沈昌祥-做好工业控制系统的信息安全等级保护工作(论坛)130619

做好工业控制系统的

信息平安等级保护工作国家信息化专家咨询委员会委员

沈昌祥

院士党的十八大报告指出：世界仍然很不安宁。……，粮食安全、能源资源安全、网络安全等全球性问题更加突出。党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。……高度关注海洋、太空、网络空间安全。32023年“震网〞病毒事件破坏了伊朗核设施，震惊全球，这标志着网络攻击从传统“软攻击〞升级为直接攻击电力、金融、交通、核设施等核心要害系统的“硬摧毁〞，导致根底的工业控制系统破坏，对国家平安、社会稳定、经济开展、人民生活安定带来严重损害42023年工信部发布了《关于加强工业控制系统平安管理的通知》，明确了重点领域工业控制系统信息平安管理要求，对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求5信息平安等级保护是我国信息平安保障的根本制度，从技术和管理两个方面进行平安建设，做到可信、可控、可管，使工业控制系统具有抵御高强度连续攻击〔APT〕的能力一、工业控制系统平安需求7工业控制系统〔ICS〕包括:1、监控与数据采集〔SCADA〕4、可编程逻辑控制器〔PLC〕2、分布式控制系统〔DCS〕3、过程控制系统〔PCS〕5、应急管理系统〔EMS〕等8随着信息化不断深入，工控系统从封闭、孤立的系统走向互联体系的IT系统，采用以太网、TCP/IP网及各种无线网,控制协议迁移到应用层；采用标准商用操作系统、中间件与各种通用软件，已变成开放、互联、通用和标准化的信息系统。因此，平安风险也等同于通用的信息系统9工控网络架构互联网企业管理网生产监控网现场控制网101、实时性通信2、系统不允许重启3、人和控制过程平安4、参加平安后，不影响控制流程5、通信协议多种多样6、设备不易更换7、设备生命周期为15-20年特殊要求:传统的“封堵查杀〞平安防护技术难以解决工控系统平安二、信息平安等级保护适用于工业控制系统12工业控制系统网络架构是依托网络技术，将控制计算节点构建成为工业生产过程控制的计算环境，是属于等级保护信息系统范围1、将ICS按平安等级划分区域国际标准化组织ISA提出区域防护概念2、区域间通过唯一的管道通信3.、对区域间和区域内实施不同的平安策略防止威胁在区域间交叉感染遏制本区域内的入侵威胁14按国家信息平安等级保护有关标准和规定，确定定级对象：一般先划分平安区域，可分为企业管理、生产监控和现场控制三个大区，每个平安区内可按统一的生产业务流程、软硬件资源相对独立和管理责任明确三个条件确定定级信息系统再按其重要程度确定具体等级15用于冶金、化工、能源、交通、水利系统领域的工业控制系统会涉及社会稳定和国家平安，多数系统属3级以上，尤其是生产监控现和现场控制系统含有大量的4级系统三、工业控制系统等级保护技术框架针对计算资源〔软硬件〕构建保护环境，以可信计算基〔TCB〕为根底，层层扩充，对计算资源进行保护YoucanBelikeGod1、可信YoucanBelikeGod2、可控YoucanBelikeGod3、可管针对信息资源〔数据及应用〕构建业务流程控制链，以访问控制为核心，实行主体〔用户〕按策略规那么访问客体〔信息资源〕保证资源平安必须实行科学管理，强调最小权限管理，尤其是高等级系统实行三权别离管理体制，不许设超级用户信息平安等级保护要做到针对工业控制特点，按GB/17859要求，构建在平安管理中心支持下的计算环境区域边界通信网络三重防御体系是必要的，可行的具体设计可参照〔GB/T25070-2023〕19区域边界平安防护实现通信网络平安互联

计算环境可信免疫20平安管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架：20边界防护系统安全审计安全管理中心

现场控制计算环境

生产监控计算环境

企业管理计算环境边界防护边界隔离互联网平安管理中心平安管理中心平安管理中心二级一级2121边界防护

现场控制计算环境

生产监控计算环境

企业管理计算环境边界防护边界隔离互联网1〕计算环境2121系统安全审计安全管理中心平安管理中心平安管理中心平安管理中心二级一级节点子系统通过在操作系统核心层、系统层设置以了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性平安，从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障平安保护环境为应用系统〔如平安OA系统等〕提供平安支撑效劳。通过实施三级平安要求的业务应用系统，使用平安保护环境所提供的平安机制，为应用提供符合三级要求的平安功能支持和平安效劳22222〕应用区域边界2222系统安全审计安全管理中心平安管理中心平安管理中心平安管理中心二级一级边界防护

现场控制计算环境

生产监控计算环境

企业管理计算环境边界防护边界隔离互联网区域边界子系统通过对进入和流出平安保护环境的信息流进行平安检查，确保不会有违背系统平安策略的信息流经过边界，是三级信息系统的第二道平安屏障23233〕通信网络2323系统安全审计安全管理中心平安管理中心平安管理中心平安管理中心二级一级边界防护

现场控制计算环境

生产监控计算环境

企业管理计算环境边界防护边界隔离互联网通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的平安得到了保障，是三级信息系统的外层平安屏障4〕管理中心系统安全审计安全管理中心平安管理中心平安管理中心平安管理中心二级一级边界防护

现场控制计算环境

生产监控计算环境

企业管理计算环境边界防护边界隔离互联网系统管理子系统负责对平安保护环境中的计算节点、平安区域边界、平安通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为三级信息系统的平安提供根底保障平安管理子系统是信息系统的控制中枢，主要实施标记管理、授权管理及策略管理等。平安管理子系统通过制定相应的系统平安策略，并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行，从而实现了对整个信息系统的集中管理，为三级信息系统的平安提供了有力保障审计子系统是系统的监督中枢，平安审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、平安管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统平安策略的行为，同时为应急处理提供依据四、坚持自主创新,纵深防御26工控系统是定制的运行系统，其资源配置和运行流程具唯一性和排它性特点，用防火墙、杀病毒、漏洞扫描不仅效果不好，而且今引起新的平安问题27坚持自主创新，采用可信计算技术，使每个计算节点、通信节点都有可信保障功能，那么，系统资源不会被篡改，处理流程不会被干扰破坏，使系统能按预定的目标正确运行，“震网〞、“火焰〞等病毒攻击不查即杀28坚持纵深防御，克服“封堵查杀〞被动局面1、加强信息系统整体防护，建设区域隔离、系统控制的三重防护、多级互联体系结构2、重点做好操作人员使