工控系统信息安全专项检查培训03.ppt

《工控系统信息安全专项检查培训03.ppt》由会员分享，可在线阅读，更多相关《工控系统信息安全专项检查培训03.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2015年重庆市年重庆市工业控制系统信息安全工业控制系统信息安全专项检查培训专项检查培训周彦晖周彦晖第一页，编辑于星期六：二十三点 三十一分。2Agenda1.工业控制系统安全分析工业控制系统安全分析2.信息安全自查工作与自查表填写信息安全自查工作与自查表填写第二页，编辑于星期六：二十三点 三十一分。3Agenda1.工业控制系统安全分析工业控制系统安全分析2.信息安全自查工作与自查表填写信息安全自查工作与自查表填写第三页，编辑于星期六：二十三点 三十一分。4工业控制系统工业控制系统u工业工业控制系统控制系统(IndustrialControlSystem,ICS)包括过程控制、数据采集包括过

2、程控制、数据采集系统系统(SCADA)，分布式控制系统，分布式控制系统（DCS）,程序逻辑控制程序逻辑控制(PLC）、远程终端）、远程终端（RTU)、智能电子设备（、智能电子设备（IED）以及其他控制系统等以及其他控制系统等u超过超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，成为国家关键基础设施的重要组成部分，关系到国家的战略安全成为国家关键基础设施的重要组成部分，关系到国家的战略安全u传统工业控制系统的计算资源（包括传统工业控制系统的计算资源（包括CPU和和存储器存储器）有限，在设计时只考虑到）有限，在设

3、计时只考虑到效率和实时相关的特性，效率和实时相关的特性，控制系统网络安全并未作为一个主要的指标考控制系统网络安全并未作为一个主要的指标考虑虑第四页，编辑于星期六：二十三点 三十一分。5发展与安全现状发展与安全现状u随着技术的发展、信息化推动、工业化进程的加速，随着技术的发展、信息化推动、工业化进程的加速，越来越多的计算机技术和网络通信技术应用于工业越来越多的计算机技术和网络通信技术应用于工业控制系统控制系统u用通用的计算机设备和数据通信设备取代专用的控制和通信设备，嵌入式技术、用通用的计算机设备和数据通信设备取代专用的控制和通信设备，嵌入式技术、PCSPCS、ERPERP等企业信息自动化的应用

4、以及企业信息网络与等企业信息自动化的应用以及企业信息网络与InternetInternet互连互连等。等。u在这些技术应用的同时，带来了控制网络的安全问题，如病毒、信在这些技术应用的同时，带来了控制网络的安全问题，如病毒、信息泄漏和篡改、系统息泄漏和篡改、系统拒绝服务拒绝服务等。等。第五页，编辑于星期六：二十三点 三十一分。6国内工控系统国内工控系统安全安全现状现状工工业化、信息化融合化、信息化融合大部分工控系大部分工控系统未未经过专业审计大部分工控系大部分工控系统感染途径是通感染途径是通过介介质等的等的终端感端感染染大部分工控系大部分工控系统带毒工作毒工作工控系工控系统的攻的攻击对专业人士很

5、容易人士很容易我国我国对工控系工控系统的攻的攻击与防与防护研究滞后研究滞后第六页，编辑于星期六：二十三点 三十一分。7常见工业控制系统常见工业控制系统SCADAuSCADA(supervisorycontrolanddataacquisition)：应用于分布距离远、生产单位分散：应用于分布距离远、生产单位分散的生产系统的一种数据采集、监视和控制系统。的生产系统的一种数据采集、监视和控制系统。特点：特点：分布区域广泛、主站与控制对象距离远、监控终端的工作条件苛刻、通讯系统复杂多变、通讯系统不保证可靠传输。安全特性安全特性：漏洞较多（因与桌面操作系统兼容）第七页，编辑于星期六：二十三点 三十一分

6、。8常见工业控制系统常见工业控制系统DCSuDCS(DistributedControlSystem)：DCS主要应主要应用于过程控制行业中，炼油厂、化工厂、发电厂、用于过程控制行业中，炼油厂、化工厂、发电厂、造纸厂和金属冶炼厂等一类过程控制行业均采用造纸厂和金属冶炼厂等一类过程控制行业均采用DCS作为过程中的控制系统。作为过程中的控制系统。安全特性：安全特性：控制系统一般要求严谨，但是设计中信息安全方面的考虑存在不足第八页，编辑于星期六：二十三点 三十一分。9常见工业控制系统常见工业控制系统PLCuPLC(ProgrammableLogicController)：PLC与与控制一个系统的逻辑

7、程序有关，采用物理装置代替控制一个系统的逻辑程序有关，采用物理装置代替硬连线逻辑，并借助于中央处理器来阅读所有的输硬连线逻辑，并借助于中央处理器来阅读所有的输入值，并执行程序，向编程状态发出输出指令。像入值，并执行程序，向编程状态发出输出指令。像汽车和建筑自动化、电子和半导体、机械和运输等汽车和建筑自动化、电子和半导体、机械和运输等一类的离散行业传统上都采用一类的离散行业传统上都采用PLC可编程逻辑控制可编程逻辑控制器。器。安全特性：安全特性：比较独立，但是在协议层面上仍可能存在安全风险第九页，编辑于星期六：二十三点 三十一分。10工业控制系统的分层结构工业控制系统的分层结构企企业经营管理管理

8、层生生产管理管理层监督控制督控制层现场控制控制层现场设备层销售管理系统、财务管理系统、人力资源管理系统等应用系统计划排产系统、仓储管理系统、历史数据库服务器等操作员站、工程师站、监控计算机、实时数据库服务器等控制器、现场通信模块、I/O 模块智能仪表等第十页，编辑于星期六：二十三点 三十一分。11系统模型系统模型第十一页，编辑于星期六：二十三点 三十一分。12工业控制系统的系统结构工业控制系统的系统结构u由于以太网络和由于以太网络和TCP/IP协议的广泛采用，工业控制协议的广泛采用，工业控制系统的结构与一般信息系统逐渐趋同系统的结构与一般信息系统逐渐趋同第十二页，编辑于星期六：二十三点 三十一

9、分。13危险引入点危险引入点危险引入点网络和通信连接点移动媒体不当操作受感染的现场设备第十三页，编辑于星期六：二十三点 三十一分。14可能的安全事件可能的安全事件u控制系统发生拒绝服务控制系统发生拒绝服务u向控制系统注入恶意代码向控制系统注入恶意代码uMalware（冒牌软件）（冒牌软件）u对可编程控制器进行非法操作对可编程控制器进行非法操作u对无线对无线AP进行渗透；进行渗透；uAPT（AdvancedPersistentThreat）盗取机密信息）盗取机密信息u14第十四页，编辑于星期六：二十三点 三十一分。15传播途径传播途径u外部公共网络，如：因特网外部公共网络，如：因特网u内部信息网

10、络内部信息网络u工控专网（点对点、无线）工控专网（点对点、无线）u移动存储装置移动存储装置第十五页，编辑于星期六：二十三点 三十一分。16危险后果的受体及其影响危险后果的受体及其影响人员、环境、资产造成特别严重的损害，A级造成严重损害，B级造成一般损害，C级第十六页，编辑于星期六：二十三点 三十一分。17Agenda1.工业控制系统安全分析工业控制系统安全分析2.信息安全自查工作与自查表填写信息安全自查工作与自查表填写第十七页，编辑于星期六：二十三点 三十一分。18自查工作内容自查工作内容u1、信息安全管理情况、信息安全管理情况u2、技术防护情况、技术防护情况u3、工业控制系统等级保护工作落实

11、情况、工业控制系统等级保护工作落实情况u4、应急工作情况、应急工作情况u5、密码使用检查、密码使用检查u6、安全教育培训情况、安全教育培训情况u7、安全问题整改情况、安全问题整改情况第十八页，编辑于星期六：二十三点 三十一分。19自查表填写自查表填写-表表1第十九页，编辑于星期六：二十三点 三十一分。20自查表填写自查表填写-表表21 1、每个工业控制系统填写一行、每个工业控制系统填写一行2 2、实时性：一般工业控制系统都属于实时系统，业务销售管理系统等属于非实时系统、实时性：一般工业控制系统都属于实时系统，业务销售管理系统等属于非实时系统3 3、业务连续性要求：主要考虑恢复时间的要求，越关键

12、的系统时间越少、业务连续性要求：主要考虑恢复时间的要求，越关键的系统时间越少4 4、网络连接情况中逻辑隔离指使用防火墙、安全网关、网闸等设备隔离两个网络、网络连接情况中逻辑隔离指使用防火墙、安全网关、网闸等设备隔离两个网络第二十页，编辑于星期六：二十三点 三十一分。21自查表填写自查表填写-表表31 1、对单位所有的工业控制系统、对单位所有的工业控制系统汇总填入表内汇总填入表内2 2、应分清国内和国外品牌，以、应分清国内和国外品牌，以成套设备生产商为准成套设备生产商为准3 3、无相应设备填入、无相应设备填入0 0第二十一页，编辑于星期六：二十三点 三十一分。22自查表填写自查表填写-表表41

13、1、汇总单位各类系统和设备的采购、建设费用后填入、汇总单位各类系统和设备的采购、建设费用后填入2 2、无相应设备和系统填、无相应设备和系统填0 03 3、国产化占比按成套（台）设备和系统计算、国产化占比按成套（台）设备和系统计算第二十二页，编辑于星期六：二十三点 三十一分。23自查表填写自查表填写-表表51 1、单位采用的信息技术外包服务都应填入，可增加表格行、单位采用的信息技术外包服务都应填入，可增加表格行2 2、外包服务包括：设计服务、集成服务、安全服务等、外包服务包括：设计服务、集成服务、安全服务等3 3、服务方式：远程在线服务和现场服务可同时存在、服务方式：远程在线服务和现场服务可同时

14、存在第二十三页，编辑于星期六：二十三点 三十一分。24自查表填写自查表填写-表表61 1、信息安全责任制落实强调制度化、体系化、信息安全责任制落实强调制度化、体系化2 2、填入确定的机构和人员、填入确定的机构和人员3 3、安全职责分工和责任明确、安全职责分工和责任明确第二十四页，编辑于星期六：二十三点 三十一分。25自查表填写自查表填写-表表7第二十五页，编辑于星期六：二十三点 三十一分。26自查表填写自查表填写-表表8，表，表9第二十六页，编辑于星期六：二十三点 三十一分。27自查表填写自查表填写-表表10-11 1、工业控制系统网络划分按照协议、区域、系统功能进行划分、工业控制系统网络划分

15、按照协议、区域、系统功能进行划分2 2、检查连接互联网情况应准确填写连接数量、检查连接互联网情况应准确填写连接数量3 3、无线网络包括、无线网络包括WLANWLAN（WIFI)WIFI)、GPRSGPRS、3G3G、4G4G、无线传感等网络形式、无线传感等网络形式第二十七页，编辑于星期六：二十三点 三十一分。28自查表填写自查表填写-表表10-21 1、默认配置是指设备和系统是出厂初始状态，未进行安全配置、优化和加固等。、默认配置是指设备和系统是出厂初始状态，未进行安全配置、优化和加固等。2 2、网络设备含集线器、交换机、路由器、收发器、网关、无线、网络设备含集线器、交换机、路由器、收发器、网

16、关、无线APAP等等3 3、安全设备含防火墙、入侵检测、网闸等、安全设备含防火墙、入侵检测、网闸等4 4、身份鉴别：提供用户、设备登录验证，访问控制：用权限限制对资源的访问，、身份鉴别：提供用户、设备登录验证，访问控制：用权限限制对资源的访问，安全审计：记录相关重要操作内容、时间、用户等信息安全审计：记录相关重要操作内容、时间、用户等信息第二十八页，编辑于星期六：二十三点 三十一分。29自查表填写自查表填写-表表101 1、数据传输和存储是否加密应询问系统和设备提供商、数据传输和存储是否加密应询问系统和设备提供商2 2、密码产品包括密码机、数据加密机、动态口令卡、数字证书等，非涉密系统应采用具

17、、密码产品包括密码机、数据加密机、动态口令卡、数字证书等，非涉密系统应采用具有商用密码产品销售许可证的产品有商用密码产品销售许可证的产品第二十九页，编辑于星期六：二十三点 三十一分。30自查表填写自查表填写-表表11第三十页，编辑于星期六：二十三点 三十一分。31自查表填写自查表填写-表表12、13第三十一页，编辑于星期六：二十三点 三十一分。32总结总结u通过自查落实安全责任，切实加强企业信息安全工通过自查落实安全责任，切实加强企业信息安全工作作u自查表为工业企业开展信息安全自查工作提供指导自查表为工业企业开展信息安全自查工作提供指导u自查和整改工作落实是关键，杜绝以填表为目的自查和整改工作落实是关键，杜绝以填表为目的u保证上报数据准确，有利于后续汇总、分析保证上报数据准确，有利于后续汇总、分析第三十二页，编辑于星期六：二十三点 三十一分。33谢谢聆听！谢谢聆听！谢谢聆听！谢谢聆听！第三十三页，编辑于星期六：二十三点 三十一分。