《工业互联网安全技术基础》课件- 03-01-工控安全政策及法律法规

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第1章工业互联网安全概述工控安全政策及法律法规-1010203工控信息安全政策概述国内工控信息安全标准概述目录工业控制系统概述1.工业控制系统一、工业控制系统概述PLC和RTU主要用于获取设备状态，PLC也可以用于设备的本地控制；DCS通常用于局域网内生产过程的整体控制，SCADA主要从PLC和RTU采集监控数据。工业控制系统（ICS）常见的有：监控和数据采集系统（SCADA）过程控制系统（PCS）可编程控制器（PLC）远程终端单元（RTU）分布式控制系统（DCS）2.工业控制系统与IT系统的差别网络边缘不同

工控系统在地域上分布广阔，其边缘部分是智能程度不高的含传感和控制功能的远动装置，而不是IT系统边缘的通用计算机，两者之间在物理安全需求上差异很大。体系结构不同

工控系统结构纵向高度集成，主站节点和终端节点之间是主从关系，IT系统则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。传输内容不同

工控系统传输的是工业设备的“四遥信息”，安全问题大多集中于物理层面，安全防护要延伸到物理层并防止复杂的控制关系所产生的骨牌效应。一、工业控制系统概述3.工业控制系统脆弱性1）策略和程序方面（管理）：缺少完善的标准支撑安全制度体系不完善/不适用安全意识/技能不足一、工业控制系统概述2）网络：边界防护不严，访问控制措施不完善。远程维护通道、甚至直接面向互联网缺少网络审计监控链路共享、数据混合不安全的无线使用3.工业控制系统脆弱性3）计算机设备：操作系统老旧，大量存在XP、2003等系统。补丁程序不更新或者更新不及时未进行必要加固配置外围接口使用控制不严，USB接口、光驱等一、工业控制系统概述4）控制设备：控协议缺少信息安全方面的设计，无认证、无加密、无抗重放严重依赖国外产品，缺乏自主可控设备固件/组态软件的安全漏洞设备性能普遍较差设备维护依赖厂商3.工业控制系统脆弱性5）病毒：通用病毒让工控系统更容易受伤，如WannaCry针对性病毒后果更加严重，如火焰、震网缺少杀毒软件或者病毒库更新不及时一、工业控制系统概述3.工业控制系统脆弱性工控安全的脆弱性是指工控系统在防护措施中和在缺少防护措施时系统所具有的弱点，脆弱性问题的根源可概括为以下几个方面：一、工业控制系统概述3.工业控制系统脆弱性工控网络安全中有五个方面现实存在的脆弱性可以被认为是近年来工控网络安全事件多发的主要原因。一、工业控制系统概述工控安全相关政策《中华人民共和国密码法》《工业数据分类分级指南（试行）》《关于推动工业互联网加快发展的通知》《网络安全等级保护定级指南》《网络安全审查办法》《贯彻落实网络安全等级保护制度和关键基础设施安全保护制度的指导意见》二、工控信息安全政策概述2020年10月10日，工业和信息化部应急管理部印发了《“工业互联网+安全生产”行动计划(2021-2023年)》的通知。二、工控信息安全政策概述三、国内工控信息安全标准概述

1.我国工业控制系统信息安全标准三、国内工控信息安全标准概述主任、副委主员任会、委员秘书处WG1WG4WG7WG5WG6WG3WG2信息安全标准体系与协调工作组密码技术标准工作组鉴别与授权工作组信息安全评估工作组通信安全标准工作组信息安全管理工作组涉密信息系统安全保密标准工作组TC260组织结构图2.全国信息安全标准化技术委员会（TC260）3.国标制定情况信息安全等级保护网络信任体系建设信息安全应急处理信息安全测评信息安全管理…16个领域的标准制定工作重点提出227项国标计划发布102项国家标准在研125项标准成果三、国内工控信息安全标准概述4.国标工控系统信息安全标准体系研究三、国内工控信息安全标准概述5.全国电力系统管理及其信息交换标准化技术委员会TC82已发布标准《电力系统管理及其信息交换数据和通信安全

第1部分：通信网络和系统安全

安全问题介绍》（GB/Z

25320.1-2010）《电力系统管理及其信息交换

数据和通信安全

第3部分：通信网络和系统安全

包括TCP/IP的协议集》（GB/Z

25320.3-2010）《电力系统管理及其信息交换

数据和通信安全第4部分：包含MMS的协议集》（GB/Z

25320.4-2010）《电力系统管理及其信息交换

数据和通信安全

第6部分：IEC

61850的安全》

（GB/Z

25320.6-2011）三、国内工控信息安全标准概述6.全国工业过程测量和控制标准化技术委员会TC124在编标准《工业控制计算机系统通用规范第2部分:

工业控制计算机的安全要求》计划制定《工业通信网络-网络和系统安全-第2-1部分：建立工业自动化和控制系统信息安全程序》，等同采用IEC

62443-2-1:2010《工业控制系统信息安全

第1部分：评估规范》《工业控制系统信息安全

第2部分：验收规范》三、国内工控信息安全标准概述7.全国电力监管标准化技术委员会（TC296）在编标准：《电力二次系统安全防护标准》（强制）《电力信息系统安全检查规范》（强制）《电力行业信息安全水平评价指标》（推荐）三、国内工控信息安全标准概述8.我国在研的工控安全标准三、国内工控信息安全标准概述第1章工业互联网安全概述工控安全政策及法律法规-20102国外工控信息安全标准概述工控信息安全防护指南政策概述目录1.IEC62443标准IEC/TC65（工业过程测量、控制和自动化）下的网络和系统信息安全工作组WG10与国际自动化协会ISA

99委员会的专家成立联合工作组，共同制定IEC

62443《工业过程测量、控制和自动化

网络与系统信息安全》系列标准。目标是定义一个通用的、最小要求集以达到各级SALS

（

SecurityAssurances

Levels，SAL）的安全保障需求。IEC

62443一共分为了四个部分，第一部分是通用标准，第二部分是策略和规程，第三部分提出系统级的措施，第四部分提出组件级的措施。一、国外工控信息安全标准概述2.SP800-82《工业控制系统(ICS)安全指南》SP800-82于2010年10月发布，是NIST依据2002年《联邦信息安全管理法》、2003年国土安全总统令HSPD-7等编制而成。它遵循《OMB手册》的要求“保障机构信息系统”，为联邦机构使用，同时允许非政府组织资源使用。该指南概述了ICS和典型的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在风险和影响水平的不同，指出了保障的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。一、国外工控信息安全标准概述二、工控信息安全防护指南政策概述1.防护指南要求2.整体工控安全防护体系框架二、工控信息安全防护指南政策概述指南共分为11个大项，3