当前课程知识点:网络空间安全技术 >  第8章 网络空间安全新技术与新应用 >  8.1 工业控制系统安全保障 >  8.1 工业控制系统安全保障

返回《网络空间安全技术》慕课在线视频课程列表

8.1 工业控制系统安全保障在线视频

下一节:8.2 物联网安全保障

返回《网络空间安全技术》慕课在线视频列表

8.1 工业控制系统安全保障课程教案、知识点、字幕

同学们,大家好

这节课我们来讨论

《网络空间安全技术》这门课程的第五篇

网络空间安全新技术和新应用

在我们的课程里面它是第8章

网络空间安全新技术与新应用

这一章里面我们分

五小节来跟大家一起讨论

包括工业控制系统

物联网、信息物理系统

云计算和区块链的安全问题

首先我们来看第1节

工业控制系统安全保障

在这一节里边

我们分六点来跟大家讨论

首先是工业控制系统的概念和组成

然后是工业控制系统的安全需求

第三是工业控制系统安全风险分析

第四是工业控制系统安全防护

第五是工业互联网安全保障

第六

是我们这一节的思考和拓展

首先我们来看

工业控制系统的概念和组成

我们说工业控制系统

它的发展是与工业革命的发展

相紧密关联的

工业革命各阶段

对工业控制系统的需求

是不一样的

了解工业革命各阶段对工业控制需求

对于理解工业控制系统来说

具有重要的意义

首先我们来看工业1.0

它是机械化阶段

实现的是机械控制

工业2.0

它是电气化阶段,实现的是电气控制

工业3.0是自动化阶段

实现的是计算机控制

工业4.0是智能化阶段

实现的是网络化智能控制

那么未来

有没有工业N.0

未来的技术状态如何

也是值得我们大家思考的问题

接下来我们来看工业控制系统

它的发展演进历程与趋势

工业控制在持续演进

工控系统的形态也随之不断地变化

从最初的DDC直接数字控制系统

到集散/分布式控制系统(DCS,PLC)

再到现场总线控制系统(FCS,SCADA)

再到工业互联网控制

未来向何处去

同样也是值得我们大家思考的问题

我们说工控系统

它是网络空间当中

一类特殊的信息系统

在网络空间当中信息系统分为两类

一种我们称之为通用信息系统

另外一种我们称之为专用信息系统

工控系统

既具有通用信息系统的基本特征

能够完成信息的采集

传输、存储、应用等功能

同时它作为工业领域的专用系统

不仅作用环境特殊

又涉及到云计算、大数据

物联网

移动互联网络等信息技术和新的应用

从工控系统的应用特点上来说

主要体现在以下几个方面

一:作用于工业现场

工控系统作用对象

主要是工业现场的被控对象

包括工业生产

加工、制造

等现场设备及相应的辅助装置

它具备典型的信息系统的特征

需要进行信息的采集

传输、存储、加工、应用等

需要符合信息系统的通用架构

它具备典型的工业特征

与传统的信息系统不同

工业控制系统需要控制工业对象

实现过程牵扯到大量的工业知识

此外

它的安全性、实时性、可靠性要求比较高

工业生产、加工、制造等现场环境恶劣

必须保障工业控制系统实时性

和可靠性

对安全性要求苛刻

一旦出现安全问题会导致巨大的损失

接下来我们来看

工业控制系统的安全需求

从工控系统安全的概念出发我们认为

要实现安全一体化

基于总体的安全视角

来考察工控系统的安全问题

包括物理安全、功能安全和信息安全

我们首先来看工控系统的物理安全

它是为了避免工控系统和

工业控制设施

因地震、水灾

火灾、雷击等自然灾害

以及各种针对物理设备及环境的

人为破坏行为

所造成的危害而带来的安全风险

工控系统的安全功能

是为了避免遭受有意或无意的入侵(攻击)

工控系统无法可靠地执行

一个过程单元的安全功能

使其进入并保持安全状态

功能安全风险源自电气/电子

可编程电子

也就是E/E/PE

及其他安全相关系统的安全缺陷

以及外部风险的引入

工控系统的信息安全

我们说

工控现场与外界的互联互通是导致

网络攻击路径显著增加的重要因素

工控系统网络安全环境愈加复杂

一旦遭受攻击

可能将严重危害

生产的稳定运行

甚至会导致生产事故,带来更大的危害

工控系统的数据安全

风险在不断地增大

工控系统数据种类繁多

保护需求多样

数据传输复杂

设计、生产

操控、营销等各类数据分散分布

单点、离散的数据保护措施难以奏效

接下来我们来看工控系统的信息安全

CIA优先级别

不同的信息系统

CIA的优先保障级别也是不同的

对于敏感数据存储来说

保密性可能是第一位的

而对于工业控制系统来说

可用性可能是第一位的

接下来我们来看

工控安全特殊的防护要求

首先是网络攻击风险日益严峻

由于云计算、大数据

物联网等新技术的普遍应用

加剧了工业处理流程的开放性

和不确定性

工控安全网络攻击风险

进一步集中加大

工控系统面临严峻的安全挑战

亟须

构建工控安全的核心关键技术体系

第二:安全防护水平亟需提升

工业控制系统长期处于封闭状态

重工业功能实现

轻安全防护的状态

普遍的存在

传统的网络安全技术

在工业控制领域适用性不强

必须构建

针对工业特点的安全防护体系

第三:核心技术产品受制于人

核心技术产品自主可控程度低

特别是在高端工业控制软硬件

系统国产化方面水平较低

需要加强自主可控和安全可靠

第四:安全管理机制

尚待健全

在工控领域

安全防范技术水平逐步提升

但安全管理机制十分滞后

无法满足日益增长的工控系统

总体安全防护需求

接下来我们来进行

工业控制系统安全的风险分析

首先工业控制系统

它需要适应严苛的工业现场环境

比如说油污

宽温、粉尘

甚至是野外环境等

我们说

工控系统它的工作环境是相当严苛的

第二:需要遵从工业系统行为严格规范

工业环境相对独立

它的工控系统工作流程是相对清晰的

它具有严格的规范需要遵循

第三:需要满足高可用性要求

工业生产不得随意停机

需要保证可靠性、稳定性

避免对生产产生不利的影响

甚至产生安全事故

四:需要满足强实时性要求

工业生产控制实时性要求比较高

如果持续时延增大或控制系统宕机

将会造成非常严重的后果

我们从技术层面来看

工控系统的安全风险的来源

从技术层面上

工控系统的安全风险主要来自

工控应用系统和平台的脆弱性

大量的存在

工控通信协议的安全性缺陷问题

工控系统开放所带来的外部攻击问题

工控数据安全保护手段欠缺

刚才我们讲了技术层面的工控系统

安全风险分析

这里

我们再讨论一下

管理层面的工控系统安全风险分析

在管理层面上

工控系统的安全风险主要来自

一:物理安全

功能安全和信息安全融合重视不够

安全体系欠缺

网络安全等级保护缺失

四:安全技术管理和运维结合不足

在物理、功能、信息安全融合方面

未综合考虑三者之间

它们之间的关系

未能够实现立体化

全方位、动静态结合的综合防护

在安全防护技术体系方面

未从基础架构安全、被动防御

主动防御、智能分析等方面来构建

综合的防御体系

在网络安全等级保护方面

对网络安全等级保护标准

特别是工业控制系统

物联网、移动互联

及与云计算等提出的扩展要求

贯彻落实不够

在安全技术管理与运维结合方面

未能将

安全技术、安全管理与安全运维

三者有机、高效地结合

接下来我们来讨论

工业控制系统安全防护

首先是工控系统网络安全防护策略

需要综合考虑设备安全

控制安全、应用安全和数据安全

来构建立体化

全方位的工业网络安全体系

接下来我们来看

物理与环境安全方面的问题

我们首先来看一下

工控系统的物理环境的特点

工控系统工作的物理环境比较恶劣

对工控系统会产生严重的负面影响

典型的物理环境有工业生产环境

其中充满了油污、粉尘、振动、噪声等

第二个是

宽温湿度环境

宽温湿度环境当中

温度、湿度变化范围大

控制相对来说比较困难

第三个是危险化学物环境

其中包括易燃易爆气体物质、有毒气体

有害物质、腐蚀性物质等等

第四是电磁环境

包括各种电磁信号

大电机频繁启动

电磁干扰、电磁屏蔽等因素

最后是室外环境

比如说露天作业

无人值守等相关的环境

这些环境大家可以看到

它是比较恶劣的

对工控系统

必然会产生非常严重的负面影响

接下来我们来看一下

工控系统物理环境安全的要求

我们总结成几句话叫做

防风防震防被盗,水火雷电莫小瞧

温湿控制要合理,电磁屏蔽门禁牢

接下来我们来看一下

工控系统网络与通信安全方面的内容

它的防御对象

包括工厂内部网络、工厂外部网络

与工业互联网的

标识解析系统等

从防御层面上来看

包括网络拓扑安全划分

及结构优化设计

访问控制、网络通信传输

加密及密钥管理

脆弱性识别与加固等

接下来我们来看一下

网络拓扑安全域划分及结构优化设计

合理的

工业网络结构和正确的安全域划分

是遂行

工业网络安全保障的基本前提

安全域的划分为网络安全边界防护

提供了相应的基础

接下来我们来讨论工业主机

安全防护的策略和技术

工业现场

主机最多采用的防护技术

为防病毒技术

应用程序白名单技术

主机加固技术等

防病毒技术它是传统的安全“老三样”

防火墙 防病毒 入侵检测之一

应用非常广泛

应用程序白名单技术

有可能在工业现场主机的防护方面

取代防病毒技术

主机加固技术

它是从提高主机操作系统

本身的安全性出发而提出的

加固技术

其他技术还包括补丁分发

外设管控、基线核查

主机入侵检测、终端准入控制等等

工控设备安全防护策略和技术

重点关注的是

物理安全、功能安全和信息安全问题

在物理安全防护方面

重点是防暴、硬件抗干扰防护

在工控安全防护方面

主要是软件逻辑与硬件电路的互锁

软件容错

运行状态监控以及软件安全编程等

在信息安全防护方面主要是

漏洞、控制协议安全等相关的内容

在安全融合技术方面

要实现物理安全

功能安全与信息安全三者的

有机深度融合

接下来我们来讨论一下

工业数据的分类分级及其安全防护

工业数据的规模在不断增长

工业企业决策逐渐从

“业务驱动”向“数据驱动”转变

数据信息联网与可用性

成为工业数字化的核心

工业数据的分类分级

应综合考虑对企业经济影响

工业生产稳定性影响

工业现场人身安全

法律法规风险以及信誉损失等

从安全的角度来看

工业数据的分类分级

需要考虑的基本因素

是共享需求

安全隐私保护、应用及保护成本

实现工业数据的类别划分和等级划分

并根据不同的需求对关键数据

进行重点防护

接下来我们来看一下工业软件

也就是工业应用

工业APP的安全防护

根据软件形态的分类

常见的有B/S

架构软件

C/S架构软件、嵌入式工业软件

APP类工业软件等

B/S 架构类工业软件

包括企业经营管理类工业软件

生产调度与过程控制用工业软件

研发设计用工业软件

C/S架构工业软件包括

企业经营管理类工业软件

生产调度与过程控制用工业软件

研发设计用工业软件等等

大家可以看到B/S架构和C/S架构

它的软件作用对象基本上是一致的

只不过它们的基础架构不同

嵌入式工业软件主要是用于过程控制

和工业通信

而APP类工业软件

包括了企业经营管理类

生产调度类

过程控制类、研发设计类等各类软件

它的显著特点是

部署在移动智能终端之上

接下来我们来看一下

在新的形势下

工控安全综合防护体系

它的复杂性与特殊性

工控安全技术产品

如果照搬

或者沿用

传统的IT网络安全防护手段

难以满足工控系统实时性强、可靠性高

应用场景复杂等要求

我国现行的网络空间安全等级保护标准2.0

关键信息基础设施

保护条例等

对工控系统提出了特殊的要求

对工控系统的安全核心目标

理解不足

IT、CT和OT安全融合严重缺乏

是目前工控安全综合防护体系

所面临的特殊困难问题

工业与云计算、大数据

物联网、5G移动通信

人工智能等进一步紧密结合

工业领域万物互联的趋势愈发明显

工控安全防御难度

根据刚才我们的分析

将会进一步的增大

此外重信息安全

轻物理安全、功能安全的现象

在安全领域是普遍存在的

工业信息安全技术架构平台

与工控系统的业务使命

二者结合不紧

工控系统领域的可信计算

尚未得到广泛的认可和应用

适用于工业嵌入式控制场景的

可信计算技术刚刚起步

SCADA、DCS、PLC

等工控系统的可信计算体系

尚未形成

单点产品型防护难以奏效

需要采用由内而外

由上至下的

一站式综合解决方案

来实施整体系统型防护

需要以完整的防护体系

来实现工业控制系统安全的统一管理

集中控制、多点联动和综合分析

实现工控系统核心的内生安全

主动防御与综合防护

从根本上提升

工控系统的整体安全防护水平

接下来我们来讨论一下

工业互联网的安全保障

从总体安全的角度出发

工业互联网的安全保障

也包括物理安全

功能安全和信息安全

三个方面

我们需要做好

物理安全、功能安全与信息安全的融合

做好与工控系统的安全防护的衔接

特别要注重自主可控和

安全可靠要求的贯彻

接下来我们来看一下工业互联网安全保障

立体化

全方位、动静态结合的综合防护体系

这里面

我们借鉴了网络安全滑动标尺模型

给出了构建工业互联网

安全保障体系的五个阶段

采用基础架构安全

被动防御

主动防御、智能分析

含态势感知和情报分析等

形成综合防范措施

注重与工业互联网信息安全防护

相结合

与安全管理、安全运维等相结合

接下来我们讲一下工业互联网

它的实施原则

四个字

装、防、查、管

这是它的工程实施原则

装的上是要求工业互联网

它的安装部署容易

防的住要求攻击防护有效

查的清要求对工业互联网里面的

资产识别清晰

管的了要求安全管理有力

同学们接下来我们来考虑

以下几个问题

请大家调研并思考

第一:在工业4.0和工业互联网时代

如何维护工控系统的安全

第二个问题

有些高端工控设备为国外进口

如何保证这类工控设备的安全性

这是我们提醒大家考虑的问题

同学们

这一讲我们就讲到这里

感谢观看

下次再见

网络空间安全技术课程列表:

课程总览

-课程总览

第1章 新时代网络空间及其安全概述

-1.1 网络与网络空间

--1.1 网络与网络空间

-1.2 网络安全与网络空间安全

--1.2 网络安全与网络空间安全

-1.3 网络空间安全与国家安全

--1.3.1 网络空间安全与国家安全(上)

--1.3.2 网络空间安全与国家安全(下)

-1.4 网络空间安全威胁 风险与攻防

--1.4 网络空间安全威胁 风险与攻防

-第1章 习题

--第1章 习题

第2章 网络空间安全攻防对抗体系

-2.1 安全理论 技术 与工程的关系

--2.1 安全理论 技术 与工程的关系

-2.2 网络空间信息系统安全工程

--2.2.1 网络空间信息系统安全工程(上)

--2.2.2 网络空间信息系统安全工程(中)

--2.2.3 网络空间信息系统安全工程(下)

-2.3 网络空间安全技术体系

--2.3 网络空间安全技术体系

-2.4 网络安全与攻防对抗模型

--2.4.1 网络安全与攻防对抗模型(上)

--2.4.2 网络安全与攻防对抗模型(下)

-第2章 习题

--第2章 习题

第3章 网络安全攻击技术体系

-3.1 攻击模型与攻击链

--3.1 攻击模型与攻击链

-3.2 攻击向量与攻击面

--3.2 攻击向量与攻击面

-3.3 攻击图

--3.3 攻击图

-3.4 网络安全攻击技术分类

--3.4.1 网络安全攻击技术分类(上)

--3.4.2 网络安全攻击技术分类(下)

-3.5 典型的安全攻击方法

--3.5 典型的安全攻击方法

-第3章 习题

--第3章 习题

第4章 网络空间安全防御加密与认证技术

-4.1 密码与加密概述

--4.1.1 密码与加密概述(上)

--4.1.2 密码与加密概述(下)

-4.2 对称加密技术

--4.2.1 对称加密技术(上)

--4.2.2 对称加密技术(下)

-4.3 非对称加密技术

--4.3.1 非对称加密技术(上)

--4.3.2 非对称加密技术(下)

-4.4 哈希技术

--4.4 哈希技术

-4.5 认证技术与PKI体系

--4.5 认证技术与PKI体系

-第4章 习题

--第4章 习题

第5章 网络空间安全防御系统与网络安全技术

-5.1 信任体系与零信任安全

--5.1 信任体系与零信任安全

-5.2 操作系统与终端安全

--5.2 操作系统与终端安全

-5.3 网络安全防护架构

--5.3 网络安全防护架构

-5.4 典型的网络安全技术

--5.4.1 典型的网络安全技术(上)

--5.4.2 典型的网络安全技术(下)

-第5章 习题

--第5章 习题

第6章 网络空间安全防御应用与数据安全技术

-6.1 漏洞扫描与漏洞挖掘技术

--6.1 漏洞扫描与漏洞挖掘技术

-6.2 Web安全技术

--6.2 Web安全技术

-6.3 软件安全技术

--6.3 软件安全技术

-6.4 数据安全技术体系

--6.4 数据安全技术体系

-6.5 信息隐藏技术

--6.5 信息隐藏技术

-第6章 习题

--第6章 习题

第7章 网络空间安全管控技术体系

-7.1 网络安全风险评估技术

--7.1 网络安全风险评估技术

-7.2 网络安全测评技术

--7.2 网络安全测评技术

-7.3 网络安全等级保护

--7.3.1 网络安全等级保护(上)

--7.3.2 网络安全等级保护(下)

-7.4 网络安全情报分析与态势感知技术

--7.4 网络安全情报分析与态势感知技术

-7.5 内容安全技术

--7.5 内容安全技术

-第7章 习题

--第7章 习题

第8章 网络空间安全新技术与新应用

-8.1 工业控制系统安全保障

--8.1 工业控制系统安全保障

-8.2 物联网安全保障

--8.2 物联网安全保障

-8.3 信息物理系统安全保障

--8.3 信息物理系统安全保障

-8.4 云计算安全保障

--8.4 云计算安全保障

-8.5 区块链安全保障

--8.5 区块链安全保障

-第8章 习题

--第8章 习题

8.1 工业控制系统安全保障笔记与讨论

也许你还感兴趣的课程:

© 柠檬大学-慕课导航 课程版权归原始院校所有,
本网站仅通过互联网进行慕课课程索引,不提供在线课程学习和视频,请同学们点击报名到课程提供网站进行学习。