工控系統(tǒng)信息安全實(shí)踐與問題PPT課件

1、工控系統(tǒng)信息安全實(shí)踐與問題劉太洪2015.9 曾幾何時(shí)，信息安全對(duì)于工業(yè)控制系統(tǒng)這個(gè)“獨(dú)立王國”來說還扯不上關(guān)系，但2010年的“Stuxnet”病毒事件，人們恍然大悟，原來不是這樣的，“獨(dú)立王國”也有淪陷的時(shí)候。3n工控系統(tǒng)信息安全實(shí)踐n實(shí)踐中的問題4工控系統(tǒng)信息安全實(shí)踐n工控信息安全標(biāo)準(zhǔn)n等級(jí)保護(hù)在工控系統(tǒng)實(shí)踐關(guān)注點(diǎn)5n 工控信息安全標(biāo)準(zhǔn)u等級(jí)保護(hù)基本要求uGB/T 30976uISA 62443uSP800-82u使企業(yè)開展信息安全工作有“法”可依，有據(jù)可查6u 等級(jí)保護(hù)基本要求u我國開展信息安全工作的最重要標(biāo)準(zhǔn)之一u從技術(shù)和管理兩個(gè)方面來對(duì)信息系統(tǒng)的安全保護(hù)能力提出要求u應(yīng)用范圍包括：

2、信息系統(tǒng)管理組織，信息系統(tǒng)產(chǎn)品廠商，信息系統(tǒng)集成商，信息安全咨詢服務(wù)企業(yè)，第三方信息安全測(cè)評(píng)機(jī)構(gòu)等7n GB/T30976工業(yè)控制系統(tǒng)信息安全 信息安全等級(jí)管理等級(jí)系統(tǒng)能力等級(jí)CL1CL2CL3CL4ML1SL1SL1SL1SL1ML2SL1SL2SL2SL3ML3SL1SL2SL3SL48等保在工控系統(tǒng)實(shí)踐中的關(guān)注點(diǎn)1. 工控網(wǎng)絡(luò)結(jié)構(gòu)2. 安全隔離3. 病毒防護(hù)4. 安全審計(jì)5. 身份鑒別6. 設(shè)備自身防護(hù)7. 邊界完整性9一、工控網(wǎng)絡(luò)結(jié)構(gòu)10二、安全隔離工業(yè)防火墻需要對(duì)工控協(xié)議的支持（如：OPC）滿足工業(yè)環(huán)境的要求針對(duì)私有協(xié)議，二次開發(fā)訪問控制策略的單一性位置不同網(wǎng)絡(luò)邊界不同安全區(qū)域邊界控

3、制器前（訪問控制，洪泛攻擊）11三、病毒防護(hù) 目前國內(nèi)同行形成的一種共識(shí)就是軟件白名單方式可能更適合，工業(yè)控制系統(tǒng)病毒防護(hù) 不需要頻繁升級(jí)病毒庫 不對(duì)進(jìn)程進(jìn)行刪除，查殺 只允許白名單范圍內(nèi)的進(jìn)程四、安全審計(jì)日志審計(jì)流量監(jiān)控12五、身份鑒別（工控軟件系統(tǒng)）措施： 1.雙因子鑒別（口令+證書），如工程師賬戶 2.單因子鑒別（口令），如操作員賬戶鑒別時(shí)機(jī)（工控系統(tǒng)）： 1.登陸工控系統(tǒng) 2.進(jìn)行工程下裝 3.重要參數(shù)修改13六、設(shè)備自身防護(hù) 1.主機(jī)操作系統(tǒng)加固 Windows：關(guān)閉多余服務(wù)，安裝系統(tǒng)補(bǔ)丁，刪除 多余系統(tǒng)組件，關(guān)閉遠(yuǎn)程管理端口，開啟Windows系統(tǒng)自帶防火墻 2.網(wǎng)絡(luò)設(shè)備加固 關(guān)閉不需要的服務(wù)，限制遠(yuǎn)程管理地址，使用加密方式進(jìn)行遠(yuǎn)程管理, 口令復(fù)雜度 3.工業(yè)控制系統(tǒng)啟用身份鑒別，口令復(fù)雜度14七、邊界完整性 1.非授權(quán)設(shè)備的接入關(guān)閉交換機(jī)端口，端口地址綁定 2.外部數(shù)據(jù)輸入（如升級(jí)包等）U盤，光盤，移動(dòng)介質(zhì)管理，數(shù)據(jù)轉(zhuǎn)運(yùn)系統(tǒng) 3.無線網(wǎng)絡(luò)的使用加密，隔離15實(shí)踐中的問題n一體化n工控安全產(chǎn)品16n 一體化1.產(chǎn)品的實(shí)現(xiàn)（不滿足需求） 私有性2.產(chǎn)品的融合問題（影響工控系統(tǒng)的正常運(yùn)行）17n 工控安全產(chǎn)品1.可靠性（不滿足工業(yè)運(yùn)行環(huán)境） 白名單軟件：識(shí)別假