ICS与IT边界-SCADA架构-2017第六届工业控制系统信息安全峰会.pptVIP

历史数据库 工程师站 局域网 电子眼 可编程逻辑控制器（PLC） 变频器 驱动电机 交流电机 现场总线 直流伺服电机 人机交互界面（HMI） 传感器 二、基本认识-ICS与IT边界-PLC架构 ICS以生产过程的控制为中心 信息系统的目的是人使用信息进行管理 ICS属于工业生产领域的生产过程运行控制系统，重点是生产过程的采集、控制和执行 信息系统通常是信息化领域的管理运行系统，重点在于信息管理 传统IT系统的安全三要素机密性、完整性、可用性按CIA原则排序，即机密性最重要，完整性次之，可用性排在最后 ICS系统的安全目标应符合AIC原则，即可用性排在第一位，完整性次之，机密性排在最后 目标 用途 后果 ICS系统受到攻击后会直接对人民生命财产安全造成威胁 传统IT系统失效后对物理环境无直接影响 安全 三要素 二、基本认识-ICS与IT差异 类别 IT系统 ICS 运行 非实时，可延迟，高数据量 实时，不可延迟，中数据量 实用性 可重启，实用性要求不高 不可重启，高实用性要求 侧重点 机密性、完整性和可用性 人身安全，进程安全最高 结构安全 关注信息安全和中心安全 关注边缘设备和中心安全 意外后果 可多种安全方案 必须测试后才能上线安全方案 时间准则 紧急要求不高 紧急要求高 系统处理 可用典型操作系统 系统往往没有安全防护 资源限制 系统有足够资源给安全方案 系统不一定有资源给安全方案 通信 标准通信协议 专有通信协议 变化管理 可自动更新软件 软件变动必须测试才能上线 管理支持 可以多样化支持 通常单一服务商支持 组件寿命 3-5年 15-20年 访问组件 可以随时访问本地组件 组件可能被遥控，难以访问 二、基本认识-ICS与IT差异-对比 类别 IT系统 ICS 性能需求 通信非实时 响应一致性 高吞吐量 允许存在延迟和抖动 通信实时 响应时间关键性 中等吞吐量 不允许存在延迟和抖动 可用性需求 允许重启系统 以系统的功能需求为主，可用性居其次 不允许重启系统 高可用性需求，部署前需详尽测试 需要冗余系统 中断操作需要提前计划 风险管理 需求 数据的保密性和完整性是第一位的 容错性是次要的—短暂停机不是主要风险 主要风险是商业运作的延迟影响 首先人身安全，其次过程安全，核心是进程安全 容错是必不可少的，任何停机都是不能接受的 主要风险是经常性的不合规定操作、环境影响 二、基本认识-ICS与IT差异-对比 二、基本认识-Security与Safety差异 功能安全(Safety)聚焦保护BPCS外围人物环，考虑随机硬件失效对生命、健康、设施或环境的伤害或影响，SIS紧急处置BPCS内外所导致事故导火索，强调故障导向安全 偏向生产安全、物理安全 信息安全(Security)聚焦保护BPCS本身可用、完整和机密，而非健康、安全和环境(HSE)，防止技术、管理脆弱性和外在威胁的结合，规避BPCS弱点、威胁所导致的风险 偏向数据安全和网络安全 工业控制系统安全是Security和Safety的融合，不仅要研究设备、工艺过程的危险性，还要进一步综合考虑黑客、有组织犯罪等人为因素的威胁，还要进一步考虑安全对企业自身、对社会公众甚至对国家安全所造成的影响和后果。 工业控制系统安全分析技术手段有：失效模式、影响及其诊断分析(FMEDA)，故障树、事故树分析(FTA)，保护层分析(LOPA)、危险与可操作性分析(HAZOP)、风险评估(GB/T27921/ 20984)、渗透测试等等 《工业控制系统信息安全等级保护规范标准草案》，是2013年国家公安部组织制定、旨在强化工业控制系统领域的信息安全等级保护工作的系列标准。 《NIST SP800-82 工业控制系统信息安全指南》，是2011年6月美国国家标准与技术研究院（NIST）制定的、旨在指导开发商、集成商建立安全工业控制系统的指南。 国内外主要的 工业控制系统 安全标准规范 《IEC62443 工业自动化和控制系统信息安全》，是2009年IEC/TC65/WG10（国际电工协会工业过程测量、控制与自动化/网络与系统信息安全工作组）与国际自动化协会ISA99成立联合工作组组织制定、旨在应对工业自动化和控制系统信息安全挑战的系列标准，以规避工业控制系统在信息安全方面的风险。 二、基本认识-安全要求-标准规范 * * * * * 工业控制系统安全认识和思考 * * 中国软件评测中心 目录 CONTENTS 工业控制系统安全基本认识 2 工业控制系统安全应对策略 3 工业控制系统典型安全事件 1 乌克兰电网遭受网络袭击-恐怖网袭 前苏联油气管网爆炸-自主可控 安全事件 伊朗核电站遭震网袭击-敌对攻击 美国棱镜监控计划曝光-敌对监视 一、安全事件 1982年夏天，前苏联西伯利