2021工控系统中的身份鉴别和加密

工控系统中的身份鉴别和加密目录©1我们的目标1威胁、标准要求和实施重点--身份鉴别2威胁、标准要求和实施重点—加密3和利时DCS系统在电力行业的解决方案4和利时DCS系统在电力行业的应用5第一部分©2我们的目标1我们的目标被动防御防火墙防病毒软件审计及入侵检测。。。。主动防御数字证书对称与非对称加密可信计算虚拟化安全管控的融合联动蜜罐工业云与大数据分析。。。。--基于主动防御理念的具有信息安全特性的工业控制系统第二部分©4威胁、标准要求和实施重点--身份鉴别2身份鉴别针对的主要威胁©5工程师站未授权人员进行工程组态文件的新建、修改和下装。未授权人员盗取工艺机密。

未授权人员对控制器进行读写操作。控制器未授权人员对控制器进行下装。未授权人员对控制器的OS或RTS进行更新。未授权人员从控制器读取组态文件，窃取工艺机密。被非法篡改的控制器接入控制网络。授权人员更新的OS或RTS为非法版本。未授权人员利用控制器调试端口修改控制器程序。操作员站标准要求©6FR4.数据保密性（DC）FR2.使用控制（UC）FR3.系统完整性（SI）FR5.受限数据流（RDF）IEC62443-3-3

技术要求FR6.对事件的及时响应（TRE）FR7.资源可用性（RA）FR1.标识和鉴别控制（IAC）FR1.标识和鉴别控制（IAC）©7SR1.1-人员用户的识别和认证控制SR1.2–软件进程和设备的识别和认证SR1.3–帐号管理SR1.4–识别码管理SR1.5–认证管理SR1.6–无线访问管理SR1.7–密码认证强度SR1.8–公钥基础设施证书SR1.9–公钥认证强度SR1.10–认证器反馈SR1.11–非成功登录尝试SR1.12–系统使用通知SR1.13–通过非信任网络的访问标准要求-IEC62443-3-3标准要求-可编程序控制器（PLC）系统信息安全要求©8SR1.1用户（人）的标识和认证SR1.2软件进程的标识和认证SR1.3账号管理SR1.4标识符管理SR1.5认证码管理SR1.6无线访问管理SR1.7口令认证SR1.8公钥基础设施证书SR1.9公钥认证的加强SR1.10认证反馈SR1.11失败的登陆尝试SR1.13经由非可信网络的访问对监督控制层的要求对现场控制层的要求SR1.1用户（人）的标识和认证SR1.6无线访问管理SR1.13经由非可信网络的访问主要应对方案©9工程师站基于工程文件或算法块级别的账号、口令验证机制。账号口令的复杂度要求。下装操作须通过独立、更高级别口令管理。基于数字证书（U-KEY）机制的双因素认证。账户分组长时间未操作重新输入账号口令账号口令的复杂度要求基于数字证书（U-KEY）机制的双因素认证。控制器下装须口令验证。OS和RTS升级的口令验证。上传组态文件的口令验证。基于数字证书的控制器认证机制调试端口的密码复杂度要求基于数字证书的OS和RTS验证。操作员站第三部分©10威胁、标准要求和实施重点—加密3加密针对的主要威胁©11工程师站存储的口令被窃取口令传输过程中被窃取工艺机密被窃取下装文件在传输过程中被篡改

存储的口令被窃取上传下发的数据被篡改控制器存储的口令被窃取口令传输过程中被窃取下装文件在传输过程中被篡改上传下发的数据被篡改使用了不安全的协议，例如FTP、SNMP、http等操作员站©12SR3.1–通信完整性SR3.2–恶意代码防护SR3.3–信息安全功能验证SR3.4–软件和信息的完整性SR3.5–输入检验SR3.6–确定性输出SR3.7–错误处理SR3.8–会话完整性SR3.9–审计信息防护FR3系统完整性FR3数据保密性SR4.1–信息保密性SR4.2–信息的长期保存SR4.3–加密使用标准要求-IEC62443-3-3标准要求-可编程序控制器（PLC）系统信息安全要求©13FR3系统完整性SR3.1通信完整性SR3.2恶意代码的防护SR3.4软件和信息完整性SR3.5输入确认SR3.6确定性的输出SR3.7错误处理SR3.8会话完整性SR3.9审计信息的保护FR4数据保密性SR4.1信息保密性SR4.2信息存留SR4.3密码的使用FR3系统完整性SR3.1通信信息完整性SR3.5输入验证SR3.6确定性的输出SR3.7错误处理SR3.8连接完整性FR4数据保密性SR4.1信息保密性SR4.3密码的使用对监督控制层的要求对现场控制层的要求主要应对方案©14工程师站存储口令加密采用非对称、对称加密方式传输组态文件和口令对部分算法块加密存储控制器存储口令加密采用非对称、对称加密方式传输组态文件和口令跨互联网应用采用VPN采用FTPS、https、SNMPV3等安全协议操作员站存储口令加密对于跨互联网web应用采用https加密协议第四部分©15和利时DCS系统在电力行业的解决方案4相关安全标准及规范©16标准类型标准名状态通用国际标准IEC62443《工业过程测量、控制和自动化网络与系统信息安全》部分发布SP800-53《信息系统和组织的安全和隐私控制》发布SP800-82《工业控制系统ICS安全指南》发布国家标准GB/T22239.1《信息系统安全等级保护基本要求》发布GB/T30976《工业控制系统信息安全》发布GB/T22239.5《工业控制系统等级保护基本要求》编制中行业电力DL/T-xxxx《电力行业信息系统安全等级保护基本要求》编制中GB/Z25320《电力系统管理及其信息交换数据和通信安全》发布《电力监控系统安全防护总体方案》发改委2014年发文发布核电《核电站二次系统安全防护技术规定》电监会发文发布HAD102/16《核动力厂基于计算机的安全重于系统软件》发布IEC62645《核电厂仪控系统中基于计算机系统的安全大纲要求》发布IAEANSS17《核设施的计算机安全》发布RG5.71-2010《核设施网络安全方案》发布RG1.152-《核电安全系统中数字计算机的准则》发布智能制造《数字化车间信息安全要求》编制中城市轨道信号《城市轨道交通列车控制与调度指挥系统信息安全保护基本要求》编制中城市轨道SCADA地铁综合监控系统信息安全标准编制中轨道（大铁）暂无暂无相关行业标准石油石化暂无暂无相关行业标准化工暂无暂无相关行业标准相关安全标准及规范©17电力监控系统安全防护总体方案防护措施：集中审计、加密、身份认证，访问控制，入侵检测，边界隔离，

防病毒，主机加固网络分区隔离©18基本策略：1.DCS系统网络与控制区电厂其他生产控制系统网络相对独立；2.在DCS系统网络边界处进行逻辑隔离，配置工业防火墙；3.DCS系统内部网络采用VLAN方式按照机组DCS系统、公用DCS系统、辅助控制系统及公用辅助控制系统划分不同安全区。4.DCS系统网络路由采用静态路由方式实现；增强策略：1.在DCS系统内部各安全区采用VLAN上实施访问控制列表（ACL）的方式进行安全区边界隔离，控制粒度为IP+端口级；2.同一控制网段内的网关具备对MAC和协议的过滤功能，并对重要设备进行IP和MAC地址绑定。3.在DCS系统网络核心交换部署一套入侵检测系统，可以考虑与电厂其他生产控制系统共同部署一套入侵检测系统。标示与身份鉴别©19基本策略：1.工程师站组态软件和操作员站软件基于账号和口令防护，口令由数字、字母、特殊字符组成最小8位以上；2.用户口令通过加密方式存储；3.细化工程师站和操作员站的用户权限，下装操作的权限单独配置给特定操作账户。增强策略：1.控制器下装操作增加二次口令校验防护，此口令由控制器校验；2.控制系统配置支持指纹识别功能或基于数字证书的U-key作为外部身份验证设备配合口令验证对用户登陆进行双因子验证。数据通信加密©20基本策略：1.对关键通信数据进行加密。2.使用支持加密的高级应用层协议。增强策略：1.组态下装过程在传输机制上采用建立安全的加密通信通道进行工程文件下装。2.引入PKI数字证书机制对通信数据提供加密支持。系统完整性©21基本策略：系统部署应用程序白名单机制对系统中在运行的应用程序进行控制管理，仅允许列表中存在的应用程序执行，阻止恶意程序及后台非法程序的运行。控制U盘等外部移动存储设备的接入。增强策略：1.设备的系统固件安装包以及升级使用的系统固件升级包进行数字签名保证固件更新所使用的系统固件的合法性和完整性。固件更新时通过校验签名保证固件未被非法篡改。2.控制器内部引入先进的可信计算（TCM）技术建立信任链，发现不可信资源及时报警，及时发现异常代码，解决攻击者通过已知和未知漏洞向嵌入式设备内植入恶意代码攻击的问题。日志和安全审计©22基本策略：独立的、不影响系统运行的集中审计系统。增强策略：

控制器的日志记录具备对基本操作、口令修改、组态下装、操作系统和RTS升级、IP变更等内容的记录，所记录项目的内容包括操作时间、操作用户、操作IP、操作内容以及结果等。主机加固©23

主机加固针对上位机PC主机，更新上位机PC主机的重要关键补丁并关闭不必要的服务（如telnet、远程桌面等）。通过服务最小化保证上位机主机安全。第五部分©24和利时DCS系统在电力行业的应用5世界领先的第五代DCS系统持续创新发展的DCS控制系统----追求卓越，稳步发展非冗余硬件,DOS操作系统，国内第一套DCS系统。1993年HS10001996年HS20001999年MACS2004年HOLLIASMACS-FM/SM2013年MACS-K1ST3RD4TH5TH2NDNT/WIN2000，多域结构，DP现场总线，以太网络，IEC61131-3工业以太网；硬件低功耗，高集成度，小型化，智能化。2013年和利时率先推出国内最先进第五代DCS系统。该系统具备世界领先技术和优势。

冗余硬件,Windows系统,CAN总线；在线下装。开发出第一套中国人自己的DCS控制系统已经安装超过20,000套DCS控制系统。真诚地为用户设想©26操作效率优化资产管理云服务工厂信息化管理生产控制及安全管理先进的过程控制（APC）PLC先进过程控制设备管理系统操作员培训系统（OTS）全厂一体化DCSDEH/MEH

电厂仪表HiaGuardSIS专业方案设备管理管理智能仪表信息化、智能化管理系统效率提升、过程优化系统分散控制系统现场控制系统解决方案服务型公司----电力行业一直是和利时最重要的业务领域之一典型业绩©2716台1000MW机组DCS、26台600MW机组DCS和217台300MW机组DCS已经成功应用国产DCS系统在600MW机组上的首次应用（2006年）国华锦界4*600MWDCS工程国产DCS系统在1000MW机组上的首次应用（2010年）

国华粤电台山首两台1000MWDCS工程国产DCS+DEH一体化系统在600MW超临界机组上的首次应用（2010年）

国华呼伦贝尔2*600MW项目（上汽机组）国产DCS+DEH一体化系统在1000MW超临界机组上的首次应用（2015年）

神华福建鸿山2*1000MW项目（东汽机组）国内最大的DCS改造项目（2014年）国华绥中2*880MWDCS工程

国产现场总线在100