1、工业控制系统信息安全ICS联不联公网?这是个问题!一、工控系统的地位一、工控系统的地位无网不胜一、工控系统的地位一、工控系统的地位基础原器件基础原材料基础新工艺基础性核心技术自动控制与感知关键技术核心工业软硬件工业互联网工业云和智能服务平台互联网无所不连、移动网无所不在、物联网无所不知互联网无所不连、移动网无所不在、物联网无所不知二、工控系统的主要组成部分二、工控系统的主要组成部分二、工控系统的主要组成部分二、工控系统的主要组成部分(一)(一)SCADA系统系统监测控制和数据采集(Supervisory Control And Data Acquisition)信息层控制层设备层 +执行层二、
2、工控系统的主要组成部分二、工控系统的主要组成部分(一)(一)SCADA系统系统二、工控系统的主要组成部分二、工控系统的主要组成部分(二)(二)DCS系统(早期)系统(早期)信息层信息层控制层控制层 +设备层设备层执行层执行层集散控制系统集散控制系统 ERPMES集中操作监视集中操作监视(Supervisor)分散过程控制分散过程控制(Process Control) PCS二、工控系统的主要组成部分二、工控系统的主要组成部分(二)(二)DCS系统系统信息层信息层控制层控制层设备层设备层设备设备+执行执行二、工控系统的主要组成部分二、工控系统的主要组成部分(三)(三)PLC系统(部件)系统(部件
3、)二、工控系统的主要组成部分二、工控系统的主要组成部分(三)(三)PLC系统(部件)系统(部件)二、工控系统的主要组成部分二、工控系统的主要组成部分(四)(四)RTU远程终端单元远程终端单元类别类别ITIT系统系统ICSICS系统系统性能要求性能要求非实时的响应可以是离散的需要高速信息流延迟和抖动可以接受实时性响应必须是连续的信息呑吐量不一定很大延时和抖动是有害的可用性要求可用性要求可以重新启动系统并发能力不足可以等待系统崩溃可以容忍生产过程不允许重新启动必须冗余设计过程骤停就是事故风险管理要求风险管理要求数据的保密性和完整性人员安全第一环境突变以人财物的损失信息安全的焦信息安全的焦点点保护I
4、T资产,以及这些资产中存储和传输的信息保护现场系统,如SCADA、DCS、PLC等等不被破坏和篡改非预期后果非预期后果信息安全检查过程中造成的安全问题可以容忍信息安全检查工具不能影响ICS今后的工作(哪怕是离线测试)安全策略安全策略紧急状态很罕见限制访问控制可以通过多种不同的安全策略随时调整对人员和设备的紧急事件的快速响应非常关键安全策略受限于正常生产过程和应急事件处置之间的平衡(只有一种)系统操作系统操作使用典型操作系统操作系统可以自动优化升级应用软件可以独自迭代多种专用操作系统;操作系统只考虑了设计时已知的安全保护;操作系统升级困难;应用软件与硬件关系紧密、修改困难资源限制资源限制系统资源
5、及安全方案可以由第三方ICS支撑固定的生产过程,很多是物理嵌入式,扩充扩展信息化设备困难通信通信标准的通信协议和方式典型的IT网络规程多种工业通信协议;通信方式由物理结构、地理结构和管理结构所决定变更管理变更管理操作系统和软件变更时,有信息安全策略和规程“保驾护航”逐步布置到系统中试用。 技术支持技术支持允许多样化服务主要依赖供应商生命周期生命周期3-5年15-20年部件访问部件访问通常是本地、且易于访问分离、远程,需要其他物理媒体三、工控系统与三、工控系统与 IT 系统的区别系统的区别四、工控系统面临的威胁四、工控系统面临的威胁(一)暴露在互联网上的(一)暴露在互联网上的ICS四、工控系统面
6、临的威胁四、工控系统面临的威胁(二)(二)ICS暴露在互联网上的国家暴露在互联网上的国家四、工控系统面临的威胁四、工控系统面临的威胁(三)在互联网上可识别的(三)在互联网上可识别的ICS为为1993个个四、工控系统面临的威胁四、工控系统面临的威胁(四)(四)40个国家对我个国家对我ICS攻击攻击11万次万次四、工控系统面临的威胁四、工控系统面临的威胁(五)我国受攻击较多的(五)我国受攻击较多的ICS系统或设系统或设备备四、工控系统面临的威胁四、工控系统面临的威胁(六)我国安全风险较大的产品(六)我国安全风险较大的产品五、工控系统信息安全检查五、工控系统信息安全检查(一)出台(一)出台工业控制系统信息安全防护指南工业控制系统信息安全防护指南的背景的背景五、工控系统信息安全检查五、工控系统信息安全检查(二)(二)工业控制系统信息安全防护指南工业控制系统信息安全防护指南的内容的内容工业控制系统信息安全防护指南工业控制系统信息安全防护指南一、安全软件选择与管理一、安全软件选择与管理二、配置和补丁管理三、三、 边界安全防护边界安全防护四、物理和环境安全防护五、身份认证五、身份认证六、远程访问安全七、安全监测和应急预案演练七、安全监测和应急预案演练八、资产安全九、数据安全九、数据安全十、供应链管理十一、落实责任十一、落实责任