工控信息安全解决方案

工控信息安全解决方案（精选8篇）

篇1：工控信息安全解决方案

施耐德电气工控PLC信息安全解决方案获得国家能源局及电力集团用户的高度肯定

近日，全球能效管理专家施耐德电气参加了由国家能源局召开的“电力工控plc设备安全防护研讨会”，并作为唯一的PLC设备厂家在会议上介绍了工控PLC信息安全解决方案，得到了国家能源局及电力企业的充分认可及推广；同时，施耐德电气此前认真配合某五大电力集团实施信息安全整改试点工作的成功经验，也在此次会议上得到了该电力集团用户的高度肯定，彰显出施耐德电气PLC产品的安全可靠性，及其在工业信息安全领域卓越的实践和服务能力。

电力行业是中国工控信息安全的重点领域。为进一步推动电力行业工控PLC信息安全工作的深入开展，交流相关工作经验，国家能源局专门于2015年7月5日在江苏南京召开了本次电力工控PLC设备安全防护研讨会。国家能源局电力安全监管司、信息中心以及各地区能源监管单位、电力行业内包括五大电力集团在内的主要电力企业及信息安全测评机构的有关领导和专家均参加了此次会议，同时，主要PLC设备厂家也参加了会议。

本次会议上，国家能源局电力安全监管司有关司领导明确指出，施耐德电气是一直以来配合电力行业开展工控PLC信息安全工作最好的PLC设备厂家，不仅其信息安全解决方案获得了权威检测机构出具的检测报告，还认真配合电力企业成功地开展了信息安全整改试点工作。

本次会议，电力集团企业信息安全负责人也重点介绍了施耐德电气此前配合该集团旗下多家电厂开展信息安全整改试点工作的成功经验：据介绍，在项目实施过程中，施耐德电气不仅提供了完整的整改解决方案，还充分考虑到电厂整改涉及到停机和重启等行业特殊性，与电厂人员密切配合，准备了完善、充分的应急预案。整改后，电厂运行平稳，并通过了专家组评审认可，使该电力集团在工控信息安全方面得到了整体提升和持续保障。

作为一家积极履行行业责任的工控产品供应商，施耐德电气基于自身的技术实力，一直致力于提升自身产品的安全性，并助力全行业广大用户提升整体信息安全水平和风险防范能力。以工业控制产品为例，施耐德电气旗下的莫迪康昆腾PLC、M580 ePAC等产品均经过了国家信息技术安全研究中心、中国电力科学研究院等权威测评机构的检测，证明施耐德电气PLC产品本身集成的、完善的安全性功能可以有效应对信息安全入侵，保障工控系统的信息安全。而针对中国工业用户的实际需求，施耐德电气首创了“自下而上”的三级纵深防御体系，使更多的用户得以灵活、务实地满足其工业信息安全需求。

施耐德电气高级副总裁、工业事业部中国区负责人马跃表示：“中国制造2025、工业智造等产业理念的快速推进和普及，使广大行业用户在提升其信息化水平的同时，也面临着工业信息安全领域的迫切挑战。施耐德电气愿意进一步利用其领先的技术资源和专家经验，并积极和行业用户、国家安全测评机构进行紧密合作，不断推动中国工业信息安全水平的整体提升，成为用户持续应对未来安全挑战时最可信赖的伙伴。”

篇2：工控信息安全解决方案

一、工业控制系统安全分析

工业控制系统(Industrial Control Systems, ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。

1.1 工业控制系统潜在的风险

1.操作系统的安全漏洞问题

由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，导致系统带着风险运行。

2.杀毒软件安装及升级更新问题

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。

3.使用U盘、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全事件时有发生。

4.设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护，没有到达一定安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的威胁。

5.存在工业控制系统被有意或无意控制的风险问题

如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。

6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题

对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

1.2 “两化融合”给工控系统带来的风险

工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。

同时，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业控制系统和管理信息系统进行了集成，管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联。

1.3 工控系统采用通用软硬件带来的风险

工业控制系统向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

2、MES层与工业控制层之间的安全防护

通过在MES层和生产控制层部署工业防火墙，可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标：

 区域隔离及通信管控：通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部分。

 实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。

MES层与工业控制层之间的安全防护如下图所示：

2.1.3 工控系统安全防护分域

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。

在管理层、制造执行层、工业控制层中，进行管理系统安全子域的划分，制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分，使用每一个安全域都要明确的边界，便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示：

如上图所示，为了保证各个生产线的安全，对各个生产线进行了安全域划分，同时在安全域之间进行了安全隔离防护。

2.1.4 工控系统安全防护分等级

根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障信息的安全。

安全域的等级划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。

二、工业控制系统安全防护设计

通过以上对工业控制系统安全状况分析，我们可以看到，工控系统采用通用平台，加大了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷造成的安全风险，主要从两个方面进行安全防护。

 通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统操作的唯一性。

 通过工控系统安全管理平台，确保HMI、管理机、控制服务工控通信设施安全可信。

2.1 构建“三层架构，二层防护”的安全体系

工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害，网络风暴和拒绝式服务攻击很容易消耗系统的资源，使得正常的服务功能无法进行。

2.1.1 工控系统的三层架构

一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间，主要避免管理层直接对工业控制层的访问，保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示：

通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是计划管理层、制造执行层、工业控制层。

管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了许多子系统，如：生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。

制造执行系统(MES)处于工业控制系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。

2.1.2 工控系统的二层防护

1、管理层与MES层之间的安全防护

管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁，具体表现为：避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。

也就是说，管理层与MES层之间的安全防护，保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示：

2.2 构建工业控制系统安全管理平台

工业控制系统和传统信息系统具有大多数相同的安全问题，但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性，在某一特定的工业控制系统中，工业控制系统只需用唯一的工业应用程序和工业通信协议运行，其他一概不需要。

启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境，对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成，一部分是工业控制系统安全管理平台，具有终端管理、网络管理、行为监控功能，另一部分是终端安全管理客户端。

2.2.1 管理平台部分

工业控制系统的安全运行，主要需要保障工业控制系统相关信息系统基础设施的安全，包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类IT资源的安全，从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控、运行监控与安全监控)，实现对安全事件的预警与响应，保障工业控制系统的安全稳定运行。

具体而言，工业控制系统安全管理平台功能如下：

1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控，例如CPU、内存、端口流量等等。

2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。

3.能够对各层边界数据交换情况进行监控。

4.能够对工业控制系统中的网络操作行为进行审计。

5.能够对工业控制系统日志进行关联分析和审计。

6.能够对工业控制系统中的异常事件进行预警响应。

7.能够对工业企业信息系统进行虚拟安全域的划分。

2.2.2 工业控制系统终端安全管理部分

由于工业控制系统管理终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。

工业控制系统终端最大特点是应用相对固定，终端主要安装工业控制系统程序，所以，要防范传统方式的病毒或木马等恶意软件，最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。

具体而言，工业控制系统安全管理平台终端安全管理部分功能如下：

1.工业控制系统安全管理平台客户端软件轻巧精炼，占用资源极少，能够最大程度保证工业控制系统管理终端的稳定性。

2.工业控制系统安全管理平台客户端具有终端准入控制功能，可以防止没有达到安全基线的笔记本对终端进行管理。

3.工业控制系统安全管理平台客户端具有终端安全优化与加固功能，能够对工业控制系统终端进行安全优化和加固，使终端安全水平达到一定的安全基线。

4.工业控制系统安全管理平台客户端具有外设管理功能，对工业控制系统的外设进行管理，比如USB接口、光驱、网卡、串口等。

5.工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能，对终端中的工业控制系统软件进行监控和管理。

6.工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定，客户端能够对终端通信协议具有唯一性管理功能。

7.工业控制系统安全管理平台客户端具有离线管理功能，工业控制系统终端有一部分无法进行在线管理，客户端具有比较强大的离线自管理功能，可以完成对离线终端的管理。

8.工业控制系统安全管理平台客户端具有强身份认证功能，客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能，从而防止工业控制系统被有意或无意被控制的风险。

三、总结

国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒，为整改工业生产控制系统安全敲响了警钟。

为此，工信部在2011年10月下发了“关于加强工业控制系统信息安全管理的通知”，要求各级政府和国有大型企业切实加强工业控制系统安全管理。工信部赵泽良司长也强调，工业控制系统安全工作也到了非加强不可的时候，否则将影响到我国重要的生产设施的安全。

篇3：工控信息安全解决方案

信息时代,对石油化工等制造业而言,以震网蠕虫为代表的木马、病毒等对工业自动化生产安全带来了极大威胁,工业控制系统安全成为信息化时代企业安全生产的重中之重。最初的工控系统被设计为独立封闭的系统,其安全风险主要来自设备运行不稳定、操作不合理等方面。但是,随着信息化的推进和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。

1 石化行业工控系统面临的信息安全问题

随着石化行业信息化的不断深入,管理的精细化和智能工厂的实施,都离不开实时的现场信息,因此管与控的结合就成为了必然趋势。DCS控制系统与外界不再隔离,控制网络和信息网络之间广泛采用OPC通信技术;此外,先进过程控制(APC)也需要OPC技术建立通讯。目前,常用的OPC通讯随机使用1024~65535中的任意端口,采用传统IT防火墙进行防护配置时,被迫需要开放大量端口,形成严重的安全漏洞;同时,OPC的访问权限过于宽松,任意网络中的任意计算机都可以运行OPC中的服务;且OPC使用的Windows的DCOM和RPC服务极易受到攻击。普通IT方后勤无法实现工业通讯协议过滤,网络中某个操作站/工程师站感染病毒,会马上传播到其它计算机,造成所有操作站同时故障,严重时可导致操作站失控甚至停车[1]。目前,存在的工控信息安全问题主要有[2]:

(1)操作系统漏洞。目前,工业计算机操作系统大多采用Windows操作系统,甚至还有XP系统,这些一般不允许安装操作系统的安全补丁和防病毒软件。针对性的网络攻击、病毒感染都会给系统造成严重后果,而且由于漏洞和病毒公布的滞后性,杀毒软件并不能有效地进行防护。此外,不正当的操作,比如,在项目实施和后期维护中使用U盘、笔记本等外设,也会存在一定的安全隐患。

(2)隔离失效。大多数石化企业通过OPC的双网卡结构对数据采集网络与控制网之间进行了隔离,使得恶意程序无法直接攻击控制网络。但对于针对Windows系统漏洞的病毒,这种设置就失去了效果,造成病毒在数采网和控制网之间传播。

(3)信息安全延迟性。若工业网络遭受黑客攻击,维护人员无法采取相应措施,并查询故障点和分析原因。通常情况下,小的信息安全问题直至发展成大的安全事故才会被发现和解决。

2 柴油加氢控制系统安全防护简介

目前,我国炼油、石化等行业工业控制系统一般分为3部分:控制层、数据采集层和管理信息层,普遍采用DCS(分散控制系统)和PLC(可编程逻辑控制器)等数字化手段,自动化程度高,多以DCS系统为核心、PLC为辅机控制,形成对设备组命令的下达与控制,并对DCS和PLC反馈的数据进行分析以掌握设备组的整体运行状况。

某石化公司的柴油加氢系统采取安全防护后的拓扑结构如图1所示。

实时服务器和组态服务器组成管理信息层;监控层包括操作员站、工程师站、OPC应用站和异构系统工作站,控制层包括以DCS为主控制温度显示仪表、液位计、继电器和阀门等仪表,PLC为辅控制报警器。其中,设备层与控制层通过模拟数字通信模块通信。其中:(1)信息层与数据采集层之间添加纵向隔离平台,避免信息层向下采集数据时造成信息泄露;(2)异构系统应用站采用横向隔离平台,防止其它系统对加氢操作工艺产生不必要的影响;(3)引入智能防火墙,对工业协议和应用程序进行审计、监控。

3 工业网络中的安全区域

按照IEC 62443定义,“区域”由逻辑的或物理的资产组成,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系[3]。

3.1 使用操作域识别区域

安全区域的建立,第一步就是识别所有操作域,以确定每个区域的组成及边界所在。一般在工业网络中建立区域时,要考虑的操作域包括有网络连接控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问以及用户群体和工业协议组之类。其目的是通过隔离使各操作域受到攻击的风险最低,从而进一步使用各类安全产品和技术对每个操作域进行保护,成为安全区域。然而现实情况下,有必要使用操作域间功能共享来简化操作域,从而有效地将重叠的操作域结合成一个独立的更大的区域。

3.2 区域边界建立

理想情况下,每个操作域与其它区域都有明确的边界,并且确保每个分区都采用独特的安全防护设备,这样边界防御才能部署在正确的位置上。

识别区域后,将其映射到网络,从而定义清晰的边界,CIP-005-3[4]的NERC规则中提到该过程的要求。只有存在已被定义和管理的接入点,区域才会被保护。

3.3 网络架构调整

所有设备都应该直接连接到该区域或者该区域的任何设备上,然而,比如一台打印机不属于该区域,但是可能连接到本地交换机或路由器的接口或无线接入上。这种差错可能是不当的网络设计或网络寻址的结果。当定义了安全区域的划分并对网络架构作出了必要的调整,这样就具备了履行NERC CIP、ISA99、CFATS等符合规范性要求的必要信息。

3.4 区域及其安全设备配置

防火墙、IDS(入侵检测系统)和IPS(入侵防护系统)、安全信息和事件管理系统(SIEM)以及许多其它安全系统支持变量的使用,使得边界安全控制与合规性要求相互关联。

对于每一个区域,如下几项都应保持在最低限度[5]:(1)通过IP地址,将设备划分到特定区域;(2)通过用户名或其它标志,获得修改区域权限的用户;(3)在区域中使用的协议、端口及服务。

创建这些变量将有助于制定用于增强区域边界的防火墙和IDS规则,同时也会帮助安全监管工具检测策略异常并发出警报。

4 对安全区域边界和内部的安全防护

CIP-005-4R1要求在“任何关键网络资产”边界,以及该边界上的所有访问点都要建立通过对已建立、标识并记录归档电子安全边界(ESP)[6]。区域周围建立电子安全边界可以提供直接的保护,并且防止对封闭系统未经授权的访问,同时防止从内部访问外部系统,这是很容易忽略的一点。

要使建立的电子安全边界能有效保护入站和出站流量,必须达到两点要求[4]:(1)所有的入站和出站流量必须通过一个和多个已知的、能够被监控和控制的网络连接;(2)每个连接中应该部署一个或多个安全设备。

4.1 区域边界安全防护

对于临界点,NERC CIP和NRC CFR 73.54[7]给出了安全评价标准以及建议的改进措施,如表1所示。

其中防火墙和IPS都被建议的原因是,防火墙和IPS设备具有不同的功能:防火墙限制了允许通过边界的流量类型,而IPS则检查已被允许通过的流量,目的是为了检测恶意代码或恶意软件等带有破坏目的的流量。这两种设备的优势在于:(1)IPS可以对所有经过防火墙的流量进行深度包检测(DPI);(2)防火墙基于定义的安全区域变量限制了通过的流量,使IPS可以专注于这部分流量,并因此可以执行更为全面和强大的IPS规则集。

4.2 区域内部安全防护

区域内部由特定的设备以及这些设备之间各种各样的网络通信组成。区域内部安全主要是通过基于主机安全来实现,通过控制终端用户对设备的身份认证、设备如何在网络上通信、设备能访问哪些文件以及可以通过设备执行什么应用程序。

主要的3种安全领域[5]:(1)访问控制,包括用户身份认证和服务的可用性;(2)基于主机的网络安全,包括主机防火墙和主机入侵检测系统(HIDS);(3)反恶意软件系统,如反病毒(AV)和应用程序白名单(AWL)。

5 结语

石油化工等关键基础设施和能源行业关系国计民生,在我国两化融合深入发展的同时,如何确保工控系统信息安全是石化行业信息化建设的重要研究课题。本文以某石化行业柴油加氢系统架构为例,重点介绍了如何识别和分隔操作域,确定每个区域的边界和组成,最终建立安全区域,并从外部使用防火墙、IDS、IPS以及应用程序监控器等安全设备,从内部使用主机防火墙、主机IDS和应用程序白名单等对工业控制系统进行保护。

参考文献

[1]李东周.工控蠕虫病毒威胁,化企如何应对?[N].中国化工报,2014-05-27.

[2]温克强.石化行业工控系统信息安全的纵深防御[J].中国仪器仪表,2014(9):37-38.

[3]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP-005-3.cyber security—electronic security perimeter[S].2009.

[5]纳普.工业网络安全:智能电网,SCADA和其他工业控制系统等关键基础设备的网络安全[M].周秦,译.北京:国防工业出版社,2014.

[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP-005-4.cyber security—electronic security perimeter[S].2011.

篇4：他山之石促我国工控系统信息安全

2010年伊朗爆发的“震网”病毒，感染了

包括4万5千多个工控系统网络。这次事件给我们敲响了警钟，说明大型关键工控系统的应用企业在保障工控系统信息安全方面仍然存在着严重漏洞，这对于工业生产运行和国家经济安全构成了巨大威胁。在此形势下，工信部曾于2011年下发了《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）。《通知》指出，从相关政府部门到各地区，包括核设施、制造业、钢铁、化工、石油石化、电力等关系国计民生的重要领域都应当充分认识到工控系统信息安全的重要性和紧迫性。

我国工控信息安全现状

国家政策及标准

为加强工控系统信息安全的保障工作，我国政府先后出台了《关于开展重要工业控制系统基本情况调查的通知》（工信厅协函〔2011〕1003号）、国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）等文件，发布了GB/T 26333-2010《工业控制网络安全风险评估规范》、GB/T 18272-2000《工业过程测量和控制系统评估中系统特性的评定》等推荐性的国家标准。由于工控系统涉及的行业众多，各行业具体的管理要求和系统设备的工作环境不尽相同，因此，必须深入研究我国工业控制系统的行业特点和需求，才能有针对性地制定相关行业的工业控制系统信息安全保障标准。

篇5：工控信息安全解决方案

银行位于城市的各个角落，属于国家的重点安全防范单位，它具有规模多样、重要设施繁多、出入人员复杂、管理涉及领域广等特点，它作为当今社会货币的主要流通场所、国家经济运作的重要环节，以其独特的功能和先进的技术广泛服务于国内各行业中，因此，提高银行系统的科学性和安全防范能力显得尤为重要。广东某公司一直致力于金融行业安全防范的研究，开发出一整套基于研祥智能股份的工控机为平台的高效、准确，安全可靠的监控系统。现已在国内许多商业银行广泛采用。

[系统要求]

整个工程的安全性和可靠性;

应用产品的可靠性和兼容性;

系统具有未来的可扩展性;

集中控制、布局合理;

施工方便、价格合理、外形美观;

[系统原理及框图]

这套系统从下至上分为：ATM机监控系统、营业大厅监控系统、银行中心机房监控系统、报警处理及上传子系统四个部分，

ATM自动提款机录像监控的主要目的是监控每一笔交易时的现场情况，为防止出现交易纠纷或恶意透支及其他经济犯罪提供录像资料，同时也监控对提款机的破坏行为。通过软件将针对不同的工作状态如：监视、振动、出钞、接近四种状态，采取相应的摄像、录像方式感应到强烈震动时，探测器发出报警触发信号启动录像机进行录像，同时通过声光报警装置发出警报信号。

营业大厅监控系统由前端设备、传输设备、控制设备、显示和记录设备四大部分组成，监控的对象有柜台工作人员每天的工作现场情况，为银行业务管理、交易纠纷及其他经济犯罪活动提供录像资料，因此，对系统录像的清晰度、录像时间、录像检索、系统稳定性、方便性、智能化均有较高的要求。

[系统配置]

1、ATM监控机：IPC-6806/HPC-1711CLD2N/160G

HPC-1711CLD2N：P4级PCI主板，无风扇、低功耗，在板CeleronM800MCPU、128M内存

2、银行监控机：IPC-8621/FSC-1717VN/CPUP43.2G/硬盘600G/内存1.0GDDR

3、防火墙：IPC-8116/NET-1611V4N/CPUPIII1.0G/硬盘80G/内存256MSD

[综合评价]

篇6：工控信息安全解决方案

通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析，安恒信息提出内/外并重的安全解决方案(参见示意图)，即：在现有的安全保障措施下，在互联网接入区增设WEB应用防火墙，防止来自医院外部的信息窃取;在不影响HIS系统、PACS系统、EMR系统等应用系统的前提下，在核心业务服务区增设数据库审计设备，通过对网络中的海量、无序的数据进行处理、关联分析，实时监控内部人员的越权、违规操作，防止患者信息、医院经营/财务/科研等敏感数据的外泄，构筑八大安全防线，保护院方的核心利益。

防非法“统方”

医药购销领域商业贿赂给临床医生带来很大负面影响，非法“统方”是医药代表事实定量贿赂的主要依据，医院信息科、药剂科、开发商是提供“统方”的重要来源。应用数据库操作监控审计设备，对于来自HIS系统、EMR系统等业务系统的所有数据库操作行为保留操作痕迹，以便在追究法律责任或医疗纠纷时可提供回溯性认定;对于来自维护人员的远程数据库操作进行实时监控，实时阻断正在发生的非法“统方”违纪、违法行为，使工作人员从技术上远离“统方”禁区。

防恶意篡改

医院信息系统全面记录了患者的医疗活动，包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等，信息的真实性、可靠性、保密性颇受关注。然而为满足提高医疗活动效率和质量的需求，不仅医疗机构内部多个业务系统之间存在信息的流转，同时也不可或缺的需要开放一些对外的接口，比如：医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等，使得信息系统的安全风险剧增。部署WEB应用防火墙，可以实时检测异常入侵，有效识别、阻止各类应用层黑客攻击，阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行为，保障信息的真实性。

防隐私泄密

包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如：亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于绝对的个人隐私，对这些敏感信息的阅读、复制、打印均需要设置相应的权限，并记录使用记录。WEB应用防火墙的部署，可以抵御外部利用技术漏洞的数据盗用、窃取、篡改行为，数据库审计设备的部署，可以从技术上监督医疗机构管理制度的落实情况，阻止患者信息、诊疗信息、费用信息的外泄。

防越权操作

为有效遏制“统方”行为，各医疗机构纷纷采取“角色分离、最小授权”的安全管理制度，对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。数据库审计设备的应用，不仅能够重点监控未通过业务系统(HIS、PACS等)进行的数据库操作(比如：误操作数据的纠正、应用程序BUG引起的数据调整)，同时可以依据细粒度的审计规则(如：HIS系统中的价格数据维护，仅允许物价办公室专岗人员进行)，发现越权操作行为并及时告警。

防权限滥用

安全不仅是技术问题，更多的是管理问题，人的因素才是关键。利益的驱使、法律意识的淡薄，导致部分人员利用职务之便，铤而走险，监守自盗，为自己及他人谋利益。数据库审计设备的部署，一方面给这些不法之徒树立了警示碑，另一方面从技术上对违规操作加大了监管力度，一旦发现疑似违规操作自动告警，为及时制止违法、违规行为赢得了时间

防事后抵赖

一旦发生安全事件，攻击者或内部人员往往否认自己的操作行为。职权分离的数据库审计设备的部署，不仅满足了信息系统安全等级保护及企业内控的规范要求，同时，友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗，为公安机关查处违法案件提供有力的证据。

防保险欺诈

病历信息(如：法定医学证明及报告、收费收据等)在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要，这些信息若被不法分子利用，可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控，识别未授权操作，并实时短信告警或阻断操作。

防医疗纠纷

篇7：华为企业信息安全解决方案

——华为企业信息安全解决方案

信息安全1101

王春晖

3110604007 摘要：随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变，其重要性日益越来越明显，信息安全所包含的内容、范围也不断的变化。计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要，如果这些信息系统及网络系统遭到破坏，造成数据损坏，信息泄漏，不能正常运行等问题，则将对企业的生产管理以及经济效益等造成不可估量的损失，信启、技术在提高生产效率和管理水平的同时，也带来了不同以往的安全风险和问题。关键字：信息安全，安全策略，解决方案正文：

应用概述

华为企业信息安全解决方案主要面向企业客户，立足于企业信息安全的主要痛点，诠释了企业信息安全该如何建设的真谛。该安全解决方案以精细化的的数据安全保护，保障商业机密信息的安全交换；以精准主动的威胁防御，保障企业业务运营的连续性；以防IT特权滥用，从内部瓦解潜在威胁，避免滥用权限造成信息泄密；以通过安全策略分发和安全态势分析的安全管理，精细化的安全审计，让违规行为无处藏身，通过合规遵从性检查避免企业遭受外部法律风险，满足行业要求。

安全需求分析

信息安全风险和信息化应用情况密切相关，和采用的信息技术也密切相关，公司信息系统面临的主要风险存在于如下几个方面：

计算机病毒的威胁：在业信息安全问题中，计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。

在目前的局域网建成，广域网联通的条件下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与网络尚未联通之时相比，高出几个数量级。

网络安全问题：企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如：办公自动化系统，营销系统，电子商务系统，ERP，CRM，远程教育培训系统等，通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商，企业内部职工可以通过互联网方便地浏览网络查阅、获取信息，即时聊天、发送电子邮件等。

如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。

如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。信息传递的安全不容忽视：随着办公自动化，财务管理系统，各个企业相关业务系统等生产，经营方面的重要系统投入在线运行，越来越多的重要数据和机密信息都通过企业的内部局域网来传输。

网络中传输的这些信息面临着各种安全风险，例如被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱，信息错由于入侵、破坏企业信息系统的事件每天都在发生，加上人们对Internet危险性的认知不断加强，人们对信息安全的需求前所未有地高涨起来。对于大多数高级企业主管而言，已经认识到安全问题已不再遥不可及。安全风险会大大降低公司的市场价值，甚至威胁企业的生存。即使很小的风险也能将公司的名誉、客户的隐私信息和知识产权等置于危险之中。

在这样的环境中，企业如何才能有效地解决这些问题呢？值得高兴的是，华为提供了一套行之有效的信息安全解决方案帮助企业建立安全灵活的基础设施，保护极其复杂的应用程序和资源，并通过系统的安全管理策略，计划规程，实施及监督程序等来保护企业的核心业务。

安全策略制定

信息安全不是简单的产品堆砌，安全实际上是企业管理和技术的综合性问题，只有分阶段性建立科学完善的信息安全管理体系，并在这个管理体系的指导下，构筑符合企业自身需要的信息安全技术架构，从管理和技术两个维度才能保证企业IT基础设施的安全，保证企业信息资产的安全。

安全管理的核心是安全组织，包括决策层，管理层和执行层，有明确的责权定义。安全组织的主要职责是制定企业信息安全的行政政策和技术策略，标准，指导以及基线，所有企业信息安全相关活动都需要在安全政策的规定下进行。安全策略指导信息安全管理与业务和流程的有机结合，明确信息安全建设的方向和策略。

安全运作包含流程、人、技术，能够保证安全落到实处，并且是逐渐闭环优化的。安全能力是评估企业进行信息安全建设的能力框架，包括评估、度量、知识库等，通过对安全工程管理的方式，将系统安全工程转变为一个具有良好定义的、成熟的、可测量的信息安全工程。

产品选择与部署

华为大企业信息安全解决方案主要面向企业客户，从数据防泄密，攻击防护，避免IT特权滥用，安全管理及合规审计等四个维度，诠释企业信息安全建设的纲领，构筑企业核心竞争力。

该安全解决方案着眼于拓宽企业用户的视野，帮助客户了解信息安全建设真谛，解读方案的技术实现，解决企业信息安全诉求，是最贴近用户安全诉求的企业信息安全解决方案。

另外，华为大企业信息安全解决方案以完备的企业信息安全体系，诠释着信息安全该如何建设的真谛；以贯穿多安全维度的身份识别，让伪装者和违规者有迹可循，无路可逃；以精细化的数据安全保护，来保障商业机密信息的安全交换；以精准主动的威胁防御，来保障企业业务运营的连续性；以严密的防特权滥用，从内部瓦解潜在威胁，避免滥用权限造成内部信息泄密；以灵活可靠的安全管理，进行安全策略分发，安全事件审计和安全态势分析，让IT运维人员解放双手，让违规无处藏身，让企业IT系统遵从外部信息安全法律法规和标准、满足行业的监管与要求。

安全管理与服务

企业全面检查终端健康状态，一键式自动修补策略漏、补丁下载安装，多种手段保证终端数据安全，包括外设接口管理控制、终端非法外联控制、USB存储设备加密、移动终端数据加密及远程擦除等。

业界领先防DDoS攻击方案，有效检测流量型、应用型攻击；支持IPV6攻击防御；业界第一的攻击响应速度，秒级检测、秒级清洗；提供50万小时无故障运营保障，99.9999%可靠性，保证企业应用持久运行。

业界领先的URL过滤，6500万URL分类特征库以及实时9000万域名监控，高达96%的精准识别率；全面精准病毒查杀能力，可检测700多万种病毒，防御各种木马，蠕虫，恶意脚本等的威胁攻击，保障企业网络安全。

四层防护全面高效保障服务器安全：网络防御+主机防护（主机防火墙、主机防病毒、主机IPS）+主机漏洞管理(漏洞扫描、配置核查、补丁更新)。

统一认证，统一授权，统一审计，避免企业IT特权滥用

统一运维入口、账号集中管理、权限严格控制，定期审计，防止IT运维或业务管理人员滥用IT特权。

支持字符终端，图形终端，数据库，应用终端，文件传输以及KVM运维方式，几乎涵盖了所有的运维方式，完全满足数据中心运维管理的需要。

业界领先的日志采集，事件智能分析，统一安全策略管理，提升安全运营管理效率

安全管理统一安全策略管理，安全策略集中配置，批量下发，操作简单高效，支持可视化运维诊断。

采用业界领先的并行处理技术实现海量日志数据的即时高效采集和分析。

篇8：工控信息安全解决方案

会议筹划

策划人:仝培杰 (《信息安全与技术》杂志社副主编)

李明远 (中国仪器仪表学会学会部主任/高级工程师)

执行人:佟琳 (《信息安全与技术》杂志社副主编)

许凤凯 (中国软件评测中心工业控制系统可靠性测试中心副主任/博士)

黄蓝青 (中国仪器仪表学会学会部)

座谈议题

(1) 对我国信息安全领域最新政策、技术标准的解读。

(2) 我国工控系统应用对于信息安全需求的迫切性。

(3) 如何从国家政策指导、运行体制保障、制度建设、行为规范、技术标准执行、专项资金建立等诸多角度做支撑, 来加快工业系统信息安全建设与发展的步伐。

(4) 如何从应用环境、安全审计、测量和控制、运维管理、技术实施、信息安全产品的选择等诸多方面, 来确保工业系统的安全运行和业务运行保障。

主持人:刘静平《信息安全与技术》杂志社主编

座谈人员

吴幼华中国仪器仪表学会副理事长兼秘书长/研究员级高级工程师

崔书昆中国信息安全标准化技术委员会副主任

夏德海中国仪器仪表学会技术顾问/教授级高级工程师

马增良中国科学院自动化研究所综合自动化技术工程中心研究员/总工程师

欧阳劲松机械工业仪器仪表综合技术经济研究所所长/教授级高级工程师

赵力行北京自动化技术研究院院长/教授级高级工程师

高昆仑中国电力科学研究院信息安全研究所所长

刘权中国电子信息产业发展研究院信息安全研究所所长/博士

刘法旺中国软件评测中心副主任/博士

汪彤北京市劳动保护研究所副所长

杜京哲中国工业软件产业发展联盟常务副秘书长

梅恪机械工业仪器仪表综合技术经济研究所副总工程师/教授级高级工程师

杨帆清华大学自动化系讲师/博士

崔琳清华大学化学工程系工程师/博士

田雨聪北京国电智深控制技术有限公司总经理助理/高级工程师

薛百华北京东土科技股份有限公司副总经理/总工程师

魏钦志北京力控华康科技有限公司总经理

李洪波北京远东仪表有限公司副总经理

明旭北京中科网威信息技术有限公司副总裁

发言摘要

关于工业控制系统安全问题的研讨会, 在仪器仪表行业已经开过多次, 尤其是近几年国际上对工业信息安全问题引起了大家的重视, 工业信息安全问题也越来越突显。首先我们要认识工业化信息安全的重要性, 其次要论述加强工业化信息安全的必要性, 加强安全的方法、措施和如何防范不安全的因素。通过这个座谈会的形式, 形成一个高层建议, 并建立一个工业信息安全联盟。Safety是一种安全的状态, Security实际上是安全的措施。

1.存在问题

现有的解决问题方案是被动的, 处于“挨打”的局面。目前的解决方案和标准是先将整个企业按地理位置或流程分为若干区 (Zone) 各个区之间由管道来连接, 在管道上安装防火墙或安全网关, 再用黑名单和白名单的办法, 若信息符合白名单的协议就可通过。而所谓纵深防御, 就是从企业的ERP层往下, 层层设关, 最多可达五层, 而且按IEC62443标准, 如有需要则还可在重要的控制器前再设“分”或“二次”防火墙。一旦出现工业信息安全威胁, 生产人员不知道“敌人”何时入侵, 也不知已潜伏的“定时炸弹”何时爆发, 一有风吹草动, 不免风声鹤唳, 草木皆兵, 怎么叫人安心生产?

实用性有待验证。据了解, 目前的解决方案或标准均出自于IT行业, 例如IEC62443标准。提及IT行业对信息要求排序是“保密—完整性—可用性”;而工控行业信息要求则为“可用性—完整性—保密性”。从工控行业的观点来看, 则应从“实用性—可靠性—安全性”方面来对比。有关安全的标准应该是强制性的还是推荐性“预标准 (Pre-standard) ”?正在转化的国际是推荐性的。

另外, 有人认为在目前情况下, 安保作为推荐性标准也是可以的。确实, 目前企业均已采用了安全措施, 如报警、联锁、自诊断、冗余, 最高级的是热备用的双冗余, 但再仔细想想, Security与一般的安全不同, 病毒主要攻击的控制器, 而双冗余的控制器我们一般都采用同一厂商、同一型号的, 一旦给病毒钻了空子而失效, 就会引发很大的问题。

2.应对策略

首先, 我们应该研究具有中国特色的工控安保系统。既然我们不满足于被动的防御方式, 能不能改变一下思路, 采取主动的, 以攻为守的防御方式。

其次, 为了保护企业的安全, 我们也可以加强立法, 有必要建立国家级的工控安保实验室 (或工程中心) 。这个实验室宜挂靠在工业控制部门, 而不要挂靠在IT行业, 同时必须以工控人员为主, 以IT行业人员为辅, 才能引入目前的IT行业中行之有效的安保方案, 如防火墙、杀毒、纵深防御、“密缶”、密网等。

第三, 工控安保认证中心必须立足国内, 认证中心立足国内的目的, 重要是防止技术泄密, 保护我国的知识产权。

最后, 早注意培养“一专多能”的复合型安保人才。工控和IT是两个绝然不同的行业, 一个人要同时精通二者, 很难甚至是不可能的, 但一专多能实践证明是可以做到。

(注:未能到会, 但发来了书面发言)

1.工业控制系统安全面临巨大风险

一是来自自然环境因素和系统本身脆弱性。2003年8月, 北美发生大停电事件, 起因于俄亥俄电厂高压电线触及路旁树枝而造成局部跳电, 原本采取隔离动作即可化解, 但监控电厂运行状态的软件设计有误, 造成邻近电厂接连跳电, 导致空前大停电, 影响5000万人生活, 造成100多亿美元的经济损失。

二是来自黑客和恶意软件等网络攻击。2003年, “震荡波”蠕虫病毒在全球肆虐期间, 美国俄亥俄州核电站企业网络感染蠕虫并扩散到核电站运行网, 造成了核电厂计算机瘫痪, 所幸该厂正在进行例行维护并未上线, 这次事故才没有导致灾难。

三是来自对手的信息攻击。美军某前部长在其回忆录中披露, 1982年6月, 美中央情报局通过利用美国销售给前苏联的控制软件中的缺陷, 对前苏联进行了一次预设攻击, 导致了前苏联西伯利亚一条天然气长输管线发生大爆炸。事情的真伪局外人无从深究。

据业界估计, 每年未加报道的攻击事件在数百例之多。2004年, 美国国土安全部发现1700个设施的SCADA系统存有外部可以攻击的漏洞。在震网病毒之后, 各国又发现德国西门子公司生产的工控系统数十个新漏洞。国外有机构称, 我国生产的“组件王” (Kingview) 亦存在漏洞。

2.加强控制系统安全势在必行

(1) 将工业控制系统安全纳入我国网络和信息安全管理范围及防护体系; (2) 加快制定国家关于工控系统安全的法规和技术标准的步伐; (3) 加强工业控制系统安全技术研究、开发与应用, 把工控系统安全建立在“自主可控”基础之上; (4) 总结我国工控系统安全防护的有用经验并予以推广; (5) 开展工控系统安全的宣传与学术交流, 提高工控系统安全意识。

Stuxnet病毒之类的威胁, 发展到现在, 已经远不止对工控系统、一般自动化系统构成威胁, 而是对所有采用计算机、嵌入式芯片的系统构成了威胁, 包括电网生产调度、油气生产运输、石油化工生产、核设施、航空航天、城市轨道交通、高速列车、水利枢纽、物流、城市上下水、卫生医疗等国家社会基础设施。我们在看到上述具体威胁时更应举一反三, 关注我们面临的信息战、网络战多方面威胁。

(注:未能到会。内容摘自“2011中国信息安全技术大会”上的主题演讲。)

建立工控系统信息安全产品的认证评价体系。在实验室已经通过认证的工控系统在实际上线运行后不一定保证安全, 这里面包括管理、操作、通信接口、集成等方方面面的协作。评估是必要的, 但不足以保证上线后的安全。

从工业软件企业方面说, 西门子公司提出部署纵深防御体系。纵深防御解决方案具体包括保证自动化工厂的物理安全, 建立安全策略与流程, 进行网络分区与边界保护, 建立安全的单元间通信, 系统加固与补丁管理, 恶意软件的检测与防护, 访问控制与账号管理, 记录设备访问日志并进行必要的审计等。简而言之, 就是确保只有绝对必要的人员才能在物理上接触到工控设备。

工控设备在网络上要与其他不必要的相连的系统断开, 维护防火墙的完整性, 坚持打上最新的软件安全补丁等。工控信息安全问题不仅仅是技术层面的问题, 而是从意识培养开始涉及到管理、流程、架构、技术、产品等各方面的系统工程, 要求工控系统的管理者、运营者和产品厂商的共同参与和协作。国内的一些信息安全企业也提出了一些措施, 像工控系统安全平台。工控系统安全平台的核心思想是要对工控系统进行分层分域分等级, 构建三层架构二层防护的安全体系架构。

1.工业自动化领域将安全概念分为三类:物理安全、信息安全和功能安全。功能安全是为了达到设备和工厂安全功能, 受保护的和控制设备的安全相关部分必须正确执行其功能, 而且当失效或故障发生时, 设备或系统必须仍能保持安全条件或进入到安全状态 (或避免因自动化系统功能失效导致的人身安全事故, 及对财产、环境等造成影响的安全工程) 。物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。功能安全是从系统自身失效引发的影响进行预防考虑, 而信息安全是从外部攻击造成的影响进行预防考虑。功能安全和物理安全均可定性、定量分析, 同时都有相关的国际标准和国家标准体系, 而信息安全方面尚无可量化的指标。三类安全虽然考虑问题的出发点不同, 但事实上他们对系统造成的影响结果是一致的, 且这三类安全问题的防护是相辅相成的, 因此在考虑工控系统的安全性时, 应综合考虑, 不应以偏代全。

2.工业控制系统与IT系统对信息安全的需求考虑存在明显差异, 工控系统最先考虑的是系统可用性, 第二位是完整性, 第三是保密性, IT系统首先是保密性、完整性, 最后才是可用性。

3.工控系统信息安全工作首要在于建立统一的标准体系。我们正在转化IEC 62443的几个标准, 同时也在制定评估方法和验收规范两个国家标准。要以规范和标准为主体来规范工作, 希望国家尽快地建立我们自己的评估体系和标准体系。

4.工控系统信息安全认证工作需要一个不断加深理解的过程, 建议先从评估开展起来, 一步步来, 不可一蹴而就。信息安全和物理安全、功能安全最大的不同是不可示人, 要自己认证, 国家应该把这个认证严格抓在自己手上, 并且规范它的体系, “实现自己的保险柜自己上锁”。

5.要本着为用户服务, 为用户解决实际问题的立场出发, 与用户相结合来做信息安全的评测和要求。

6.做信息安全的体系和标准, 应该与培训和宣贯相结合, 应该走到用户中去, 提高用户信息安全的意识。

7.做好工控系统信息安全的相关工作, 必须工业测控专家和信息安全专家相结合, 共同推进。

1.关键信息基础设施安全状况堪忧, 国家安全面临挑战

据统计, 我国芯片、操作系统等软硬件产品, 以及通用协议和标准90%以上依赖进口。当前针对关键信息基础设施的网络攻击持续增多, 甚至出现了政府和恐怖分子支持的高级可持续性威胁 (APT) 。APT是针对特定组织的、复杂的、多方位的网络攻击, 这类攻击目标性强, 持续时间长, 一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪, 将给我国国家安全等带来严峻挑战。

2.推动关键信息基础设施安全保障工作

一是启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品, 以及新技术、新产品和新业务的漏洞分析工作, 提升安全隐患的发现能力, 促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度, 对进口技术和产品的安全进行风险评估。逐步实现核心技术产品的国产化替代, 真正实现“以我为主, 自主可控”。二是加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准, 继续做好等级保护定级工作, 根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作, 做好系统测评、安全检查等, 及时发现风险隐患, 完善安全措施。三是重点保障工业控制系统安全。全面落实《关于加强工业控制系统信息安全管理的通知》, 切实加强对重点领域工业控制系统的信息安全管理工作, 完善和加强工业控制系统安全检查和测评工作。

随着两化融合的不断深入, 工控系统被广泛应用于战略基础设施、军工武器装备等, 且越来越多采用通用协议、硬件和软件, 并与公共网络进行互连。一旦工控系统受到攻击, 将会直接导致重要基础设施瘫痪, 甚至引发国家经济、社会剧烈动荡和生态环境严重破坏。此外, 工控系统的核心技术受制于国外, 高端市场拥有自主知识产权的产品和系统较少。因此, 如何确保工控系统的安全可控, 不仅仅是单个研究机构或企业要思考的问题, 更需要国家层面进行战略布局, 产业界群策群力。基于这个考虑, 今天的研讨会可以说是意义重大。

在过去的几年中, 中国软件评测中心针对工控系统的安全可靠性问题, 建立了专门的研究团队, 搭建模拟仿真实验环境, 研制测评技术规范, 研发专业测评工具, 目前正在承建《离散型行业信息技术应用共性技术支持和公共服务平台》。借着今天这次机会, 也想和各位专家探讨两个问题:

一是目前业界讨论比较多的是工控系统的Security, 但也有研究人员侧重研究Reliability或Safety。在各位专家看来, 这三个关键词之间是什么样的逻辑关系?另外, 如何确保相关标准、规范或思路的落地, 以真正保障工控系统安全可靠?

二是在目前的工控系统信息安全检查过程中, 主管部门更多的是侧重管理层面。对于实际在线运行的系统, 如何在不妨碍其正常运行的情况下, 采取技术检查手段?也想请教一下各位专家, 有没有什么好的建议或行之有效的最佳实践。

工控系统信息安全的三个基本属性包括完整、可用和保密。工控系统的信息安全能直接破坏功能安全。在考虑功能安全的同时, 为了保证系统的功能在各种情况下万无一失的运作, 会考虑很多风险因素, 信息安全也考虑范围内。在传统IT领域提出的安全是信息安全, 在工控领域提出的安全则是信息安全和功能安全, 但是这二者的目标是一个, 就是保证功能安全。我们做了很多年的传统信息安全, 真正能做到什么程度心里没底, 关键是产业链不行, 要做到安全必须要在产业链的层面做到自主可控。信息安全测试是必要的, 但有了测试也不能保证绝对安全, 只能让风险降低。

任何测评都不能保证系统以后的安全运行, 软件测评和评估的目的就是发现缺陷, 逐步丰富缺陷的数据库, 为以后的设计人员避免这些缺陷提供相应的依据, 使风险降到最低。为了保证工控系统的安全要迈出的第一步就是评估。

清华大学吴澄院士在几个场合都讲了工控系统的信息安全问题, 认为它是值得关注的重要技术问题。吴澄院士提出了几个建议:加强工业控制系统漏洞及其挖掘技术的研究;进行工业控制系统安全应用行为分析与学习能力研究;建立必要的工控系统安全应急响应机制;加强国产工控软件的核心技术研究。

我认为, 工控系统信息安全与传统的安全性研究有一些区别。过程安全 (Safety) 主要关注物理世界 (Physical Space) 本身的安全性, 信息安全 (Security) 主要关注信息世界 (Cyber Space) 的安全问题, 前者首要关注的是可用性, 后者首要关注的是保密性。而工控系统信息安全则主要关注信息世界的攻击对物理世界所可能产生的影响, 保密性对可用性的影响更为重要, 因此是Cyber Physical System (CPS) 领域需要研究的问题, 这不仅需要搞信息安全的专家学者关注, 更需要控制界人士的高度关注和广泛参与。目前最有代表性的一份建议文件是2011年6月NIST发布的《工业系统安全指南》 (SP800-82) , 这里面提出了有关工控系统纵深防御体系架构的建议, 但这个报告更多是站在网络安全等技术角度进行的, 并未全面使用工控系统的控制特性, 因而是远远不足的。

从学术研究的角度, 除了提炼、解决现实问题以外, 还要有一定的超前性和深入性, 建议有两方面工作可以做:一是从攻击的角度建模, 在这个基础上, 对攻击的危害和后果进行评估和评价, 建立攻击的检测机制;二是从控制系统设计的角度, 来改进估计和设计算法, 保证工控系统在攻击条件下也能维持正常功能, 或者在攻击后能迅速恢复功能, 最多只是造成控制性能的损失。

在化工领域不强调百分之百的安全, 所谓的安全就是把风险控制在可以接受的范围。功能安全归为可靠性方面, 对于信息安全, Safety和Reliability不属于信息安全主要的研究内容, 可以用功能安全的方式来解决。

信息安全主要考虑的是安全性和保密性, 应该从以下几个方面考虑:从操作系统上, 尽量不用微软的Windows操作系统, 采用Linux系统或者自己优化过的系统或做一些安全加密;从网络上, 应做适当的隔离。信息安全要做到几个适度:适度的开放, 适度的保密, 有些协议尤其是底层协议要保密或做一些适当的加密措施。一个系统如果过分地强调信息安全, 就会造成成本飞升和性能的下降。

1.工控行业的国产化程度问题

随着工业控制系统、网络、协议的不断发展和升级, 不同厂商对于以太网技术也在加速推广, 而国内80%以上的控制系统由国外品牌和厂商所占据, 核心的技术和元件均掌握在他人手里, 这给国内的工业网络安全形势, 造成了极大的威胁和隐患。

2.软件和硬件的漏洞问题

国家信息安全漏洞共享平台 (China National Vulnerability Database, 简称CNVD) , 在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞, 较2010年大幅增长近10倍, 涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞, 但这些漏洞可能被黑客或恶意软件利用。这些漏洞都是高危的, 工控软件要有一个安全编程的思想。

3.工控安全和IT安全的区别

首要区别就是协议。比如OPC, 因为其基于DCOM技术, 在进行数据通讯时, 为了响应请求, 操作系统就会为开放从1024到5000动态端口使用, 所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析, 而使OPC客户端可以轻易对OPC服务器数据项进行读写, 一旦黑客对客户端电脑取得控制权, 控制系统就面临很大风险。黑客可以很轻松地获得系统所开放的端口, 获取/伪装管理员身份, 对系统进行恶意破坏, 影响企业的正常生产运营。

其次, 是访问机制的区别。

4.对工控信息安全发展的几点建议

一是采用白名单的机制。白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换, 在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法, 从根源上节制未知恶意软件的运行和传播。

二是做边界隔离 (网闸等) 。在工业控制领域, 网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构, 内置双主机系统, 隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护, 因此它只提供控制网络常用通信功能如OPC、Modbus等, 而不提供通用互联网功能, 因此更适合于控制网络与办公网络, 以及控制网络各独立子系统之间的隔离。

三是采取深度过滤的机制。对于大多数通讯控制设备, SCADA和工业协议, 如MODBUS/TCP, Ether Net/IP和DNP3等被大量使用。不幸的是, 这些协议在设计时, 没有安全加密机制, 通常也不会要求任何认证, 便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输, 不准许在办公网络穿透到控制网络。

能够完成以上功能的工业防火墙或者安全路由器, 通常被部署在具有以太网接口的I/O设备和控制器上, 从而避免因设备联网而造成的病毒攻击或广播风暴, 还可以避免各子系统间的病毒攻击和干扰。

四是尽量避免非控制人员对设备本身或界面进行操作。目前的工业网络安全设备通常由简单的IT通用防火墙、桌面级反病毒软件、虚拟专用网、物理隔离网关等安全工具构成, 产品功能单一, 购置成本高昂, 配置、管理、维护、升级极其复杂, 不符合工控专业人员的操作习惯, 综合使用成本很高, 很多单位由于没有相应的技术人员或无力承担多种安全工具的购置和使用费用, 从而对重要的业务应用裹足不前。

5.在企业中信息安全问题不知道谁负责, 要明确权责。

信息安全未来更重要的一个问题不是系统而是芯片。采用国外设备可靠性不行, 我们的系统安全是治标不治本。

1.不同行业不同专业对信息安全的理解可能不一样。

2.系统的国产化问题, 在石化系统里占主流的工控系统都是国外的。

与工业领域相比, 传统IT信息领域最大的不同在于其影响范围主要在虚拟的数字空间, 需要借助人的作用才会对真实世界造成影响;而工业领域是真实世界的重要组成部分, 是现代人类文明的基础, 工业领域的信息安全问题会直接对工业生产造成损失, 对社会秩序造成重大的影响甚至威胁到人类的安全。我们认为从网络安全的角度出发, 可以用新问题、老方法的方式来看待工业控制网络安全问题。

1.工业控制网络安全和传统网络安全产生的原因

无论是传统信息安全或者是工业控制网络安全, 他们的发生有其共同的特点: (1) 都是信息化、互通化, 都发生在网络世界里; (2) 系统平台的脆弱性和通用性, 都有比较多的漏洞和风险。例如使用通用的商用PC机、操作系统 (如Windows等) ; (3) 人员操作的不规范化、随意性和恶意行为。例如随意越权访问、随意使用外设等行为; (4) 恶意代码攻击、病毒、木马传播和控制。但对于工业控制网络而言, 也有其特殊的地方:由于OPC控制协议依赖于OLE/COM/DCOM技术, 目前还不为大多的网络安全产品所能识别, 无法有针对性的对其进行防御, 这也工业控制网络领域成为网络安全重灾区的原因。

2.工业控制网络安全和传统信息安全防御手段的一致性

信息系统安全等级保护应依据信息系统安全保护等级情况保证他们具有相应等级的基本安全保护的能力, 一般是从基本技术和基本管理两个方面进行。具体采用的手段有区域隔离、访问控制、审计报警追踪、身份认证、漏洞扫描、风险评估和安全行为规范等方法, 在不同的区域内实行等级保护, 来分层次、逐级别进行防御, 从而确保整个网络系统的安全性。

对于工业控制网络安全而言, 从方法论的角度, 我们认为参考风险评估和等级保护的规范和技术手段, 依然可以保证工业控制网络系统的安全。当然由于工业控制网络有一些区别于传统IT信息网络的特殊性, 一些规范的细节和具体技术手段的使用要求会有不同。

3.工业控制网络对网络安全产品有其自身的特殊要求

(1) 高实时性; (2) 复杂的电磁环境; (3) 特定的供电环境; (4) 恶劣的温度、湿度环境; (5) 专业的通讯协议; (6) 高可靠性和MTBF; (7) 使用人员不同。通过了解上述网络安全的相关原理、特性以及参考国际、国标行业相关的标准和ANSI/ISA-99、IEC62443标准, 我们可以得出如下结论:在传统网络安全产品的基础上还需要改造硬件平台, 使其满足工业级网络运行环境要求;提升数据处理的实时性, 使其满足工业控制网络信息的高实时性的要求;增加专用协议识别, 使其满足访问控制功能识别工业控制协议的要求, 完善和改进易懂、易用的人机交互管理系统, 才能达到工业控制网络安全产品的要求。

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处

注：本文为网友上传，旨在传播知识，不代表本站观点，与本站立场无关。若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。E-MAIL：66553826@qq.com