《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 03-01-工控安全政策及法律法規(guī)

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第1章工業(yè)互聯(lián)網(wǎng)安全概述工控安全政策及法律法規(guī)-1010203工控信息安全政策概述國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述目錄工業(yè)控制系統(tǒng)概述1.工業(yè)控制系統(tǒng)一、工業(yè)控制系統(tǒng)概述PLC和RTU主要用于獲取設(shè)備狀態(tài)，PLC也可以用于設(shè)備的本地控制；DCS通常用于局域網(wǎng)內(nèi)生產(chǎn)過(guò)程的整體控制，SCADA主要從PLC和RTU采集監(jiān)控?cái)?shù)據(jù)。工業(yè)控制系統(tǒng)（ICS）常見(jiàn)的有：監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）過(guò)程控制系統(tǒng)（PCS）可編程控制器（PLC）遠(yuǎn)程終端單元（RTU）分布式控制系統(tǒng)（DCS）2.工業(yè)控制系統(tǒng)與IT系統(tǒng)的差別網(wǎng)絡(luò)邊緣不同

工控系統(tǒng)在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠(yuǎn)動(dòng)裝置，而不是IT系統(tǒng)邊緣的通用計(jì)算機(jī)，兩者之間在物理安全需求上差異很大。體系結(jié)構(gòu)不同

工控系統(tǒng)結(jié)構(gòu)縱向高度集成，主站節(jié)點(diǎn)和終端節(jié)點(diǎn)之間是主從關(guān)系，IT系統(tǒng)則是扁平的對(duì)等關(guān)系，兩者之間在脆弱節(jié)點(diǎn)分布上差異很大。傳輸內(nèi)容不同

工控系統(tǒng)傳輸?shù)氖枪I(yè)設(shè)備的“四遙信息”，安全問(wèn)題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的骨牌效應(yīng)。一、工業(yè)控制系統(tǒng)概述3.工業(yè)控制系統(tǒng)脆弱性1）策略和程序方面（管理）：缺少完善的標(biāo)準(zhǔn)支撐安全制度體系不完善/不適用安全意識(shí)/技能不足一、工業(yè)控制系統(tǒng)概述2）網(wǎng)絡(luò)：邊界防護(hù)不嚴(yán)，訪問(wèn)控制措施不完善。遠(yuǎn)程維護(hù)通道、甚至直接面向互聯(lián)網(wǎng)缺少網(wǎng)絡(luò)審計(jì)監(jiān)控鏈路共享、數(shù)據(jù)混合不安全的無(wú)線使用3.工業(yè)控制系統(tǒng)脆弱性3）計(jì)算機(jī)設(shè)備：操作系統(tǒng)老舊，大量存在XP、2003等系統(tǒng)。補(bǔ)丁程序不更新或者更新不及時(shí)未進(jìn)行必要加固配置外圍接口使用控制不嚴(yán)，USB接口、光驅(qū)等一、工業(yè)控制系統(tǒng)概述4）控制設(shè)備：控協(xié)議缺少信息安全方面的設(shè)計(jì)，無(wú)認(rèn)證、無(wú)加密、無(wú)抗重放嚴(yán)重依賴國(guó)外產(chǎn)品，缺乏自主可控設(shè)備固件/組態(tài)軟件的安全漏洞設(shè)備性能普遍較差設(shè)備維護(hù)依賴廠商3.工業(yè)控制系統(tǒng)脆弱性5）病毒：通用病毒讓工控系統(tǒng)更容易受傷，如WannaCry針對(duì)性病毒后果更加嚴(yán)重，如火焰、震網(wǎng)缺少殺毒軟件或者病毒庫(kù)更新不及時(shí)一、工業(yè)控制系統(tǒng)概述3.工業(yè)控制系統(tǒng)脆弱性工控安全的脆弱性是指工控系統(tǒng)在防護(hù)措施中和在缺少防護(hù)措施時(shí)系統(tǒng)所具有的弱點(diǎn)，脆弱性問(wèn)題的根源可概括為以下幾個(gè)方面：一、工業(yè)控制系統(tǒng)概述3.工業(yè)控制系統(tǒng)脆弱性工控網(wǎng)絡(luò)安全中有五個(gè)方面現(xiàn)實(shí)存在的脆弱性可以被認(rèn)為是近年來(lái)工控網(wǎng)絡(luò)安全事件多發(fā)的主要原因。一、工業(yè)控制系統(tǒng)概述工控安全相關(guān)政策《中華人民共和國(guó)密碼法》《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》《關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》《網(wǎng)絡(luò)安全審查辦法》《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》二、工控信息安全政策概述2020年10月10日，工業(yè)和信息化部應(yīng)急管理部印發(fā)了《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃(2021-2023年)》的通知。二、工控信息安全政策概述三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述

1.我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述主任、副委主員任會(huì)、委員秘書(shū)處WG1WG4WG7WG5WG6WG3WG2信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組密碼技術(shù)標(biāo)準(zhǔn)工作組鑒別與授權(quán)工作組信息安全評(píng)估工作組通信安全標(biāo)準(zhǔn)工作組信息安全管理工作組涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組TC260組織結(jié)構(gòu)圖2.全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）3.國(guó)標(biāo)制定情況信息安全等級(jí)保護(hù)網(wǎng)絡(luò)信任體系建設(shè)信息安全應(yīng)急處理信息安全測(cè)評(píng)信息安全管理…16個(gè)領(lǐng)域的標(biāo)準(zhǔn)制定工作重點(diǎn)提出227項(xiàng)國(guó)標(biāo)計(jì)劃發(fā)布102項(xiàng)國(guó)家標(biāo)準(zhǔn)在研125項(xiàng)標(biāo)準(zhǔn)成果三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述4.國(guó)標(biāo)工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系研究三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述5.全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC82已發(fā)布標(biāo)準(zhǔn)《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全

第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全

安全問(wèn)題介紹》（GB/Z

25320.1-2010）《電力系統(tǒng)管理及其信息交換

數(shù)據(jù)和通信安全

第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全

包括TCP/IP的協(xié)議集》（GB/Z

25320.3-2010）《電力系統(tǒng)管理及其信息交換

數(shù)據(jù)和通信安全第4部分：包含MMS的協(xié)議集》（GB/Z

25320.4-2010）《電力系統(tǒng)管理及其信息交換

數(shù)據(jù)和通信安全

第6部分：IEC

61850的安全》

（GB/Z

25320.6-2011）三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述6.全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC124在編標(biāo)準(zhǔn)《工業(yè)控制計(jì)算機(jī)系統(tǒng)通用規(guī)范第2部分:

工業(yè)控制計(jì)算機(jī)的安全要求》計(jì)劃制定《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全-第2-1部分：建立工業(yè)自動(dòng)化和控制系統(tǒng)信息安全程序》，等同采用IEC

62443-2-1:2010《工業(yè)控制系統(tǒng)信息安全

第1部分：評(píng)估規(guī)范》《工業(yè)控制系統(tǒng)信息安全

第2部分：驗(yàn)收規(guī)范》三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述7.全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296）在編標(biāo)準(zhǔn)：《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》（強(qiáng)制）《電力信息系統(tǒng)安全檢查規(guī)范》（強(qiáng)制）《電力行業(yè)信息安全水平評(píng)價(jià)指標(biāo)》（推薦）三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述8.我國(guó)在研的工控安全標(biāo)準(zhǔn)三、國(guó)內(nèi)工控信息安全標(biāo)準(zhǔn)概述第1章工業(yè)互聯(lián)網(wǎng)安全概述工控安全政策及法律法規(guī)-20102國(guó)外工控信息安全標(biāo)準(zhǔn)概述工控信息安全防護(hù)指南政策概述目錄1.IEC62443標(biāo)準(zhǔn)IEC/TC65（工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化）下的網(wǎng)絡(luò)和系統(tǒng)信息安全工作組WG10與國(guó)際自動(dòng)化協(xié)會(huì)ISA

99委員會(huì)的專家成立聯(lián)合工作組，共同制定IEC

62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化

網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)。目標(biāo)是定義一個(gè)通用的、最小要求集以達(dá)到各級(jí)SALS

（

SecurityAssurances

Levels，SAL）的安全保障需求。IEC

62443一共分為了四個(gè)部分，第一部分是通用標(biāo)準(zhǔn)，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級(jí)的措施，第四部分提出組件級(jí)的措施。一、國(guó)外工控信息安全標(biāo)準(zhǔn)概述2.SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》SP800-82于2010年10月發(fā)布，是NIST依據(jù)2002年《聯(lián)邦信息安全管理法》、2003年國(guó)土安全總統(tǒng)令HSPD-7等編制而成。它遵循《OMB手冊(cè)》的要求“保障機(jī)構(gòu)信息系統(tǒng)”，為聯(lián)邦機(jī)構(gòu)使用，同時(shí)允許非政府組織資源使用。該指南概述了ICS和典型的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對(duì)于這些系統(tǒng)的典型威脅和脆弱點(diǎn)所在，為消減相關(guān)風(fēng)險(xiǎn)提供了建議性的安全對(duì)策。同時(shí)，根據(jù)ICS的潛在風(fēng)險(xiǎn)和影響水平的不同，指出了保障的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS系統(tǒng)。一、國(guó)外工控信息安全標(biāo)準(zhǔn)概述二、工控信息安全防護(hù)指南政策概述1.防護(hù)指南要求2.整體工控安全防護(hù)體系框架二、工控信息安全防護(hù)指南政策概述指南共分為11個(gè)大項(xiàng)，3