Transcript 报告下载 - 控制网
Slide 1
沈清泓
公安部第三研究所
公安部信息系统安全产品质量监督检验中心
Slide 2
工控信息安全方面国家政策:
《关于加强工业与控制系统信息安全管理
的通知》工信部协[2011]451号
切实加强工业控制系统信息安全管理,以保障
工业生产运行安全、国家经济安全和人民生命
财产安全
点明了我国工业控制领域信息安全工作的问题
和不足
明确重点领域工业控制系统信息安全管理要求
建立工业控制系统安全测评检查和漏洞发布制
度
Slide 3
工控信息安全防护:
工控设备和组件的信息安全
防病毒、抗攻击
专用工控信息安全防护产品
工控防火墙、工控主机防护产品
工控系统的信息安全
工控系统等级保护
Slide 4
专用工控信息安全产品测试流程:
测试依据
发布的相关产品测试标准
工控环境适应性
通过测试
申请销售许可证
Slide 5
专用工控信息安全防护产品:
适用于工业控制的防火墙
传统防火墙要求的适用性(GB/T 20281-2006)
白名单策略
主流工控协议过滤:ModeBus TCP、OPC、
Profinet、DNP3.0等
动态开放OPC端口
多工作模式
高可靠性
Slide 6
专用工控信息安全防护产品:
工控隔离产品
OPC网闸,工控协议隔离
数据的单向传输
不同网络之间的隔离
工控协议转换产品
总线网——控制网
数据采集——协议转换封装发送
不同网络之间的数据交互
Slide 7
专用工控信息安全防护产品:
工控安全管理平台
集中管理
安全审计
工控主机防护产品
铠甲式外挂
人员审核与访问控制
操作行为审计与监控
数据安全交换与杀毒
Slide 8
工业控制系统安全测评:
借鉴计算机等级保护制度
技术要求
物理安全、网络安全、工业控制设备安全、
应用安全、数据安全
管理要求
安全管理制度、安全管理机构、人员安全管
理、系统建设管理、系统运维管理
Slide 9
发改委工控信息安全专项:
《国家发展改革委办公厅关于组织实施
2012年国家信息安全专项有关事项的通知》
(发改办高技[2012]2091号)
适用于工业控制系统的防火墙
面向工业控制系统的异常行为审计产品
工业控制网络安全管控平台
工控信息安全专业化服务
Slide 10
适用于工业控制系统的防火墙:
支持多路由协议
IP/MAC地址绑定
工业控制协议过滤
基于白名单策略的访问控制
具有高可靠性
能够适用于不同工业控制网络应用场景
Slide 11
面向工业控制系统的异常行为审计产品:
发现与检测恶意未知行为和异常行为
内容监测、事件与行为的审计
适用于不同的工业控制网络应用场景
Slide 12
工业控制网络安全管控平台:
支持工业控制网络流量收集识别
基于白名单的终端应用控制
实时工业控制协议与内容识别
漏洞发现与威胁识别
可视化运维、安全事件跟踪分析预警等
Slide 13
发改委工控信息安全专项:
《国家发展改革委办公厅关于组织实施
2013年国家信息安全专项有关事项的通知》
(发改办高技[2013]1965号)
面向现场设备环境的边界安全专用网关产品
面向集散控制系统(DCS)的异常监测产品
安全采集远程终端单元(RTU)产品
工业应用软件漏洞扫描产品
面向工业控制信息安全领域的可控试点示范
Slide 14
面向现场设备环境的边界安全专用网关产品:
支持IPv4/IPv6及工业以太网
适用于集散控制系统(DCS)、数据采集与监
视控制系统(SCADA)、现场总线等现场环境
具备5种以上工业控制专有协议以及多种状态
或指令主流格式数据的检查、过滤、交换、阻
断等功能
数据传输可靠性达到100%,可保护节点数不少
于500点,设备吞吐量达到线速运行水平,延
时小于100ms
Slide 15
测试环境(功能场景1)
系统级
SCADA系统
模拟MES服务器
浏览终端
报表终端
安全性扫
描仪器
管理网络
边界安全专用
网关产品
管理控制台
控制网络
OPC服务器
过程级
SCADA系统
DCS系统
工控协议
模拟器
Slide 16
测试环境(功能场景2)
操作员站
工程师站
报表终端
工控协议模拟发
送器
控制网络A
边界安全专用
网关产品
控制网络B
PLC 1
PLC 2
DCS系统
工控协议模拟
接收器
Slide 17
测评方法及结果判定
安全功能要求
自身安全要求
1965号文要求
基于白名单策略的访问
控制
标识与鉴别
支持IPv4/IPv6
控制功能防护
安全管理
支持适用于多种现场环
境的工业以太网
攻击响应处理
时间校对
双机热备(可选)
业务审计
安全支撑系统
工业控制协议支持
审计
性能要求
Slide 18
发改办高技1965号
支持IPv4/IPv6:自身管理、安全防护
支持适用于多种现场环境的工业以太网:DCS、
SCADA、现场总线
工控协议支持:Modbus TCP、OPC等5种以上
性能要求:
数据传输可靠性100%:误码率、丢包率
可保护节点数500个以上:500个控制节点(例如以IP
为单位,500条策略)
吞吐量达到线速水平:64、512、1518字节
延迟小于100ms:取满足100%吞吐量的包的延迟
Slide 19
面向集散控制系统(DCS)的异常监测产品:
适用于电厂、石油、化工、供热、供水等工艺
流程
对工业控制系统的DCS工程师站组态变更、DCS
操作站数据与操控指令变更的安全监测
对各种主流现场总线访问、负载变更、通信行
为、异常流量等安全监测
具备过程状态参数、控制信号的阈值检查与报
警功能
Slide 20
安全采集远程终端单元(RTU)产品:
支持工业以太网协议
适用于-40℃~+70℃温度环境
电磁兼容性(EMC)不低于4级
具有内置安全模块,实现数据采集与监视控制
系统(SCADA)软件端到端的信源加密
具备基于数字证书的安全认证功能
支持基于国家密码局规定算法的数据加密,加
密速率不小于20Mb/s
Slide 21
工业应用软件漏洞扫描产品:
适用于石油化工、先进制造领域
具有对符合IEC61131-3标准的控制系统上位机
(SCADA/HMI)软件、DCS控制器嵌入式软件
以及各种主流现场总线离线漏洞扫描能力
具有对数字化设计制造软件平台(如产品数据
管理PDM、专用数控机床通信软件eXtremeDNC、
高级设计系统ADS等)漏洞扫描能力
具备检测与发现软件安全漏洞、评估漏洞安全
风险、可视化展示、漏洞修复建议等功能
漏洞检测率达到90%以上
Slide 22
工控信息安全标准:
国际标准
ISA、IEC:IEC 62443《工业过程测量、控制
和自动化 网络与系统信息安全》(ISA SP99)
NIST:SP 800-82《工业控制系统安全指南》
国家标准
SAC TC124、TC260
行业标准
电力、公安(GA)
Slide 23
三所参与制定的标准:
国家标准
工业控制系统专用防火墙技术要求
工业控制系统网络审计产品安全技术要求
公安行业标准
工业控制系统防火墙安全技术要求
工业控制安全隔离与信息交换系统安全技术要求
工业控制安全管理平台安全技术要求
工业控制系统入侵检测产品安全技术要求
Slide 24
谢谢!
沈清泓
公安部第三研究所
[email protected]
沈清泓
公安部第三研究所
公安部信息系统安全产品质量监督检验中心
Slide 2
工控信息安全方面国家政策:
《关于加强工业与控制系统信息安全管理
的通知》工信部协[2011]451号
切实加强工业控制系统信息安全管理,以保障
工业生产运行安全、国家经济安全和人民生命
财产安全
点明了我国工业控制领域信息安全工作的问题
和不足
明确重点领域工业控制系统信息安全管理要求
建立工业控制系统安全测评检查和漏洞发布制
度
Slide 3
工控信息安全防护:
工控设备和组件的信息安全
防病毒、抗攻击
专用工控信息安全防护产品
工控防火墙、工控主机防护产品
工控系统的信息安全
工控系统等级保护
Slide 4
专用工控信息安全产品测试流程:
测试依据
发布的相关产品测试标准
工控环境适应性
通过测试
申请销售许可证
Slide 5
专用工控信息安全防护产品:
适用于工业控制的防火墙
传统防火墙要求的适用性(GB/T 20281-2006)
白名单策略
主流工控协议过滤:ModeBus TCP、OPC、
Profinet、DNP3.0等
动态开放OPC端口
多工作模式
高可靠性
Slide 6
专用工控信息安全防护产品:
工控隔离产品
OPC网闸,工控协议隔离
数据的单向传输
不同网络之间的隔离
工控协议转换产品
总线网——控制网
数据采集——协议转换封装发送
不同网络之间的数据交互
Slide 7
专用工控信息安全防护产品:
工控安全管理平台
集中管理
安全审计
工控主机防护产品
铠甲式外挂
人员审核与访问控制
操作行为审计与监控
数据安全交换与杀毒
Slide 8
工业控制系统安全测评:
借鉴计算机等级保护制度
技术要求
物理安全、网络安全、工业控制设备安全、
应用安全、数据安全
管理要求
安全管理制度、安全管理机构、人员安全管
理、系统建设管理、系统运维管理
Slide 9
发改委工控信息安全专项:
《国家发展改革委办公厅关于组织实施
2012年国家信息安全专项有关事项的通知》
(发改办高技[2012]2091号)
适用于工业控制系统的防火墙
面向工业控制系统的异常行为审计产品
工业控制网络安全管控平台
工控信息安全专业化服务
Slide 10
适用于工业控制系统的防火墙:
支持多路由协议
IP/MAC地址绑定
工业控制协议过滤
基于白名单策略的访问控制
具有高可靠性
能够适用于不同工业控制网络应用场景
Slide 11
面向工业控制系统的异常行为审计产品:
发现与检测恶意未知行为和异常行为
内容监测、事件与行为的审计
适用于不同的工业控制网络应用场景
Slide 12
工业控制网络安全管控平台:
支持工业控制网络流量收集识别
基于白名单的终端应用控制
实时工业控制协议与内容识别
漏洞发现与威胁识别
可视化运维、安全事件跟踪分析预警等
Slide 13
发改委工控信息安全专项:
《国家发展改革委办公厅关于组织实施
2013年国家信息安全专项有关事项的通知》
(发改办高技[2013]1965号)
面向现场设备环境的边界安全专用网关产品
面向集散控制系统(DCS)的异常监测产品
安全采集远程终端单元(RTU)产品
工业应用软件漏洞扫描产品
面向工业控制信息安全领域的可控试点示范
Slide 14
面向现场设备环境的边界安全专用网关产品:
支持IPv4/IPv6及工业以太网
适用于集散控制系统(DCS)、数据采集与监
视控制系统(SCADA)、现场总线等现场环境
具备5种以上工业控制专有协议以及多种状态
或指令主流格式数据的检查、过滤、交换、阻
断等功能
数据传输可靠性达到100%,可保护节点数不少
于500点,设备吞吐量达到线速运行水平,延
时小于100ms
Slide 15
测试环境(功能场景1)
系统级
SCADA系统
模拟MES服务器
浏览终端
报表终端
安全性扫
描仪器
管理网络
边界安全专用
网关产品
管理控制台
控制网络
OPC服务器
过程级
SCADA系统
DCS系统
工控协议
模拟器
Slide 16
测试环境(功能场景2)
操作员站
工程师站
报表终端
工控协议模拟发
送器
控制网络A
边界安全专用
网关产品
控制网络B
PLC 1
PLC 2
DCS系统
工控协议模拟
接收器
Slide 17
测评方法及结果判定
安全功能要求
自身安全要求
1965号文要求
基于白名单策略的访问
控制
标识与鉴别
支持IPv4/IPv6
控制功能防护
安全管理
支持适用于多种现场环
境的工业以太网
攻击响应处理
时间校对
双机热备(可选)
业务审计
安全支撑系统
工业控制协议支持
审计
性能要求
Slide 18
发改办高技1965号
支持IPv4/IPv6:自身管理、安全防护
支持适用于多种现场环境的工业以太网:DCS、
SCADA、现场总线
工控协议支持:Modbus TCP、OPC等5种以上
性能要求:
数据传输可靠性100%:误码率、丢包率
可保护节点数500个以上:500个控制节点(例如以IP
为单位,500条策略)
吞吐量达到线速水平:64、512、1518字节
延迟小于100ms:取满足100%吞吐量的包的延迟
Slide 19
面向集散控制系统(DCS)的异常监测产品:
适用于电厂、石油、化工、供热、供水等工艺
流程
对工业控制系统的DCS工程师站组态变更、DCS
操作站数据与操控指令变更的安全监测
对各种主流现场总线访问、负载变更、通信行
为、异常流量等安全监测
具备过程状态参数、控制信号的阈值检查与报
警功能
Slide 20
安全采集远程终端单元(RTU)产品:
支持工业以太网协议
适用于-40℃~+70℃温度环境
电磁兼容性(EMC)不低于4级
具有内置安全模块,实现数据采集与监视控制
系统(SCADA)软件端到端的信源加密
具备基于数字证书的安全认证功能
支持基于国家密码局规定算法的数据加密,加
密速率不小于20Mb/s
Slide 21
工业应用软件漏洞扫描产品:
适用于石油化工、先进制造领域
具有对符合IEC61131-3标准的控制系统上位机
(SCADA/HMI)软件、DCS控制器嵌入式软件
以及各种主流现场总线离线漏洞扫描能力
具有对数字化设计制造软件平台(如产品数据
管理PDM、专用数控机床通信软件eXtremeDNC、
高级设计系统ADS等)漏洞扫描能力
具备检测与发现软件安全漏洞、评估漏洞安全
风险、可视化展示、漏洞修复建议等功能
漏洞检测率达到90%以上
Slide 22
工控信息安全标准:
国际标准
ISA、IEC:IEC 62443《工业过程测量、控制
和自动化 网络与系统信息安全》(ISA SP99)
NIST:SP 800-82《工业控制系统安全指南》
国家标准
SAC TC124、TC260
行业标准
电力、公安(GA)
Slide 23
三所参与制定的标准:
国家标准
工业控制系统专用防火墙技术要求
工业控制系统网络审计产品安全技术要求
公安行业标准
工业控制系统防火墙安全技术要求
工业控制安全隔离与信息交换系统安全技术要求
工业控制安全管理平台安全技术要求
工业控制系统入侵检测产品安全技术要求
Slide 24
谢谢!
沈清泓
公安部第三研究所
[email protected]