工控系統中的身份鑒別和加密目錄?1我們的目標1威脅、標準要求和實施重點--身份鑒別2威脅、標準要求和實施重點—加密3和利時DCS系統在電力行業的解決方案4和利時DCS系統在電力行業的應用5第一部分?2我們的目標1我們的目標被動防御防火墻防病毒軟件審計及入侵檢測。。。。主動防御數字證書對稱與非對稱加密可信計算虛擬化安全管控的融合聯動蜜罐工業云與大數據分析。。。。--基于主動防御理念的具有信息安全特性的工業控制系統第二部分?4威脅、標準要求和實施重點--身份鑒別2身份鑒別針對的主要威脅?5工程師站未授權人員進行工程組態文件的新建、修改和下裝。未授權人員盜取工藝機密。

未授權人員對控制器進行讀寫操作。控制器未授權人員對控制器進行下裝。未授權人員對控制器的OS或RTS進行更新。未授權人員從控制器讀取組態文件，竊取工藝機密。被非法篡改的控制器接入控制網絡。授權人員更新的OS或RTS為非法版本。未授權人員利用控制器調試端口修改控制器程序。操作員站標準要求?6FR4.數據保密性（DC）FR2.使用控制（UC）FR3.系統完整性（SI）FR5.受限數據流（RDF）IEC62443-3-3

技術要求FR6.對事件的及時響應（TRE）FR7.資源可用性（RA）FR1.標識和鑒別控制（IAC）FR1.標識和鑒別控制（IAC）?7SR1.1-人員用戶的識別和認證控制SR1.2–軟件進程和設備的識別和認證SR1.3–帳號管理SR1.4–識別碼管理SR1.5–認證管理SR1.6–無線訪問管理SR1.7–密碼認證強度SR1.8–公鑰基礎設施證書SR1.9–公鑰認證強度SR1.10–認證器反饋SR1.11–非成功登錄嘗試SR1.12–系統使用通知SR1.13–通過非信任網絡的訪問標準要求-IEC62443-3-3標準要求-可編程序控制器（PLC）系統信息安全要求?8SR1.1用戶（人）的標識和認證SR1.2軟件進程的標識和認證SR1.3賬號管理SR1.4標識符管理SR1.5認證碼管理SR1.6無線訪問管理SR1.7口令認證SR1.8公鑰基礎設施證書SR1.9公鑰認證的加強SR1.10認證反饋SR1.11失敗的登陸嘗試SR1.13經由非可信網絡的訪問對監督控制層的要求對現場控制層的要求SR1.1用戶（人）的標識和認證SR1.6無線訪問管理SR1.13經由非可信網絡的訪問主要應對方案?9工程師站基于工程文件或算法塊級別的賬號、口令驗證機制。賬號口令的復雜度要求。下裝操作須通過獨立、更高級別口令管理。基于數字證書（U-KEY）機制的雙因素認證。賬戶分組長時間未操作重新輸入賬號口令賬號口令的復雜度要求基于數字證書（U-KEY）機制的雙因素認證。控制器下裝須口令驗證。OS和RTS升級的口令驗證。上傳組態文件的口令驗證。基于數字證書的控制器認證機制調試端口的密碼復雜度要求基于數字證書的OS和RTS驗證。操作員站第三部分?10威脅、標準要求和實施重點—加密3加密針對的主要威脅?11工程師站存儲的口令被竊取口令傳輸過程中被竊取工藝機密被竊取下裝文件在傳輸過程中被篡改

存儲的口令被竊取上傳下發的數據被篡改控制器存儲的口令被竊取口令傳輸過程中被竊取下裝文件在傳輸過程中被篡改上傳下發的數據被篡改使用了不安全的協議，例如FTP、SNMP、http等操作員站?12SR3.1–通信完整性SR3.2–惡意代碼防護SR3.3–信息安全功能驗證SR3.4–軟件和信息的完整性SR3.5–輸入檢驗SR3.6–確定性輸出SR3.7–錯誤處理SR3.8–會話完整性SR3.9–審計信息防護FR3系統完整性FR3數據保密性SR4.1–信息保密性SR4.2–信息的長期保存SR4.3–加密使用標準要求-IEC62443-3-3標準要求-可編程序控制器（PLC）系統信息安全要求?13FR3系統完整性SR3.1通信完整性SR3.2惡意代碼的防護SR3.4軟件和信息完整性SR3.5輸入確認SR3.6確定性的輸出SR3.7錯誤處理SR3.8會話完整性SR3.9審計信息的保護FR4數據保密性SR4.1信息保密性SR4.2信息存留SR4.3密碼的使用FR3系統完整性SR3.1通信信息完整性SR3.5輸入驗證SR3.6確定性的輸出SR3.7錯誤處理SR3.8連接完整性FR4數據保密性SR4.1信息保密性SR4.3密碼的使用對監督控制層的要求對現場控制層的要求主要應對方案?14工程師站存儲口令加密采用非對稱、對稱加密方式傳輸組態文件和口令對部分算法塊加密存儲控制器存儲口令加密采用非對稱、對稱加密方式傳輸組態文件和口令跨互聯網應用采用VPN采用FTPS、https、SNMPV3等安全協議操作員站存儲口令加密對于跨互聯網web應用采用https加密協議第四部分?15和利時DCS系統在電力行業的解決方案4相關安全標準及規范?16標準類型標準名狀態通用國際標準IEC62443《工業過程測量、控制和自動化網絡與系統信息安全》部分發布SP800-53《信息系統和組織的安全和隱私控制》發布SP800-82《工業控制系統ICS安全指南》發布國家標準GB/T22239.1《信息系統安全等級保護基本要求》發布GB/T30976《工業控制系統信息安全》發布GB/T22239.5《工業控制系統等級保護基本要求》編制中行業電力DL/T-xxxx《電力行業信息系統安全等級保護基本要求》編制中GB/Z25320《電力系統管理及其信息交換數據和通信安全》發布《電力監控系統安全防護總體方案》發改委2014年發文發布核電《核電站二次系統安全防護技術規定》電監會發文發布HAD102/16《核動力廠基于計算機的安全重于系統軟件》發布IEC62645《核電廠儀控系統中基于計算機系統的安全大綱要求》發布IAEANSS17《核設施的計算機安全》發布RG5.71-2010《核設施網絡安全方案》發布RG1.152-《核電安全系統中數字計算機的準則》發布智能制造《數字化車間信息安全要求》編制中城市軌道信號《城市軌道交通列車控制與調度指揮系統信息安全保護基本要求》編制中城市軌道SCADA地鐵綜合監控系統信息安全標準編制中軌道（大鐵）暫無暫無相關行業標準石油石化暫無暫無相關行業標準化工暫無暫無相關行業標準相關安全標準及規范?17電力監控系統安全防護總體方案防護措施：集中審計、加密、身份認證，訪問控制，入侵檢測，邊界隔離，

防病毒，主機加固網絡分區隔離?18基本策略：1.DCS系統網絡與控制區電廠其他生產控制系統網絡相對獨立；2.在DCS系統網絡邊界處進行邏輯隔離，配置工業防火墻；3.DCS系統內部網絡采用VLAN方式按照機組DCS系統、公用DCS系統、輔助控制系統及公用輔助控制系統劃分不同安全區。4.DCS系統網絡路由采用靜態路由方式實現；增強策略：1.在DCS系統內部各安全區采用VLAN上實施訪問控制列表（ACL）的方式進行安全區邊界隔離，控制粒度為IP+端口級；2.同一控制網段內的網關具備對MAC和協議的過濾功能，并對重要設備進行IP和MAC地址綁定。3.在DCS系統網絡核心交換部署一套入侵檢測系統，可以考慮與電廠其他生產控制系統共同部署一套入侵檢測系統。標示與身份鑒別?19基本策略：1.工程師站組態軟件和操作員站軟件基于賬號和口令防護，口令由數字、字母、特殊字符組成最小8位以上；2.用戶口令通過加密方式存儲；3.細化工程師站和操作員站的用戶權限，下裝操作的權限單獨配置給特定操作賬戶。增強策略：1.控制器下裝操作增加二次口令校驗防護，此口令由控制器校驗；2.控制系統配置支持指紋識別功能或基于數字證書的U-key作為外部身份驗證設備配合口令驗證對用戶登陸進行雙因子驗證。數據通信加密?20基本策略：1.對關鍵通信數據進行加密。2.使用支持加密的高級應用層協議。增強策略：1.組態下裝過程在傳輸機制上采用建立安全的加密通信通道進行工程文件下裝。2.引入PKI數字證書機制對通信數據提供加密支持。系統完整性?21基本策略：系統部署應用程序白名單機制對系統中在運行的應用程序進行控制管理，僅允許列表中存在的應用程序執行，阻止惡意程序及后臺非法程序的運行。控制U盤等外部移動存儲設備的接入。增強策略：1.設備的系統固件安裝包以及升級使用的系統固件升級包進行數字簽名保證固件更新所使用的系統固件的合法性和完整性。固件更新時通過校驗簽名保證固件未被非法篡改。2.控制器內部引入先進的可信計算（TCM）技術建立信任鏈，發現不可信資源及時報警，及時發現異常代碼，解決攻擊者通過已知和未知漏洞向嵌入式設備內植入惡意代碼攻擊的問題。日志和安全審計?22基本策略：獨立的、不影響系統運行的集中審計系統。增強策略：

控制器的日志記錄具備對基本操作、口令修改、組態下裝、操作系統和RTS升級、IP變更等內容的記錄，所記錄項目的內容包括操作時間、操作用戶、操作IP、操作內容以及結果等。主機加固?23

主機加固針對上位機PC主機，更新上位機PC主機的重要關鍵補丁并關閉不必要的服務（如telnet、遠程桌面等）。通過服務最小化保證上位機主機安全。第五部分?24和利時DCS系統在電力行業的應用5世界領先的第五代DCS系統持續創新發展的DCS控制系統----追求卓越，穩步發展非冗余硬件,DOS操作系統，國內第一套DCS系統。1993年HS10001996年HS20001999年MACS2004年HOLLIASMACS-FM/SM2013年MACS-K1ST3RD4TH5TH2NDNT/WIN2000，多域結構，DP現場總線，以太網絡，IEC61131-3工業以太網；硬件低功耗，高集成度，小型化，智能化。2013年和利時率先推出國內最先進第五代DCS系統。該系統具備世界領先技術和優勢。

冗余硬件,Windows系統,CAN總線；在線下裝。開發出第一套中國人自己的DCS控制系統已經安裝超過20,000套DCS控制系統。真誠地為用戶設想?26操作效率優化資產管理云服務工廠信息化管理生產控制及安全管理先進的過程控制（APC）PLC先進過程控制設備管理系統操作員培訓系統（OTS）全廠一體化DCSDEH/MEH

電廠儀表HiaGuardSIS專業方案設備管理管理智能儀表信息化、智能化管理系統效率提升、過程優化系統分散控制系統現場控制系統解決方案服務型公司----電力行業一直是和利時最重要的業務領域之一典型業績?2716臺1000MW機組DCS、26臺600MW機組DCS和217臺300MW機組DCS已經成功應用國產DCS系統在600MW機組上的首次應用（2006年）國華錦界4*600MWDCS工程國產DCS系統在1000MW機組上的首次應用（2010年）

國華粵電臺山首兩臺1000MWDCS工程國產DCS+DEH一體化系統在600MW超臨界機組上的首次應用（2010年）

國華呼倫貝爾2*600MW項目（上汽機組）國產DCS+DEH一體化系統在1000MW超臨界機組上的首次應用（2015年）

神華福建鴻山2*1000MW項目（東汽機組）國內最大的DCS改造項目（2014年）國華綏中2*880MWDCS工程

國產現場總線在100