等级保护 2.0 工业控制 系统扩展解读 演讲人 : 彭世强 2019 年 9 月 17 日
目录 CONTENTS 1 工业控制系统安全概述 2 工控系统要求解读 3 工控系统要求实践 2
工业控制系统 industrial control system(ics): 是对多种控制系统的总称, 简称为工控系统 典型形态包括 : 监控和数据采集系统 ( supervisory control and data acquisition, SCADA) 分布式控制系统 (distributed control system,dcs) 可编程逻辑控制器 (programmable logic controller, PLC) 安全仪表系统 (safety interlocking system,sis) 制造执行系统 (manufacturing execution systems, MES) 传感器 人机界面控制器执行器工业过程 图 1 ICS 典型 3
功能安全 (Safety): 保证系统或设备执行正确的功能, 当失效或故障发生时, 设备和系统仍需保持安全条件或者进入到安全状态 信息安全 ( Security ): 保证信息的可用性 完整性 保密性, 防范非授权的窃取 破坏 4
两者研究的对象都是针对同一个工业控制系统, 研究的都是为了保障工业控制系统的安全 从功能安全出发, 进行风险评估时不能忽略由于信息安全事件导致的健康 安全或环境 (Health Safety Environment,HSE) 相关事故因素 从信息安全出发, 实施工控系统保护方案时需要考虑是否影响既有安全相关系统的实时性 可靠性和安全性等方面 国际标准化组织 IEC/TC65 专门成立了一个功能安全和信息安全协调的工作组 (AHG1) 5
分类 IT 系统 工控系统 开放性 开放 互联 相对封闭 持续可靠性 一般 非常高 数据机密性 高 一般 设备级软件更新 频繁 较少更新 生命周期 5 年左右 15-20 年 应用协议 具有统一规范 五花八门 被破坏的后果 财产损失 公司名誉 财产损失 人员生命 环境破坏等 信息安全需求保密性 > 完整性 > 可用性可用性 > 完整性 > 保密性 6
重人关键基础设施控制系统与软件被国外垄断 国内控制系统软件对外依赖度高 缺少必要的 ICS 安全防护和监测预警产品 工业 4.0, 两化融合, 工业互联网 等概念都在推进工控系统与互联网的融合 7
工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求 在 GB/T22239-2019 信息安全技术网络安全等级保护基本要求 对工业控制系统主要增加的内容包括 : 室外控制设备防护 工业控制系统网络架构安全 拨号使用控制 无线使用控制 和 控制设备安全 等方面 安全要求项一级二级三级四级 工业控制系统安全扩展要求 9 15 21 22 8
对工业控制系统的保护需要使用安全通用要求 + 安全扩展要求 具体 安全通用要求和安全扩展要求的使用方法比较复杂 工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特 殊安全要求, 其他层次使用安全通用要求条款 9
五层模型 : 企业资源层 生产管理层 过程监控层 现场控制层 现场设备层 注 : 允许部分层级合并 DCS 系统 企业资源层 生产管理层 PLC 系统 SCAD A 系统 批过程 / 连续过程 / 离散过程 层级 4: 企业资源层建立基本工厂生产调度 材料使用 运输 确定库存等级 操作管理等实时性月 周 日 层级 3: 生产管理层工作流 / 处方控制来生产期望的终端产品 维护记录和优化生产过程, 调度生产, 细化生产调度过程, 保证可靠性等 实时性日 工作班时 小时 分钟 秒 层级 2: 过程监控层监控 管理控制和自动控制生产过程 实时性小时 分钟 秒 层级 1: 现场控制层传感数据采集和生产过程控制 实时性秒 亚秒 层级 0: 现场设备层传感和操作生产过程 10
11
4 5 3 2 1 6 1 层级 4 企业资源层 层级 3 生产管理层层级 2 过程监视层 3 2 层级 1 现场控制层 4 6 层级 0 现场设备层 5 12
功能层次 企业资源层生产管理层过程监控层现场控制层现场设备层 技术要求 安全通用要求 ( 安全物理环境 ) 安全通用要求 ( 安全通信网络 ) 安全通用要求 ( 安全区域边界 ) 安全通用要求 ( 安全计算环境 ) 安全通用要求 ( 安全管理中心 ) 安全通用要求 ( 安全物理环境 ) 安全通用要求 ( 安全通信网络 )+ 安全扩展要求 ( 安全通信网络 ) 安全通用要求 ( 安全区域边界 )+ 安全扩展要求 ( 安全区域边界 ) 安全通用要求 ( 安全计算环境 ) 安全通用要求 ( 安全管理中心 ) 安全通用要求 ( 安全物理环境 ) 安全通用要求 ( 安全通信网络 )+ 安全扩展要求 ( 安全通信网络 ) 安全通用要求 ( 安全区域边界 )+ 安全扩展要求 ( 安全区域边界 ) 安全通用要求 ( 安全计算环境 ) 安全通用要求 ( 安全管理中心 ) 安全通用要求 ( 安全物理环境 )+ 安全扩展要求 ( 安全物理环境 ) 安全通用要求 ( 安全通信网络 )+ 安全扩展要求 ( 安全通信网络 ) 安全通用要求 ( 安全区域边界 )+ 安全扩展要求 ( 安全区域边界 ) 安全通用要求 ( 安全计算环境 )+ 安全扩展要求 ( 安全计算环境 ) 安全通用要求 ( 安全物理环境 )+ 安全扩展要求 ( 安全物理环境 ) 安全通用要求 ( 安全通信网络 )+ 安全扩展要求 ( 安全通信网络 ) 安全通用要求 ( 安全区域边界 )+ 安全扩展要求 ( 安全区域边界 ) 安全通用要求 ( 安全计算环境 )+ 安全扩展要求 ( 安全计算环境 ) 13
序号 安全类 控制点 一级 二级 三级 四级 1 安全物理环境 室外控制设备防护 2 2 2 2 2 安全通信网络 网络架构 2 3 3 3 3 安全通信网络 通信传输 0 1 1 1 4 安全区域边界 访问控制 1 2 2 2 5 安全区域边界 拨号使用控制 0 1 2 3 6 安全区域边界 无线使用控制 2 2 4 4 7 安全计算环境 控制设备安全 2 2 5 5 8 安全建设管理 产品采购和使用 0 1 1 1 9 安全建设管理 外包软件开发 0 1 1 1 小计 9 15 21 22 14
现场控制计算环境 边界防护 生产监控计算环境 边界防护 企业管理计算环境 边界隔离 互联网 安全管理中心安全管理中心安全管理中心 二级 系统安全审计 可信 / 安全管理中心 一级 15
参见通用等级保护安全设计技术要求 复杂工业控制系统等级保护 信息安全区域 A 区域边界防护 第 2 层计算环境 第 1 层和第 2 层之间通信网络 第 1 层计算环境 第 3 层计算环境 第 2 层边界防护 第 1 层边界防护 第 4 层企业资源层 信息安全区域之间通信网络 第 3 层和第 4 层之间通信网络 第 2 层和第 3 层之间通信网络 信息安全区域 B 第 2 层计算环境 区域边界防护 信息安全区域 B1 第 3 层边界防护 区域边界防护 第 1 层和第 2 层之间通信网络 信息安全区域之间通信网络 第 2 层边界防护 信息安全区域 B2B 区域边界防护 安全管理中心 系统管理 安全管理 审计管理 第 0 层和第 1 层之间通信网络 第 0 层计算环境 第 0 层边界防护 第 1 层计算环境 第 0 层和第 1 层之间通信网络 第 0 层计算环境 第 1 层边界防护 第 0 层边界防护 第 1 层计算环境 第 0 层和第 1 层之间通信网络 第 0 层计算环境 第 1 层边界防护 第 0 层边界防护 安全管理中心边界防护 注 :(a) 参照 IEC 62443-1-1 工业控制系统按照功能层次划分为第 0 层 : 现场设备层, 第 1 层 : 现场控制层, 第 2 层 : 过程监控层, 第 3 层 : 生产管理层, 第 4 层 : 企业资源层 16
安全计算环境 : 包括工业控制系统 0~3 层中的信息进行存储 处理及实施安全策略的相关部件 安全区域边界 : 包括安全计算环境边界, 以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件 安全通信网络 : 包括安全计算环境和网络安全区域之间进行信息传输及实施安全策略的相关部件 安全管理中心 : 包括对定级系统的安全策略及安全计算环境 安全区域边界和安全通信网络上的安全机制实施统一管理的平台, 包括系统管理 安全管理和审计管理三部分 17
受侵害的客体 : 环境安全 人员生命安全 国家经济安全国家安全 受侵害的程度 : 部分具有法规参考, 国务院第 493 号令 生产安全事故报告和调查处理条例 环境保护部令第 17 号 突发环境事件信息报告办法 18
严格落实 安全分区 网络专用 横向隔离 纵向认证 防护要求, 建立完善栅格状安全防护体系, 有效阻隔来自外部网络攻击和传统病毒入侵与传播 安全分区 生产信息大区 横向隔离 管理信息大区 网络专用 控制区 ( 安全区 I) 逻辑隔离 非控制区 ( 安全区 II) 生产管理区 ( 安全区 III) 逻辑隔离 管理信息区 ( 安全区 IV) 专线 电力调度数据网 实时 VPN 非实时 VPN 专线 企业综合业务数据网 因特网 防火墙 横向正向隔离装置 横向反向隔离装置 纵向认证 控制区 ( 安全区 I) 逻辑隔离 非控制区 ( 安全区 II) 生产管理区 ( 安全区 III) 逻辑隔离 管理信息区 ( 安全区 IV) 纵向加密认证装置 生产信息大区 管理信息大区 加密认证措施 19
20
谢谢! 广州竞远安全技术股份有限公司 等保业务中心等保测评部总监 彭世强 13660472306 21