工控系統(tǒng)信息安全專項(xiàng)檢查培訓(xùn)03

1、2015年重慶市年重慶市工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全專項(xiàng)檢查培訓(xùn)專項(xiàng)檢查培訓(xùn)周彥暉周彥暉2Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫3Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫4工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)u工業(yè)工業(yè)控制系統(tǒng)控制系統(tǒng)(Industrial Control System, ICS)包括過(guò)程控制、數(shù)據(jù)采包括過(guò)程控制、數(shù)據(jù)采集系統(tǒng)集系統(tǒng)(SCADA)，分布式控制系統(tǒng)，分布式控制系統(tǒng)（DCS）,程序邏輯控制程序邏輯控制(PLC）、遠(yuǎn)）、遠(yuǎn)程

2、終端（程終端（RTU)、智能電子設(shè)備（、智能電子設(shè)備（IED）以及其他控制系統(tǒng)等以及其他控制系統(tǒng)等u超過(guò)超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，化作業(yè)，成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安全全u傳統(tǒng)工業(yè)控制系統(tǒng)的計(jì)算資源（包括傳統(tǒng)工業(yè)控制系統(tǒng)的計(jì)算資源（包括CPU和和存儲(chǔ)器存儲(chǔ)器）有限，在設(shè)計(jì)時(shí)只）有限，在設(shè)計(jì)時(shí)只考慮到效率和實(shí)時(shí)相關(guān)的特性，考慮到效率和實(shí)時(shí)相關(guān)的特性，控制系統(tǒng)網(wǎng)絡(luò)安全并未作為一個(gè)主要的控制系統(tǒng)網(wǎng)絡(luò)安全并未作為一個(gè)主要的指

3、標(biāo)考慮指標(biāo)考慮5發(fā)展與安全現(xiàn)狀發(fā)展與安全現(xiàn)狀u隨著技術(shù)的發(fā)展、信息化推動(dòng)、工業(yè)化進(jìn)程的加速隨著技術(shù)的發(fā)展、信息化推動(dòng)、工業(yè)化進(jìn)程的加速，越來(lái)越多的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)應(yīng)用于工，越來(lái)越多的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)業(yè)控制系統(tǒng)u用通用的計(jì)算機(jī)設(shè)備和數(shù)據(jù)通信設(shè)備取代專用的控制和通信設(shè)備，用通用的計(jì)算機(jī)設(shè)備和數(shù)據(jù)通信設(shè)備取代專用的控制和通信設(shè)備，嵌入式技術(shù)、嵌入式技術(shù)、PCSPCS、ERPERP等企業(yè)信息自動(dòng)化的應(yīng)用以及企業(yè)信息網(wǎng)絡(luò)等企業(yè)信息自動(dòng)化的應(yīng)用以及企業(yè)信息網(wǎng)絡(luò)與與InternetInternet互連等?；ミB等。u在這些技術(shù)應(yīng)用的同時(shí)，帶來(lái)了控制網(wǎng)絡(luò)的安全問(wèn)題，如病毒、信在

4、這些技術(shù)應(yīng)用的同時(shí)，帶來(lái)了控制網(wǎng)絡(luò)的安全問(wèn)題，如病毒、信息泄漏和篡改、系統(tǒng)息泄漏和篡改、系統(tǒng)拒絕服務(wù)拒絕服務(wù)等。等。6國(guó)內(nèi)工控系統(tǒng)國(guó)內(nèi)工控系統(tǒng)安全安全現(xiàn)狀現(xiàn)狀7常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)SCADAuSCADA(supervisory control and data acquisition)：應(yīng)用于分布距離遠(yuǎn)、生產(chǎn)單位分散：應(yīng)用于分布距離遠(yuǎn)、生產(chǎn)單位分散的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。特點(diǎn)：特點(diǎn)：分布區(qū)域廣泛、主站與控制對(duì)象距離遠(yuǎn)、監(jiān)控終端的工作條件苛刻、通訊系統(tǒng)復(fù)雜多變、通訊系統(tǒng)不保證可靠傳輸。安全特性安全特性：漏洞較多（因與桌面操作

5、系統(tǒng)兼容）8常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)DCSuDCS(Distributed Control System)：DCS主要應(yīng)主要應(yīng)用于過(guò)程控制行業(yè)中，煉油廠、化工廠、發(fā)電廠、用于過(guò)程控制行業(yè)中，煉油廠、化工廠、發(fā)電廠、造紙廠和金屬冶煉廠等一類過(guò)程控制行業(yè)均采用造紙廠和金屬冶煉廠等一類過(guò)程控制行業(yè)均采用DCS作為過(guò)程中的控制系統(tǒng)。作為過(guò)程中的控制系統(tǒng)。安全特性：安全特性：控制系統(tǒng)一般要求嚴(yán)謹(jǐn)，但是設(shè)計(jì)中信息安全方面的考慮存在不足9常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)PLCuPLC(Programmable Logic Controller)：PLC與與控制一個(gè)系統(tǒng)的邏輯程序有關(guān)，采用物理裝置代替

6、控制一個(gè)系統(tǒng)的邏輯程序有關(guān)，采用物理裝置代替硬連線邏輯，并借助于中央處理器來(lái)閱讀所有的輸硬連線邏輯，并借助于中央處理器來(lái)閱讀所有的輸入值，并執(zhí)行程序，向編程狀態(tài)發(fā)出輸出指令。像入值，并執(zhí)行程序，向編程狀態(tài)發(fā)出輸出指令。像汽車和建筑自動(dòng)化、電子和半導(dǎo)體、機(jī)械和運(yùn)輸?shù)绕嚭徒ㄖ詣?dòng)化、電子和半導(dǎo)體、機(jī)械和運(yùn)輸?shù)纫活惖碾x散行業(yè)傳統(tǒng)上都采用一類的離散行業(yè)傳統(tǒng)上都采用PLC可編程邏輯控制可編程邏輯控制器。器。安全特性：安全特性：比較獨(dú)立，但是在協(xié)議層面上仍可能存在安全風(fēng)險(xiǎn)10工業(yè)控制系統(tǒng)的分層結(jié)構(gòu)工業(yè)控制系統(tǒng)的分層結(jié)構(gòu)銷售管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)等應(yīng)用系統(tǒng)計(jì)劃排產(chǎn)系統(tǒng)、倉(cāng)儲(chǔ)管理系統(tǒng)、歷史

7、數(shù)據(jù)庫(kù)服務(wù)器等操作員站、工程師站、監(jiān)控計(jì)算機(jī)、實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器等控制器、現(xiàn)場(chǎng)通信模塊、I/O 模塊智能儀表等11系統(tǒng)模型系統(tǒng)模型12工業(yè)控制系統(tǒng)的系統(tǒng)結(jié)構(gòu)工業(yè)控制系統(tǒng)的系統(tǒng)結(jié)構(gòu)u由于以太網(wǎng)絡(luò)和由于以太網(wǎng)絡(luò)和TCP/IP協(xié)議的廣泛采用，工業(yè)控制協(xié)議的廣泛采用，工業(yè)控制系統(tǒng)的結(jié)構(gòu)與一般信息系統(tǒng)逐漸趨同系統(tǒng)的結(jié)構(gòu)與一般信息系統(tǒng)逐漸趨同13危險(xiǎn)引入點(diǎn)危險(xiǎn)引入點(diǎn)14可能的安全事件可能的安全事件u控制系統(tǒng)發(fā)生拒絕服務(wù)控制系統(tǒng)發(fā)生拒絕服務(wù)u向控制系統(tǒng)注入惡意代碼向控制系統(tǒng)注入惡意代碼uMalware（冒牌軟件）（冒牌軟件）u對(duì)可編程控制器進(jìn)行非法操作對(duì)可編程控制器進(jìn)行非法操作u對(duì)無(wú)線對(duì)無(wú)線 AP 進(jìn)行滲透；

8、進(jìn)行滲透；uAPT （Advanced Persistent Threat）盜取機(jī)密信息）盜取機(jī)密信息u1415傳播途徑傳播途徑u外部公共網(wǎng)絡(luò)，如：因特網(wǎng)外部公共網(wǎng)絡(luò)，如：因特網(wǎng)u內(nèi)部信息網(wǎng)絡(luò)內(nèi)部信息網(wǎng)絡(luò)u工控專網(wǎng)（點(diǎn)對(duì)點(diǎn)、無(wú)線）工控專網(wǎng)（點(diǎn)對(duì)點(diǎn)、無(wú)線）u移動(dòng)存儲(chǔ)裝置移動(dòng)存儲(chǔ)裝置16危險(xiǎn)后果的受體及其影響危險(xiǎn)后果的受體及其影響17Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫18自查工作內(nèi)容自查工作內(nèi)容u1、信息安全管理情況、信息安全管理情況u2、技術(shù)防護(hù)情況、技術(shù)防護(hù)情況u3、工業(yè)控制系統(tǒng)等級(jí)保護(hù)工作落實(shí)情況、工業(yè)控制系統(tǒng)等級(jí)

9、保護(hù)工作落實(shí)情況u4、應(yīng)急工作情況、應(yīng)急工作情況u5、密碼使用檢查、密碼使用檢查u6、安全教育培訓(xùn)情況、安全教育培訓(xùn)情況u7、安全問(wèn)題整改情況、安全問(wèn)題整改情況19自查表填寫自查表填寫-表表120自查表填寫自查表填寫-表表21 1、每個(gè)工業(yè)控制系統(tǒng)填寫一行、每個(gè)工業(yè)控制系統(tǒng)填寫一行2 2、實(shí)時(shí)性：一般工業(yè)控制系統(tǒng)都屬于實(shí)時(shí)系統(tǒng)，業(yè)務(wù)銷售管理系統(tǒng)等屬于、實(shí)時(shí)性：一般工業(yè)控制系統(tǒng)都屬于實(shí)時(shí)系統(tǒng)，業(yè)務(wù)銷售管理系統(tǒng)等屬于非實(shí)時(shí)系統(tǒng)非實(shí)時(shí)系統(tǒng)3 3、業(yè)務(wù)連續(xù)性要求：主要考慮恢復(fù)時(shí)間的要求，越關(guān)鍵的系統(tǒng)時(shí)間越少、業(yè)務(wù)連續(xù)性要求：主要考慮恢復(fù)時(shí)間的要求，越關(guān)鍵的系統(tǒng)時(shí)間越少4 4、網(wǎng)絡(luò)連接情況中邏輯隔離指使

10、用防火墻、安全網(wǎng)關(guān)、網(wǎng)閘等設(shè)備隔離兩、網(wǎng)絡(luò)連接情況中邏輯隔離指使用防火墻、安全網(wǎng)關(guān)、網(wǎng)閘等設(shè)備隔離兩個(gè)網(wǎng)絡(luò)個(gè)網(wǎng)絡(luò)21自查表填寫自查表填寫-表表31 1、對(duì)單位所有的工業(yè)控制系統(tǒng)、對(duì)單位所有的工業(yè)控制系統(tǒng)匯總填入表內(nèi)匯總填入表內(nèi)2 2、應(yīng)分清國(guó)內(nèi)和國(guó)外品牌，以、應(yīng)分清國(guó)內(nèi)和國(guó)外品牌，以成套設(shè)備生產(chǎn)商為準(zhǔn)成套設(shè)備生產(chǎn)商為準(zhǔn)3 3、無(wú)相應(yīng)設(shè)備填入、無(wú)相應(yīng)設(shè)備填入0 022自查表填寫自查表填寫-表表41 1、匯總單位各類系統(tǒng)和設(shè)備的采購(gòu)、建設(shè)費(fèi)用后填入、匯總單位各類系統(tǒng)和設(shè)備的采購(gòu)、建設(shè)費(fèi)用后填入2 2、無(wú)相應(yīng)設(shè)備和系統(tǒng)填、無(wú)相應(yīng)設(shè)備和系統(tǒng)填0 03 3、國(guó)產(chǎn)化占比按成套（臺(tái)）設(shè)備和系統(tǒng)計(jì)算、國(guó)產(chǎn)化占

11、比按成套（臺(tái)）設(shè)備和系統(tǒng)計(jì)算23自查表填寫自查表填寫-表表51 1、單位采用的信息技術(shù)外包服務(wù)都應(yīng)填入，可增加表格行、單位采用的信息技術(shù)外包服務(wù)都應(yīng)填入，可增加表格行2 2、外包服務(wù)包括：設(shè)計(jì)服務(wù)、集成服務(wù)、安全服務(wù)等、外包服務(wù)包括：設(shè)計(jì)服務(wù)、集成服務(wù)、安全服務(wù)等3 3、服務(wù)方式：遠(yuǎn)程在線服務(wù)和現(xiàn)場(chǎng)服務(wù)可同時(shí)存在、服務(wù)方式：遠(yuǎn)程在線服務(wù)和現(xiàn)場(chǎng)服務(wù)可同時(shí)存在24自查表填寫自查表填寫-表表61 1、信息安全責(zé)任制落實(shí)強(qiáng)調(diào)制度化、體系化、信息安全責(zé)任制落實(shí)強(qiáng)調(diào)制度化、體系化2 2、填入確定的機(jī)構(gòu)和人員、填入確定的機(jī)構(gòu)和人員3 3、安全職責(zé)分工和責(zé)任明確、安全職責(zé)分工和責(zé)任明確25自查表填寫自查表填寫

12、-表表726自查表填寫自查表填寫-表表8，表，表927自查表填寫自查表填寫-表表10-11 1、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進(jìn)行劃分、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進(jìn)行劃分2 2、檢查連接互聯(lián)網(wǎng)情況應(yīng)準(zhǔn)確填寫連接數(shù)量、檢查連接互聯(lián)網(wǎng)情況應(yīng)準(zhǔn)確填寫連接數(shù)量3 3、無(wú)線網(wǎng)絡(luò)包括、無(wú)線網(wǎng)絡(luò)包括WLANWLAN（WIFI)WIFI)、GPRSGPRS、3G3G、4G4G、無(wú)線傳感等網(wǎng)絡(luò)形式、無(wú)線傳感等網(wǎng)絡(luò)形式28自查表填寫自查表填寫-表表10-21 1、默認(rèn)配置是指設(shè)備和系統(tǒng)是出廠初始狀態(tài)，未進(jìn)行安全配置、優(yōu)化和加、默認(rèn)配置是指設(shè)備和系統(tǒng)是出廠初始狀態(tài)，未進(jìn)行安全配置、優(yōu)

13、化和加固等。固等。2 2、網(wǎng)絡(luò)設(shè)備含集線器、交換機(jī)、路由器、收發(fā)器、網(wǎng)關(guān)、無(wú)線、網(wǎng)絡(luò)設(shè)備含集線器、交換機(jī)、路由器、收發(fā)器、網(wǎng)關(guān)、無(wú)線APAP等等3 3、安全設(shè)備含防火墻、入侵檢測(cè)、網(wǎng)閘等、安全設(shè)備含防火墻、入侵檢測(cè)、網(wǎng)閘等4 4、身份鑒別：提供用戶、設(shè)備登錄驗(yàn)證，訪問(wèn)控制：用權(quán)限限制對(duì)資源的、身份鑒別：提供用戶、設(shè)備登錄驗(yàn)證，訪問(wèn)控制：用權(quán)限限制對(duì)資源的訪問(wèn)，安全審計(jì)：記錄相關(guān)重要操作內(nèi)容、時(shí)間、用戶等信息訪問(wèn)，安全審計(jì)：記錄相關(guān)重要操作內(nèi)容、時(shí)間、用戶等信息29自查表填寫自查表填寫-表表101 1、數(shù)據(jù)傳輸和存儲(chǔ)是否加密應(yīng)詢問(wèn)系統(tǒng)和設(shè)備提供商、數(shù)據(jù)傳輸和存儲(chǔ)是否加密應(yīng)詢問(wèn)系統(tǒng)和設(shè)備提供商2 2、密碼產(chǎn)品包括密碼機(jī)、數(shù)據(jù)加密機(jī)、動(dòng)態(tài)口令卡、數(shù)字證書等，非涉密、密碼產(chǎn)品包括密碼機(jī)、數(shù)據(jù)加密機(jī)、動(dòng)態(tài)口令卡、數(shù)字證書等，非涉密系統(tǒng)應(yīng)采用具有商用密碼產(chǎn)品銷售許可證的產(chǎn)品系統(tǒng)應(yīng)采用具有商用密碼產(chǎn)品銷售許可證的產(chǎn)品30自查表填寫自