国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

工業(yè)控制系統(tǒng)（ICS）是指對(duì)工業(yè)生產(chǎn)過(guò)程安全（Safety）、信息安全（Security）和可靠運(yùn)行產(chǎn)生作用和影響的人員、硬件、策略和軟件的集合，包括集散控制系統(tǒng)（DCS）、監(jiān)督控制和數(shù)據(jù)采集（SCADA）系統(tǒng)、可編程序邏輯控制器（PLC）、遠(yuǎn)程測(cè)控單元RTU、相關(guān)的信息系統(tǒng)如人機(jī)界面等。隨著信息化和工業(yè)化的發(fā)展工業(yè)控制系統(tǒng)廣泛應(yīng)用于國(guó)防軍工、軌道交通、電力電網(wǎng)、石油化工、水利水庫(kù)等關(guān)系國(guó)計(jì)民生的重點(diǎn)工控行業(yè)，由于其復(fù)雜多樣性，工業(yè)控制系統(tǒng)也面臨來(lái)自各方面的威脅。近年來(lái)，隨著工業(yè)控制新技術(shù)的發(fā)展，原有標(biāo)準(zhǔn)部分條款無(wú)法滿足工業(yè)控制高可靠性、實(shí)時(shí)性下的安全設(shè)計(jì)技術(shù)要求，因此亟需根據(jù)工業(yè)控制系統(tǒng)的特點(diǎn)增加新的內(nèi)容。此次修訂規(guī)范了網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求對(duì)工業(yè)控制系統(tǒng)的擴(kuò)展設(shè)計(jì)要求，包括第一級(jí)至第四級(jí)工業(yè)控制系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求。適用于指導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)工業(yè)控制系統(tǒng)安全技術(shù)方案設(shè)計(jì)與實(shí)施，也可作為信息安全智能部門對(duì)工業(yè)控制系統(tǒng)進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

工業(yè)控制系統(tǒng)和其他信息系統(tǒng)按照功能層次分為從下到上的五層架構(gòu)：

a）第0層，現(xiàn)場(chǎng)設(shè)備層；

b）第1層，現(xiàn)場(chǎng)控制層；

c）第2層，過(guò)程監(jiān)控層；

d）第3層，生產(chǎn)管理層；

e）第4層，企業(yè)資源層，即其他的信息系統(tǒng)（本標(biāo)準(zhǔn)不對(duì)第4層做等級(jí)保護(hù)設(shè)計(jì)要求）。

根據(jù)工業(yè)控制系統(tǒng)安全單位的唯一確定性、業(yè)務(wù)對(duì)象、業(yè)務(wù)特點(diǎn)和業(yè)務(wù)范圍等因素，綜合確定工業(yè)控制系統(tǒng)等級(jí)保護(hù)對(duì)象。在確定定級(jí)對(duì)象的安全等級(jí)時(shí)，應(yīng)綜合考慮資產(chǎn)價(jià)值、生產(chǎn)對(duì)象及后果等因素。確定工業(yè)控制系統(tǒng)定級(jí)對(duì)象具體參照GB/T 22240、GB/T 22239等相關(guān)等保標(biāo)準(zhǔn)。

根據(jù)對(duì)工業(yè)控制系統(tǒng)架構(gòu)及安全的分析，總結(jié)出工業(yè)控制系統(tǒng)中第0～3層防護(hù)對(duì)象包含的用戶、軟硬件和數(shù)據(jù)三類，如圖1所示。

此次修訂工作結(jié)合工業(yè)控制系統(tǒng)形態(tài)眾多、性能各異、實(shí)時(shí)性及可靠性要求高、現(xiàn)場(chǎng)設(shè)備計(jì)算資源有限等特點(diǎn)，充分分析工業(yè)控制系統(tǒng)面臨的各種威脅，發(fā)現(xiàn)其脆弱性，從而提出了三重防護(hù)多級(jí)互聯(lián)、安全分區(qū)縱深防御設(shè)計(jì)技術(shù)思路。

（一）三重防護(hù)多級(jí)互聯(lián)技術(shù)框架

工業(yè)控制系統(tǒng)的等級(jí)保護(hù)防護(hù)方案設(shè)計(jì)參照以往構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系，采用分區(qū)的架構(gòu)，結(jié)合工業(yè)控制系統(tǒng)總線協(xié)議復(fù)雜多樣、實(shí)時(shí)性強(qiáng)、節(jié)點(diǎn)計(jì)算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時(shí)間短、安全機(jī)制不能影響實(shí)時(shí)性等特點(diǎn)進(jìn)行設(shè)計(jì)，以實(shí)現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護(hù)和計(jì)算環(huán)境安全，如圖2所示。

分區(qū)的主要根據(jù)有業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性、使用者、主要功能、設(shè)備使用場(chǎng)所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式以及對(duì)工業(yè)控制系統(tǒng)的影響程度等。對(duì)于額外的安全性和可靠性要求，在主要的安全區(qū)還可以根據(jù)操作功能進(jìn)一步劃分成子區(qū)。將設(shè)備劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。將具備相同功能和安全要求的各系統(tǒng)的控制功能劃分成不同的安全區(qū)域，并按照方便管理的原則，為各安全功能區(qū)域分配網(wǎng)段地址。

等級(jí)保護(hù)分為四級(jí)，防護(hù)方案設(shè)計(jì)逐級(jí)增強(qiáng)，但防護(hù)方案設(shè)計(jì)中的防護(hù)類別相同，只是安全保護(hù)設(shè)計(jì)的強(qiáng)度不同，防護(hù)類別包括：安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心。各級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)通過(guò)對(duì)各級(jí)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。

（一）設(shè)計(jì)目標(biāo)和策略

工業(yè)控制系統(tǒng)等級(jí)保護(hù)的設(shè)計(jì)目標(biāo)逐級(jí)增強(qiáng)。第一級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是對(duì)第一級(jí)工業(yè)控制系統(tǒng)的信息安全保護(hù)系統(tǒng)實(shí)現(xiàn)定級(jí)系統(tǒng)的自主訪問(wèn)控制，使系統(tǒng)用戶對(duì)其所屬客體具有自我保護(hù)的能力。第二級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是在第一級(jí)的基礎(chǔ)上，增加系統(tǒng)安全審計(jì)等安全功能，并實(shí)施基于角色的訪問(wèn)控制，使系統(tǒng)具有更強(qiáng)的安全保護(hù)能力。第三級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是在第二級(jí)的基礎(chǔ)上，增強(qiáng)身份鑒別、審計(jì)等功能，同時(shí)增加區(qū)域邊界之間的安全通信措施。第四級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是在第三級(jí)的基礎(chǔ)上，對(duì)關(guān)鍵的控制回路的相關(guān)信息安全保護(hù)設(shè)計(jì)要求做了闡述，要求設(shè)計(jì)者在有安全風(fēng)險(xiǎn)的場(chǎng)合提供適合工控應(yīng)用特點(diǎn)的保護(hù)方法和安全策略，通過(guò)實(shí)現(xiàn)基于角色的訪問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制等一系列措施，使系統(tǒng)具有在統(tǒng)一安全策略管控下，提供高強(qiáng)度的保護(hù)敏感資源的能力。

工業(yè)控制系統(tǒng)等級(jí)保護(hù)的設(shè)計(jì)策略逐級(jí)增強(qiáng)。第一級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是以身份鑒別為基礎(chǔ)，按照工業(yè)控制系統(tǒng)對(duì)象進(jìn)行訪問(wèn)控制，監(jiān)控層、控制層提供按照用戶和（或）用戶組對(duì)操作員站和工程師站的文件及數(shù)據(jù)庫(kù)表的自主訪問(wèn)控制，以實(shí)現(xiàn)用戶與數(shù)據(jù)的隔離，設(shè)備層按照用戶和（或）用戶組對(duì)安全和保護(hù)系統(tǒng)、基本控制系統(tǒng)的組態(tài)數(shù)據(jù)、配置文件等的自主訪問(wèn)控制，使用戶具備自主安全保護(hù)的能力；以包過(guò)濾和狀態(tài)檢測(cè)的手段提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段提供數(shù)據(jù)和系統(tǒng)的完整性保護(hù)。第二級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是以身份鑒別為基礎(chǔ)，提供單個(gè)用戶和（或）用戶組對(duì)共享文件、數(shù)據(jù)庫(kù)表、組態(tài)數(shù)據(jù)等的自主訪問(wèn)控制；以包過(guò)濾手段、狀態(tài)檢測(cè)提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段，同時(shí)通過(guò)增加系統(tǒng)安全審計(jì)等功能，使用戶對(duì)自己的行為負(fù)責(zé)，提供用戶數(shù)據(jù)保密性和完整性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。第三級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是在第二級(jí)的基礎(chǔ)上，相應(yīng)增強(qiáng)身份鑒別、審計(jì)等功能；增加邊界之間的安全通信防護(hù)，保障邊界安全性。第四級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是在第三級(jí)的基礎(chǔ)上，構(gòu)造基于角色的訪問(wèn)控制模型，表明主、客體的級(jí)別分類和非級(jí)別分類的組合，以此為基礎(chǔ)，按照基于角色的訪問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)主體及其客體的訪問(wèn)控制。

（二）關(guān)鍵設(shè)計(jì)技術(shù)要求

1. 安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

安全計(jì)算環(huán)境，包括工業(yè)控制系統(tǒng)0～3層中的信息存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件。安全計(jì)算環(huán)境按照保護(hù)能力劃分為第一級(jí)安全計(jì)算環(huán)境、第二級(jí)安全計(jì)算環(huán)境、第三級(jí)安全計(jì)算環(huán)境和第四級(jí)安全計(jì)算環(huán)境，安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求逐級(jí)增強(qiáng)，各等級(jí)要求如表1。

5. 針對(duì)工業(yè)控制系統(tǒng)特點(diǎn)具體分析安全設(shè)計(jì)技術(shù)要求

① 針對(duì)控制系統(tǒng)業(yè)務(wù)流程特點(diǎn)實(shí)施安全保護(hù)

對(duì)工業(yè)控制系統(tǒng)的計(jì)算環(huán)境，比較特殊的是處于第0層、第1層、也包括第2層的計(jì)算環(huán)境。其中處于第1層的控制器（或是PLC，SCADA中的RTU），通過(guò)現(xiàn)場(chǎng)總線與傳感器、執(zhí)行器相連接，形成了一個(gè)控制回路，這是工業(yè)控制系統(tǒng)中基礎(chǔ)和關(guān)鍵的部分，也是重要的保護(hù)目標(biāo)。其中控制器運(yùn)行系統(tǒng)的控制邏輯，也是連接第0層和地2層的一個(gè)關(guān)鍵環(huán)節(jié)，對(duì)控制器的訪問(wèn)和操作，必須先經(jīng)過(guò)身份鑒別。這包括工程師站的組態(tài)下裝，操作員站發(fā)出的命令，都應(yīng)經(jīng)過(guò)身份鑒別通過(guò)后授權(quán)執(zhí)行。過(guò)去，一些控制器對(duì)組態(tài)下裝到控制器操作的身份鑒別是在工程師站上由組態(tài)軟件系統(tǒng)執(zhí)行，在控制器上對(duì)工程師站的組態(tài)下裝，操作員站發(fā)出的命令之前進(jìn)行身份鑒別，對(duì)假冒攻擊進(jìn)行了防護(hù)。

② 對(duì)控制過(guò)程的完整性保護(hù)

是防止干擾和破壞控制回路的數(shù)據(jù)傳輸和處理，防止數(shù)據(jù)延誤、丟失和篡改，保護(hù)控制系統(tǒng)的同步機(jī)制、校時(shí)機(jī)制，控制器從所處的計(jì)算環(huán)境來(lái)說(shuō)，極易受到來(lái)自網(wǎng)絡(luò)、現(xiàn)場(chǎng)總線、I/O端口的干擾，如以下但不限于所列行為：

a）在一個(gè)控制周期內(nèi)，超過(guò)正常數(shù)量的中斷請(qǐng)求；

b）超過(guò)合理包速率范圍的icmp協(xié)議請(qǐng)求；

c）超過(guò)合理包速率范圍的廣播報(bào)文；

d）破壞現(xiàn)場(chǎng)總線的請(qǐng)求—應(yīng)答機(jī)制；

e）破壞冗余工作機(jī)制；

f）干擾表決器等安全保護(hù)系統(tǒng)的正常工作；

g）惡意觸發(fā)冗余系統(tǒng)切換、安全保護(hù)系統(tǒng)的停機(jī)的行為；

h）其他干擾。

這些干擾會(huì)破壞控制任務(wù)的執(zhí)行，甚至足以引起控制器復(fù)位，而這些惡意攻擊可以以合法的身份出現(xiàn)。因此，要求在設(shè)計(jì)控制應(yīng)用系統(tǒng)時(shí)，能識(shí)別、監(jiān)控和防護(hù)這類攻擊行為，可在計(jì)算環(huán)境上，如控制器通過(guò)阻止關(guān)閉受到攻擊的端口，在邊界上識(shí)別過(guò)濾這類攻擊，在通信上采用防假冒防篡改防干擾等保護(hù)措施，形成多層次的縱深防御。

③ 對(duì)現(xiàn)場(chǎng)總線的安全保護(hù)

現(xiàn)場(chǎng)總線和現(xiàn)場(chǎng)設(shè)備層的安全問(wèn)題，在受到物理保護(hù)或有人值守的情況下，可避免鄰近攻擊。在現(xiàn)場(chǎng)總線和現(xiàn)場(chǎng)設(shè)備，要防止留有可供插入、改接的物理接口，如有的設(shè)備還配置有HART接口，在缺乏物理保護(hù)和監(jiān)控的環(huán)境下，有可能為非法接入、修改參數(shù)提供了機(jī)會(huì)，在控制器的現(xiàn)場(chǎng)總線接口處，應(yīng)有實(shí)時(shí)監(jiān)控，對(duì)于丟幀、數(shù)據(jù)異常、超過(guò)一定范圍的抖動(dòng)及時(shí)報(bào)警處理。對(duì)于重要的現(xiàn)場(chǎng)總線和設(shè)備，應(yīng)根據(jù)應(yīng)用的保護(hù)需求，用適合于實(shí)時(shí)性好、小位數(shù)處理的密碼技術(shù)進(jìn)行完整性或保密性保護(hù)。

④ 以操作員站向控制器發(fā)送指令為例說(shuō)明

以操作員站向控制器發(fā)送指令為例說(shuō)明這條信息處理路徑所要應(yīng)用的安全保護(hù)措施。操作員站啟動(dòng)前先用可信計(jì)算處理器件對(duì)操作系統(tǒng)裝載程序和操作系統(tǒng)進(jìn)行度量，和存放的報(bào)文摘要值對(duì)比，沒(méi)有被篡改后系統(tǒng)啟動(dòng)，經(jīng)安全管理中心確認(rèn)屬于白名單的應(yīng)用程序和服務(wù)啟動(dòng)，操作員登錄進(jìn)入操作員站，操作員使用用于身份鑒別的介質(zhì)U-KEY插入操作員站的USB接口，此時(shí)操作員站是禁用所有外設(shè)介質(zhì)端口的，這一插入U(xiǎn)SB接口事件報(bào)道安全管理中心，經(jīng)過(guò)判別是做身份鑒別后，確認(rèn)操作員身份并授權(quán)，此后操作員再次操作不需再做身份鑒別，以保證能實(shí)時(shí)做出響應(yīng)。操作員要離開(kāi)操作員站時(shí)要做明確的退出操作，拿走U-KEY，從安全考慮，當(dāng)操作員站在一定時(shí)間沒(méi)有操作動(dòng)作時(shí)，應(yīng)提示操作員繼續(xù)操作，如果沒(méi)有響應(yīng)，應(yīng)及時(shí)鎖屏，終止這個(gè)會(huì)話，防止操作員離開(kāi)，有人趁機(jī)假冒。解鎖時(shí)需輸入密碼。以上過(guò)程都被審計(jì)，可由安全管理中心審計(jì)追蹤。在對(duì)控制器的通信時(shí)，需先通過(guò)身份鑒別，只有身份鑒別通過(guò)后方可建立通信連接，其中重要指令的下達(dá)，重要數(shù)據(jù)的傳送，應(yīng)根據(jù)應(yīng)用特點(diǎn)，用密碼技術(shù)保證完整性或保密性，防止偽造指令和數(shù)據(jù)欺騙。對(duì)于操作員站和控制器的通信會(huì)話也要提供保護(hù)，在操作員交接班時(shí)應(yīng)保持會(huì)話的有效性，要考慮到出現(xiàn)緊急事件時(shí)能夠?qū)崟r(shí)處置，審計(jì)措施應(yīng)能明確操作員的行為和責(zé)任。

在GB/T 25070中增加的工業(yè)控制系統(tǒng)安全設(shè)計(jì)要求的內(nèi)容，是在國(guó)家標(biāo)準(zhǔn)GB/T25070-2010基礎(chǔ)上為適應(yīng)工業(yè)控制新技術(shù)、新應(yīng)用情況下而進(jìn)行的修訂，制定統(tǒng)一的工業(yè)控制系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)，建立整體安全防護(hù)體系及框架，給出了詳細(xì)、可實(shí)施的安全設(shè)計(jì)要求，可用于指導(dǎo)工業(yè)控制系統(tǒng)運(yùn)營(yíng)使用單位、信息安全服務(wù)機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)安全技術(shù)方案設(shè)計(jì)，能夠有效應(yīng)對(duì)針對(duì)工業(yè)控制系統(tǒng)環(huán)境的信息安全威脅，保護(hù)國(guó)家工業(yè)控制系統(tǒng)不被非法攻擊，保障重要工業(yè)控制系統(tǒng)的正常運(yùn)行，從而確保國(guó)家工業(yè)基礎(chǔ)設(shè)施免遭破壞。