大发百人牛牛窍门-官方褚健团队解读网络安全等保20下的工控系统安全

  • 时间:
  • 浏览:0

  2019年5月13日,新发布的网络安全等级制度2.0标准(简称等级2.0)在原有基础上进行了细化、分类和加强,对重要基础设施、重要系统及“云、移、物、工控、大”纳入等级管理;名称由从前的《信息安全技术 信息系统安全等级基本要求》变更为《信息安全技术 网络安全等级基本要求》。

  等级上升到了网络空间安全的层面,意味着等级的对象全面升级:不再是传统意义上的计算机信息系统,就是含高网络安全基础设施、云计算、移动互联网、物联网、工业控制系统、大数据安全等对象的网络空间安全。

  等级2.0时代,怎样才能建立健全有效的工控安全体系是每1个多多多工业企业、工控制造商、工控安全企业都应该思考的间题。

  上世纪,发达国家制定了一系列强化网络信息安全建设的政策和标准,其核心就是将不同重要程度的信息系统划分为不同的安全等级,以便于对不同领域的信息安全工作进行指导。鉴于此,相关部门和专家结合我国实际状况进行多年的研究,逐步形成了我们歌词 我们歌词 我们歌词 国家的信息系统安全等级制度。

  5003 年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》,明确提出“实行信息安全等级”。

  5004 年至5006 年期间,联合四部委开展信息系统等级基础调查和等级试点工作。

  5007 年6 月,《信息安全等级管理办法》出台;7月,等四部门联合颁布了《关于开展全国重要信息系统安全等级定级工作的通知》,并于7月20 日召开了全国重要信息系统安全等级定级工作部署专题电视电话会议,标志着我国信息安全等级制度正式始于英语 实施。

  2010 年4 月,出台《关于推动信息安全等级测评体系建设和开展等级测评工作的通知》,提出等级工作的阶段性目标;12 月,和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级工作的通知》,标志着我国信息安全等级工作全面展开。

  随着云计算、移动互联、物联网、大数据等新技术的不断发展和应用,等级2.0针对新技术以及国家关键基础设施安全(工业控制系统)等提出了全面、深入、细化的准则。

  在内容上,等级2.0调整分类为物理、安全通信网络、安全区域边界、安全计算、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;调整各个级别的安全要求为通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;注销 了从前安全控制点的S、A、G标注,增加1个多多多附录A描述等级对象的定级结果和安全要求之间的关系,说明怎样才能根据定级结果选则安全要求;调整了从前附录A和附录B的顺序,增加了附录C描述网络安全等级总体框架,并提出关键技术使用要求。

  除去对内容的整合修改外,等级2.0也对标准名称进行了修改,由《信息安全技术 信息系统安全等级基本要求》改为《信息安全技术 网络安全等级基本要求》,使之与《中华人民国网络安全法》中的相关法律条文保持一致。

  工控安有无网络空间领域的另某种 安全,不同于传统计算机与互联网等虚拟空间防信息窃取的安全。工控安有无物理世界安全,是重要基础设施所使用的工业控制系统(简称工控系统)免遭恶意操控的安全,从而保障物理设施的正常运行,并出理 发生生产停顿、经济停摆、污染乃至社会动荡、国家瘫痪等重大灾难事故。

  由表1时需发现,等级2.0在工控安全方面突出强调了控制设备安全,时需采用技术和管理1个多多多手段确保工控系统安全稳定运行。

  工控系统是指由计算机与工业过程控制部件组成的自动控制系统,在都这麼人直接参与的状况下,利用外加的设备或装置,使机器、设备不可能 生产装备等基础设施按照预定的规律运行,以生产出合格的产品,一同还不不引发灾难事故。按应用行业和特点分类,主要包括数据整理与系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)等。哪此工控系统在系统组成和网络层次上是一样的,有无由运行在工程师站、操作员站的SCADA软件、控制器、现场仪表,以及上层网络和现场减挡时总线网络构成。就是不可能 它们的应用场合和应用侧重点(如表2所示)不同,意味在不同的行业会有不同的叫法。

  2010年,伊朗发生了的“震网”(Stuxnet)事件,通过西门子PCS7控制系统,了血块铀浓缩离心机和布什尔核电站发电机组,意味伊朗核计划大约被延迟2年。“震网”我人太好利用了RPC远程执行漏洞(MS08-067)、快捷办法文件解析漏洞(MS10-046)、打印机后台程序服务漏洞(MS10-061)、内核模式驱动程序漏洞(MS10-073)、任务计划程序漏洞(MS10-092)等操作系统的漏洞,但哪此漏洞就是被用于“震网”恶意代码的;而“震网”的核心代码,它利用了西门子PCS7控制系统的特性,结合伊朗铀浓缩离心机和核电站的生产工艺、特性参数,通过向核心组件——控制器PLC(S7-500、S7-500系列PLC)发起,使PLC控制器一方面向离心机、核电设备发送恶意操控指令使之超负荷运行,直至损坏;我本人面向操作站发送“正常”的生产工况数据,使操作人员误以为生产正常。

  时需指出的是,“震网”所发出的恶意操控指令、虚假的“正常”生产工况数据,有无利用PCS7控制系统某种 的“”协议、“”指令(如控制离心机的转速减少或增加指令)、“”数据,并都这麼利用其核心控制器PLC的任何漏洞。哪此“”指令不言而喻要能意味伊朗损毁,在于其与正常的生产工艺、操作流程不符合。由此可见,针对工控系统核心部件的才是真正的工控系统安全,它要能意味基础设施灾难性的物理损毁。

  要针对者不可能 利用的途径、不可能 利用的手段以及不可能 引发的后果等多个方面,对工控系统所有的主机、主机应用软件、程序运行,甚至是关键软件代码进行有效和防护;对工控网络所有的协议、服务以及传输的梦见钞票数据、操作指令进行和防护;对DCS控制器、PLC控制模块、RTU控制模块等嵌入式代码进行和防护。

  “震网”恶意代码引发伊朗铀浓缩离心机和核电站机组的物理损毁,其关键在于通过操控工控系统,使铀浓缩离心机和核电站机组的运行状况每项其设计的正常工况,使之超负荷、非正常工况运转,直至最后物理损毁。就是,针对工控系统的网络安全防护,时需对基础设施、生产装置运行的关键工艺参数、关键工况、关键控制方案等进行和防护。

  对工控系统的网络安全防护和,仅仅靠安装你你是什么安全产品还远远不够,还时需覆盖工控系统的设计、生产、调试、工程实施、维修、运行等全生命周期的所有环节,既要从技术上进行防护和,也时需从管理办法上阻断恶意代码的带入。

  等级2.0工业控制系统安全扩展要求每项强调控制设备安全在逐渐实现自主可控的状况下可实现工控系统核心部件——控制设备安全。这就要求:控制设备内置安全设计,实现通信与控制隔离,确保在遭到内控 时不影响控制回的正常运行;控制网络通信采用加密和完正性;控制设备内核自主可控(硬件、嵌入式系统、控制算法、协议栈等);控制设备具备对组态和用户数据等关键数据进行完正性和正确性检测功能,故障时进行报警和记录等。

  重要关键基础设施部署的工控网络安全防护系统应具备以下特点:一是针对内置预埋代码,切断危害,进行应急出理 ;在安全区域、系统出口,加强预警防范;二是以不影响生产和联 产安全为前提,注意数据和操作;三是对系统重要性识别、系统资产识别、系统脆弱性识别、系统识别及系统风险识别等维度进行安全防护;四是采用软件防护、边界、PLC嵌入式代码防护、控制异常监测与阻断等办法进行立体防护;五是对工控系统进行无扰动实时在线修复,并启动安全应急系统,实现数字化、网络化、智能化中工业企业的工控信息安全。

  国家、企业(包括工业企业、工控安全企业、相关测评单位)应加快建设其所在领域行业的工控系统网络测试床,可实现以下目的:在上线部署前,测试控制设备其自身的安全性;对上线部署的工控网络安全产品其功能、可用性、安全性、可靠性及对工控系统有无有影响等进行测试;结合实际应用场景的控制方案、业务逻辑等进行未知的生成,建设未知库,增强工控系统及其安全产品的主动防御能力;对上线部署的工控网络安全产品进行训练,提升其學會习能力等。

  工控系统网络安全攻防技术研究攻防兼顾,以攻促防。人才队伍不仅要懂工业控制系统的网络技术、体系架构、嵌入式软件、私有协议等,时需懂使用工业控制系统的具体对象的工艺、设备技术,只能从前要能做到定点或精确防护。构建一支工控网络安全专业研究团队,将有益于针对国家重要关键基础设施的工业控制系统安全防护能力。

  此外,工控网络安全产品不同于普通安全产品,需紧密联系工控现场,性能稳定,满足实时性与准确性等需求,保障可用性大于机密性、完正性。针对相关安全产品标准,时需完善或制定工控网络安全产品标准体系。

  在等级2.0时代,工控系统的网络安全防护和回归到了控制系统的本质。在传统互联网安全、计算机安全领域有效的手段和产品对工控系统不一定有效。

  对工控系统的网络安全防护和,需一同从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置的宽度,才要能防护得住有组织的专业团队的,也要能我们歌词 我们歌词 我们歌词 国家重要基础设施的安全。

  还约辉(1986- ),男,江苏盐城人,学士,工程师,现任浙江国利网安科技有限公司副总经理,主要研究方向为工控网络安全。

  王 迎(1981- ),男,浙江杭州人,学士,工程师,现任浙江国利网安科技有限公司总经理,主要研究方向为工控网络安全。

  薛金良(1987- ),男,浙江绍兴人,学士,高级工程师,现任浙江国利网安科技有限公司安全研究中心主任,主要研究方向为工控网络安全。

  财成国际