做好工业控制系统的信息安全等级保护工作国家信息化专家咨询委员会委员国家信息化专家咨询委员会委员沈昌祥沈昌祥院士院士党的十八大报告指出:世界仍然很不安宁。……,粮食安全、能源资源安全、网络安全等全球性问题更加突出。党的十八大报告要求:建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用。……高度关注海洋、太空、网络空间安全。332010年“震网”病毒事件破坏了伊朗核设施,震惊全球,这标志着网络攻击从传统“软攻击”升级为直接攻击电力、金融、交通、核设施等核心要害系统的“硬摧毁”,导致基础的工业控制系统破坏,对国家安全、社会稳定、经济发展、人民生活安定带来严重损害2010年“震网”病毒事件破坏了伊朗核设施,震惊全球,这标志着网络攻击从传统“软攻击”升级为直接攻击电力、金融、交通、核设施等核心要害系统的“硬摧毁”,导致基础的工业控制系统破坏,对国家安全、社会稳定、经济发展、人民生活安定带来严重损害442011年工信部发布了《关于加强工业控制系统安全管理的通知》,明确了重点领域工业控制系统信息安全管理要求,对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求2011年工信部发布了《关于加强工业控制系统安全管理的通知》,明确了重点领域工业控制系统信息安全管理要求,对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求55信息安全等级保护是我国信息安全保障的基本制度,从技术和管理两个方面进行安全建设,做到可信、可控、可管,使工业控制系统具有抵御高强度连续攻击(APT)的能力信息安全等级保护是我国信息安全保障的基本制度,从技术和管理两个方面进行安全建设,做到可信、可控、可管,使工业控制系统具有抵御高强度连续攻击(APT)的能力一、工业控制系统安全需求77工业控制系统(ICS)包括:工业控制系统(ICS)包括:1、监控与数据采集(SCADA)1、监控与数据采集(SCADA)4、可编程逻辑控制器(PLC)4、可编程逻辑控制器(PLC)2、分布式控制系统(DCS)2、分布式控制系统(DCS)3、过程控制系统(PCS)3、过程控制系统(PCS)5、应急管理系统(EMS)等5、应急管理系统(EMS)等88随着信息化不断深入,工控系统从封闭、孤立的系统走向互联体系的IT系统,采用以太网、TCP/IP网及各种无线网,控制协议迁移到应用层;采用标准商用操作系统、中间件与各种通用软件,已变成开放、互联、通用和标准化的信息系统。因此,安全风险也等同于通用的信息系统随着信息化不断深入,工控系统从封闭、孤立的系统走向互联体系的IT系统,采用以太网、TCP/IP网及各种无线网,控制协议迁移到应用层;采用标准商用操作系统、中间件与各种通用软件,已变成开放、互联、通用和标准化的信息系统。因此,安全风险也等同于通用的信息系统99工控网络架构工控网络架构互联网企业管理网生产监控网现场控制网10101、实时性通信2、系统不允许重启3、人和控制过程安全4、加入安全后,不影响控制流程5、通信协议多种多样6、设备不易更换7、设备生命周期为15-20年1、实时性通信2、系统不允许重启3、人和控制过程安全4、加入安全后,不影响控制流程5、通信协议多种多样6、设备不易更换7、设备生命周期为15-20年特殊要求:特殊要求:传统的“封堵查杀”安全防护技术难以解决工控系统安全传统的“封堵查杀”安全防护技术难以解决工控系统安全二、信息安全等级保护适用于工业控制系统1212工业控制系统网络架构是依托网络技术,将控制计算节点构建成为工业生产过程控制的计算环境,是属于等级保护信息系统范围工业控制系统网络架构是依托网络技术,将控制计算节点构建成为工业生产过程控制的计算环境,是属于等级保护信息系统范围1、将ICS按安全等级划分区域1、将ICS按安全等级划分区域国际标准化组织ISA提出区域防护概念国际标准化组织ISA提出区域防护概念2、区域间通过唯一的管道通信2、区域间通过唯一的管道通信3.、对区域间和区域内实施不同的安全策略防止威胁在区域间交叉感染遏制本区域内的入侵威胁3.、对区域间和区域内实施不同的安全策略防止威胁在区域...
