- 云计算:通过网络访问可扩展的、灵活的物理或虚拟共享资源,并按需自助获取和管理资源的模式。(资源:服务器、操作系统、网络、软件、应用和存储设备等)
- 虚拟机监视器hypervisor:运行在基础服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。
- 无线接入网关:部署在无线与有线网之间,对有线网络进行安全防护的设备。
- 感知节点设备:对物或环境进行信息采集、执行操作,并能联网进行通信的装置。
- 感知网关节点设备:将感知节点所采集的数据进行汇总,适当处理或数据融合,并进行转发的装置。
- 工业控制系统industrial control system:工业生产中使用,监控和数据采集系统(SCADA)、分布式控制系统(DCS)等,PLC(可编程逻辑控制器)。
- 等级:重要程度、危害程度
- S:信息安全类 A:服务保障类
所有安全管理要求和安全扩展要求标注为G
S:可信验证、身份鉴别、访问控制、数据完整性、数据保密性、剩余信息保护、个人信息保护
A:数据备份恢复
- 安全控制间的互补性
- 建立集中的管理中心,管理安全控制组件将堡垒机、日志审计、网管系统等放在安全管理中心,通过安全管理中心。。。
- 云服务商、云服务客户,安全责任边界不同
- 采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成,移动终端通过无线通道连接无线接入设备接入,无线接入网关通过访问控制策略限制移动终端的访问行为。
- 本标准的移动互联安全扩展要求针对移动终端、移动应用和无线网络部分提出特殊安全要求。
- 物联网:感知层、网络传输层和处理应用层。
- 感知层:传感器节点、传感网网关节点,短距离通信部分
- 传输层:远距离传输
- 应用层:存储于处理数据,对业务终端提供服务
- 对于大型物联网来说,处理应用层一般是云计算平台和业务应用终端设备
- 由于网络传输层和处理应用层通常由计算机设备构成,因此这两部分按照通用要求提出的要求进行保护,本标准的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整要求。
- 工业控制系统(ICS):数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其他控制系统,可编程逻辑控制器(PLC)。
- 工控系统应用行业:电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料、离散制造(汽车、航空航天和耐用品)等行业。
- 工控系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模控制系统,也包括管理级。
过程级:被控对象、现场控制设备、测量仪表等
操作级:工程师和操作员站、人机界面和组态软件、控制服务器等
管理级:生产管理系统和企业资源系统
通信网络:以太网、工业以太网、现场总线等
- 工控系统功能层次模型:
企业资源层:ERP系统功能单元,用于为企业决策层员工提供决策运行手段
生产管理层:MES系统功能单元,用于对生产控制过程进行管理,如制造数据管理、生产调度管理等
过程监控层:监控服务器、HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;
现场设备层:各类过程传感设备与执行单元,用于对生产过程进行感知与操作。
- 原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响
- 经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时,应进行安全声明,分析和说明此条款可能产生的影响和后果,以及使用的补偿措施。
- 大数据系统:采用了大数据技术的信息系统
- 大数据系统通常由大数据平台、大数据应用以及处理的数据集合组成
- 大数据应用是基于大数据平台对数据的处理过程,数据采集、存储、应用、交换和销毁等,各环节需要对数据进行保护,安全措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份恢复、数据输出脱敏、敏感数据输出控制以及数据的分级分类销毁等
- 大数据平台是为大数据应用提供资源和服务的支撑集成环境,基础设施层、数据平台层、计算分析层