制定相应应对措施,并定期审查和更新防护机制,以确保安全水平不断提升。
三、制度内容1.安全政策和标准:制定工业控制系统安全政策和标准,规定所有涉及工业控制系统的员工和相关方应该遵循的安全要求和流程,以保证系统的正常运行。
2.安全风险评估:针对工业控制系统所面临的所有风险,制定相应的安全风险评估方法并进行风险评估,从而获得可行的安全措施。
3.身份认证和访问控制:针对所有访问资源的人员,按照其在系统中的角色和权限,制定相应的身份认证和访问控制措施。
工业控制系统信息安全概述及标准实践
中央网络安全和信息化领导小组宣 告成立
《中国制造2025》 国务院 2015.5.8
2011-10
2012-6
2013-8
2014-2
2015-4
2015-5
《关于增设网络空间安全一级学科的 通知》
国务院学位委员会和教育部 2015.6.11
2015-6
2017-6
《关于加强工业控制系统信息安全管理的通知》《关于组织实施2013年国家信息安全转型有关事
一、工作背景
为贯彻落实工信部《关于加强工业控制系统信息安全 管理的通知》(工信部协〔2011〕451 号)要求与“胜利油田 信息网络安全工作会议”的工作精神,2016 年 8 月至 11 月, 胜利石油管理局生产运行管理中心组织专项试点工作组, 对胜利油田管理局下辖的市政、电力以及化工领域 7 家重 点单位,开展重点领域工业控制系统信息安全试点工作。
工业信息安全企业现状
(一)运营单位信息安全 职责不明晰
现状
(三)解决方案的成本较 高
(二)工业信息安全解决 方案的推广示范不足
(四)以破坏性任务为目的 的病毒较少
目录 CONTENTS
01 工业信息安全概述 02 工业信息安全现状 03 工业信息安全标准及实践
工业信息安全政策颁布
《关于大力推进信息化发展和切实保障信息安全的 若干意见》国务院 2012.6.28
工信部 2011.10.25
项的通知》国家发改委 2013.8.22
《中央编办关于工业和信息化部有关职责和机构 调整的通知》
中央机构编制委员会办公室 2015.4.20
《中华人民共和国网络安全法》 2015.6初次审议 2016.6二次审议 2017.6正式实施
信息安全技术工业控制系统安全管理基本要求
信息安全技术工业控制系统安全管理基本要求
在工业控制系统(Industrial Control Systems,简称ICS)的安全管理中,信息安全技术扮演了重要的角色。
以下是几个基本的要求,以确保工业控制系统的安全性:
1. 风险评估与管理:进行全面的风险评估,了解系统面临的威胁和潜在风险。
制定相应的风险管理策略,包括确定安全目标、措施和风险接受水平。
2. 访问控制与身份认证:实施严格的访问控制措施,确保只有经过授权的人员才能访问系统。
使用有效的身份认证机制,如用户名密码、双因素认证等。
3. 安全审计与监控:建立安全审计机制,记录和监控系统的安全事件、操作行为和异常情况。
通过审计日志、入侵检测系统等手段,及时发现并应对安全威胁。
4. 数据保护与加密:采取适当的数据保护措施,包括数据备份、加密传输、数据完整性验证等。
确保敏感数据在传输和存储过程中得到充分保护。
5. 及时更新与漏洞管理:定期更新系统和设备的软件版本,及时修补已知漏洞。
建立漏洞管理流程,跟踪漏洞信息、评估风险,并及时应对。
6. 培训与意识提升:提供必要的安全培训,使工作人员了解安全政策、操作规程和最佳实践。
提高员工对安全风险的意识,促进安全意识的深入融入工作实践。
7. 应急响应与恢复:建立应急响应机制,包括制定应急预案、组织演练和应急处置流程。
能够快速响应和恢复工业控制系统遭受的安全事件和故障。
这些基本要求是工业控制系统安全管理的基础,结合具体的系统特点和行业要求,可以进一步定制详细的安全策略和控制措施。