工业控制系统的信息安全等级保护工作PPT学习课件

1、做好工业控制系统信息安全等级保护工作，国家信息化专家咨询委员会委员沈昌祥院士，1、党的十八大报告显示，世界依然不稳定。 粮食安全、能源资源安全、网络安全等全球性问题更加突出。 党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术的广泛运用。 关注海洋宇宙网络空间的安全，2，3，3，2010年的“震网”病毒事件破坏了伊朗的核设施，震惊了世界。 这说明网络攻击从传统的“软件攻击”发展为直接攻击电力、金融、交通、核设施等核心要害系统的“硬破坏”，基础工业控制系统已遭到破坏，2011年，工信部发表了关于加强工业控制系统安全管理的通知， 明确了重点

2、领域工业控制系统的信息安全管理要求，对连接、网络、配置、设备选择和升级、数据、应急等管理方面提出了明确要求。 5、信息安全等级保护是我国信息安全保障的基本制度，使从技术和管理两方面进行安全建设的产业控制系统具有防止高强度连续攻击(APT )的能力，一、产业控制系统的安全要求，6、7、产业控制系统(ICS )为： 1、随着包括监控和数据采集(SCADA )、4在内的信息化的进展，工程系统从封闭、孤立的系统向互联网系统的IT系统，采用以太网、TCP/IP网络及各种无线网络，控制它采用标准的商用操作系统、中间件和各种通用软件，成为开放、互联、通用、标准化的信息系统。因此，安全风险也是共同的信息系统，

3、9、工程网络架构、互联网、企业管理网络、生产监视网络、现场控制网络、10、1、实时通信2、系统重启3、人与控制安全加入后传统的“块检验”安全防护技术难以解决工控系统的安全，二、信息安全等级保护适用于工控系统，11、12、工控系统的网络结构依赖于网络技术，把控制纠错节点构建为工业生产过程控制的纠错环境， 属于等级保护信息系统范围的国际标准化机构ISA提出了区域保护的概念，2、区域间通过唯一的管线通信，3、在区域间和区域内实施不同的安全措施，防止区域间的交叉感染，控制区域内的入侵威胁，13、14、按照国家信息安全等级保护的标准和规定， 确定等级的对象，一般在划分安全区域的各安全区内用统一的生产业务

4、流程、硬件和软件资源的独立和管理责任明确确定三个条件，可以用其重要性确定具体的等级，15、冶金、化工、能源、交通、 水利系统领域的工业控制系统关系到社会稳定和国家安全，多数系统属于三级以上，特别是生产监控现象和现场控制系统三、工业控制系统等级保护技术框架，16，为修订资源(硬件和软件)构建保护环境，建立可靠的修订基础(TCCs ) 扩展层，保护订正资源，对信息资源(数据和应用)建立业务流控制链，以访问控制为核心的特别是高级系统执行三权隔离管理体制，不能设置超级用户，信息安全级别可以保护，17、和需要按照GB/17859的要求构建安全管理中心支持的补救环境区域边界通信网络三重防御系统，可执行的具

5、体设置补救无法参考。 区域边界安全防护、实现、通信网络安全互连、订正环境信任免疫、20、安全管理中心支持的订正环境、区域边界、通信网络三重防御多级互连技术框架：20、边界防护、现场控制订正环境、生产监视订正环境、企业管理订正安全管理中心、二级、一级、一级21、21、21、边界防护、现场控制修正计算环境、生产监视修正计算环境、企业管理修正计算环境、边界防护、边界隔离、互联网、1 )修正计算环境节点子系统在操作系统的核心层、系统层上设置了牢固的防护层，通过用户行为的控制， 有效防止未经授权的用户访问和授权用户访问，确保信息和信息系统的机密性和完整性安全，提供对典型应用子系统的正常运行和恶意破坏的保

6、护和保障。通过实施三级安全要求的业务应用系统，使用安全保护环境提供的安全机制，为应用提供符合三级要求的安全功能支持和安全服务，22、22、2 )应用区域边界、22、22、安全管理中心、安全管理中心、边界隔离、因特网、区域边界子系统是三级信息系统的第二道安全障碍、23、23、3 )通信网络，通过安全地检查进入安全保护环境中的信息流来确保违反系统安全策略的信息流不通过边界。 现场控制纠正环境、生产监视纠正环境、企业管理纠正环境、边界保护、边界隔离、互联网、通信网络子系统通过保护通信数据包的机密性和完整性，防止在传输过程中遭到未授权的窃听和篡改，保证了传输中的数据的安全。 安全管理中心、安全管理中心

7、、安全管理中心、二级、一级、边界防护、现场控制订算环境、生产监视订算环境、企业管理订算环境、边界防护、边界隔离、互联网、系统管理子系统负责为三级信息系统的安全提供基础保障，安全管理子系统是信息系统的安全管理子系统制定相应的系统安全策略，强制执行节点子系统、区域边界子系统、通信网络子系统和节点子系统，实现整个信息系统的集中管理，为三级信息系统的安全提供强有力的保障，审计子系统为系统安全审计员强制执行制定审计策略的节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统，实现对整个信息系统的行为审计，防止用户违反系统安全政策的行为其资源配置和运行过程具有唯一性和排他性的特点，防火墙、病毒消除、脆弱性扫描不仅效果差，而且目前正在引起新的安全问题，27，坚持自主创新，采用可靠的纠正技术，对各纠正节点、通信节点具有可靠的保障功能系统资源不被篡改，处理过程不被处理的“震网”、“火焰”等病毒攻击不检查就杀、28、坚持进深防御，克服“密封检查杀”被动局面，1、加强信息系统整体的保护，区域隔离定、系统控制的三重防护，建设多级联系体系结构的攻击实现操作使用安全，3、加强处理流程控制，防止内部攻击，提高订算节