工業(yè)企業(yè)信息系統(tǒng)安全

1、ICSISIA工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟KIEFCfrtjrSlFrtcEHfcrSDCLrtEMStVblKE工業(yè)企業(yè)信息系統(tǒng)安全技術指引2014-09-01發(fā)布2014-09-01實施工業(yè)企業(yè)信息系統(tǒng)安全技術指引工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟wwm-ICSISIA- - #-本指引由工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟提出。本指引主要起草單位：北京啟明星辰信息安全技術有限公司、北京網御星云信息技術有限公司。本指引主要起草人：張曄。工業(yè)企業(yè)信息系統(tǒng)安全技術指引工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟wwm-ICSISIA- #- -工業(yè)企業(yè)信息系統(tǒng)安全技術指引隨著工業(yè)化與信息化的發(fā)展，“兩化”的融合不斷深入，在

2、工業(yè)企業(yè)中，MES（制造執(zhí)行系統(tǒng)）使IT系統(tǒng)與工業(yè)系統(tǒng)的應用不斷融合，工業(yè)以太網使生產控制系統(tǒng)與過程控制系統(tǒng)不斷的融合。因此，傳統(tǒng)IT系統(tǒng)面臨的威脅，不斷的延伸到工業(yè)控制系統(tǒng)中。來自互聯(lián)網或內網的安全威脅，無論影響到管理網還是生產網，都會對工業(yè)控制系統(tǒng)造成影響。工業(yè)企業(yè)的生產系統(tǒng)中包含著大量的商業(yè)秘密，這些商業(yè)秘密，既有生產中涉及到的工藝配方，也有涉及到生產結果的數(shù)據(jù)。如何避免企業(yè)的商業(yè)秘密不通過工業(yè)企業(yè)泄漏出去？是企業(yè)面臨的新課題。為此，我們依據(jù)國家的有關政策文件，借鑒國內外的先進經驗，結合企業(yè)中有關工業(yè)企業(yè)的實際情況，制定本技術指引，以規(guī)范工業(yè)企業(yè)信息系統(tǒng)安全建設，提高工業(yè)企業(yè)信息系統(tǒng)安全

3、保障水平。工業(yè)企業(yè)信息系統(tǒng)安全技術指引工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟wwm-ICSISIA- - -一、范圍本指引用于規(guī)范企業(yè)中工業(yè)企業(yè)的信息系統(tǒng)安全建設，也包括工業(yè)控制系統(tǒng)安全建設。二、指引制定依據(jù)標準關于加強工業(yè)控制系統(tǒng)信息安全管理的通知工信部協(xié)2011451號中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術指引2012中央企業(yè)商業(yè)秘密保護暫行規(guī)定（國資發(fā)201041號）信息系統(tǒng)安全等級保護基本要求GB/T22239-2008涉及國家秘密的信息系統(tǒng)分級保護技術要求BMB17三、術語與定義網絡邊界：是指網絡或區(qū)域之間的邊界，本規(guī)范中包括互聯(lián)網邊界、內聯(lián)網邊界、生產網邊界、過程網邊界、區(qū)域邊界。區(qū)域：是指管理、

4、設備、地域等屬性基本類似的信息系統(tǒng)集合。本規(guī)范中包括管理服務器區(qū)域、MES服務器區(qū)域、生產服務器區(qū)域、經營管理區(qū)域、生產管理區(qū)域。經營管理層：主要完成業(yè)務經營管理，包括內網辦公區(qū)域、內網服務器區(qū)域、MES服務器區(qū)域、核心交換區(qū)域。生產監(jiān)控層：主要完成對生產的數(shù)據(jù)采集與監(jiān)控，包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫、工程師站，操作員站等。生產過程層：實現(xiàn)卷煙生產的自動化設備，包括PLCPLC以下生產設備，如傳感器（變送器）、執(zhí)行器、控制器等。生產網：包含生產監(jiān)控層與生產過程層的網絡。技術指引工業(yè)企業(yè)信息系統(tǒng)安全技術指引ICSIS1A- - -工業(yè)控制系統(tǒng)倍息安全產業(yè)聯(lián)盟-Js亠WVVm-1

5、管理網：包含經營管理層的網絡四、工業(yè)企業(yè)信息系統(tǒng)安全架構劃分依據(jù)工業(yè)企業(yè)信息系統(tǒng)的特點，對工業(yè)企業(yè)信息系統(tǒng)安全保障體系架構進行如下規(guī)范：規(guī)范三個層次：經營管理層，生產監(jiān)控層，生產過程層。規(guī)范五個邊界：互聯(lián)網邊界，內聯(lián)網邊界，外聯(lián)網邊界、生產網邊界，過程網邊界。規(guī)范六個服務區(qū)域：辦公區(qū)域，辦公服務器區(qū)域，MES服務器區(qū)域,生產監(jiān)控區(qū)域，監(jiān)控服務器區(qū)域，生產過程區(qū)域。規(guī)范三個網絡：管理網絡，生產網絡，過程控制網絡工業(yè)企業(yè)信息系統(tǒng)安全架構示意圖：五、工業(yè)企業(yè)信息系統(tǒng)邊界防護工業(yè)企業(yè)商業(yè)秘密信息系統(tǒng)安全防護，一方面需要構建完整的信息工業(yè)企業(yè)信息系統(tǒng)安全系統(tǒng)安全保障架構，另一個方面需要重點建立邊界安全訪

6、問防護策略，以避免商業(yè)秘密的泄漏?；ヂ?lián)網邊界：處于工業(yè)企業(yè)經營管理網與互聯(lián)網之間，主要完成內夕卜網安全隔離防護，進行細粒度的訪問控制，對上網行為進行審計與管理，過濾惡意代碼、進行入侵檢測。同時，對于遠程訪問和移動互聯(lián)安全進行管理。生產網邊界：處于生產網與經營管理網之間，主要完成兩網之間的安全隔離防護，實現(xiàn)細粒度的訪問控制，對兩網之間的訪問進行審計和入侵檢測，同時進行惡意代碼過濾。內聯(lián)網邊界：處于工業(yè)企業(yè)與其上級單位和下級單位之間的邊界，主要完成安全隔離防護、細粒度的訪問控制、以及病毒與惡意代碼的過濾過程控制網邊界：處于生產網與過程控制網之間，主要實現(xiàn)工業(yè)協(xié)議與工控指令的白名單控制，同時對生產網

7、和過程控制網之間的工業(yè)協(xié)議和異常行為進行分析。六、工業(yè)企業(yè)信息系統(tǒng)服務區(qū)域安全加固工業(yè)企業(yè)信息系統(tǒng)的安全加固，主要面向與各區(qū)域設備和邊界設備。通過對各服務區(qū)域設備加固，構建一個安全的計算環(huán)境，實現(xiàn)區(qū)域的安全可信。通過對邊界設備的加固，防止數(shù)據(jù)通過邊界設備泄漏，實現(xiàn)邊界設備運行的有效性、可控性、準入性。服務器區(qū)域加固：主要實現(xiàn)服務器區(qū)域的可信、安全的計算環(huán)境，服務器加固包括：主機加固，主機安全基線管理，主機防病，主機工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟脆弱性評估，業(yè)務系統(tǒng)雙因素認證，業(yè)務系統(tǒng)權限管理，主機補丁管理。辦公區(qū)域加固：主要實現(xiàn)辦公區(qū)域的可信、安全的計算環(huán)境，服務器加固包括：桌面安全管理，終端防

8、病毒，終端雙因素身份認證。核心交換加固：網絡中的大多數(shù)據(jù)通過核心交換區(qū)域進行數(shù)據(jù)流轉，要避免數(shù)據(jù)通過核心交換區(qū)域設備泄漏，通過對核心區(qū)域的安全加固，實現(xiàn)物理準入控制、網絡接口準入控制、運維準入控制。網絡邊界加固：邊界加固主要避免邊界設備被有意或無意的控制，通過邊界安全加固，實現(xiàn)物理準入控制、網絡接口準入控制、運維準入控制。七、工業(yè)企業(yè)信息系統(tǒng)通信網絡安全工業(yè)企業(yè)通信網絡分為兩個部分，廣域網通信與局域網通信。對于廣域網通信，要保證數(shù)據(jù)傳輸?shù)陌踩?；對于局域網通信，要保證網絡的準入控制與無線安全。廣域網通信：通過通信網絡設備與RTU設備，對數(shù)據(jù)傳輸進行加密，保證數(shù)據(jù)通過廣域網的完整性，保密性，可用

9、性。局域網準入控制：局域網主要防止非可信設備隨意接入網絡竊取商業(yè)秘密數(shù)據(jù)。工業(yè)無線網絡安全:無線網絡在工業(yè)現(xiàn)場大量的使用，通過無線網絡入侵，不僅會對工業(yè)生產造成影響，也會對從生產控制服務器竊取商業(yè)秘密數(shù)據(jù)、甚至通過生產網入侵到經營管理網竊取商業(yè)秘密數(shù)據(jù)。因此，必須實時識別對工業(yè)無線網絡的入侵，并阻斷。技術指引工業(yè)企業(yè)信息系統(tǒng)安全技術指引ICSIS1A- #- -工業(yè)企業(yè)信息系統(tǒng)安全八、工業(yè)企業(yè)信息系統(tǒng)運行與安全監(jiān)控信息系統(tǒng)安全監(jiān)控主要對互聯(lián)網邊界、內聯(lián)網邊界、生產網邊界、過程網邊界、管理服務器區(qū)域，MES服務器區(qū)域，生產服務器區(qū)域，經營管理區(qū)域，生產管理區(qū)域進行設備可用性監(jiān)控、網絡行為監(jiān)控、運

10、行狀態(tài)監(jiān)控。設備可用性狀態(tài)監(jiān)控：通過采集區(qū)域、邊界設備、過程控制系統(tǒng)設備的可用性狀態(tài)參數(shù)，如：CPU內存、磁盤、接口等狀態(tài)參數(shù)，實時監(jiān)控設備的可用性狀態(tài)，及時發(fā)現(xiàn)設備的可用性事件。系統(tǒng)運行狀態(tài)監(jiān)控：通過采集操作系統(tǒng)、應用系統(tǒng)的運行狀態(tài)日志，實時監(jiān)控設備的運行狀態(tài)，及時發(fā)現(xiàn)操作系統(tǒng)與應用系統(tǒng)的運行事件。網絡行為監(jiān)控：通過對異常行為、運維行為、指令控制行為、數(shù)據(jù)采集行為、以及異常流量等進行監(jiān)控，以實現(xiàn)數(shù)據(jù)的安全。九、工業(yè)企業(yè)信息系統(tǒng)安全運維工控企業(yè)中的生產控制系統(tǒng)，因其設備一般由多個廠商提供，而生產控制系統(tǒng)中許多監(jiān)控系統(tǒng)，因其考慮兼容性問題，一般不及時打補丁、不安裝殺毒軟件，系統(tǒng)非常脆弱。生產控制系統(tǒng)中任何設備的隨意接入，都可能對生產控制系統(tǒng)造成影響；同時，也可能造成生產服務區(qū)域商業(yè)秘密的泄漏。因此，必須加強工業(yè)企業(yè)經營管理系統(tǒng)與生產控制系統(tǒng)的運維維護管理工作：建立符合企業(yè)特點的工業(yè)控制系統(tǒng)運維管理制度，確定運維管理流工業(yè)企業(yè)信息系統(tǒng)安全技術指引ICSISIA工業(yè)企業(yè)信息系統(tǒng)安全技術指引ICSISIA- - #-工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟wwm-程與應急管理流程。建立工業(yè)控制系統(tǒng)運維組織，細化日常運維工作，明確工控系統(tǒng)運維工作的職責分工。嚴格控制在沒有任何安全措施的情況下，將運維筆記本或U盤與工業(yè)控制系統(tǒng)的直接連接，以防止運維設備（