07_工业控制系统网络安全等级保护探索_井柯（PDF84页）

工业控制系统网络安全等级保护探索2017年8月8日井柯匡恩网络技术副总裁目录123456工业控制系统是国家安全战略重要组成部分工业控制系统网络安全与等级保护结合的实践探索工业控制系统网络安全案例分享协作构建工业控制系统网络安全评估和防护体系工业控制系统网络安全现状工业控制系统基础1.工业控制系统基础工业控制系统基础工业控制系统基础工业控制系统基础工业控制系统基础互联网依托互联网的信息技术工业制造物联网、云计算、大数据互联网+工业控制自动化自动化技术工业大数据、工业云平台、物联网中国制造2025中国智造2035中国创造2045与黑客技术的对抗信息安全等级保护国家网络安全法工控网络安全信息化升级工业生产安全需求技术基础监管要求智能制造、智能工业、工业4.0、中国制造2025工控系统网络和IT网络的区别网络通讯协议不同大量的工控系统采用私有协议对系统稳定性要求高网络安全造成误报等同于攻击更新代价高无法像办公网或互联网那样通过补丁来解决安全问题网络结构和行为稳定性高不同于互联网和办公网的频繁变动系统运行环境不同工控系统运行环境相对落后工业控制网络2.工业控制系统是国家安全战略重要组成部分工业控制系统成为网络攻击的重要目标数据来源：互联网网络安全报告暴露在互联网上的工业控制系统日益增多的工业控制系统网络攻击事件使用工业控制系统的重点行业成为主要被攻击对象（能源、关键制造行业等）始终处于高位的工业控制系统高危漏洞工业控制系统忽视工业控制系统网络安全发展趋势，就会输在起跑线上！工业控制系统网络安全是保障工业生产安全的前提没有工业控制系统网络安全，信息化发展越快，造成的危害就可能越大！交通邮电供水供电商业服务科研与技术服务园林绿化环境保护文化教育卫生事业智能制造基础设施工业控制网络安全与人民生活息息相关超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。互联网（攻击介质）工业控制系统是国家安全战略重要组成部分工业控制系统涉及战略性生产能力、军队军工等重点行业，一旦遭到攻击或破坏，不仅是控制系统性能下降、控制能力丧失、甚至还会造成人员伤亡、环境灾难，危及国家安全，导致国家的战略被动、受制于人！3.工业控制系统网络安全现状工业智能化成为国家战略制高点美国“再工业化”德国“工业4.0”中国“中国制造2025”日本相关智能制造振兴计划工业智能化依赖软件智能化和设备网络化工业智能化背景下，网络安全己经成为功能安全和数据安全的核心元素工业控制系统网络安全保障智能化工业系统基本职能的实现在智能化工业系统中，数据就是一切！针对电子数据的对抗形成新的战场功能安全包含网络安全数据安全依赖网络安全网络安全己经成为功能安全和数据安全的核心元素工业控制系统网络安全和功能安全走向融合标准层面的融合企业层面的融合通用电气洛克希德·马丁迈克菲与爱默生传统信息安全企业开始工业控制网络安全研究“功能安全和信息安全这两方面问题都可能导致伤害的风险增加，在评估方面也具有一些相似的地方，但也存在很大的不同，因此无论从系统层面、子系统层面还是产品层面都急需研究两者协同应用的方法。”传统企业并购工业安全企业罗克韦尔＋IEC/TC65成立协调功能安全和信息安全工作的特别工作组工业控制网络“中国制造2025”“两化融合”工业网络病毒外国设备后门工业控制设备高危漏洞高级持续性威胁（APT）无线技术应用的风险国内工业控制系统网络面临的主要威胁工业控制系统网络安全威胁新变化由单点攻击到国家基础设施攻击，恐怖袭击开始出现攻击对象攻击组织从政府到民间攻击技术由网络攻击转变为核心生产功能攻击和数据窃取击部分国家网军数量不断扩大代码即武器—瓦森纳协定的新限制攻击组织物理隔离的变种，网关、网闸、单向隔离，隔离背后是脆弱的，现代高端持续性攻击都是针对隔离系统的。仅强调隔离由工业控制系统内部生长的持续性防御体系适应工业控制系统网络的特点，通过基础硬件创新来实现，低延时，高可靠，可定制化，持续更新，简单化的实施和操作等。由传统信息安全厂商提出的，大多数项目演变为信息安全产品的简单堆砌，不能完全适应工业网络安全的特点。纵深防御体系以攻为守的国家战略以美国、以色列为代表，在国家层面注重攻击技术的研究、实验、突破和攻防演示实验室的建设，以攻击技术的提高，带动防御技术的提高，以攻击威慑力，换取安全性。工业控制系统网络安全防护理念经历四个阶段的演变工控系统网络安全和IT网络安全的区别工控系统安全IT安全IT系统安全焦点问题是信息的保密性网银交易后台客户数据信息IM聊天信息商业机密信息……工控系统网络安全焦点问题是生产过程稳定可靠，强调的是可用性不能停产，不能发生生产安全事故。保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。工控系统安全和IT安全一个巨大的区别是对”CIA”三性关注焦点不同可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。工控系统网络安全和IT网络安全的区别1.以保障业务安全为最终目的2.宁可错杀一千，不可使一个漏网3.以一台设备解决一类问题4.通用化设计1.以保障生产安全为最终目的2.宁可漏杀一千，不可错杀一个3.以一台设备解决一方面问题4.根据企业特点定制化设计VSIT安全工控网络安全4.工业控制系统网络安全与等级保护结合的实践工业控制系统网络安全与信息安全等级保护结合的重要意义工业控制系统等级保护有利于在工业智能化建设过程中同步建设网络安全设施工业控制系统等级保护为工业控制系统安全建设和管理提供了系统性、针对性、可行性的指导和服务对工业控制系统网络的分级保护，有利于优化工业控制网络安全资源配置信息安全等级保护制度是一个完备的体系，制度完善、组织严密、可实施性强，并具备强制执行力重点保障国家关键基础设施安全工业控制系统网络安全建设得以行之有效的推广保障工业控制系统网络安全与智能化建设协同发展有效控制工业控制系统网络安全建设成本安全等级工业控制系统网络安全等级定义第一级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），保护工业控制系统免受来自未认证实体的偶然或碰巧发生的非授权访问或攻击。第二级采用安全机制，识别和认证工业控制系统所有用户（人员、软件、设备），并保护工业控制系统免受来自外部网络及小型组织发起的一般性恶意攻击。第三级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），并保护工业控制系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起有技巧的恶意攻击。第四级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），能够在安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的有技巧的恶意攻击。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。依据信息安全等级保护的等级定义，工业控制系统网络安全等级定义为四个级别。工业控制系统网络安全等级定义工业控制系统网络安全等级保护框架GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求工业控制安全扩展要求技术要求管理要求生产管理层安全要求集中管控边界防护物理安全安全运维管理安全建设管理安全策略和管理制度工业控制系统网络安全等级保护框架安全管理机构和人员现场设备层安全要求现场控制层安全要求过程监控层安全要求物理位置的选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供应稳定电压、短期供应主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制物理安全建设要点a)应对控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，进行监视和控制区域边界通信；b)应在控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，默认拒绝所有网络数据流，允许例外网络数据流；c)应在控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界上，阻止任何通过的通信；d)应在控制网络和非控制网络的边界防护机制失效时，能阻止所有边界通信（也称故障关闭）；但故障关闭功能的设计不应干扰安全相关功能的运行；应在控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警，并保障不影响关键设备通讯；e)应能够对非授权设备联到内部网络的行为进行限制或检查；f)应能够对内部用户未经授权联到外部网络的行为进行限制或检查；g)应确保无线网络通过受控的控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界时，边界防护设备接入（有线）网络；h)应能识别控制网络和非控制网络上的边界通讯入侵行为，并有效阻断；三级系统等保要求－边界防护a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；b)应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；d)应对分散在各个设备上的审计数据进行收集汇总和集中分析；e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；f)应能对网络中发生的各类安全事件进行识别、报警和分析。三级系统等保要求－集中管控三级系统等保要求－生产管理层安全网络架构网络边界防护访问控制用户管理用户授权管理访问控制管理用户会话管理通信线路冗余关键网络设备冗余访问控制管理和优化无线使用控制基本的登录鉴别和使用限制唯一标识和鉴别限制无线连接使用通信传输敏感字段或整个报文加密会话完整性外部、内部、未知的新型攻击生产管理层安全建设要点－通信和网络安全安全审计日志记录入侵防范检测攻击行为记录、报警外部、内部、未知的新型攻击识别和处理错误状况恶意代码防范恶意代码防范垃圾邮件防范审计记录类别内容审计记录存储容量管理控制告警审计处理失败的响应机制审计记录时间戳系统时钟同步审计信息审计设备保护支持编程接口（API）访问审计记录能收集多组态审计记录集中管理审计时间，输出工业标准格式审计记录生产管理层安全建设要点－通信和网络安全身份鉴别鉴别信息防护访问控制用户管理用户授权管理访问控制管理用户会话管理安全审计日志记录审计报表设备的唯一标识和鉴别全部人员用户。所有接口访问控制管理和优化审计记录的保护口令、私钥保护入侵防范检测攻击行为记录、报警外部、内部、未知的新型攻击识别和处理错误状况全面鉴别安全策略和规程多因子鉴别鉴别器保护鉴别次数、登录保护接口授权和权限管理等同通用要求7.1.3.3等同通用要求7.1.3.4生产管理层安全建设要点－设备和计算安全恶意代码防范验证移动代码的完整性代码库的升级和更新资源控制监视重要节点最小服务水平的检测及报警移动恶意代码防范恶意代码机制管理和更新所有出入口防护机制可信技术建立信任链应急电源供应的能力的切换生产管理层安全建设要点－设备和计算安全身份鉴别基本的身份鉴别访问