3. 工业控制系统网络安全现状
工业智能化成为国家战略制高点
美国
“再工业化”
德国
“工业4.0”
中国
“中国制造2025”
日本
相关智能制造 振兴计划
工业智能化依赖软件智能化和设备网络化
工业智能化背景下，网络安全己经成为功能安全和数据安全的核心元素
网络安全己经成为功能安全和数据安全的核心元素
功能安全包含网络安全
要求
GB/T 22239.6 -XXXX 信息安全 技术 网 络安全等 级保护基 本要求 第6部分 大数据安 全扩展要
求
工业控制系统网络安全等级保护框架
工业控制安 全扩展要求
技术要求
物 边 集 生过 现 现 理 界 中 产程 场 场 安 防 管 管监 控 设 全 护 控 理控 制 备
层层 层 层 安安 安 安 全全 全 全 要要 要 要 求求 求 求
智能制造 基础设施
交通
邮电
供水供电
商业服务
科研与技术服务
园林绿化
环境保护
文化教育
卫生事业
超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制 系统已是国家安全战略的重要组成部分。
工业控制系统是国家安全战略重要组成部分
工业控制系统涉及战略性生产能力、军队军工等重点行业，一旦 遭到攻击或破坏，不仅是控制系统性能下降、控制能力丧失、甚 至还会造成人员伤亡、环境灾难，危及国家安全，导致国家的战 略被动、受制于人！
数据安全依赖网络安全
工业控制系统网络安全保障 智能化工业系统基本职能的 实现
在智能化工业系统中，数据就 是一切！针对电子数据的对抗 形成新的战场
工业控制系统网络安全和功能安全走向融合
标准层面的融合
IEC/TC65成立协调功能安全和信息安全工作的特别工作组
“功能安全和信息安全这两方面问题都可能导致伤害的风险增加，在评 估方面也具有一些相似的地方，但也存在很大的不同，因此无论从系统 层面、子系统层面还是产品层面都急需研究两者协同应用的方法。”
入侵防范 恶意代码防范
安全审计
生产管理层安全建设要点－通信和网络安全
检测攻击行为 日志记录
外部、内部、未知的新型攻击 记录、报警 识别和处理错误状况
恶意代码防范 垃圾邮件防范
审计记录类别 内容 审计记录存储容量管理 控制 告警 审计处理失败的响应机制 审计记录时间戳 系统时钟同步 审计信息 审计设备保护 支持编程接口（API）访问审计记录 能收集多组态审计记录集中管理审计
对工业控制系统网络的 分级保护，有利于优化 工业控制网络安全资源 配置
重点保障国家关 键基础设施安全
工业控制系统网 络安全建设得以 行之有效的推广
信息安全等级保护制度 是一个完备的体系，制 度完善、组织严密、可 实施性强，并具备强制 执行力
工业控制系统网络安全等级定义
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。 依据信息安全等级保护的等级定义，工业控制系统网络安全等级定义为四个级别。
使用工业控制系统的重点行业成为主要 被攻击对象（能源、关键制造行业等）
数据来源：互联网网络安全报告
工业控制系统网络安全是保障工业生产安全的前提
忽视工业控制系统网络安 全发展趋势，就会输在起 跑线上！
没有工业控制系统网络 安全，信息化发展越快， 造成的危害就可能越大！
工业控制网络安全与人民生活息息相关 互联网（攻击介质）
纵深防御体系
由传统信息安全厂商提出 的，大多数项目演变为信 息安全产品的简单堆砌， 不能完全适应工业网络安 全的特点。
由工业控制系统内部 生长的持续性防御体系
适应工业控制系统网络的特 点，通过基础硬件创新来实 现，低延时，高可靠，可定 制化，持续更新，简单化的 实施和操作等。
以攻为守的国家战略
以美国、以色列为代表， 在国家层面注重攻击技术 的研究、实验、突破和攻 防演示实验室的建设，以 攻击技术的提高，带动防 御技术的提高，以攻击威 慑力，换取安全性。
传统企业并购工业安全企业
企业层面的融合
通用电气
洛克希德·马丁
传统信息安全企业开始工业控制网络安全研究
＋
迈克菲与爱默生
罗克韦尔
国内工业控制系统网络面临的主要威胁
工业控制设备 高危漏洞
外国设备 后门
高级持续性 威胁
（APT）
工业控制网络
工业网络 病毒
无线技术 应用的风险
“中国制造2025” “两化融合”
三级系统等保要求－生产管理层安全
生产管理层安全建设要点－通信和网络安全
网络架构 通信传输 无线使用控制 访问控制
基本的登录鉴别 和使用限制
用户管理 访问控制管理
关键网络设备冗余
通信线路冗余
网络边界防护
会话完整性 敏感字段或整个报文加密
限制无线连接使用 唯一标识和鉴别
访问控制管理和优化 用户授权管理 用户会话管理 外部、内部、未知的新型攻击
b) 应在控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间 的边界，默认拒绝所有网络数据流，允许例外网络数据流；
c) 应在控制网络和非控制网络的边界，以及控制网络和非控制网络的边界防护机制失效时，能阻止所有边界通信 （也称故障关闭）；但故障关闭功能的设计不应干扰安全相关功能的运行；应 在控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警，并 保障不影响关键设备通讯；
e) 应能够对非授权设备联到内部网络的行为进行限制或检查； f) 应能够对内部用户未经授权联到外部网络的行为进行限制或检查； g) 应确保无线网络通过受控的控制网络和非控制网络的边界，以及控制系统
内安全域和安全域之间的边界时，边界防护设备接入（有线）网络； h) 应能识别控制网络和非控制网络上的边界通讯入侵行为，并有效阻断；
无法像办公网或互联网那样 通过补丁来解决安全问题
网络结构和行为稳定性高
不同于互联网和办公网的频繁变动
工业控制网络
2.工业控制系统是国家安全战略重要组成部分
工业控制系统成为网络攻击的重要目标
暴露在互联网上的工业控制系统
工业控制 始终处于高位的工业控制系统高危漏洞 系统
日益增多的工业控制系统网络攻击事件
线缆隔离
温湿度控制
物理安全建设要点
高层、地下室 分区域管理
电子门禁
监控报警系统
设备防雷
自动消防系统 主要设备 主要设备 接地防干扰 电磁屏蔽
区域隔离措施 防静电地板 冗余/并行线路 备用供电系统
三级系统等保要求－边界防护
a) 应对控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间 的边界，进行监视和控制区域边界通信；
管理要求
安安 全全 策管 略理 和机 管构 理和
安 全 建 设 管
理
安 全 运 维 管
理
制人
度员
物理位置的选择 物理访问控制
防盗窃和防破坏 防雷击 防火 防静电 电力供应 电磁防护
防水和防潮
基本防护能力 基本出入控制 在机房中的活动 存放位置、标记标识 建筑防雷、机房接地 灭火设备、自动报警
关键设备 稳定电压、短期供应
求
GB/T 22239.3 -XXXX 信息安全 技术 网 络安全等 级保护基 本要求 第3部分 移动互联 安全扩展
要求
GB/T 22239.4 -XXXX 信息安全 技术 网 络安全等 级保护基 本要求 第4部分 物联网安 全扩展要
求
GB/T 22239.5 -XXXX 信息安全 技术 网 络安全等 级保护基 本要求 第5部分 工业控制 安全扩展
4. 工业控制系统网络安全与等级保护结合的实践
工业控制系统网络安全与信息安全等级保护结合的重要意义
工业控制系统等级保护 有利于在工业智能化建 设过程中同步建设网络 安全设施
保障工业控制系统 网络安全与智能化 建设协同发展
有效控制工业控 制系统网络安全 建设成本
工业控制系统等级保护为 工业控制系统安全建设和 管理提供了系统性、针对 性、可行性的指导和服务
第三级
采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），并保护工业 控制系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起有技巧的恶意攻击 。
第四级
采用安全机制，识别和认证工业控制系统中所有用户（人员、软件、设备），能够在安全 策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的有技巧 的恶意攻击。
工控系统网络安全和IT网络安全的区别
IT安全
工控网络安全
1. 以保障业务安全为最终目的 2. 宁可错杀一千，不可使一个漏网 3. 以一台设备解决一类问题 4. 通用化设计
VS
1. 以保障生产安全为最终目的 2. 宁可漏杀一千，不可错杀一个 3. 以一台设备解决一方面问题
4. 根据企业特点定制化设计
工业控制系统网络安全 等级保护探索
2017年8月8日
井柯 匡恩网络 技术副总裁
目录
1 工业控制系统基础 2 工业控制系统是国家安全战略重要组成部分 3 工业控制系统网络安全现状 4 工业控制系统网络安全与等级保护结合的实践探索 5 工业控制系统网络安全案例分享 6 协作构建工业控制系统网络安全评估和防护体系
工业控制系统网络安全威胁新变化
攻攻击击组组织织
攻击对象
攻击技术
从政府到民间
由单点攻击到国家基础设施 攻击，恐怖袭击开始出现
由网络攻击转变为核心生产 功能攻击和数据窃取击
部分国家网军数量不断扩大
代码即武器—瓦森纳协定的新限制
工业控制系统网络安全防护理念经历四个阶段的演变
仅强调隔离
物理隔离的变种，网关、 网闸、单向隔离，隔离背 后是脆弱的，现代高端持 续性攻击都是针对隔离系 统的。