工業(yè)企業(yè)信息系統(tǒng)安全_第1頁
工業(yè)企業(yè)信息系統(tǒng)安全_第2頁
工業(yè)企業(yè)信息系統(tǒng)安全_第3頁
工業(yè)企業(yè)信息系統(tǒng)安全_第4頁
工業(yè)企業(yè)信息系統(tǒng)安全_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、ICSISIA工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟KIEFCfrtjrSlFrtcEHfcrSDCLrtEMStVblKE工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引2014-09-01發(fā)布2014-09-01實施工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟wwm-ICSISIA- - #-本指引由工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟提出。本指引主要起草單位:北京啟明星辰信息安全技術(shù)有限公司、北京網(wǎng)御星云信息技術(shù)有限公司。本指引主要起草人:張曄。工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟wwm-ICSISIA- #- -工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引隨著工業(yè)化與信息化的發(fā)展,“兩化”的融合不斷深入,在

2、工業(yè)企業(yè)中,MES(制造執(zhí)行系統(tǒng))使IT系統(tǒng)與工業(yè)系統(tǒng)的應(yīng)用不斷融合,工業(yè)以太網(wǎng)使生產(chǎn)控制系統(tǒng)與過程控制系統(tǒng)不斷的融合。因此,傳統(tǒng)IT系統(tǒng)面臨的威脅,不斷的延伸到工業(yè)控制系統(tǒng)中。來自互聯(lián)網(wǎng)或內(nèi)網(wǎng)的安全威脅,無論影響到管理網(wǎng)還是生產(chǎn)網(wǎng),都會對工業(yè)控制系統(tǒng)造成影響。工業(yè)企業(yè)的生產(chǎn)系統(tǒng)中包含著大量的商業(yè)秘密,這些商業(yè)秘密,既有生產(chǎn)中涉及到的工藝配方,也有涉及到生產(chǎn)結(jié)果的數(shù)據(jù)。如何避免企業(yè)的商業(yè)秘密不通過工業(yè)企業(yè)泄漏出去?是企業(yè)面臨的新課題。為此,我們依據(jù)國家的有關(guān)政策文件,借鑒國內(nèi)外的先進經(jīng)驗,結(jié)合企業(yè)中有關(guān)工業(yè)企業(yè)的實際情況,制定本技術(shù)指引,以規(guī)范工業(yè)企業(yè)信息系統(tǒng)安全建設(shè),提高工業(yè)企業(yè)信息系統(tǒng)安全

3、保障水平。工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟wwm-ICSISIA- - -一、范圍本指引用于規(guī)范企業(yè)中工業(yè)企業(yè)的信息系統(tǒng)安全建設(shè),也包括工業(yè)控制系統(tǒng)安全建設(shè)。二、指引制定依據(jù)標(biāo)準(zhǔn)關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知工信部協(xié)2011451號中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引2012中央企業(yè)商業(yè)秘密保護暫行規(guī)定(國資發(fā)201041號)信息系統(tǒng)安全等級保護基本要求GB/T22239-2008涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求BMB17三、術(shù)語與定義網(wǎng)絡(luò)邊界:是指網(wǎng)絡(luò)或區(qū)域之間的邊界,本規(guī)范中包括互聯(lián)網(wǎng)邊界、內(nèi)聯(lián)網(wǎng)邊界、生產(chǎn)網(wǎng)邊界、過程網(wǎng)邊界、區(qū)域邊界。區(qū)域:是指管理、

4、設(shè)備、地域等屬性基本類似的信息系統(tǒng)集合。本規(guī)范中包括管理服務(wù)器區(qū)域、MES服務(wù)器區(qū)域、生產(chǎn)服務(wù)器區(qū)域、經(jīng)營管理區(qū)域、生產(chǎn)管理區(qū)域。經(jīng)營管理層:主要完成業(yè)務(wù)經(jīng)營管理,包括內(nèi)網(wǎng)辦公區(qū)域、內(nèi)網(wǎng)服務(wù)器區(qū)域、MES服務(wù)器區(qū)域、核心交換區(qū)域。生產(chǎn)監(jiān)控層:主要完成對生產(chǎn)的數(shù)據(jù)采集與監(jiān)控,包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫、工程師站,操作員站等。生產(chǎn)過程層:實現(xiàn)卷煙生產(chǎn)的自動化設(shè)備,包括PLCPLC以下生產(chǎn)設(shè)備,如傳感器(變送器)、執(zhí)行器、控制器等。生產(chǎn)網(wǎng):包含生產(chǎn)監(jiān)控層與生產(chǎn)過程層的網(wǎng)絡(luò)。技術(shù)指引工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引ICSIS1A- - -工業(yè)控制系統(tǒng)倍息安全產(chǎn)業(yè)聯(lián)盟-Js亠WVVm-1

5、管理網(wǎng):包含經(jīng)營管理層的網(wǎng)絡(luò)四、工業(yè)企業(yè)信息系統(tǒng)安全架構(gòu)劃分依據(jù)工業(yè)企業(yè)信息系統(tǒng)的特點,對工業(yè)企業(yè)信息系統(tǒng)安全保障體系架構(gòu)進行如下規(guī)范:規(guī)范三個層次:經(jīng)營管理層,生產(chǎn)監(jiān)控層,生產(chǎn)過程層。規(guī)范五個邊界:互聯(lián)網(wǎng)邊界,內(nèi)聯(lián)網(wǎng)邊界,外聯(lián)網(wǎng)邊界、生產(chǎn)網(wǎng)邊界,過程網(wǎng)邊界。規(guī)范六個服務(wù)區(qū)域:辦公區(qū)域,辦公服務(wù)器區(qū)域,MES服務(wù)器區(qū)域,生產(chǎn)監(jiān)控區(qū)域,監(jiān)控服務(wù)器區(qū)域,生產(chǎn)過程區(qū)域。規(guī)范三個網(wǎng)絡(luò):管理網(wǎng)絡(luò),生產(chǎn)網(wǎng)絡(luò),過程控制網(wǎng)絡(luò)工業(yè)企業(yè)信息系統(tǒng)安全架構(gòu)示意圖:五、工業(yè)企業(yè)信息系統(tǒng)邊界防護工業(yè)企業(yè)商業(yè)秘密信息系統(tǒng)安全防護,一方面需要構(gòu)建完整的信息工業(yè)企業(yè)信息系統(tǒng)安全系統(tǒng)安全保障架構(gòu),另一個方面需要重點建立邊界安全訪

6、問防護策略,以避免商業(yè)秘密的泄漏?;ヂ?lián)網(wǎng)邊界:處于工業(yè)企業(yè)經(jīng)營管理網(wǎng)與互聯(lián)網(wǎng)之間,主要完成內(nèi)夕卜網(wǎng)安全隔離防護,進行細粒度的訪問控制,對上網(wǎng)行為進行審計與管理,過濾惡意代碼、進行入侵檢測。同時,對于遠程訪問和移動互聯(lián)安全進行管理。生產(chǎn)網(wǎng)邊界:處于生產(chǎn)網(wǎng)與經(jīng)營管理網(wǎng)之間,主要完成兩網(wǎng)之間的安全隔離防護,實現(xiàn)細粒度的訪問控制,對兩網(wǎng)之間的訪問進行審計和入侵檢測,同時進行惡意代碼過濾。內(nèi)聯(lián)網(wǎng)邊界:處于工業(yè)企業(yè)與其上級單位和下級單位之間的邊界,主要完成安全隔離防護、細粒度的訪問控制、以及病毒與惡意代碼的過濾過程控制網(wǎng)邊界:處于生產(chǎn)網(wǎng)與過程控制網(wǎng)之間,主要實現(xiàn)工業(yè)協(xié)議與工控指令的白名單控制,同時對生產(chǎn)網(wǎng)

7、和過程控制網(wǎng)之間的工業(yè)協(xié)議和異常行為進行分析。六、工業(yè)企業(yè)信息系統(tǒng)服務(wù)區(qū)域安全加固工業(yè)企業(yè)信息系統(tǒng)的安全加固,主要面向與各區(qū)域設(shè)備和邊界設(shè)備。通過對各服務(wù)區(qū)域設(shè)備加固,構(gòu)建一個安全的計算環(huán)境,實現(xiàn)區(qū)域的安全可信。通過對邊界設(shè)備的加固,防止數(shù)據(jù)通過邊界設(shè)備泄漏,實現(xiàn)邊界設(shè)備運行的有效性、可控性、準(zhǔn)入性。服務(wù)器區(qū)域加固:主要實現(xiàn)服務(wù)器區(qū)域的可信、安全的計算環(huán)境,服務(wù)器加固包括:主機加固,主機安全基線管理,主機防病,主機工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟脆弱性評估,業(yè)務(wù)系統(tǒng)雙因素認(rèn)證,業(yè)務(wù)系統(tǒng)權(quán)限管理,主機補丁管理。辦公區(qū)域加固:主要實現(xiàn)辦公區(qū)域的可信、安全的計算環(huán)境,服務(wù)器加固包括:桌面安全管理,終端防

8、病毒,終端雙因素身份認(rèn)證。核心交換加固:網(wǎng)絡(luò)中的大多數(shù)據(jù)通過核心交換區(qū)域進行數(shù)據(jù)流轉(zhuǎn),要避免數(shù)據(jù)通過核心交換區(qū)域設(shè)備泄漏,通過對核心區(qū)域的安全加固,實現(xiàn)物理準(zhǔn)入控制、網(wǎng)絡(luò)接口準(zhǔn)入控制、運維準(zhǔn)入控制。網(wǎng)絡(luò)邊界加固:邊界加固主要避免邊界設(shè)備被有意或無意的控制,通過邊界安全加固,實現(xiàn)物理準(zhǔn)入控制、網(wǎng)絡(luò)接口準(zhǔn)入控制、運維準(zhǔn)入控制。七、工業(yè)企業(yè)信息系統(tǒng)通信網(wǎng)絡(luò)安全工業(yè)企業(yè)通信網(wǎng)絡(luò)分為兩個部分,廣域網(wǎng)通信與局域網(wǎng)通信。對于廣域網(wǎng)通信,要保證數(shù)據(jù)傳輸?shù)陌踩?;對于局域網(wǎng)通信,要保證網(wǎng)絡(luò)的準(zhǔn)入控制與無線安全。廣域網(wǎng)通信:通過通信網(wǎng)絡(luò)設(shè)備與RTU設(shè)備,對數(shù)據(jù)傳輸進行加密,保證數(shù)據(jù)通過廣域網(wǎng)的完整性,保密性,可用

9、性。局域網(wǎng)準(zhǔn)入控制:局域網(wǎng)主要防止非可信設(shè)備隨意接入網(wǎng)絡(luò)竊取商業(yè)秘密數(shù)據(jù)。工業(yè)無線網(wǎng)絡(luò)安全:無線網(wǎng)絡(luò)在工業(yè)現(xiàn)場大量的使用,通過無線網(wǎng)絡(luò)入侵,不僅會對工業(yè)生產(chǎn)造成影響,也會對從生產(chǎn)控制服務(wù)器竊取商業(yè)秘密數(shù)據(jù)、甚至通過生產(chǎn)網(wǎng)入侵到經(jīng)營管理網(wǎng)竊取商業(yè)秘密數(shù)據(jù)。因此,必須實時識別對工業(yè)無線網(wǎng)絡(luò)的入侵,并阻斷。技術(shù)指引工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引ICSIS1A- #- -工業(yè)企業(yè)信息系統(tǒng)安全八、工業(yè)企業(yè)信息系統(tǒng)運行與安全監(jiān)控信息系統(tǒng)安全監(jiān)控主要對互聯(lián)網(wǎng)邊界、內(nèi)聯(lián)網(wǎng)邊界、生產(chǎn)網(wǎng)邊界、過程網(wǎng)邊界、管理服務(wù)器區(qū)域,MES服務(wù)器區(qū)域,生產(chǎn)服務(wù)器區(qū)域,經(jīng)營管理區(qū)域,生產(chǎn)管理區(qū)域進行設(shè)備可用性監(jiān)控、網(wǎng)絡(luò)行為監(jiān)控、運

10、行狀態(tài)監(jiān)控。設(shè)備可用性狀態(tài)監(jiān)控:通過采集區(qū)域、邊界設(shè)備、過程控制系統(tǒng)設(shè)備的可用性狀態(tài)參數(shù),如:CPU內(nèi)存、磁盤、接口等狀態(tài)參數(shù),實時監(jiān)控設(shè)備的可用性狀態(tài),及時發(fā)現(xiàn)設(shè)備的可用性事件。系統(tǒng)運行狀態(tài)監(jiān)控:通過采集操作系統(tǒng)、應(yīng)用系統(tǒng)的運行狀態(tài)日志,實時監(jiān)控設(shè)備的運行狀態(tài),及時發(fā)現(xiàn)操作系統(tǒng)與應(yīng)用系統(tǒng)的運行事件。網(wǎng)絡(luò)行為監(jiān)控:通過對異常行為、運維行為、指令控制行為、數(shù)據(jù)采集行為、以及異常流量等進行監(jiān)控,以實現(xiàn)數(shù)據(jù)的安全。九、工業(yè)企業(yè)信息系統(tǒng)安全運維工控企業(yè)中的生產(chǎn)控制系統(tǒng),因其設(shè)備一般由多個廠商提供,而生產(chǎn)控制系統(tǒng)中許多監(jiān)控系統(tǒng),因其考慮兼容性問題,一般不及時打補丁、不安裝殺毒軟件,系統(tǒng)非常脆弱。生產(chǎn)控制系統(tǒng)中任何設(shè)備的隨意接入,都可能對生產(chǎn)控制系統(tǒng)造成影響;同時,也可能造成生產(chǎn)服務(wù)區(qū)域商業(yè)秘密的泄漏。因此,必須加強工業(yè)企業(yè)經(jīng)營管理系統(tǒng)與生產(chǎn)控制系統(tǒng)的運維維護管理工作:建立符合企業(yè)特點的工業(yè)控制系統(tǒng)運維管理制度,確定運維管理流工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引ICSISIA工業(yè)企業(yè)信息系統(tǒng)安全技術(shù)指引ICSISIA- - #-工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟wwm-程與應(yīng)急管理流程。建立工業(yè)控制系統(tǒng)運維組織,細化日常運維工作,明確工控系統(tǒng)運維工作的職責(zé)分工。嚴(yán)格控制在沒有任何安全措施的情況下,將運維筆記本或U盤與工業(yè)控制系統(tǒng)的直接連接,以防止運維設(shè)備(

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論