09工业控制系统信息安全等级保护基本要求V1

工业控制系统信息安全等级保护基本要求2015年11月19日刘文彬CISPCIIPTliuwenbin@eise.org.cn工业控制系统概述工业控制系统威胁分析工业控制系统信息安全等级保护基本要求探索工业安全产业环境一、工业控制系统概述国家关键基础设施-工业控制领域1.工业控制系统概述工业控制系统是计算机技术、控制技术、通信技术、图形显示技术和网络技术相结合的综合自动化控制系统，是一种操作显示集中、控制功能分散、体系结构分级分层、局域网络通信的计算机综合控制系统，其基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便，其目的在于控制或控制管理一个工厂或工业生产过程。工业控制系统控制技术通信技术图形显示技术网络技术计算机技术工业控制系统概述：新起点--“两化融合”6电力发、输、配、供、用一体化是工业化与信息化深度融合的典型应用工业化与信息化深度融合是国家可持续发展战略的重要内容工业控制系统概述：新应用—物联网与智慧城市7物联网应用智能电网应用基础行业支撑工业控制系统概述：新机遇—工业4.08工业4.0工业3.0工业2.0工业1.0机械制造时代电气化与自动化时代电子信息化时代工业生产数字化时代工业控制系统概述：下一个时代—工业4.0时代9工业4.0战略是由德国政府提出，目标是建立一个高度灵活的个性化和数字化的产品与服务的生产模式。在这种模式中，传统的行业界限将消失，并会产生各种新的活动领域和合作形式。创造新价值的过程正在发生改变，产业链分工将被重组。工业生产数字化时代智能物流智能生产智能工厂工业4.0的三大主题10工业控制系统概述：下一个时代—工业4.0时代2014年10月10日，国家主席习近平在德国与德国总理默克尔共同发布了《中德合作行动纲要》，提出中德两国将要开展工业生产的数字化的战略合作，深化能源领域的对话。二、工业控制系统威胁分析工业控制网络“中国制造2025”“两化融合”工业网络病毒外国设备后门工业控制设备高危漏洞高级持续性威胁（APT）无线技术应用的风险工控系统面临的主要威胁攻击者的演变从单打独斗到有组织团体：个体、群体、团体攻击动机不再是技术突破，而是更具功利性经济、政治与意识形态的驱动更加明显13攻击个体从追求技术突破到追逐经济利益为主攻击群体黑客行动主义松散的黑客组织攻击团体基于政治、意识形态或商战目的的有组织团队攻击目标更重要、更明确能研制更为先进的攻击技术或工具14从网络安全的角度来看，这个系统是“安全”的。专有网络专有操作系统无以太网没有Internet的链接控制系统的演变15从网络安全的角度来看，这一系统“有巨大的挑战，很容易被利用”TCP/IP将工业控制协议迁移到应用层无线网络泛滥商用操作系统、设备、中间件与各种应用远程配置、维护控制系统的演变控制协议的演变16•第四代DCS整体呈现开放性•基于PC架构的计算机应用的普及•Windows平台的广泛应用•基于IEEE802.3的工业以太网普及•大量采用TCP(UDP)/IP网络协议•OPC、ModbusTCP等统一接口标准PLPLPLPLSISMIS三、工业控制系统信息安全等级保护基本要求解析工业控制系统信息安全等级保护基本要求内容信息安全等级，安全防护区域的划分，防护要点等适用于电力、石油、化工、水利、冶金、建材等各关键基础设施领域的工业控制系统。范围定级标准根据其对国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。工业控制系统信息安全等级保护基本要求内容工业控制系统典型拓扑图一种纵向分层的网络结构，自上到下依次为企业管理层、制造执行系统层、过程监控层、现场控制层和现场设备层。各层之间由通信网络连接，层内各装置之间由本级的通信网络进行通信联系。设备级控制级监控级企业级工厂级2.工业控制系统分层3.各层级主要功能及面向对象现场设备层：现场设备层的主要功能包括：执行控制器发送的采集、控制命令，依照控制信号进行设备动作。现场控制层：现场控制层的主要功能包括：采集过程数据，进行数据转换与处理；对生产过程进行监测和控制，输出控制信号，实现反馈控制、逻辑控制、顺序控制和批量控制功能；对现场设备及I/O卡件进行自诊断；与过程监控层进行数据通信。过程监控层：以操作监视为主要任务，兼有部分管理功能。这一级是面向操作员和控制系统工程师的，因而这一级配备有技术手段齐备，功能强的计算机系统及各类外部装置，特别是显示器和键盘，以及需要较大存储容量的硬盘或软盘支持，另外还需要功能强的软件支持，确保工程师和操作员对系统进行组态、监视和操作，对生产过程实行高级控制策略、故障诊断、质量评估。MES层：MES将生产过程控制、生产过程管理和经营管理活动中产生的诸多信息进行转换、加工、传递，是生产过程控制与管理信息集成的重要桥梁和纽带。MES要完成生产计划的调度与统计、生产过程成本控制、产品质量控制与管理、设备控制与管理、生产数据采集与处理等功能，负责生产管理和调度执行。企业管理层：企业管理层所面向的使用者是厂长、经理、总工程师等行政管理或运行管理人员，因此只有大规模的工业控制系统才具备这一层。该层网络主要包括ERP系统，该系统主要包含供应链管理、销售与市场管理、财务管理和人力资源管理等功能。3.各层级主要功能及面向对象4.工业控制系统应用的网络层次划分现场控制网络监控网络管理网络5.工业控制系统应用的网络划分标准（1）MES层与过程监控层网络的划分应对过程监控层网络进行分层，将生产调度管理、控制优化、成本优化、仓储管理等与生产执行管理相关的系统部署在同一层网络中，形成制MES层网络；将工程师站、操作员站、OPC服务器、实时数据库等与现场监视控制实时相关的系统部署在统一层网络中，形成过程监控层网络。两网之间采用技术手段保证不直接相连。（2）现场控制层与现场设备层网络的划分将监控层以下的现场控制层网络进行细分，其中现场控制层网络主要包括控制器和控制器通信模块、I/O模块等，现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。6.工业控制系统安全防护总体要求和原则工业控制系统安全运行要求：实时性要求安全性要求稳定性要求高可靠性要求可用性要求基本安全要求是针对不同安全保护等级工业控制系统应该具有的基本安全保护能力提出的安全要求。根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与工业控制系统提供的技术安全机制有关，主要通过在工业控制系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与工业控制系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现，基本技术要求和基本管理要求是确保工业控制系统安全不可分割的两个部分。1、基本安全要求6.工业控制系统安全防护总体要求和原则工业控制系统安全运行要求：工业控制系统全网拓扑结构可采用分层的方式进行布局。如果工业控制系统网络与外部网络（指企业管理层网络、互联网、无线网络等工业控制系统网络以外的其它网络）存在直接或间接互连时，工业控制系统网络与外部网之间应使用逻辑隔离技术措施进行防护，以保证两网之间没有直接的物理或逻辑联接，仅存在数据的交换。2、外网隔离要求工业控制系统安全运行要求：3、网络链路冗余要求对于部署于多区域并通过网络进行互联的工业控制系统应用，应保证互联网链路资源充足，即在企业业务量达到最大峰值时，链路数据通信正常，且网络延时仍能满足工业控制系统应用要求。对于网络互通性和稳定性要求较高的企业用户，可采取链路冗余技术保证网络出现故障时能够维持的基本通信，保证在一条链路出现故障时另一条链路能够为企业的正常生产经营活动提供网络保障。对于网络互通性和稳定性要求非常高的企业用户可采用物理线路冗余的方式部署企业的核心业务网络、骨干网、核心控制网络，并且冗余线路网络可采用与主网络不同的网络构建方式，如专网、电话网、光纤网、卫星无线网等。工业控制系统安全运行要求：4、数据备份要求一般工业控制系统应具有实时数据、历史数据、OPC数据、组态数据、控制方案等重要数据的需要定期备份；对于数据安全性要求高的工业控制系统应用，可以采用对系统正常运行的数据进行完整备份的措施，备份周期应不大于3个月；对于数据安全性要求非常高的工业控制系统应用可以建立异地灾难数据备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备，完全数据每周至少备份一次。工业控制系统安全运行要求：5、防护原则要求工业控制系统对系统设备的可用性、实时性、可控性等特性要求很高，在考虑工业控制系统安全时要优先保证系统的可用性；其次，各组件之间存在固有的关联，因此完整性次之；而对于数据保密性来说，则由于工控系统中传输的数据通常是控制命令和采集的原始数据，需要放在特定的背景下分析上下文内容才有意义，而且多是实时数据，所以对保密性的要求最低。除此之外，控制系统还需保证实时性、可靠性和安全性等要求。工业控制系统安全运行要求：5、防护原则要求工业控制系统防护主要包括防护软件的部署、防护设备的部署、技术防护以及深层防御。1）防护软件部署原则在工业控制系统的各个模块、工作站、服务器等设备上安装安全补丁、病毒防护、入侵监测、入侵防御等具有病毒查杀和阻止入侵行为的软件。2）防护设备部署原则在工业控制系统网络上接入具有防护功能的设备，如防火墙、网闸、安全交换机、入侵检测系统、入侵防御系统等。工业控制系统安全运行要求：6、防护原则要求3）技术防护原则以技术的手段进行工业控制系统安全防护，如访问控制、边界管理、管道通信等。在防护技术应用前，应采用线下测试等手段在相同的工业控制系统上进行严格系统的线下测试，确保其上线后不影响正常的工业控制系统运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较大风险，则撤销防护技术的使用。4)纵深防御原则单一的安全产品、技术或者解决方案无法有效保护工业控制系统，所以需要一种包含两个或者多个不同机制的多层防护策略。采用的纵深防御架构策略包含了防火墙的使用，安全分区的建立，有效的安全策略下的入侵检测能力，培训计划和应急响应机制。工业控制系统安全运行要求：安全等级安全保护能力定义第一级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），保护工业控制系统免受来自未认证实体的偶然或碰巧发生的非授权访问或攻击。第二级采用安全机制，识别和认证工业控制系统所有用户（人员、软件、设备），并保护工业控制系统免受来自外部网络及小型组织发起的一般性恶意攻击。第三级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），并保护工业控制系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起有技巧的恶意攻击。第四级采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），能够在安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的有技巧的恶意攻击。第五级略7.不同等级的安全保护能力要求信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造的影响。工业控制系统需要保护网络上的所有硬件和软件资产，需要确定工业控制系统内的计算机系统、网络及应用，并将重点放在系统上，而不是仅仅设备上。一类是“控制元件”，包括：控制服务器、SCADA服务器或主终端单元（MTU）、远程终端装置（RTU）、可编程逻辑控制器（PLC）、智能电子设备（IED）、人机界面（HMI）、历史数据和输入/输出（IO）服务器。另一类是“网络组件”，包括：现场总线网络、控制网络、通讯路由器、防火墙、调制解调器和远程接入点。1、资产8.工业控制系统风险评估工业控制系统面临的威胁可以来自多种来源，包括对抗性来源如敌对政府、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者，自然来源如从系统的复杂性、人为错误和意外事故、设备故障和自然灾害。三、工业控制系统风险分析