工控系統(tǒng)信息安全專項檢查培訓03

1、2015年重慶市年重慶市工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全專項檢查培訓專項檢查培訓周彥暉周彥暉2Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫3Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫4工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)u工業(yè)工業(yè)控制系統(tǒng)控制系統(tǒng)(Industrial Control System, ICS)包括過程控制、數(shù)據(jù)采包括過程控制、數(shù)據(jù)采集系統(tǒng)集系統(tǒng)(SCADA)，分布式控制系統(tǒng)，分布式控制系統(tǒng)（DCS）,程序邏輯控制程序邏輯控制(PLC）、遠）、遠程

2、終端（程終端（RTU)、智能電子設備（、智能電子設備（IED）以及其他控制系統(tǒng)等以及其他控制系統(tǒng)等u超過超過80%的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，化作業(yè)，成為國家關鍵基礎設施的重要組成部分，關系到國家的戰(zhàn)略安成為國家關鍵基礎設施的重要組成部分，關系到國家的戰(zhàn)略安全全u傳統(tǒng)工業(yè)控制系統(tǒng)的計算資源（包括傳統(tǒng)工業(yè)控制系統(tǒng)的計算資源（包括CPU和和存儲器存儲器）有限，在設計時只）有限，在設計時只考慮到效率和實時相關的特性，考慮到效率和實時相關的特性，控制系統(tǒng)網絡安全并未作為一個主要的控制系統(tǒng)網絡安全并未作為一個主要的指

3、標考慮指標考慮5發(fā)展與安全現(xiàn)狀發(fā)展與安全現(xiàn)狀u隨著技術的發(fā)展、信息化推動、工業(yè)化進程的加速隨著技術的發(fā)展、信息化推動、工業(yè)化進程的加速，越來越多的計算機技術和網絡通信技術應用于工，越來越多的計算機技術和網絡通信技術應用于工業(yè)控制系統(tǒng)業(yè)控制系統(tǒng)u用通用的計算機設備和數(shù)據(jù)通信設備取代專用的控制和通信設備，用通用的計算機設備和數(shù)據(jù)通信設備取代專用的控制和通信設備，嵌入式技術、嵌入式技術、PCSPCS、ERPERP等企業(yè)信息自動化的應用以及企業(yè)信息網絡等企業(yè)信息自動化的應用以及企業(yè)信息網絡與與InternetInternet互連等。互連等。u在這些技術應用的同時，帶來了控制網絡的安全問題，如病毒、信在

4、這些技術應用的同時，帶來了控制網絡的安全問題，如病毒、信息泄漏和篡改、系統(tǒng)息泄漏和篡改、系統(tǒng)拒絕服務拒絕服務等。等。6國內工控系統(tǒng)國內工控系統(tǒng)安全安全現(xiàn)狀現(xiàn)狀7常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)SCADAuSCADA(supervisory control and data acquisition)：應用于分布距離遠、生產單位分散：應用于分布距離遠、生產單位分散的生產系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。的生產系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)。特點：特點：分布區(qū)域廣泛、主站與控制對象距離遠、監(jiān)控終端的工作條件苛刻、通訊系統(tǒng)復雜多變、通訊系統(tǒng)不保證可靠傳輸。安全特性安全特性：漏洞較多（因與桌面操作

5、系統(tǒng)兼容）8常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)DCSuDCS(Distributed Control System)：DCS主要應主要應用于過程控制行業(yè)中，煉油廠、化工廠、發(fā)電廠、用于過程控制行業(yè)中，煉油廠、化工廠、發(fā)電廠、造紙廠和金屬冶煉廠等一類過程控制行業(yè)均采用造紙廠和金屬冶煉廠等一類過程控制行業(yè)均采用DCS作為過程中的控制系統(tǒng)。作為過程中的控制系統(tǒng)。安全特性：安全特性：控制系統(tǒng)一般要求嚴謹，但是設計中信息安全方面的考慮存在不足9常見工業(yè)控制系統(tǒng)常見工業(yè)控制系統(tǒng)PLCuPLC(Programmable Logic Controller)：PLC與與控制一個系統(tǒng)的邏輯程序有關，采用物理裝置代替

6、控制一個系統(tǒng)的邏輯程序有關，采用物理裝置代替硬連線邏輯，并借助于中央處理器來閱讀所有的輸硬連線邏輯，并借助于中央處理器來閱讀所有的輸入值，并執(zhí)行程序，向編程狀態(tài)發(fā)出輸出指令。像入值，并執(zhí)行程序，向編程狀態(tài)發(fā)出輸出指令。像汽車和建筑自動化、電子和半導體、機械和運輸?shù)绕嚭徒ㄖ詣踊?、電子和半導體、機械和運輸?shù)纫活惖碾x散行業(yè)傳統(tǒng)上都采用一類的離散行業(yè)傳統(tǒng)上都采用PLC可編程邏輯控制可編程邏輯控制器。器。安全特性：安全特性：比較獨立，但是在協(xié)議層面上仍可能存在安全風險10工業(yè)控制系統(tǒng)的分層結構工業(yè)控制系統(tǒng)的分層結構銷售管理系統(tǒng)、財務管理系統(tǒng)、人力資源管理系統(tǒng)等應用系統(tǒng)計劃排產系統(tǒng)、倉儲管理系統(tǒng)、歷史

7、數(shù)據(jù)庫服務器等操作員站、工程師站、監(jiān)控計算機、實時數(shù)據(jù)庫服務器等控制器、現(xiàn)場通信模塊、I/O 模塊智能儀表等11系統(tǒng)模型系統(tǒng)模型12工業(yè)控制系統(tǒng)的系統(tǒng)結構工業(yè)控制系統(tǒng)的系統(tǒng)結構u由于以太網絡和由于以太網絡和TCP/IP協(xié)議的廣泛采用，工業(yè)控制協(xié)議的廣泛采用，工業(yè)控制系統(tǒng)的結構與一般信息系統(tǒng)逐漸趨同系統(tǒng)的結構與一般信息系統(tǒng)逐漸趨同13危險引入點危險引入點14可能的安全事件可能的安全事件u控制系統(tǒng)發(fā)生拒絕服務控制系統(tǒng)發(fā)生拒絕服務u向控制系統(tǒng)注入惡意代碼向控制系統(tǒng)注入惡意代碼uMalware（冒牌軟件）（冒牌軟件）u對可編程控制器進行非法操作對可編程控制器進行非法操作u對無線對無線 AP 進行滲透；

8、進行滲透；uAPT （Advanced Persistent Threat）盜取機密信息）盜取機密信息u1415傳播途徑傳播途徑u外部公共網絡，如：因特網外部公共網絡，如：因特網u內部信息網絡內部信息網絡u工控專網（點對點、無線）工控專網（點對點、無線）u移動存儲裝置移動存儲裝置16危險后果的受體及其影響危險后果的受體及其影響17Agendau工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)安全分析u信息安全自查工作與自查表填寫信息安全自查工作與自查表填寫18自查工作內容自查工作內容u1、信息安全管理情況、信息安全管理情況u2、技術防護情況、技術防護情況u3、工業(yè)控制系統(tǒng)等級保護工作落實情況、工業(yè)控制系統(tǒng)等級

9、保護工作落實情況u4、應急工作情況、應急工作情況u5、密碼使用檢查、密碼使用檢查u6、安全教育培訓情況、安全教育培訓情況u7、安全問題整改情況、安全問題整改情況19自查表填寫自查表填寫-表表120自查表填寫自查表填寫-表表21 1、每個工業(yè)控制系統(tǒng)填寫一行、每個工業(yè)控制系統(tǒng)填寫一行2 2、實時性：一般工業(yè)控制系統(tǒng)都屬于實時系統(tǒng)，業(yè)務銷售管理系統(tǒng)等屬于、實時性：一般工業(yè)控制系統(tǒng)都屬于實時系統(tǒng)，業(yè)務銷售管理系統(tǒng)等屬于非實時系統(tǒng)非實時系統(tǒng)3 3、業(yè)務連續(xù)性要求：主要考慮恢復時間的要求，越關鍵的系統(tǒng)時間越少、業(yè)務連續(xù)性要求：主要考慮恢復時間的要求，越關鍵的系統(tǒng)時間越少4 4、網絡連接情況中邏輯隔離指使

10、用防火墻、安全網關、網閘等設備隔離兩、網絡連接情況中邏輯隔離指使用防火墻、安全網關、網閘等設備隔離兩個網絡個網絡21自查表填寫自查表填寫-表表31 1、對單位所有的工業(yè)控制系統(tǒng)、對單位所有的工業(yè)控制系統(tǒng)匯總填入表內匯總填入表內2 2、應分清國內和國外品牌，以、應分清國內和國外品牌，以成套設備生產商為準成套設備生產商為準3 3、無相應設備填入、無相應設備填入0 022自查表填寫自查表填寫-表表41 1、匯總單位各類系統(tǒng)和設備的采購、建設費用后填入、匯總單位各類系統(tǒng)和設備的采購、建設費用后填入2 2、無相應設備和系統(tǒng)填、無相應設備和系統(tǒng)填0 03 3、國產化占比按成套（臺）設備和系統(tǒng)計算、國產化占

11、比按成套（臺）設備和系統(tǒng)計算23自查表填寫自查表填寫-表表51 1、單位采用的信息技術外包服務都應填入，可增加表格行、單位采用的信息技術外包服務都應填入，可增加表格行2 2、外包服務包括：設計服務、集成服務、安全服務等、外包服務包括：設計服務、集成服務、安全服務等3 3、服務方式：遠程在線服務和現(xiàn)場服務可同時存在、服務方式：遠程在線服務和現(xiàn)場服務可同時存在24自查表填寫自查表填寫-表表61 1、信息安全責任制落實強調制度化、體系化、信息安全責任制落實強調制度化、體系化2 2、填入確定的機構和人員、填入確定的機構和人員3 3、安全職責分工和責任明確、安全職責分工和責任明確25自查表填寫自查表填寫

12、-表表726自查表填寫自查表填寫-表表8，表，表927自查表填寫自查表填寫-表表10-11 1、工業(yè)控制系統(tǒng)網絡劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進行劃分、工業(yè)控制系統(tǒng)網絡劃分按照協(xié)議、區(qū)域、系統(tǒng)功能進行劃分2 2、檢查連接互聯(lián)網情況應準確填寫連接數(shù)量、檢查連接互聯(lián)網情況應準確填寫連接數(shù)量3 3、無線網絡包括、無線網絡包括WLANWLAN（WIFI)WIFI)、GPRSGPRS、3G3G、4G4G、無線傳感等網絡形式、無線傳感等網絡形式28自查表填寫自查表填寫-表表10-21 1、默認配置是指設備和系統(tǒng)是出廠初始狀態(tài)，未進行安全配置、優(yōu)化和加、默認配置是指設備和系統(tǒng)是出廠初始狀態(tài)，未進行安全配置、優(yōu)

13、化和加固等。固等。2 2、網絡設備含集線器、交換機、路由器、收發(fā)器、網關、無線、網絡設備含集線器、交換機、路由器、收發(fā)器、網關、無線APAP等等3 3、安全設備含防火墻、入侵檢測、網閘等、安全設備含防火墻、入侵檢測、網閘等4 4、身份鑒別：提供用戶、設備登錄驗證，訪問控制：用權限限制對資源的、身份鑒別：提供用戶、設備登錄驗證，訪問控制：用權限限制對資源的訪問，安全審計：記錄相關重要操作內容、時間、用戶等信息訪問，安全審計：記錄相關重要操作內容、時間、用戶等信息29自查表填寫自查表填寫-表表101 1、數(shù)據(jù)傳輸和存儲是否加密應詢問系統(tǒng)和設備提供商、數(shù)據(jù)傳輸和存儲是否加密應詢問系統(tǒng)和設備提供商2 2、密碼產品包括密碼機、數(shù)據(jù)加密機、動態(tài)口令卡、數(shù)字證書等，非涉密、密碼產品包括密碼機、數(shù)據(jù)加密機、動態(tài)口令卡、數(shù)字證書等，非涉密系統(tǒng)應采用具有商用密碼產品銷售許可證的產品系統(tǒng)應采用具有商用密碼產品銷售許可證的產品30自查表填寫自