工控系统信息安全报告

典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。

1.1 工业控制系统潜在的风险

1.操作系统的安全漏洞问题

由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，导致系统带着风险运行。

2.杀毒软件安装及升级更新问题

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。

3.使用U盘、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全事件时有发生。

4.设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护，没有到达一定安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的威胁。

5.存在工业控制系统被有意或无意控制的风险问题

如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。

6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题

对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

1.2 “两化融合”给工控系统带来的风险

工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。

同时，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业控制系统和管理信息系统进行了集成，管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联。

1.3 工控系统采用通用软硬件带来的风险

工业控制系统向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

2、MES层与工业控制层之间的安全防护

通过在MES层和生产控制层部署工业防火墙，可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标：

 区域隔离及通信管控：通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部分。

 实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。

MES层与工业控制层之间的安全防护如下图所示：

2.1.3 工控系统安全防护分域

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。

在管理层、制造执行层、工业控制层中，进行管理系统安全子域的划分，制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分，使用每一个安全域都要明确的边界，便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示：

如上图所示，为了保证各个生产线的安全，对各个生产线进行了安全域划分，同时在安全域之间进行了安全隔离防护。

2.1.4 工控系统安全防护分等级

根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障信息的安全。

安全域的等级划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。

二、工业控制系统安全防护设计

通过以上对工业控制系统安全状况分析，我们可以看到，工控系统采用通用平台，加大了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷造成的安全风险，主要从两个方面进行安全防护。

 通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统操作的唯一性。

 通过工控系统安全管理平台，确保HMI、管理机、控制服务工控通信设施安全可信。

2.1 构建“三层架构，二层防护”的安全体系

工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害，网络风暴和拒绝式服务攻击很容易消耗系统的资源，使得正常的服务功能无法进行。

2.1.1 工控系统的三层架构

一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间，主要避免管理层直接对工业控制层的访问，保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示：

通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是计划管理层、制造执行层、工业控制层。

管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了许多子系统，如：生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。

制造执行系统(MES)处于工业控制系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。

2.1.2 工控系统的二层防护

1、管理层与MES层之间的安全防护

管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁，具体表现为：避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。

也就是说，管理层与MES层之间的安全防护，保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示：

2.2 构建工业控制系统安全管理平台

工业控制系统和传统信息系统具有大多数相同的安全问题，但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性，在某一特定的工业控制系统中，工业控制系统只需用唯一的工业应用程序和工业通信协议运行，其他一概不需要。

启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境，对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成，一部分是工业控制系统安全管理平台，具有终端管理、网络管理、行为监控功能，另一部分是终端安全管理客户端。

2.2.1 管理平台部分

工业控制系统的安全运行，主要需要保障工业控制系统相关信息系统基础设施的安全，包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类IT资源的安全，从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控、运行监控与安全监控)，实现对安全事件的预警与响应，保障工业控制系统的安全稳定运行。

具体而言，工业控制系统安全管理平台功能如下：

1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控，例如CPU、内存、端口流量等等。

2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。

3.能够对各层边界数据交换情况进行监控。

4.能够对工业控制系统中的网络操作行为进行审计。

5.能够对工业控制系统日志进行关联分析和审计。

6.能够对工业控制系统中的异常事件进行预警响应。

7.能够对工业企业信息系统进行虚拟安全域的划分。

2.2.2 工业控制系统终端安全管理部分

由于工业控制系统管理终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。

工业控制系统终端最大特点是应用相对固定，终端主要安装工业控制系统程序，所以，要防范传统方式的病毒或木马等恶意软件，最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。

具体而言，工业控制系统安全管理平台终端安全管理部分功能如下：

1.工业控制系统安全管理平台客户端软件轻巧精炼，占用资源极少，能够最大程度保证工业控制系统管理终端的稳定性。

2.工业控制系统安全管理平台客户端具有终端准入控制功能，可以防止没有达到安全基线的笔记本对终端进行管理。

3.工业控制系统安全管理平台客户端具有终端安全优化与加固功能，能够对工业控制系统终端进行安全优化和加固，使终端安全水平达到一定的安全基线。

4.工业控制系统安全管理平台客户端具有外设管理功能，对工业控制系统的外设进行管理，比如USB接口、光驱、网卡、串口等。

5.工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能，对终端中的工业控制系统软件进行监控和管理。

6.工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定，客户端能够对终端通信协议具有唯一性管理功能。

7.工业控制系统安全管理平台客户端具有离线管理功能，工业控制系统终端有一部分无法进行在线管理，客户端具有比较强大的离线自管理功能，可以完成对离线终端的管理。

8.工业控制系统安全管理平台客户端具有强身份认证功能，客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能，从而防止工业控制系统被有意或无意被控制的风险。

三、总结

国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒，为整改工业生产控制系统安全敲响了警钟。

为此，工信部在2011年10月下发了“关于加强工业控制系统信息安全管理的通知”，要求各级政府和国有大型企业切实加强工业控制系统安全管理。工信部赵泽良司长也强调，工业控制系统安全工作也到了非加强不可的时候，否则将影响到我国重要的生产设施的安全。

本文根据工业控制系统安全防护的特点，提出了对工业控制系统进行分层、分域、分等级，构建“三层架构，二层防护”的工业控制系统安全体系架构思想;通过分析工业控制系统面临的风险，对作为工业控制系统安全防护的核心产品——工业控制系统安全管理平台功能进行了说明。工控系统安全管理平台，不仅是实现工业控制系统终端安全的产品，也是监控工业控制系统IT基础实施和操作行为的平台。(启明星辰张晔)

篇2：工控系统信息安全报告

   关键词：威努特工控网络安全信息安全作者：wnt 摘要：为什么传统信息安全产品不能解决工控安全问题

从2010年针对伊朗核工厂的Stuxnet病毒，到2014年席卷欧洲的Havex病毒，针对工业控制系统的网络攻击越演越烈，工业控制系统迫切需要得到安全防护。那么，把传统信息安全产品如防火墙、反病毒软件、IDS/IPS，部署到工业控制系统中是不是就能解决其信息安全问题呢？答案是——不能！

实践证明传统信息安全产品不能解决工业控制系统的安全问题

我们在现场调研时发现，一些工业控制系统的网络中，已经有部署传统的防火墙产品，在工作站上也有安装杀毒软件产品。但是，传统的防火墙在保护O P C服务器时，由于不支持OPC协议的动态端口开放，不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接，因此防火墙提供的安全保障被降至最低，从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件，通常因得不到及时更新，导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现，是工业控制系统的系统漏洞，不能像IT系统一样，得到及时的漏洞修复，大量漏洞长期存在。

综上所述，传统信息安全产品（如防火墙、反病毒软件）及传统信息安全的管理方法（如漏洞及时修复）并不适用于工业控制系统，不能解决其信息安全问题。为什么传统信息安全产品/方法不适用于工业控制系统

传统信息安全产品/方法不适用于工业控制系统，是由于工业控制系统相对于IT信息系统的有其独特差异性，而传统信息安全产品是针对IT信息系统的需求开发的。工业控制系统相对于IT信息系统的差异，在信息安全需求方面主要有以下体现：

工业控制系统以“可用性”为第一安全需求，而IT信息系统以“机密性”为第一安全需求。在信息安全的三个属性（机密性、完整性、可用性）中，IT信息系统的优先顺序是机密性、完整性、可用性，而工业控制系统则是可用性、完整性、机密性。这一差异，导致工业控制系统中的信息安全产品，必须从软硬件设计上达到更高的可靠性，例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。另外，导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接，不适用于工业控制系统，工业控制系统的需求是防火墙故障时保证网络畅通。

工业控制系统不能接受频繁的升级更新操作，而IT信息系统通常能够接受频繁的升级更新操作。这对依赖一个黑名单库来提供防护能力的信息安全产品（例如：反病毒软件，IDS/IPS）是一个严峻的挑战。

工业控制系统对报文时延很敏感，而IT信息系统通常强调高吞吐量。在网络报文处理的性能指标（吞吐量、并发连接数、连接速率、时延）中，IT信息系统强调吞吐量、并发连接数、连接速率，对时延要求不太高（通常几百微秒）；而工业控制系统对时延要求高，某些应用场景要求时延在几十微秒内，对吞吐量、并发连接数、连接速率往往要求不高。这一差异，导致工业控制系统中的信息安全产品，必须从CPU选型、软硬件架构上做到低时延，这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。

工业控制系统基于工业控制协议（例如，OPC、Modbus、DNP3、S7），而IT信息系统基于IT通信协议（例如，HTTP、FTP、SMTP、TELNET）。虽然，现在主流工业控制系统已经广泛采用工业以太技术，基于IP/TCP/UDP通信，但是应用层协议是不同的，这就要求信息安全产品必须支持工业控制协议（例如，OPC、Modbus、DNP3、S7），否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。

工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿、高原、盐雾），而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的信息安全硬件产品，必须按照工业现场环境的要求专门设计硬件，做到全密闭、无风扇，支持﹣40℃～70℃等。

篇3：工控系统信息安全报告

会议筹划

策划人:仝培杰 (《信息安全与技术》杂志社副主编)

李明远 (中国仪器仪表学会学会部主任/高级工程师)

执行人:佟琳 (《信息安全与技术》杂志社副主编)

许凤凯 (中国软件评测中心工业控制系统可靠性测试中心副主任/博士)

黄蓝青 (中国仪器仪表学会学会部)

座谈议题

(1) 对我国信息安全领域最新政策、技术标准的解读。

(2) 我国工控系统应用对于信息安全需求的迫切性。

(3) 如何从国家政策指导、运行体制保障、制度建设、行为规范、技术标准执行、专项资金建立等诸多角度做支撑, 来加快工业系统信息安全建设与发展的步伐。

(4) 如何从应用环境、安全审计、测量和控制、运维管理、技术实施、信息安全产品的选择等诸多方面, 来确保工业系统的安全运行和业务运行保障。

主持人:刘静平《信息安全与技术》杂志社主编

座谈人员

吴幼华中国仪器仪表学会副理事长兼秘书长/研究员级高级工程师

崔书昆中国信息安全标准化技术委员会副主任

夏德海中国仪器仪表学会技术顾问/教授级高级工程师

马增良中国科学院自动化研究所综合自动化技术工程中心研究员/总工程师

欧阳劲松机械工业仪器仪表综合技术经济研究所所长/教授级高级工程师

赵力行北京自动化技术研究院院长/教授级高级工程师

高昆仑中国电力科学研究院信息安全研究所所长

刘权中国电子信息产业发展研究院信息安全研究所所长/博士

刘法旺中国软件评测中心副主任/博士

汪彤北京市劳动保护研究所副所长

杜京哲中国工业软件产业发展联盟常务副秘书长

梅恪机械工业仪器仪表综合技术经济研究所副总工程师/教授级高级工程师

杨帆清华大学自动化系讲师/博士

崔琳清华大学化学工程系工程师/博士

田雨聪北京国电智深控制技术有限公司总经理助理/高级工程师

薛百华北京东土科技股份有限公司副总经理/总工程师

魏钦志北京力控华康科技有限公司总经理

李洪波北京远东仪表有限公司副总经理

明旭北京中科网威信息技术有限公司副总裁

发言摘要

关于工业控制系统安全问题的研讨会, 在仪器仪表行业已经开过多次, 尤其是近几年国际上对工业信息安全问题引起了大家的重视, 工业信息安全问题也越来越突显。首先我们要认识工业化信息安全的重要性, 其次要论述加强工业化信息安全的必要性, 加强安全的方法、措施和如何防范不安全的因素。通过这个座谈会的形式, 形成一个高层建议, 并建立一个工业信息安全联盟。Safety是一种安全的状态, Security实际上是安全的措施。

1.存在问题

现有的解决问题方案是被动的, 处于“挨打”的局面。目前的解决方案和标准是先将整个企业按地理位置或流程分为若干区 (Zone) 各个区之间由管道来连接, 在管道上安装防火墙或安全网关, 再用黑名单和白名单的办法, 若信息符合白名单的协议就可通过。而所谓纵深防御, 就是从企业的ERP层往下, 层层设关, 最多可达五层, 而且按IEC62443标准, 如有需要则还可在重要的控制器前再设“分”或“二次”防火墙。一旦出现工业信息安全威胁, 生产人员不知道“敌人”何时入侵, 也不知已潜伏的“定时炸弹”何时爆发, 一有风吹草动, 不免风声鹤唳, 草木皆兵, 怎么叫人安心生产?

实用性有待验证。据了解, 目前的解决方案或标准均出自于IT行业, 例如IEC62443标准。提及IT行业对信息要求排序是“保密—完整性—可用性”;而工控行业信息要求则为“可用性—完整性—保密性”。从工控行业的观点来看, 则应从“实用性—可靠性—安全性”方面来对比。有关安全的标准应该是强制性的还是推荐性“预标准 (Pre-standard) ”?正在转化的国际是推荐性的。

另外, 有人认为在目前情况下, 安保作为推荐性标准也是可以的。确实, 目前企业均已采用了安全措施, 如报警、联锁、自诊断、冗余, 最高级的是热备用的双冗余, 但再仔细想想, Security与一般的安全不同, 病毒主要攻击的控制器, 而双冗余的控制器我们一般都采用同一厂商、同一型号的, 一旦给病毒钻了空子而失效, 就会引发很大的问题。

2.应对策略

首先, 我们应该研究具有中国特色的工控安保系统。既然我们不满足于被动的防御方式, 能不能改变一下思路, 采取主动的, 以攻为守的防御方式。

其次, 为了保护企业的安全, 我们也可以加强立法, 有必要建立国家级的工控安保实验室 (或工程中心) 。这个实验室宜挂靠在工业控制部门, 而不要挂靠在IT行业, 同时必须以工控人员为主, 以IT行业人员为辅, 才能引入目前的IT行业中行之有效的安保方案, 如防火墙、杀毒、纵深防御、“密缶”、密网等。

第三, 工控安保认证中心必须立足国内, 认证中心立足国内的目的, 重要是防止技术泄密, 保护我国的知识产权。

最后, 早注意培养“一专多能”的复合型安保人才。工控和IT是两个绝然不同的行业, 一个人要同时精通二者, 很难甚至是不可能的, 但一专多能实践证明是可以做到。

(注:未能到会, 但发来了书面发言)

1.工业控制系统安全面临巨大风险

一是来自自然环境因素和系统本身脆弱性。2003年8月, 北美发生大停电事件, 起因于俄亥俄电厂高压电线触及路旁树枝而造成局部跳电, 原本采取隔离动作即可化解, 但监控电厂运行状态的软件设计有误, 造成邻近电厂接连跳电, 导致空前大停电, 影响5000万人生活, 造成100多亿美元的经济损失。

二是来自黑客和恶意软件等网络攻击。2003年, “震荡波”蠕虫病毒在全球肆虐期间, 美国俄亥俄州核电站企业网络感染蠕虫并扩散到核电站运行网, 造成了核电厂计算机瘫痪, 所幸该厂正在进行例行维护并未上线, 这次事故才没有导致灾难。

三是来自对手的信息攻击。美军某前部长在其回忆录中披露, 1982年6月, 美中央情报局通过利用美国销售给前苏联的控制软件中的缺陷, 对前苏联进行了一次预设攻击, 导致了前苏联西伯利亚一条天然气长输管线发生大爆炸。事情的真伪局外人无从深究。

据业界估计, 每年未加报道的攻击事件在数百例之多。2004年, 美国国土安全部发现1700个设施的SCADA系统存有外部可以攻击的漏洞。在震网病毒之后, 各国又发现德国西门子公司生产的工控系统数十个新漏洞。国外有机构称, 我国生产的“组件王” (Kingview) 亦存在漏洞。

2.加强控制系统安全势在必行

(1) 将工业控制系统安全纳入我国网络和信息安全管理范围及防护体系; (2) 加快制定国家关于工控系统安全的法规和技术标准的步伐; (3) 加强工业控制系统安全技术研究、开发与应用, 把工控系统安全建立在“自主可控”基础之上; (4) 总结我国工控系统安全防护的有用经验并予以推广; (5) 开展工控系统安全的宣传与学术交流, 提高工控系统安全意识。

Stuxnet病毒之类的威胁, 发展到现在, 已经远不止对工控系统、一般自动化系统构成威胁, 而是对所有采用计算机、嵌入式芯片的系统构成了威胁, 包括电网生产调度、油气生产运输、石油化工生产、核设施、航空航天、城市轨道交通、高速列车、水利枢纽、物流、城市上下水、卫生医疗等国家社会基础设施。我们在看到上述具体威胁时更应举一反三, 关注我们面临的信息战、网络战多方面威胁。

(注:未能到会。内容摘自“2011中国信息安全技术大会”上的主题演讲。)

建立工控系统信息安全产品的认证评价体系。在实验室已经通过认证的工控系统在实际上线运行后不一定保证安全, 这里面包括管理、操作、通信接口、集成等方方面面的协作。评估是必要的, 但不足以保证上线后的安全。

从工业软件企业方面说, 西门子公司提出部署纵深防御体系。纵深防御解决方案具体包括保证自动化工厂的物理安全, 建立安全策略与流程, 进行网络分区与边界保护, 建立安全的单元间通信, 系统加固与补丁管理, 恶意软件的检测与防护, 访问控制与账号管理, 记录设备访问日志并进行必要的审计等。简而言之, 就是确保只有绝对必要的人员才能在物理上接触到工控设备。

工控设备在网络上要与其他不必要的相连的系统断开, 维护防火墙的完整性, 坚持打上最新的软件安全补丁等。工控信息安全问题不仅仅是技术层面的问题, 而是从意识培养开始涉及到管理、流程、架构、技术、产品等各方面的系统工程, 要求工控系统的管理者、运营者和产品厂商的共同参与和协作。国内的一些信息安全企业也提出了一些措施, 像工控系统安全平台。工控系统安全平台的核心思想是要对工控系统进行分层分域分等级, 构建三层架构二层防护的安全体系架构。

1.工业自动化领域将安全概念分为三类:物理安全、信息安全和功能安全。功能安全是为了达到设备和工厂安全功能, 受保护的和控制设备的安全相关部分必须正确执行其功能, 而且当失效或故障发生时, 设备或系统必须仍能保持安全条件或进入到安全状态 (或避免因自动化系统功能失效导致的人身安全事故, 及对财产、环境等造成影响的安全工程) 。物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。功能安全是从系统自身失效引发的影响进行预防考虑, 而信息安全是从外部攻击造成的影响进行预防考虑。功能安全和物理安全均可定性、定量分析, 同时都有相关的国际标准和国家标准体系, 而信息安全方面尚无可量化的指标。三类安全虽然考虑问题的出发点不同, 但事实上他们对系统造成的影响结果是一致的, 且这三类安全问题的防护是相辅相成的, 因此在考虑工控系统的安全性时, 应综合考虑, 不应以偏代全。

2.工业控制系统与IT系统对信息安全的需求考虑存在明显差异, 工控系统最先考虑的是系统可用性, 第二位是完整性, 第三是保密性, IT系统首先是保密性、完整性, 最后才是可用性。

3.工控系统信息安全工作首要在于建立统一的标准体系。我们正在转化IEC 62443的几个标准, 同时也在制定评估方法和验收规范两个国家标准。要以规范和标准为主体来规范工作, 希望国家尽快地建立我们自己的评估体系和标准体系。

4.工控系统信息安全认证工作需要一个不断加深理解的过程, 建议先从评估开展起来, 一步步来, 不可一蹴而就。信息安全和物理安全、功能安全最大的不同是不可示人, 要自己认证, 国家应该把这个认证严格抓在自己手上, 并且规范它的体系, “实现自己的保险柜自己上锁”。

5.要本着为用户服务, 为用户解决实际问题的立场出发, 与用户相结合来做信息安全的评测和要求。

6.做信息安全的体系和标准, 应该与培训和宣贯相结合, 应该走到用户中去, 提高用户信息安全的意识。

7.做好工控系统信息安全的相关工作, 必须工业测控专家和信息安全专家相结合, 共同推进。

1.关键信息基础设施安全状况堪忧, 国家安全面临挑战

据统计, 我国芯片、操作系统等软硬件产品, 以及通用协议和标准90%以上依赖进口。当前针对关键信息基础设施的网络攻击持续增多, 甚至出现了政府和恐怖分子支持的高级可持续性威胁 (APT) 。APT是针对特定组织的、复杂的、多方位的网络攻击, 这类攻击目标性强, 持续时间长, 一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪, 将给我国国家安全等带来严峻挑战。

2.推动关键信息基础设施安全保障工作

一是启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品, 以及新技术、新产品和新业务的漏洞分析工作, 提升安全隐患的发现能力, 促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度, 对进口技术和产品的安全进行风险评估。逐步实现核心技术产品的国产化替代, 真正实现“以我为主, 自主可控”。二是加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准, 继续做好等级保护定级工作, 根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作, 做好系统测评、安全检查等, 及时发现风险隐患, 完善安全措施。三是重点保障工业控制系统安全。全面落实《关于加强工业控制系统信息安全管理的通知》, 切实加强对重点领域工业控制系统的信息安全管理工作, 完善和加强工业控制系统安全检查和测评工作。

随着两化融合的不断深入, 工控系统被广泛应用于战略基础设施、军工武器装备等, 且越来越多采用通用协议、硬件和软件, 并与公共网络进行互连。一旦工控系统受到攻击, 将会直接导致重要基础设施瘫痪, 甚至引发国家经济、社会剧烈动荡和生态环境严重破坏。此外, 工控系统的核心技术受制于国外, 高端市场拥有自主知识产权的产品和系统较少。因此, 如何确保工控系统的安全可控, 不仅仅是单个研究机构或企业要思考的问题, 更需要国家层面进行战略布局, 产业界群策群力。基于这个考虑, 今天的研讨会可以说是意义重大。

在过去的几年中, 中国软件评测中心针对工控系统的安全可靠性问题, 建立了专门的研究团队, 搭建模拟仿真实验环境, 研制测评技术规范, 研发专业测评工具, 目前正在承建《离散型行业信息技术应用共性技术支持和公共服务平台》。借着今天这次机会, 也想和各位专家探讨两个问题:

一是目前业界讨论比较多的是工控系统的Security, 但也有研究人员侧重研究Reliability或Safety。在各位专家看来, 这三个关键词之间是什么样的逻辑关系?另外, 如何确保相关标准、规范或思路的落地, 以真正保障工控系统安全可靠?

二是在目前的工控系统信息安全检查过程中, 主管部门更多的是侧重管理层面。对于实际在线运行的系统, 如何在不妨碍其正常运行的情况下, 采取技术检查手段?也想请教一下各位专家, 有没有什么好的建议或行之有效的最佳实践。

工控系统信息安全的三个基本属性包括完整、可用和保密。工控系统的信息安全能直接破坏功能安全。在考虑功能安全的同时, 为了保证系统的功能在各种情况下万无一失的运作, 会考虑很多风险因素, 信息安全也考虑范围内。在传统IT领域提出的安全是信息安全, 在工控领域提出的安全则是信息安全和功能安全, 但是这二者的目标是一个, 就是保证功能安全。我们做了很多年的传统信息安全, 真正能做到什么程度心里没底, 关键是产业链不行, 要做到安全必须要在产业链的层面做到自主可控。信息安全测试是必要的, 但有了测试也不能保证绝对安全, 只能让风险降低。

任何测评都不能保证系统以后的安全运行, 软件测评和评估的目的就是发现缺陷, 逐步丰富缺陷的数据库, 为以后的设计人员避免这些缺陷提供相应的依据, 使风险降到最低。为了保证工控系统的安全要迈出的第一步就是评估。

清华大学吴澄院士在几个场合都讲了工控系统的信息安全问题, 认为它是值得关注的重要技术问题。吴澄院士提出了几个建议:加强工业控制系统漏洞及其挖掘技术的研究;进行工业控制系统安全应用行为分析与学习能力研究;建立必要的工控系统安全应急响应机制;加强国产工控软件的核心技术研究。

我认为, 工控系统信息安全与传统的安全性研究有一些区别。过程安全 (Safety) 主要关注物理世界 (Physical Space) 本身的安全性, 信息安全 (Security) 主要关注信息世界 (Cyber Space) 的安全问题, 前者首要关注的是可用性, 后者首要关注的是保密性。而工控系统信息安全则主要关注信息世界的攻击对物理世界所可能产生的影响, 保密性对可用性的影响更为重要, 因此是Cyber Physical System (CPS) 领域需要研究的问题, 这不仅需要搞信息安全的专家学者关注, 更需要控制界人士的高度关注和广泛参与。目前最有代表性的一份建议文件是2011年6月NIST发布的《工业系统安全指南》 (SP800-82) , 这里面提出了有关工控系统纵深防御体系架构的建议, 但这个报告更多是站在网络安全等技术角度进行的, 并未全面使用工控系统的控制特性, 因而是远远不足的。

从学术研究的角度, 除了提炼、解决现实问题以外, 还要有一定的超前性和深入性, 建议有两方面工作可以做:一是从攻击的角度建模, 在这个基础上, 对攻击的危害和后果进行评估和评价, 建立攻击的检测机制;二是从控制系统设计的角度, 来改进估计和设计算法, 保证工控系统在攻击条件下也能维持正常功能, 或者在攻击后能迅速恢复功能, 最多只是造成控制性能的损失。

在化工领域不强调百分之百的安全, 所谓的安全就是把风险控制在可以接受的范围。功能安全归为可靠性方面, 对于信息安全, Safety和Reliability不属于信息安全主要的研究内容, 可以用功能安全的方式来解决。

信息安全主要考虑的是安全性和保密性, 应该从以下几个方面考虑:从操作系统上, 尽量不用微软的Windows操作系统, 采用Linux系统或者自己优化过的系统或做一些安全加密;从网络上, 应做适当的隔离。信息安全要做到几个适度:适度的开放, 适度的保密, 有些协议尤其是底层协议要保密或做一些适当的加密措施。一个系统如果过分地强调信息安全, 就会造成成本飞升和性能的下降。

1.工控行业的国产化程度问题

随着工业控制系统、网络、协议的不断发展和升级, 不同厂商对于以太网技术也在加速推广, 而国内80%以上的控制系统由国外品牌和厂商所占据, 核心的技术和元件均掌握在他人手里, 这给国内的工业网络安全形势, 造成了极大的威胁和隐患。

2.软件和硬件的漏洞问题

国家信息安全漏洞共享平台 (China National Vulnerability Database, 简称CNVD) , 在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞, 较2010年大幅增长近10倍, 涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞, 但这些漏洞可能被黑客或恶意软件利用。这些漏洞都是高危的, 工控软件要有一个安全编程的思想。

3.工控安全和IT安全的区别

首要区别就是协议。比如OPC, 因为其基于DCOM技术, 在进行数据通讯时, 为了响应请求, 操作系统就会为开放从1024到5000动态端口使用, 所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析, 而使OPC客户端可以轻易对OPC服务器数据项进行读写, 一旦黑客对客户端电脑取得控制权, 控制系统就面临很大风险。黑客可以很轻松地获得系统所开放的端口, 获取/伪装管理员身份, 对系统进行恶意破坏, 影响企业的正常生产运营。

其次, 是访问机制的区别。

4.对工控信息安全发展的几点建议

一是采用白名单的机制。白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换, 在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法, 从根源上节制未知恶意软件的运行和传播。

二是做边界隔离 (网闸等) 。在工业控制领域, 网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构, 内置双主机系统, 隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护, 因此它只提供控制网络常用通信功能如OPC、Modbus等, 而不提供通用互联网功能, 因此更适合于控制网络与办公网络, 以及控制网络各独立子系统之间的隔离。

三是采取深度过滤的机制。对于大多数通讯控制设备, SCADA和工业协议, 如MODBUS/TCP, Ether Net/IP和DNP3等被大量使用。不幸的是, 这些协议在设计时, 没有安全加密机制, 通常也不会要求任何认证, 便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输, 不准许在办公网络穿透到控制网络。

能够完成以上功能的工业防火墙或者安全路由器, 通常被部署在具有以太网接口的I/O设备和控制器上, 从而避免因设备联网而造成的病毒攻击或广播风暴, 还可以避免各子系统间的病毒攻击和干扰。

四是尽量避免非控制人员对设备本身或界面进行操作。目前的工业网络安全设备通常由简单的IT通用防火墙、桌面级反病毒软件、虚拟专用网、物理隔离网关等安全工具构成, 产品功能单一, 购置成本高昂, 配置、管理、维护、升级极其复杂, 不符合工控专业人员的操作习惯, 综合使用成本很高, 很多单位由于没有相应的技术人员或无力承担多种安全工具的购置和使用费用, 从而对重要的业务应用裹足不前。

5.在企业中信息安全问题不知道谁负责, 要明确权责。

信息安全未来更重要的一个问题不是系统而是芯片。采用国外设备可靠性不行, 我们的系统安全是治标不治本。

1.不同行业不同专业对信息安全的理解可能不一样。

2.系统的国产化问题, 在石化系统里占主流的工控系统都是国外的。

与工业领域相比, 传统IT信息领域最大的不同在于其影响范围主要在虚拟的数字空间, 需要借助人的作用才会对真实世界造成影响;而工业领域是真实世界的重要组成部分, 是现代人类文明的基础, 工业领域的信息安全问题会直接对工业生产造成损失, 对社会秩序造成重大的影响甚至威胁到人类的安全。我们认为从网络安全的角度出发, 可以用新问题、老方法的方式来看待工业控制网络安全问题。

1.工业控制网络安全和传统网络安全产生的原因

无论是传统信息安全或者是工业控制网络安全, 他们的发生有其共同的特点: (1) 都是信息化、互通化, 都发生在网络世界里; (2) 系统平台的脆弱性和通用性, 都有比较多的漏洞和风险。例如使用通用的商用PC机、操作系统 (如Windows等) ; (3) 人员操作的不规范化、随意性和恶意行为。例如随意越权访问、随意使用外设等行为; (4) 恶意代码攻击、病毒、木马传播和控制。但对于工业控制网络而言, 也有其特殊的地方:由于OPC控制协议依赖于OLE/COM/DCOM技术, 目前还不为大多的网络安全产品所能识别, 无法有针对性的对其进行防御, 这也工业控制网络领域成为网络安全重灾区的原因。

2.工业控制网络安全和传统信息安全防御手段的一致性

信息系统安全等级保护应依据信息系统安全保护等级情况保证他们具有相应等级的基本安全保护的能力, 一般是从基本技术和基本管理两个方面进行。具体采用的手段有区域隔离、访问控制、审计报警追踪、身份认证、漏洞扫描、风险评估和安全行为规范等方法, 在不同的区域内实行等级保护, 来分层次、逐级别进行防御, 从而确保整个网络系统的安全性。

对于工业控制网络安全而言, 从方法论的角度, 我们认为参考风险评估和等级保护的规范和技术手段, 依然可以保证工业控制网络系统的安全。当然由于工业控制网络有一些区别于传统IT信息网络的特殊性, 一些规范的细节和具体技术手段的使用要求会有不同。

3.工业控制网络对网络安全产品有其自身的特殊要求

(1) 高实时性; (2) 复杂的电磁环境; (3) 特定的供电环境; (4) 恶劣的温度、湿度环境; (5) 专业的通讯协议; (6) 高可靠性和MTBF; (7) 使用人员不同。通过了解上述网络安全的相关原理、特性以及参考国际、国标行业相关的标准和ANSI/ISA-99、IEC62443标准, 我们可以得出如下结论:在传统网络安全产品的基础上还需要改造硬件平台, 使其满足工业级网络运行环境要求;提升数据处理的实时性, 使其满足工业控制网络信息的高实时性的要求;增加专用协议识别, 使其满足访问控制功能识别工业控制协议的要求, 完善和改进易懂、易用的人机交互管理系统, 才能达到工业控制网络安全产品的要求。

篇4：他山之石促我国工控系统信息安全

2010年伊朗爆发的“震网”病毒，感染了

包括4万5千多个工控系统网络。这次事件给我们敲响了警钟，说明大型关键工控系统的应用企业在保障工控系统信息安全方面仍然存在着严重漏洞，这对于工业生产运行和国家经济安全构成了巨大威胁。在此形势下，工信部曾于2011年下发了《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）。《通知》指出，从相关政府部门到各地区，包括核设施、制造业、钢铁、化工、石油石化、电力等关系国计民生的重要领域都应当充分认识到工控系统信息安全的重要性和紧迫性。

我国工控信息安全现状

国家政策及标准

为加强工控系统信息安全的保障工作，我国政府先后出台了《关于开展重要工业控制系统基本情况调查的通知》（工信厅协函〔2011〕1003号）、国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）等文件，发布了GB/T 26333-2010《工业控制网络安全风险评估规范》、GB/T 18272-2000《工业过程测量和控制系统评估中系统特性的评定》等推荐性的国家标准。由于工控系统涉及的行业众多，各行业具体的管理要求和系统设备的工作环境不尽相同，因此，必须深入研究我国工业控制系统的行业特点和需求，才能有针对性地制定相关行业的工业控制系统信息安全保障标准。

篇5：信息系统安全自查报告

一、自查情况

1、安全制度落实情况: 目前我院已制定了<网络安全管理制度>、<计算机信息系统安全保密管理制度>、<涉密人员管理制度>等制度并严格执行。信息管护人员负责信息系统安全管理，密码管理，且规定严禁外泄。

2、安全防范措施落实情况:(1)计算机经过了信息系统安全技术检查，并安装了防火墙，同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(2)禁止使用来历不明或未经杀毒的一切移动存储介质。(3)在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒，不使用来历不明、未经杀毒的软件、软盘、光盘、u盘等载体，不访问非法网站，自觉严格控制和阻断病毒来源。在单位外的u盘，不得携带到单位内使用。(4)安装了准入准出管理系统，对内部网络中出现的内部用户未通过允许私自联到外部网络的行为进行检查。对外来终端接入医院网络必须进行健康度审查，直至符合相关要求后，经管理员审核才能接入医院网络。对接入互联网的终端计算机采取控制措施，包括实名接入认证、IP地址与MAC地址绑定等，定期对终端计算机进行安全审计；规范化使用终端软硬件，不得擅自更改软硬件配置，不得擅自安装软件，严禁在计算机上安装非法盗版软件；监控系统开启服务与程序情况，关闭不必要的服务、端口、来宾组等，防止恶意程序后台运行，防止安装过多应用软件及病毒、木马程序的自运行；加强网络访问控制，防止计算机进行违规互联，防止信息因共享等方式进行违规流转，防止木马、病毒在信息系统内大规模爆发。(5)安装了防病毒系统、威肋预警系统，服务器安装支持统一管理的防病毒软件，及时更新软件版本和病毒库;整改配备威胁管理平台和杀软，主机与网络的防范产品统一管理，且必须与终端杀毒软件属不同的安全库；定期（如每半年年）进行系统漏洞扫描，并根据扫描发现的漏洞开展整改工作，应定期（如每月）对恶意代码查杀结果进行分析，对于查杀发现的病毒及其传播、感染方式进行通告，并出具分析报告，及时更新操作系统的安全补丁，更新前应对补丁进行测试，确认其不影响操作系统的业务性能后，再安装系统安全补丁。(6)安装了数据库审计系统（防统方）软件，审计范围覆盖到服务器上的每个操作系统用户和数据库用户；审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等；对医院数据库几张重要的表格（统方）采取相应的安全措施，降低国家省里卫计委三令五声的统方信息泄露事件。整改配备数据库审计系统（反统方），对重要客户端的审计和审计报表计记录的保护。部署数据库审计系统，赋予安全管理员审计系统管理权限，其中系统管理员无审计系统日志访问权限，安全管理员无数据库系统管理权限；(7)安装了网闸隔离设备，医院内网与外网原本是物理上隔离，因部份数据需要内外网进行交互，采用专用三机统的安全网闸来实现内外网数据交互，保障安全。

3、应急响应机制建设情况:(1)制定了初步应急预案，并处于不断完善阶段。(2)对信息系统数据进行定期备份，以降低或消除各种灾难对正常工作的影响。

4、信息技术产品应用情况: 使用防火墙、安全网闸与入侵检测系统，有效保护信息系统安全。

5、信息安全教育培训情况:(1)我院不断加强对计算机使用者的安全培训工作，强化每一个使用者安全使用网络的能力，提高安全防范意识，对每台入网计算机的使用者、ip地址进行登记造册。(2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识，有效提高信息安全防护能力。

二、信息安全检查发现的主要问题及整改情况

1、目前存在的问题:(1)规章制度体系初步建立，但还不够完善，未能覆盖信息系统安全的所有方面。(2)不少信息系统使用人员安全意识不强，在管理上缺乏主动性和自觉性。(3)网络安全技术管理人员配备较少，信息系统安全方面投入的力量有限。

2、整改措施:(1)再次检查规章制度各个环节的安全策略与安全制度，并对其中不完善部分进行重新修订与修改，切实增强信息安全制度的落实工作，不定期对安全制度执行情况进行检查。(2)继续加强人员的安全意识教育，提高人员安全工作的主动性和自觉性。(3)加大对线路、系统等的及时维护和保养，加大更新力度。提高安全工作的现代化水平，便于进一步加强对计算机信息系统安全的防范和信息系统安全工作。

三、对信息安全检查工作的意见和建议

1、加强信息网络安全技术人员培训，使安全技术人员及时更新信息网络安全管理知识。

2、加强人员的信息安全意识，不断地加强信息系统安全管理和技术防范水平。

篇6：单位信息安全系统自查报告

我单位目前只有一个污染源在线自动监控系统，并已向公安部门定级备案为二级系统。为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，先严格按照《信息系统安全等级保护实施指南》对系统进行运营和管理。

污染源在线自动监控系统由我单位环境监察大队负责管理，并派监察大队室主任夏烈同志专门负责具体运营实施，已有等级保护工作文件并制定相关方案。我单位严格依据国家等级保护政策、标准规范和行业主管部门要求，组织开展各项工作，单位领导对等级保护工作十分重视，并根据上级要求对系统专业人员进行业务培训。

单位重要岗位人员都已签订信息安全和保密协议，有完整的外部人员访问机房等重要区域的现场陪同记录。建立了安全责任制，系统管理员、网络管理员、安全管理员、安全审计员与本单位都已签订信息安全责任书。有专人负责机房安全管理，并建立了机房进出人员管理和日常监控等相关制度。已建立系统建设相关管理制度，并有专人负责信息安全产品采购、使用管理、工程实施、服务外包等系统建设项目，单位建立了日常信息安全监测和预警机制，并周期性备份重要数据及重要信息系统。

污染源在线自动监控系统已向公安部门定级备案，并定性为第二级信息系统，每月请外包公司对信息系统进行升级以提升系统的安全保护等级，信息系统所承载的业务、服务范围、安全需求等未发生重大变化。我单位对本信息系统的重要新有清楚的认识，定期开展重要信息系统相关的威胁分析和相互依赖分析。

单位准备将重要信息系统等级测评和安全建设整改工作纳入经费预算，要求测评机构和测评人员提供相关证明和资质材料，并与相关测评机构签订保密协议并对测评过程进行监督，做到重要信息系统严格保密，严格按照国家标准和行业标准建设安全设施落实安全措施，并根据等级测评结果对不符合安全标准要求的地方，进一步进行整改。

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处