Transcript 下载报告 - 控制网
Slide 1
2015第四届工业控制系统信息安全峰会
石化行业工业控制系统信息安全分析与探讨
介绍人:肖建荣
2015.7.15 上海
Slide 2
目录
1.石化行业工业控制系统信息安全现状
1.1 典型事例
1.2 信息安全意识
2.石化行业工业控制系统架构与漏洞分析
2.1 工业控制系统架构
2.2 工业控制系统漏洞分析
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
3.2 工业控制系统信息安全风险评估
3.3 工业控制系统信息安全管理体系(SMS)
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
4.2 工业控制系统信息安全项目工程
4.3 工业控制系统信息安全产品认证
4.4 工业控制系统补丁管理
5.石化行业工业控制系统信息安全新动向
5.1 信息安全工厂(SecurePlant)
6.参考文献
15.07.2015
2
Slide 3
。
1.石化行业工业控制系统信息安全现状
1.1 典型事例
2010年我国某石化、2011年某炼油厂的某装置控制系统分别感染
Conficker病毒,都造成了控制系统服务器与控制器通信不同程度地中断。
2012年4月22日,伊朗石油部和国家石油公司内部计算机网络遭病毒攻
击,为安全起见,伊朗方面暂时切断了海湾附近哈尔克岛石油设施的网
络连接。
......
1.2 信息安全意识
ARC2014信息安全用户调查报告显示: 石化用户响应排列首位
国际标准参与较多
--IEC62443/ISA-99《工业过程测量、控制和自动化网络与系统信息安全》
15.07.2015
3
Slide 4
。
2.石化行业工业控制系统架构与漏洞分析
2.1 工业控制系统架构
15.07.2015
4
Slide 5
。
2.石化行业工业控制系统架构与漏洞分析
2.2 工业控制系统漏洞分析
工业控制系统技术演变
工业控制系统与信息技术系统比较
系统性能、可用性、时间敏感性、系统生命周期、信息安全意识及准备、资源限
制、......
工业控制系统信息安全根源
操作系统、实时数据库、应用软件、通信网络
工业控制系统漏洞分析
通信协议漏洞、操作系统漏洞、安全策略和管理流程漏洞、杀毒软件漏洞、应用软件
漏洞
15.07.2015
5
Slide 6
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
工业控制系统信息安全技术
鉴别与授权技术
基于角色的授权
工具
口令鉴别
物理/令牌鉴别
智能卡鉴别
生物鉴别
过滤/阻止/访问控
制技术
编码技术与数据确
认技术
管理/审计/测量/
监控/检测技术
物理安全控制技
术
工业防火墙技
术
对称密钥编码技
术
日志审核工具
物理保护
人员安全
基于主机的防
火墙技术
公钥编码与密钥
分配技术
病毒与恶意代
码检测系统
虚拟网络技术
虚拟专用网络技
术
基于位置的鉴别
设备至设备的鉴
别
入侵检测与入
侵防护技术
漏洞扫描技术
辩论与分析工
具
注:标识红色字体部分在应用中少见。
15.07.2015
6
Slide 7
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
典型方案部署
方案1 防火墙带DMZ位于公司网与控制网间
典型实例: 远程访问系统(RAS)
15.07.2015
方案2 双防火墙位于公司网与控制网间
典型实例: 工厂信息管理系统(PIMS)
7
Slide 8
3.石化行业工业控制系统信息安全解决方案
3.2 工业控制系统信息安全风险评估
系统识别
区域与管道定义
信息安全等级(SL)
风险评估过程(四步)
-准备评估、开展评估、沟通评估和维持评估
风险评估方法
-主要有定性和定量风险评估方法、基于场景和资产评估方法、详细风险评估方法和高层次风险评估方
法
注:标识红色字体部分有待开展。
15.07.2015
8
Slide 9
3.石化行业工业控制系统信息安全解决方案
3.3 工业控制系统信息安全管理体系(SMS)
安全方针
组织与合作团队
资产管理
人力资源安全
物理与环境管理
通信与操作管理
访问控制
信息获取与开发维护
信息安全事件管理
业务连续性管理
符合性
15.07.2015
9
Slide 10
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
工业控制系统生命周期
工业控制系统通用生命周期
工业控制系统安全生命周期
15.07.2015
10
Slide 11
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
工业控制系统信息安全程序成熟周期
工业控制系统信息安全等级生命周期
15.07.2015
11
Slide 12
4.石化行业工业控制系统信息安全有待深入
4.2 工业控制系统信息安全项目工程
15.07.2015
12
Slide 13
4.石化行业工业控制系统信息安全有待深入
4.3 工业控制系统信息安全产品认证
产品认证概述
-意义
-范围
-关键检测技术
产品认证机构
-国外
-国内
产品认证内容
-工业防火墙
-嵌入式设备安全保障(EDSA)
-安全开发生命周期保障(SDLA)
-系统安全保障(SSA)
产品认证趋势
15.07.2015
13
Slide 14
4.石化行业工业控制系统信息安全有待深入
4.4 工业控制系统补丁管理
补丁简介
-定义、分类和作用
工业控制系统补丁概述
-定义、问题、与IT补丁比较
工业控制系统补丁管理系统设计
-系统架构
-系统要求
-管理特性
-范围和任务
工业控制系统补丁管理程序
工业控制系统补丁管理实施
-变更管理
-停机时间安排
-新设备增加
-安全加固
15.07.2015
14
Slide 15
5.石化行业工业控制系统信息安全新动向
5.1 信息安全工厂(SecurePlant)
信息安全工厂(SecurePlant)是一个针对工业控制系统全面信息安全管理解决
方案,由横河电气、思科和壳牌三家公司共同提出。
信息安全工厂技术产生背景
公司全球运作,每个工厂都面对信息安全的挑战,每个工厂也采用不同的应对方
式,从而导致每个工厂的信息安全等级不同,缺乏一个统一的标准。
信息安全工厂技术设计
其解决方案设计由以下几点组成:
•补丁和抗病毒设计--〉信息安全补丁和病毒签名文件由安全中心(SecureCenter)
向每个工厂的安全现场(SecureSite)分发
•实时和主动监视设计---〉集中化管理
•帮助桌面设计----〉提供24/7/365帮助桌面
15.07.2015
15
Slide 16
6.参考文献
[ 1 ] 肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.(注:预计8月初出版。)
[ 2 ] 肖建荣. 工业控制系统信息安全技术分析与探讨[J]. 自动化博览 2015年第6期
15.07.2015
16
Slide 17
15.07.2015
17
2015第四届工业控制系统信息安全峰会
石化行业工业控制系统信息安全分析与探讨
介绍人:肖建荣
2015.7.15 上海
Slide 2
目录
1.石化行业工业控制系统信息安全现状
1.1 典型事例
1.2 信息安全意识
2.石化行业工业控制系统架构与漏洞分析
2.1 工业控制系统架构
2.2 工业控制系统漏洞分析
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
3.2 工业控制系统信息安全风险评估
3.3 工业控制系统信息安全管理体系(SMS)
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
4.2 工业控制系统信息安全项目工程
4.3 工业控制系统信息安全产品认证
4.4 工业控制系统补丁管理
5.石化行业工业控制系统信息安全新动向
5.1 信息安全工厂(SecurePlant)
6.参考文献
15.07.2015
2
Slide 3
。
1.石化行业工业控制系统信息安全现状
1.1 典型事例
2010年我国某石化、2011年某炼油厂的某装置控制系统分别感染
Conficker病毒,都造成了控制系统服务器与控制器通信不同程度地中断。
2012年4月22日,伊朗石油部和国家石油公司内部计算机网络遭病毒攻
击,为安全起见,伊朗方面暂时切断了海湾附近哈尔克岛石油设施的网
络连接。
......
1.2 信息安全意识
ARC2014信息安全用户调查报告显示: 石化用户响应排列首位
国际标准参与较多
--IEC62443/ISA-99《工业过程测量、控制和自动化网络与系统信息安全》
15.07.2015
3
Slide 4
。
2.石化行业工业控制系统架构与漏洞分析
2.1 工业控制系统架构
15.07.2015
4
Slide 5
。
2.石化行业工业控制系统架构与漏洞分析
2.2 工业控制系统漏洞分析
工业控制系统技术演变
工业控制系统与信息技术系统比较
系统性能、可用性、时间敏感性、系统生命周期、信息安全意识及准备、资源限
制、......
工业控制系统信息安全根源
操作系统、实时数据库、应用软件、通信网络
工业控制系统漏洞分析
通信协议漏洞、操作系统漏洞、安全策略和管理流程漏洞、杀毒软件漏洞、应用软件
漏洞
15.07.2015
5
Slide 6
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
工业控制系统信息安全技术
鉴别与授权技术
基于角色的授权
工具
口令鉴别
物理/令牌鉴别
智能卡鉴别
生物鉴别
过滤/阻止/访问控
制技术
编码技术与数据确
认技术
管理/审计/测量/
监控/检测技术
物理安全控制技
术
工业防火墙技
术
对称密钥编码技
术
日志审核工具
物理保护
人员安全
基于主机的防
火墙技术
公钥编码与密钥
分配技术
病毒与恶意代
码检测系统
虚拟网络技术
虚拟专用网络技
术
基于位置的鉴别
设备至设备的鉴
别
入侵检测与入
侵防护技术
漏洞扫描技术
辩论与分析工
具
注:标识红色字体部分在应用中少见。
15.07.2015
6
Slide 7
3.石化行业工业控制系统信息安全解决方案
3.1 工业控制系统信息安全技术及其方案部署
典型方案部署
方案1 防火墙带DMZ位于公司网与控制网间
典型实例: 远程访问系统(RAS)
15.07.2015
方案2 双防火墙位于公司网与控制网间
典型实例: 工厂信息管理系统(PIMS)
7
Slide 8
3.石化行业工业控制系统信息安全解决方案
3.2 工业控制系统信息安全风险评估
系统识别
区域与管道定义
信息安全等级(SL)
风险评估过程(四步)
-准备评估、开展评估、沟通评估和维持评估
风险评估方法
-主要有定性和定量风险评估方法、基于场景和资产评估方法、详细风险评估方法和高层次风险评估方
法
注:标识红色字体部分有待开展。
15.07.2015
8
Slide 9
3.石化行业工业控制系统信息安全解决方案
3.3 工业控制系统信息安全管理体系(SMS)
安全方针
组织与合作团队
资产管理
人力资源安全
物理与环境管理
通信与操作管理
访问控制
信息获取与开发维护
信息安全事件管理
业务连续性管理
符合性
15.07.2015
9
Slide 10
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
工业控制系统生命周期
工业控制系统通用生命周期
工业控制系统安全生命周期
15.07.2015
10
Slide 11
4.石化行业工业控制系统信息安全有待深入
4.1 工业控制系统信息安全生命周期
工业控制系统信息安全程序成熟周期
工业控制系统信息安全等级生命周期
15.07.2015
11
Slide 12
4.石化行业工业控制系统信息安全有待深入
4.2 工业控制系统信息安全项目工程
15.07.2015
12
Slide 13
4.石化行业工业控制系统信息安全有待深入
4.3 工业控制系统信息安全产品认证
产品认证概述
-意义
-范围
-关键检测技术
产品认证机构
-国外
-国内
产品认证内容
-工业防火墙
-嵌入式设备安全保障(EDSA)
-安全开发生命周期保障(SDLA)
-系统安全保障(SSA)
产品认证趋势
15.07.2015
13
Slide 14
4.石化行业工业控制系统信息安全有待深入
4.4 工业控制系统补丁管理
补丁简介
-定义、分类和作用
工业控制系统补丁概述
-定义、问题、与IT补丁比较
工业控制系统补丁管理系统设计
-系统架构
-系统要求
-管理特性
-范围和任务
工业控制系统补丁管理程序
工业控制系统补丁管理实施
-变更管理
-停机时间安排
-新设备增加
-安全加固
15.07.2015
14
Slide 15
5.石化行业工业控制系统信息安全新动向
5.1 信息安全工厂(SecurePlant)
信息安全工厂(SecurePlant)是一个针对工业控制系统全面信息安全管理解决
方案,由横河电气、思科和壳牌三家公司共同提出。
信息安全工厂技术产生背景
公司全球运作,每个工厂都面对信息安全的挑战,每个工厂也采用不同的应对方
式,从而导致每个工厂的信息安全等级不同,缺乏一个统一的标准。
信息安全工厂技术设计
其解决方案设计由以下几点组成:
•补丁和抗病毒设计--〉信息安全补丁和病毒签名文件由安全中心(SecureCenter)
向每个工厂的安全现场(SecureSite)分发
•实时和主动监视设计---〉集中化管理
•帮助桌面设计----〉提供24/7/365帮助桌面
15.07.2015
15
Slide 16
6.参考文献
[ 1 ] 肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.(注:预计8月初出版。)
[ 2 ] 肖建荣. 工业控制系统信息安全技术分析与探讨[J]. 自动化博览 2015年第6期
15.07.2015
16
Slide 17
15.07.2015
17