《做好工業(yè)控制系統(tǒng)的信息安全等級保護工作課件》由會員分享，可在線閱讀，更多相關(guān)《做好工業(yè)控制系統(tǒng)的信息安全等級保護工作課件（29頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,#,黨的十八大報告指出：世界仍然很不安寧。,，糧食安全、能源資源安全、網(wǎng)絡(luò)安全等全球性問題更加突出。,黨的十八大報告要求：建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進信息網(wǎng)絡(luò)技術(shù)廣泛運用。,高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全。,黨的十八大報告指出：世界仍然很不安寧。，糧食安全、能源資,1,2,2010,年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，震驚全球，這標志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”升級為直接攻擊電力、金融、交通、核設(shè)施等核心要害系統(tǒng)的“硬摧毀”，導(dǎo)致基礎(chǔ)的工業(yè)控制系統(tǒng)破壞，對國家安

2、全、社會穩(wěn)定、經(jīng)濟發(fā)展、人民生活安定帶來嚴重損害,2 2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，震驚全,3,2011,年工信部發(fā)布了,關(guān)于加強工業(yè)控制系統(tǒng)安全管理的通知,，明確了重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求，對連接、組網(wǎng)、配置、設(shè)備選擇與升級、數(shù)據(jù)、應(yīng)急等管理方面提出了明確要求,3 2011年工信部發(fā)布了關(guān)于加強工業(yè)控制系統(tǒng)安全管,4,信息安全等級保護是我國信息安全保障的基本制度，從,技術(shù),和,管理,兩個方面進行安全建設(shè)，做到可信、可控、可管，使工業(yè)控制系統(tǒng)具有抵御高強度連續(xù)攻擊（,APT,）的能力,4 信息安全等級保護是我國信息安全保障的基本制度，從技術(shù),一、工業(yè)控制系統(tǒng)安全需求,

3、一、工業(yè)控制系統(tǒng)安全需求,5,6,工業(yè)控制系統(tǒng)（,ICS,）包括,:,1,、監(jiān)控與數(shù)據(jù)采集（,SCADA,）,4,、可編程邏輯控制器（,PLC,）,2,、分布式控制系統(tǒng)（,DCS,）,3,、過程控制系統(tǒng)（,PCS,）,5,、應(yīng)急管理系統(tǒng)（,EMS,）等,6工業(yè)控制系統(tǒng)（ICS）包括:1、監(jiān)控與數(shù)據(jù)采集（SCADA,7,隨著信息化不斷深入，工控系統(tǒng)從封閉、孤立的系統(tǒng)走向互聯(lián)體系的,IT,系統(tǒng)，采用以太網(wǎng)、,TCP/IP,網(wǎng)及各種無線網(wǎng),控制協(xié)議遷移到應(yīng)用層；采用標準商用操作系統(tǒng)、中間件與各種通用軟件，已變成開放、互聯(lián)、通用和標準化的信息系統(tǒng)。因此，安全風(fēng)險也等同于通用的信息系統(tǒng),7隨著信息化不斷

4、深入，工控系統(tǒng)從封閉、孤立的系統(tǒng)走向互聯(lián)體系,8,工控網(wǎng)絡(luò)架構(gòu),互聯(lián)網(wǎng),企業(yè)管理網(wǎng),生產(chǎn)監(jiān)控網(wǎng),現(xiàn)場控制網(wǎng),8工控網(wǎng)絡(luò)架構(gòu)互聯(lián)網(wǎng)企業(yè)管理網(wǎng)生產(chǎn)監(jiān)控網(wǎng)現(xiàn)場控制網(wǎng),9,1,、實時性通信,2,、系統(tǒng)不允許重啟,3,、人和控制過程安全,4,、加入安全后，不影響控制流程,5,、通信協(xié)議多種多樣,6,、設(shè)備不易更換,7,、設(shè)備生命周期為,15-20,年,特殊要求,:,傳統(tǒng)的“封堵查殺”安全防護技術(shù)難以解決工控系統(tǒng)安全,91、實時性通信特殊要求:傳統(tǒng)的“封堵查殺”安全防護技術(shù)難以,二、信息安全等級保護,適用于工業(yè)控制系統(tǒng),二、信息安全等級保護,10,11,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)是依托網(wǎng)絡(luò)技術(shù)，將控制計算節(jié)點構(gòu)

5、建成為工業(yè)生產(chǎn)過程控制的計算環(huán)境，是屬于等級保護信息系統(tǒng)范圍,11工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)是依托網(wǎng)絡(luò)技術(shù)，將控制計算節(jié)點構(gòu)建成,1,、將,ICS,按安全等級劃分區(qū)域,國際標準化組織,ISA,提出區(qū)域防護概念,2,、區(qū)域間通過唯一的管道通信,3.,、對區(qū)域間和區(qū)域內(nèi)實施不同的安全策略,防止威脅在區(qū)域間交叉感染,遏制本區(qū)域內(nèi)的入侵威脅,1、將ICS按安全等級劃分區(qū)域國際標準化組織ISA提出區(qū)域防,12,13,按國家信息安全等級保護有關(guān)標準和規(guī)定，確定定級對象：,一般先劃分安全區(qū)域，可分為企業(yè)管理、生產(chǎn)監(jiān)控和現(xiàn)場控制三個大區(qū)，每個安全區(qū)內(nèi)可按統(tǒng)一的生產(chǎn)業(yè)務(wù)流程、軟硬件資源相對獨立和管理責(zé)任明確三個條件確

6、定定級信息系統(tǒng),再按其重要程度確定具體等級,13按國家信息安全等級保護有關(guān)標準和規(guī)定，確定定級對象：一般,14,用于冶金、化工、能源、交通、水利系統(tǒng)領(lǐng)域的工業(yè)控制系統(tǒng)會涉及社會穩(wěn)定和國家安全，多數(shù)系統(tǒng)屬,3,級以上，尤其是生產(chǎn)監(jiān)控現(xiàn)和現(xiàn)場控制系統(tǒng)含有大量的,4,級系統(tǒng),14用于冶金、化工、能源、交通、水利系統(tǒng)領(lǐng)域的工業(yè)控制系統(tǒng)會,三、工業(yè)控制系統(tǒng)等級保護技術(shù)框架,三、工業(yè)控制系統(tǒng)等級保護技術(shù)框架,15,針對計算資源（軟硬件）構(gòu)建保護環(huán)境，以可信計算基（,TCB,）為基礎(chǔ)，層層擴充，對計算資源進行保護,You can,Be like,God,1,、可信,You can,Be like,God,2

7、,、可控,You can,Be like,God,3,、可管,針對信息資源（數(shù)據(jù)及應(yīng)用）構(gòu)建業(yè)務(wù)流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規(guī)則訪問客體（信息資源）,保證資源安全必須實行科學(xué)管理，強調(diào)最小權(quán)限管理，尤其是高等級系統(tǒng)實行三權(quán)分離管理體制，不許設(shè)超級用戶,信息安全等級保護要做到,針對計算資源（軟硬件）構(gòu)建保護環(huán)境，以可信計算基（T,16,針對工業(yè)控制特點，按,GB/17859,要求，構(gòu)建在,安全管理中心,支持下的,計算環(huán)境 區(qū)域邊界 通信網(wǎng)絡(luò),三重防御體系是必要的，可行的,具體設(shè)計可參照（,GB/T25070-2010,）,做好工業(yè)控制系統(tǒng)的信息安全等級保護工作課件,17,

8、18,區(qū)域邊界安全防護,實 現(xiàn),通信網(wǎng)絡(luò)安全互聯(lián),計算環(huán)境 可信免疫,18 區(qū)域邊界安全防護實 現(xiàn)通信網(wǎng)絡(luò)安全互聯(lián) 計算環(huán)境,19,安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級互聯(lián)技術(shù)框架：,19,邊界防護,系統(tǒng) 安全 審計,安全管理中心,現(xiàn)場控制,計算環(huán)境,生產(chǎn)監(jiān)控計算環(huán)境,企業(yè)管理計算環(huán)境,邊界防護,邊界隔離,互聯(lián)網(wǎng),安全管理中心,安全管理中心,安全管理中心,二級,一級,19安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御,20,20,邊界防護,現(xiàn)場控制,計算環(huán)境,生產(chǎn)監(jiān)控計算環(huán)境,企業(yè)管理計算環(huán)境,邊界防護,邊界隔離,互聯(lián)網(wǎng),1,）計算環(huán)境,20,20,系統(tǒng) 安全

9、 審計,安全管理中心,安全管理中心,安全管理中心,安全管理中心,二級,一級,節(jié)點子系統(tǒng)通過在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以了一個嚴密牢固的防護層，通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的保密性和完整性安全，從而為典型應(yīng)用子系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障,安全保護環(huán)境為應(yīng)用系統(tǒng)（如安全,OA,系統(tǒng)等）提供安全支撐服務(wù)。通過實施三級安全要求的業(yè)務(wù)應(yīng)用系統(tǒng)，使用安全保護環(huán)境所提供的安全機制，為應(yīng)用提供符合三級要求的安全功能支持和安全服務(wù),2020邊界防護現(xiàn)場控制生產(chǎn)監(jiān)控計算環(huán)境企業(yè)管理計算環(huán)境邊界,21,21,2,）應(yīng)用區(qū)域邊界,21,21,

10、系統(tǒng) 安全 審計,安全管理中心,安全管理中心,安全管理中心,安全管理中心,二級,一級,邊界防護,現(xiàn)場控制,計算環(huán)境,生產(chǎn)監(jiān)控計算環(huán)境,企業(yè)管理計算環(huán)境,邊界防護,邊界隔離,互聯(lián)網(wǎng),區(qū)域邊界子系統(tǒng)通過對進入和流出安全保護環(huán)境的信息流進行安全檢查，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界，是三級信息系統(tǒng)的,第二道安全屏障,2121 2）應(yīng)用區(qū)域邊界 2121系統(tǒng) 安全 審,22,22,3,）通信網(wǎng)絡(luò),22,22,系統(tǒng) 安全 審計,安全管理中心,安全管理中心,安全管理中心,安全管理中心,二級,一級,邊界防護,現(xiàn)場控制,計算環(huán)境,生產(chǎn)監(jiān)控計算環(huán)境,企業(yè)管理計算環(huán)境,邊界防護,邊界隔離,互聯(lián)網(wǎng),通信網(wǎng)

11、絡(luò)子系統(tǒng)通過對通信數(shù)據(jù)包的保密性和完整性進行保護，確保其在傳輸過程中不會被非授權(quán)竊聽和篡改，使得數(shù)據(jù)在傳輸過程中的安全得到了保障，是三級信息系統(tǒng)的,外層安全屏障,2222 3）通信網(wǎng)絡(luò) 2222系統(tǒng) 安全 審計安全,4,）管理中心,系統(tǒng) 安全 審計,安全管理中心,安全管理中心,安全管理中心,安全管理中心,二級,一級,邊界防護,現(xiàn)場控制,計算環(huán)境,生產(chǎn)監(jiān)控計算環(huán)境,企業(yè)管理計算環(huán)境,邊界防護,邊界隔離,互聯(lián)網(wǎng),系統(tǒng)管理子系統(tǒng)負責(zé)對安全保護環(huán)境中的計算節(jié)點、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實施集中管理和維護，包括用戶身份管理、資源管理、應(yīng)急處理等，為三級信息系統(tǒng)的安全提供基礎(chǔ)保障,安全管理子系統(tǒng)是信息系

12、統(tǒng)的,控制中樞,，主要實施標記管理、授權(quán)管理及策略管理等。安全管理子系統(tǒng)通過制定相應(yīng)的系統(tǒng)安全策略，并且強制節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)及節(jié)點子系統(tǒng)執(zhí)行，從而實現(xiàn)了對整個信息系統(tǒng)的,集中管理,，為三級信息系統(tǒng)的安全提供了有力保障,審計子系統(tǒng)是系統(tǒng)的,監(jiān)督中樞,，安全審計員通過制定審計策略，強制節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)、安全管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)執(zhí)行，從而實現(xiàn)對整個信息系統(tǒng)的行為審計，確保用戶無法抵賴違背系統(tǒng)安全策略的行為，同時為應(yīng)急處理提供依據(jù),4）管理中心 系統(tǒng) 安全 審計安全管理中心安全,23,四、堅持自主創(chuàng)新,縱深防御,四、堅持自主創(chuàng)新,縱深防御,24

13、,25,工控系統(tǒng)是定制的運行系統(tǒng)，其資源配置和運行流程具唯一性和排它性特點，用防火墻、殺病毒、漏洞掃描不僅效果不好，而且今引起新的安全問題,25工控系統(tǒng)是定制的運行系統(tǒng)，其資源配置和運行流程具唯一性和,26,堅持自主創(chuàng)新，采用可信計算技術(shù)，使每個計算節(jié)點、通信節(jié)點都有可信保障功能，那么，系統(tǒng)資源不會被篡改，處理流程不會被干擾破壞，使系統(tǒng)能按預(yù)定的目標正確運行，“震網(wǎng)”、“火焰”等病毒攻擊不查即殺,26堅持自主創(chuàng)新，采用可信計算技術(shù)，使每個計算節(jié)點、通信節(jié)點,27,堅持縱深防御，克服“封堵查殺”被動局面,1,、加強信息系統(tǒng)整體防護，建設(shè)區(qū)域隔離、系統(tǒng)控制的三重防護、多級互聯(lián)體系結(jié)構(gòu),2,、重點做好操作人員使用的終端防護。把住攻擊發(fā)起的源頭關(guān)，做到操作使用安全,3,、加強處理流程控制，防止內(nèi)部攻擊，提高計算節(jié)點自我免疫能力，減少封堵,27堅持縱深防御，克服“封堵查殺”被動局面1、加強信息系統(tǒng)整,28,4,、加強技術(shù)平臺支持下的安全管理，基于安全策略，與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機結(jié)合。,5,、加強系統(tǒng)層面安全機制，減少應(yīng)用層面的改動，梳理處理流程，制定控制策略，嵌入系統(tǒng)內(nèi)核，實現(xiàn)控制。,284、加強技術(shù)平臺支持下的安全管理，基于安全策略，與業(yè)務(wù)處,謝謝！敬請指正！,謝謝！敬請指正！,29,