




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、2015年重慶市年重慶市工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全專項檢查培訓專項檢查培訓周彥暉周彥暉2Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫3Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫4工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)u工業(yè)工業(yè)控制系統(tǒng)控制系統(tǒng)(Industrial Control System, ICS)包括過程控制、數(shù)據(jù)采包括過程控制、數(shù)據(jù)采集系統(tǒng)集系統(tǒng)(SCADA),分布式控制系統(tǒng),分布式控制系統(tǒng)(DCS),程序邏輯控制程序邏輯控制(PLC)、遠)、遠程
2、終端(程終端(RTU)、智能電子設(shè)備(、智能電子設(shè)備(IED)以及其他控制系統(tǒng)等以及其他控制系統(tǒng)等u超過超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),化作業(yè),成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,關(guān)系到國家的戰(zhàn)略安成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,關(guān)系到國家的戰(zhàn)略安全全u傳統(tǒng)工業(yè)控制系統(tǒng)的計算資源(包括傳統(tǒng)工業(yè)控制系統(tǒng)的計算資源(包括CPU和和存儲器存儲器)有限,在設(shè)計時只)有限,在設(shè)計時只考慮到效率和實時相關(guān)的特性,考慮到效率和實時相關(guān)的特性,控制系統(tǒng)網(wǎng)絡(luò)安全并未作為一個主要的控制系統(tǒng)網(wǎng)絡(luò)安全并未作為一個主要的指
3、標考慮指標考慮5發(fā)展與安全現(xiàn)狀發(fā)展與安全現(xiàn)狀u隨著技術(shù)的發(fā)展、信息化推動、工業(yè)化進程的加速隨著技術(shù)的發(fā)展、信息化推動、工業(yè)化進程的加速,越來越多的計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)應(yīng)用于工,越來越多的計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)業(yè)控制系統(tǒng)u用通用的計算機設(shè)備和數(shù)據(jù)通信設(shè)備取代專用的控制和通信設(shè)備,用通用的計算機設(shè)備和數(shù)據(jù)通信設(shè)備取代專用的控制和通信設(shè)備,嵌入式技術(shù)、嵌入式技術(shù)、PCSPCS、ERPERP等企業(yè)信息自動化的應(yīng)用以及企業(yè)信息網(wǎng)絡(luò)等企業(yè)信息自動化的應(yīng)用以及企業(yè)信息網(wǎng)絡(luò)與與InternetInternet互連等?;ミB等。u在這些技術(shù)應(yīng)用的同時,帶來了控制網(wǎng)絡(luò)的安全問題,如病毒、信在
4、這些技術(shù)應(yīng)用的同時,帶來了控制網(wǎng)絡(luò)的安全問題,如病毒、信息泄漏和篡改、系統(tǒng)息泄漏和篡改、系統(tǒng)拒絕服務(wù)拒絕服務(wù)等。等。6國內(nèi)工控系統(tǒng)國內(nèi)工控系統(tǒng)安全安全現(xiàn)狀現(xiàn)狀7常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)SCADAuSCADA(supervisory control and data acquisition):應(yīng)用于分布距離遠、生產(chǎn)單位分散:應(yīng)用于分布距離遠、生產(chǎn)單位分散的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。特點:特點:分布區(qū)域廣泛、主站與控制對象距離遠、監(jiān)控終端的工作條件苛刻、通訊系統(tǒng)復雜多變、通訊系統(tǒng)不保證可靠傳輸。安全特性安全特性:漏洞較多(因與桌面操作
5、系統(tǒng)兼容)8常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)DCSuDCS(Distributed Control System):DCS主要應(yīng)主要應(yīng)用于過程控制行業(yè)中,煉油廠、化工廠、發(fā)電廠、用于過程控制行業(yè)中,煉油廠、化工廠、發(fā)電廠、造紙廠和金屬冶煉廠等一類過程控制行業(yè)均采用造紙廠和金屬冶煉廠等一類過程控制行業(yè)均采用DCS作為過程中的控制系統(tǒng)。作為過程中的控制系統(tǒng)。安全特性:安全特性:控制系統(tǒng)一般要求嚴謹,但是設(shè)計中信息安全方面的考慮存在不足9常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)PLCuPLC(Programmable Logic Controller):PLC與與控制一個系統(tǒng)的邏輯程序有關(guān),采用物理裝置代替
6、控制一個系統(tǒng)的邏輯程序有關(guān),采用物理裝置代替硬連線邏輯,并借助于中央處理器來閱讀所有的輸硬連線邏輯,并借助于中央處理器來閱讀所有的輸入值,并執(zhí)行程序,向編程狀態(tài)發(fā)出輸出指令。像入值,并執(zhí)行程序,向編程狀態(tài)發(fā)出輸出指令。像汽車和建筑自動化、電子和半導體、機械和運輸?shù)绕嚭徒ㄖ詣踊?、電子和半導體、機械和運輸?shù)纫活惖碾x散行業(yè)傳統(tǒng)上都采用一類的離散行業(yè)傳統(tǒng)上都采用PLC可編程邏輯控制可編程邏輯控制器。器。安全特性:安全特性:比較獨立,但是在協(xié)議層面上仍可能存在安全風險10工業(yè)控制系統(tǒng)的分層結(jié)構(gòu)工業(yè)控制系統(tǒng)的分層結(jié)構(gòu)銷售管理系統(tǒng)、財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)等應(yīng)用系統(tǒng)計劃排產(chǎn)系統(tǒng)、倉儲管理系統(tǒng)、歷史
7、數(shù)據(jù)庫服務(wù)器等操作員站、工程師站、監(jiān)控計算機、實時數(shù)據(jù)庫服務(wù)器等控制器、現(xiàn)場通信模塊、I/O 模塊智能儀表等11系統(tǒng)模型系統(tǒng)模型12工業(yè)控制系統(tǒng)的系統(tǒng)結(jié)構(gòu)工業(yè)控制系統(tǒng)的系統(tǒng)結(jié)構(gòu)u由于以太網(wǎng)絡(luò)和由于以太網(wǎng)絡(luò)和TCP/IP協(xié)議的廣泛采用,工業(yè)控制協(xié)議的廣泛采用,工業(yè)控制系統(tǒng)的結(jié)構(gòu)與一般信息系統(tǒng)逐漸趨同系統(tǒng)的結(jié)構(gòu)與一般信息系統(tǒng)逐漸趨同13危險引入點危險引入點14可能的安全事件可能的安全事件u控制系統(tǒng)發(fā)生拒絕服務(wù)控制系統(tǒng)發(fā)生拒絕服務(wù)u向控制系統(tǒng)注入惡意代碼向控制系統(tǒng)注入惡意代碼uMalware(冒牌軟件)(冒牌軟件)u對可編程控制器進行非法操作對可編程控制器進行非法操作u對無線對無線 AP 進行滲透;
8、進行滲透;uAPT (Advanced Persistent Threat)盜取機密信息)盜取機密信息u1415傳播途徑傳播途徑u外部公共網(wǎng)絡(luò),如:因特網(wǎng)外部公共網(wǎng)絡(luò),如:因特網(wǎng)u內(nèi)部信息網(wǎng)絡(luò)內(nèi)部信息網(wǎng)絡(luò)u工控專網(wǎng)(點對點、無線)工控專網(wǎng)(點對點、無線)u移動存儲裝置移動存儲裝置16危險后果的受體及其影響危險后果的受體及其影響17Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫18自查工作內(nèi)容自查工作內(nèi)容u1、信息安全管理情況、信息安全管理情況u2、技術(shù)防護情況、技術(shù)防護情況u3、工業(yè)控制系統(tǒng)等級保護工作落實情況、工業(yè)控制系統(tǒng)等級
9、保護工作落實情況u4、應(yīng)急工作情況、應(yīng)急工作情況u5、密碼使用檢查、密碼使用檢查u6、安全教育培訓情況、安全教育培訓情況u7、安全問題整改情況、安全問題整改情況19自查表填寫自查表填寫-表表120自查表填寫自查表填寫-表表21 1、每個工業(yè)控制系統(tǒng)填寫一行、每個工業(yè)控制系統(tǒng)填寫一行2 2、實時性:一般工業(yè)控制系統(tǒng)都屬于實時系統(tǒng),業(yè)務(wù)銷售管理系統(tǒng)等屬于、實時性:一般工業(yè)控制系統(tǒng)都屬于實時系統(tǒng),業(yè)務(wù)銷售管理系統(tǒng)等屬于非實時系統(tǒng)非實時系統(tǒng)3 3、業(yè)務(wù)連續(xù)性要求:主要考慮恢復時間的要求,越關(guān)鍵的系統(tǒng)時間越少、業(yè)務(wù)連續(xù)性要求:主要考慮恢復時間的要求,越關(guān)鍵的系統(tǒng)時間越少4 4、網(wǎng)絡(luò)連接情況中邏輯隔離指使
10、用防火墻、安全網(wǎng)關(guān)、網(wǎng)閘等設(shè)備隔離兩、網(wǎng)絡(luò)連接情況中邏輯隔離指使用防火墻、安全網(wǎng)關(guān)、網(wǎng)閘等設(shè)備隔離兩個網(wǎng)絡(luò)個網(wǎng)絡(luò)21自查表填寫自查表填寫-表表31 1、對單位所有的工業(yè)控制系統(tǒng)、對單位所有的工業(yè)控制系統(tǒng)匯總填入表內(nèi)匯總填入表內(nèi)2 2、應(yīng)分清國內(nèi)和國外品牌,以、應(yīng)分清國內(nèi)和國外品牌,以成套設(shè)備生產(chǎn)商為準成套設(shè)備生產(chǎn)商為準3 3、無相應(yīng)設(shè)備填入、無相應(yīng)設(shè)備填入0 022自查表填寫自查表填寫-表表41 1、匯總單位各類系統(tǒng)和設(shè)備的采購、建設(shè)費用后填入、匯總單位各類系統(tǒng)和設(shè)備的采購、建設(shè)費用后填入2 2、無相應(yīng)設(shè)備和系統(tǒng)填、無相應(yīng)設(shè)備和系統(tǒng)填0 03 3、國產(chǎn)化占比按成套(臺)設(shè)備和系統(tǒng)計算、國產(chǎn)化占
11、比按成套(臺)設(shè)備和系統(tǒng)計算23自查表填寫自查表填寫-表表51 1、單位采用的信息技術(shù)外包服務(wù)都應(yīng)填入,可增加表格行、單位采用的信息技術(shù)外包服務(wù)都應(yīng)填入,可增加表格行2 2、外包服務(wù)包括:設(shè)計服務(wù)、集成服務(wù)、安全服務(wù)等、外包服務(wù)包括:設(shè)計服務(wù)、集成服務(wù)、安全服務(wù)等3 3、服務(wù)方式:遠程在線服務(wù)和現(xiàn)場服務(wù)可同時存在、服務(wù)方式:遠程在線服務(wù)和現(xiàn)場服務(wù)可同時存在24自查表填寫自查表填寫-表表61 1、信息安全責任制落實強調(diào)制度化、體系化、信息安全責任制落實強調(diào)制度化、體系化2 2、填入確定的機構(gòu)和人員、填入確定的機構(gòu)和人員3 3、安全職責分工和責任明確、安全職責分工和責任明確25自查表填寫自查表填寫
12、-表表726自查表填寫自查表填寫-表表8,表,表927自查表填寫自查表填寫-表表10-11 1、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進行劃分、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進行劃分2 2、檢查連接互聯(lián)網(wǎng)情況應(yīng)準確填寫連接數(shù)量、檢查連接互聯(lián)網(wǎng)情況應(yīng)準確填寫連接數(shù)量3 3、無線網(wǎng)絡(luò)包括、無線網(wǎng)絡(luò)包括WLANWLAN(WIFI)WIFI)、GPRSGPRS、3G3G、4G4G、無線傳感等網(wǎng)絡(luò)形式、無線傳感等網(wǎng)絡(luò)形式28自查表填寫自查表填寫-表表10-21 1、默認配置是指設(shè)備和系統(tǒng)是出廠初始狀態(tài),未進行安全配置、優(yōu)化和加、默認配置是指設(shè)備和系統(tǒng)是出廠初始狀態(tài),未進行安全配置、優(yōu)
13、化和加固等。固等。2 2、網(wǎng)絡(luò)設(shè)備含集線器、交換機、路由器、收發(fā)器、網(wǎng)關(guān)、無線、網(wǎng)絡(luò)設(shè)備含集線器、交換機、路由器、收發(fā)器、網(wǎng)關(guān)、無線APAP等等3 3、安全設(shè)備含防火墻、入侵檢測、網(wǎng)閘等、安全設(shè)備含防火墻、入侵檢測、網(wǎng)閘等4 4、身份鑒別:提供用戶、設(shè)備登錄驗證,訪問控制:用權(quán)限限制對資源的、身份鑒別:提供用戶、設(shè)備登錄驗證,訪問控制:用權(quán)限限制對資源的訪問,安全審計:記錄相關(guān)重要操作內(nèi)容、時間、用戶等信息訪問,安全審計:記錄相關(guān)重要操作內(nèi)容、時間、用戶等信息29自查表填寫自查表填寫-表表101 1、數(shù)據(jù)傳輸和存儲是否加密應(yīng)詢問系統(tǒng)和設(shè)備提供商、數(shù)據(jù)傳輸和存儲是否加密應(yīng)詢問系統(tǒng)和設(shè)備提供商2 2、密碼產(chǎn)品包括密碼機、數(shù)據(jù)加密機、動態(tài)口令卡、數(shù)字證書等,非涉密、密碼產(chǎn)品包括密碼機、數(shù)據(jù)加密機、動態(tài)口令卡、數(shù)字證書等,非涉密系統(tǒng)應(yīng)采用具有商用密碼產(chǎn)品銷售許可證的產(chǎn)品系統(tǒng)應(yīng)采用具有商用密碼產(chǎn)品銷售許可證的產(chǎn)品30自查表填寫自
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 航空運動器材展示與體驗活動策劃考核試卷
- 生物質(zhì)能發(fā)電的市場分析與發(fā)展趨勢考核試卷
- 紡織原料企業(yè)的庫存控制與物流優(yōu)化考核試卷
- 泡沫塑料在藝術(shù)與設(shè)計中的應(yīng)用考核試卷
- 電動機制造中的設(shè)備升級與技術(shù)改造考核試卷
- 肥料制造過程中的生產(chǎn)效率與質(zhì)量控制考核試卷
- 生物質(zhì)燃料顆粒生產(chǎn)與綠色供應(yīng)鏈管理及環(huán)保責任合同
- 造紙行業(yè)質(zhì)檢員勞務(wù)派遣與環(huán)保合同
- 物流企業(yè)智能分揀設(shè)備數(shù)據(jù)庫租賃及數(shù)據(jù)分析合同
- 網(wǎng)貸平臺多用戶共同債務(wù)處理與監(jiān)管協(xié)議
- 兒童支氣管哮喘診斷與防治指南(2025)解讀
- 中國低空經(jīng)濟城市發(fā)展指數(shù)(LCDI) 2025(發(fā)布版)
- 2025中考數(shù)學二輪復習-二次函數(shù)與三角形面積【課件】
- 2024年遼寧省公務(wù)員省考《行測》真題(含答案)
- 內(nèi)蒙古機電職業(yè)技術(shù)學院單獨招生(機電類)考試題(附答案)
- 2024年認證行業(yè)法律法規(guī)及認證基礎(chǔ)知識答案
- 南外加試試卷
- 黑龍江省中職畢業(yè)生對口專業(yè)升高職院校招生統(tǒng)一考試英語卷
- 2025年安徽公共資源交易集團招聘筆試參考題庫含答案解析
- 四川省射洪市金華鎮(zhèn)初級中學-以終為始 育夢成光-初二上期末家長會【課件】
- 外研版(2025新版)七年級下冊英語Unit 5 學情調(diào)研測試卷(含答案)
評論
0/150
提交評論