《[精选]工业控制系统安全指南.pptx》由会员分享,可在线阅读,更多相关《[精选]工业控制系统安全指南.pptx(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、工业控制系统安全指南工业控制系统安全指南 NIST SP800-82开始语SP 80082:工业控制系统ICS安全指南于2010年1O月发布,是NIST依据2002年联邦信息安全管理法、2003年国土安全总统令HSPD-7等编制而成。它遵循OMB手册 的要求“保障机构信息系统,为联邦机构使用,同时允许非政府组织自愿使用,不受版权管制。SP 80082有逻辑地给出了ICS安全保护的建议和指导,假设能有效地满足这样的需求,ICS系统就可到达更安全的secure,即系统处在一种特定状态,可有效地抵御所面临的不可接受的风险。NIST SP 800-82 概述 该指南为保障工业控制系统ICS提供指南,包
2、括监控与数据采集系统SCADA、分布式控制系统DCS和其他完成控制功能的系统。它概述了ICS和典型的系统拓扑结构,指出了这些系统的典型威胁和脆弱点所在,为消减相关风险提供了建议性的安全对策。同时,根据ICS的潜在风险和影响水平的不同,指出了保障ICS安全的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。主要内容工业控制系统概论ICS特性、威胁和脆弱性ICS系统安全程序开发与部署网络结构ICS安全控制工业控制系统概论工业控制系统概论分布式控制系统DCS监控和数据采集系统SCADA可编程逻辑控制器PLC工业控制系统ICS操作关键组件控制回路、人机界面HMI、远
3、程诊断和维护工具主要ICS元件控制元件:控制效劳器、SCADA效劳器或主终端单元MTU、远程终端装置RTU、可编程逻辑控制器PLC、智能电子设备IED、人机界面HMI、历史数据、输入/输出IO效劳器;网络组件:现场总线网络、控制网络、通讯路由器、防火墙、调制解调器、远程接入点。SCADA系统SCADA系统是用来控制地理上分散的资产的高度分布式的系统,往往分散数千平方公里,其中集中的数据采集和控制是系统运行的关键。这些系统被用于配水系统和污水收集系统,石油和天然气管道,电力设施的输电和配电系统,以及铁路和其他公共交通系统。总体结构分布式控制系统DCSDCS系统用于控制在同一地理位置的生产系统系统
4、用于控制在同一地理位置的生产系统,被用被用来控制工业生产过程来控制工业生产过程,如炼油厂,水和污水处理,发如炼油厂,水和污水处理,发电设备,化学品制造工厂,和医药加工设施等行业电设备,化学品制造工厂,和医药加工设施等行业。可编程逻辑控制器PLCPLC可用在SCADA和DCS系统中,作为整个分级系统的控制部件,通过反响控制,提供对过程的本地管理。ICS特性,威胁和脆弱性特性,威胁和脆弱性ICS特性本文中ICS特性主要是通过与IT系统的区别而列举出来的。起初,ICS与IT系统并无相似之处,随着ICS采用广泛使用的、低成本的互联网协议IP设备取代专有的解决方案,以促进企业连接和远程访问能力,并正在使
5、用行业标准的计算机、操作系统OS和网络协议进行设计和实施,它们已经开始类似于IT系统了。但是,ICS有许多区别于传统IT系统的特点,包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险,对环境的严重破坏,以及金融问题如生产损失和对国家经济的负面影响。其中首要的区别在于:IT系统的目标和过程控制系统的目标有根本性的区别,IT系统通常将性能、保密性和数据完整性作为首要需求,而ICS系统则将人类和设备安全作为其首要责任,因此,系统的可用性和数据完整性的具有较高核心级。ICS面临的威胁控制系统面临的威胁可以来自多种来源,包括对抗性来源如敌对政府、组织、工业间谍、心怀不满的员工、恶意入侵者,
6、自然来源如从系统的复杂性、人为错误和意外事故、设备故障和自然灾害。攻击者僵尸网络操纵者犯罪集团 外国情报效劳内部人员钓鱼者垃圾邮件发送者间谍/恶意软件作者 份子工业间谍ICS系统潜在的脆弱性脆弱性被划分成策略与程序类、平台类和网络类脆弱性,大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中策略和程序方面的脆弱性主要是由于安全策略及程序文件不完全、不适合或文件的缺失,包括安全策略及实施指南实施程序等。安全策略程序文档,包括管理支持等,是安全工作的基础例如:工业控制系统安全策略不当、没有正式的工业控制系统安全培训和安全意识培养、安全架构和设计缺乏、对于工业控制系统,没有开发出明确具体、书
7、面的安全策略或程序文件、工业控制系统设备操作指南缺失或缺乏、安全执行中管理机制的缺失、工业控制系统中很少或没有安全审计、没有明确的ICS系统业务连续性方案或灾难恢复方案、没有明确具体的配置变更管理程序。平台方面的脆弱性ICS系统由于程序瑕疵、配置不当或维护较少而出现一些安全的脆弱性,包括ICS系统硬件、操作软件和应用软件,通过各种安全控制措施的实施,可以缓解因安全脆弱性问题导致的安全风险。平台配置方面的脆弱性平台硬件方面的脆弱性平台软件方面的脆弱性;平台恶意软件防护方面的脆弱性;网络方面的脆弱性在ICS中的漏洞可能会出现缺陷,错误配置,或对ICS网络及与其他网络的连接管理不善。这些漏洞可以通过
8、各种安全控制消除或者弱化,如防御深入的网络设计,网络通信加密,限制网络流量,并提供网络组件的物理访问控制。网络配置漏洞网络硬件漏洞网络边界漏洞网络监控和记录漏洞通信中的漏洞无线连接中的漏洞目前有几个因素导致ICS控制系统风险的日益增加采用标准化的协议和技术,安全漏洞连接到其他网络控制系统不安全和非法的网络连接ICS系统相关技术信息的广泛普及安全事件统计成心有针对性的攻击,如未经授权访问文件,执行拒绝效劳,或欺骗的电子邮件即伪造电子邮件发送者的身份非成心后果或设备损害,来自蠕虫,病毒或控制系统故障无意的内部安全的后果,如不适当的测试业务系统或未经授权的系统配置的变化。ICS系统安全程序开发与部署
9、系统安全程序开发与部署ICS和IT系统之间存在较大的差异,这将影响ICS系统采用何种安全控制措施。因此,组织应制定和部署ICS安全策略与程序,这些安全策略和IT安全策略与程序应当是一致的,但必须符合ICS的技术和环境的具体要求和特点。组织应定期审查和更新他们的ICS安全方案和方案,以适应新技术,业务,标准和法规的变化。如何建立一个ICS安全方案?建立安全业务方案安全业务方案建成安全项目的收益不实施安全项目的潜在后果安全程序的实施、运行、监管、维护等流程开发、实施、维护安全项目所需的成本和资源安全业务方案由四个关键要素组成:威胁优先化、商业后果优先化、商业利益优先化以及年度商业影响。综合安全程序
10、的开发和部署(1)通过安全业务方案获得高管层的支持;(2)建立与培训跨职能小组;(3)明确安全组织、系统所有方和使用方的作用、责任与义务,以及安全程序所涉及和影响的范围(4)明确ICS具体安全政策和步骤,尽可能整合到现有的运营政策和管理政策中,确保安全保护的持续性和通用性;(5)编制ICS系统与网络资产目录;(6)评估ICS风险与脆弱性,通过风险评估确定ICS的优先顺序,通过脆弱性评估识别系统中的脆弱点,以有助于保持系统和数据的可靠性、完整性和可用性;(7)明确风险、脆弱点消减手段,充分考虑潜在风险代价和消减风险的成本;(8)组织培训以提高安全意识,利用培训的反馈提炼安全程序的宗旨和范围。网络
11、结构网络结构系统安全建设的环节中,除了安全程序开发,另一个关键环节是处理好ICS网络与其他应用网络的连接问题,即网络体系结构问题。两点建议!1当为ICS的部署设计一个网络时,建议把ICS从其他合作的网络中隔离开。因为,通常这两类网络流量不同,并且因特网的访问和电子邮件等操作对ICS网络一般是允许的:对于合作网而言,可能没有网络设备的严格变更控制规程:如果ICS网络流量存在于合作网上,有找到Dos攻击的风险。文中对该建议给出指导意见:采用防火墙技术实现网络隔离。2如果需要ICS和合作网之间必须建立连接,只允许最好的连接尽可能只有一个。并通过防火墙或DMZ实现连接。ICS安全控制安全控制安全控制是
12、一个信息系统保护其信息的保密性、完整性和有效性而制定的管理、操作和技术控制。本文此局部的内容主要是如何把SP 80053中“联邦信息系统与组织安全控制方法 局部提出的管理、运营和技术方面的控制措施运用在ICS中。NIST SP 800-53在联邦政府信息系统的支持下,提出相应的准则为信息系统选择和指定安全控制。安全控制的组织分为三个等级:管理、运行和技术控制管理控制安全评估和授权CA规划PL风险评估RA系统和效劳获取SA工程群管理PM运行控制人员安全Ps物理和环境安全PE应急规划CP配置管理CM维护MA系统和信息完整性sI介质保护MP事件应急响应IR意识和培训AT。技术控制鉴定和授权IA访问控
13、制AC审计与核查AU系统和通讯保护SC密码授权挑战-应答鉴定物理标志授权生物授权基于角色的访问控制RBACWEB效劳器虚拟本地局域网络VLAN无线拨号调制解调器加密虚拟专用网络 VPN 以上概要介绍了 在解决工业控制系统安全问题上的思想、途径以及方法,这些内容对我国目前实际开展的ICS安全工作,对我国ICS安全战略制定、标准化工作、安全技术研发和创新等,均具有很好的参考价值。谢谢!9、静夜四无邻,荒居旧业贫。4月-234月-23Tuesday,April 18,202310、雨中黄叶树,灯下白头人。02:59:3202:59:3202:594/18/2023 2:59:32 AM11、以我独沈
14、久,愧君相见频。4月-2302:59:3202:59Apr-2318-Apr-2312、故人江海别,几度隔山川。02:59:3202:59:3202:59Tuesday,April 18,202313、乍见翻疑梦,相悲各问年。4月-234月-2302:59:3202:59:32April 18,202314、他乡生白发,旧国见青山。18 四月 20232:59:32 上午02:59:324月-2315、比不了得就不比,得不到的就不要。四月 232:59 上午4月-2302:59April 18,202316、行动出成果,工作出财富。2023/4/18 2:59:3202:59:3218 Apr
15、il 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。2:59:32 上午2:59 上午02:59:324月-239、没有失败,只有暂时停止成功!。4月-234月-23Tuesday,April 18,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。02:59:3202:59:3202:594/18/2023 2:59:32 AM11、成功就是日复一日那一点点小小努力的积累。4月-2302:59:3202:59Apr-2318-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。02:59:3202:59:3202:59Tu
16、esday,April 18,202313、不知香积寺,数里入云峰。4月-234月-2302:59:3202:59:32April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月 20232:59:32 上午02:59:324月-2315、楚塞三湘接,荆门九派通。四月 232:59 上午4月-2302:59April 18,202316、少年十五二十时,步行夺得胡马骑。2023/4/18 2:59:3202:59:3218 April 202317、空山新雨后,天气晚来秋。2:59:32 上午2:59 上午02:59:324月-239、杨柳散和风,青山澹吾虑。4
17、月-234月-23Tuesday,April 18,202310、阅读一切好书如同和过去最杰出的人谈话。02:59:3202:59:3202:594/18/2023 2:59:32 AM11、越是没有本领的就越加自命非凡。4月-2302:59:3202:59Apr-2318-Apr-2312、越是无能的人,越喜欢挑剔别人的错儿。02:59:3202:59:3202:59Tuesday,April 18,202313、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2302:59:3202:59:32April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18
18、四月 20232:59:32 上午02:59:324月-2315、最具挑战性的挑战莫过于提升自我。四月 232:59 上午4月-2302:59April 18,202316、业余生活要有意义,不要越轨。2023/4/18 2:59:3202:59:3218 April 202317、一个人即使已登上顶峰,也仍要自强不息。2:59:32 上午2:59 上午02:59:324月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉