工控系统安全防护-2017第六届工业控制系统信息安全峰会.PPT

1：工控设备（PLC、DCS）以及绝大部分工控协议，设计之初，主要考虑的是功能安全及稳定可靠，而很少考虑信息安全方面的问题。如工控协议都是采用明文方式、缺乏身份鉴别措施等； 2：通常采用物理隔离方式，不与其他网络互联； * * * 其它产品：ISC主机防护（检测条件）、安全平台（常规） * * * * * * * 适用性、前瞻性 * * * * 工控环境的要求主要包括： 支持基于白名单策略的访问控制，包括网络层和应用层； 工业控制协议过滤，应具备深度包检测功能，支持主流的工控协议的格式检查机制、功能码与寄存器检查机制 支持动态开放OPC协议端口； 防火墙应支持多种工作模式，保证防火墙区分部署和工作过程以实现对被防护系统的最小影响。例如：学习模式，防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；验证模式或测试模式，该模式下防火墙对白名单策略外的行为做告警，但不拦截；工作模式，防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。 防火墙应具有高可靠性，包括故障自恢复、在一定负荷下72小时正常运行、无风扇、支持导轨式或机架式安装等。 * 另外，通过特定OPC模拟软件，固定服务端端口 * 另外，通过特定OPC模拟软件，固定服务端端口 * * * * 控制粒度由浅到深：功能码级别；地址级别；控制值范围， * * * * * 邹春明 公安部第三研究所 公安部信息系统安全产品质量监督检验中心 工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题 工控系统现状： 工控设备、工控协议缺少信息安全方面设计 系统建设之初较少考虑信息安全 随着互联网的发展，“两化融合”、“互联网+”、“工业4.0”的推进，引入新的风险 工控系统信息安全形势严峻：根据监测数据，我国互联网上的暴露大量重要控制系统，涉及市政供水供热、能源、水利等关键基础设施领域 工控系统安全防护： 由于工控领域缺乏信息安全基础，为提高工控系统的安全，借助工控系统专业信息安全产品进行加固就是主要措施之一 缺少国家政策的强力推动，工控信息安全产业链发展迟缓 开发安全型的PLC、DCS，安全的工控协议 工控信息安全产品、工控系统设备安全、工控系统安全的标准体系缺乏 工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题 近年工控信息安全专用产品检测情况： 产品类型 2014年 2015年 （上半年） 隔离类产品 22 12 工控防火墙 5 14 工控审计产品 1 1 其它产品 2 1 工控网关(发改委专项) 10 —— 工控系统信息安全产品： 边界防护类 审计监控类 主机防护类 其它类 边界防护类产品： 信息安全技术 工业控制系统专用防火墙技术要求（国标在编） 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求（国标申报） 逻辑隔离 网闸 单向导入 信息安全技术 工业控制系统边界安全专用网关产品安全技术要求（行标在编） 审计监控类产品： 信息安全技术 工业控制系统网络审计产品安全技术要求（国标在编） 信息安全技术 工业控制安全管理平台安全技术要求（行标在编） 信息安全技术 工业控制系统入侵检测产品安全技术要求（行标在编） 主机防护类产品： ICS主机安全防护与审计监控产品安全检测条件 文件加载执行控制产品安全检测条件 其它类产品： 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求（行标在编） 信息安全技术 安全采集远程终端单元(RTU)安全技术要求（行标在编） 工业控制系统安全： 《工业控制系统信息安全》GB/T 30976-2014 工业控制系统等级保护基本要求 工控安全标准制定难度大： TC260？TC124？ 行业需求差别大 工控协议种类繁多 当前产品种类与数量有限 工控系统安全现状 工控信息安全产品标准 工控信息安全产品测评及主要问题 工控防火墙： 测评依据： 《信息安全技术 防火墙技术要求和测试评价方法》GB/T 20281-2006，除去明确不适用的条款： 深度包检测：不适应，要求是针对用于互联网的通用协议（http、smtp等），工业控制网络一般不使用 NAT：可选要求，部署在下层时，通常透明模式部署 动态开放端口：修改为要求支持OPC协议 工控防火墙： 测评依据： 《信息安全技术 防火墙技术要求和测试评价方法》GB/T 20281-2006，除去明确不适用的条款： 抗渗透：部分针对http、邮件等协议的要求作为不适用 性能要求：暂时参照传统防火墙执行，将做适当调整 工控防火墙： 测评依据 增加工业控制系统安全需求的部分要求： 基于白名单策略的访问控制 工业控制协议过滤 多工作模式 具有高可靠性 工