工业控制系统信息安全产品标准及测评方法

随着我国两化融合和\"互联网+\"战略的推进,信息技术在工业企业的生产经营中的应用越来越广泛。在大幅提升了生产效率的同时,一定程度上也增加了企业安全生产管理的难度。由于原本相对独立的工业控制系统越来越多地与企业管理网互联互通,而企业的管理网络本身又是一个开放的网络,这为信息系统的安全威胁向生产系统扩散提供了便利条件。同传统的企业信息系统不同,工业控制系统的信息安全直接影响到生产安全。本文对工业控制领域内所面临的安全威胁进行了分析,并对工控系统信息安全建设的思路进行了探讨。

工业控制系统信息安全 一、工业控制系统安全分析 工业控制系统(industrialcontrolsystems,ics)，是由各种自动化控制组件和实时数据 采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(scada)、分布式 控制系统(dcs)、可编程逻辑控制器(plc)、远程终端(rtu)、智能电子设备(ied)，以及确 保各组件通信的接口技术。 典型的ics控制过程通常由控制回路、hmi、远程诊断与维护工具三部分组件共同完 成，控制回路用以控制逻辑运算，hmi执行信息交互，远程诊断与维护工具确保ics能够 稳定持续运行。 1.1工业控制系统潜在的风险 1.操作系统的安全漏洞问题 由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对windows 平台打补丁，导致系统带着风险运行。 2.杀毒软件安装及升级更新问

面对日益严重的工业控制系统信息安全威胁,本文从我国烟草工业控制系统信息安全方面的需求及烟草工业信息安全管理存在的问题、特点出发,对工业控制系统信息安全的解决方案进行研究,构建一套适应于烟草工业控制系统的信息安全系统,保护烟草工业控制系统的信息安全,保障工业生产系统的安全、稳定运行。

伴随着中国制造2025、\"互联网+\"等战略的实施,信息数据的分享与流动使工业控制系统存在的信息安全问题日益突出,安全隐患不容小觑。本文在深入分析新背景下工业控制系统面临的信息安全问题和标准化需求的基础上,提出了针对工业控制系统的信息安全标准体系,以期促进我国工业控制系统产业的健康发展。

1 填表说明 一、调查范围 本调查表中的主要工控系统是指在核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制 造、水利枢纽、环境保护、铁路、城市轨道交通、民航、市政以及其他与国计民生紧密相关的领域中运 行的工业控制系统。 二、填写要求 1、工业控制系统在各行业的应用场景不同而类型不同，填表单位应选择本单位所运营的工业控制系统类 型填写，无某类型无需填写； 2、问卷以两种形式提交，请将填写完成的问卷电子版发到：qinyan@ncse.com.cn，同时，请将问卷纸质 版加盖单位公章，寄往以下地址：100083，北京市海淀区清华东路25号电子六所秦岩； 3、请尽可能于2012年3月底之前完成调查问卷的提交； 4、如有任何问题，请联系以下课题组工作人员： 秦岩，电话：010-82306051,email：qinyan@ncse.com.cn 李林，电

核电行业工业控制系统中部分关键系统具有资产组成单一、整体结构简单等现状,当使用传统的以信息资产为对象的定性风险评估方式进行信息安全风险评估时,出现部分关键工业控制系统风险被低估的情况,进而导致难以全面、客观地反映出核电站工业控制系统所面临的信息安全风险.田湾核电站组织专项研究,通过对国内外信息安全领域、工业控制领域以及电力行业的风险评估方法进行整合分析,并结合核电行业设备维修、维护管理方式的特点和特色,最终整合经典的信息安全风险评估方式、可靠性维修管理(rcm)方式以及失效模式及影响分析(fmea)方法,形成更加适用于核电行业工业控制系统的信息安全风险评估方法.

2017年12月29日，工信部印发《工业控制系统信息安全行动计划（2018—2020年）》。行动计划提出，到2020年，全系统工控安全管理工作体系基本建立，全社会工控安全意识明显增强。建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（即一网一库三平台）。培育一批影响力大、竞争力强的龙头骨干企业，创建3—5个国家新型工业化产业示范基地（工业信息安全），产业创新发展能力大幅提高。

对烟草工业企业工控系统的实际应用进行了研究。基于工业控制系统信息安全的特点和风险分析,指出开展信息安全建设的迫切性,提出适合工业控制系统信息安全防护体系的整体规划。从制度建设、边界防护安全、组网安全、主机安全、数据安全、物理安全、应急机制、安全检查和风险评估等方面,对信息安全防护体系规划的内容进行研究和探讨。

工业和信息化部通知加强强工业控制系统信息安全管理 【发布时间:2011年10月27日】【来源：信息安全协调司】【字体：大中小】 关于加强工业控制系统信息安全管理的通知 工信部协[2011]451号 各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业： 工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息 安全管理，经国务院同意，现就有关事项通知如下： 一、充分认识加强工业控制系统信息安全管理的重要性和紧紧迫性 数据采集与监控（scada）、分布式控制系统（dcs）、过程控制系统（pcs）、可编程逻辑控制器（plc） 等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系 统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展

张小只智能机械工业网 张小只机械知识库 工业控制系统信息安全推荐性国家标准发布 　　2014年12月2日，全国工业过程测量控制和自动化标准化技术委员会 (sac/tc124)秘书处在我国职工之家组织召开了推荐性国家标准gb/t30976.1～.2-2014 《工业控制系统信息安全》（2个部分）发布暨报告会。 ?　　国家标准化管理委员会工业二部戴红主任、张成宇同志；科技部高新司先进制 造与自动化处孙权副处长；工信部装备司机械处辛晨华处长；工信部协调司蔡野处 长；sac/tc124秘书长王春喜主任等领导出席了会议。机械工业仪器仪表综合技术经 济研究所欧阳劲松所长主持了会议。 ?　　戴红主任根据中华人民共和国国家标准公告2014年第19号批复，宣布《工业 控制系统信息安全》（2个部分）已被国家质量监督检验检疫总局、国家标准化管理委 员会批准为推荐性国家标准,标准编号和名称为

附件2： 工业控制系统信息安全管理情况 调查表 填表单位：（盖章） 2012年月日 2 说明 一、调查范围 对于一旦出现问题，可能导致等级安全事故的工业控制系统为 本次调查对象。其中，以可能导致以下后果之一的工业控制系统为 主要调查对象。 1.3人（含）以上死亡或10人（不含）以上重伤； 2.1000万元（含）以上直接经济损失； 3.影响10万人（含）以上正常生活； 4.对国家安全、社会秩序、经济建设和公共利益产生较大影响。 二、保密要求 根据填写内容敏感程度确定是否涉密，标识密级。 三、填报要求 1.工业控制系统因在各行业的应用场景不同而类型不同。填表 单位仅填写自身运营的工业控制系统相关情况，无某系统类型则调 查表二中相应类型的表格可不填写。 2.表格中下划线表示需要填写的详细情况，可出格填写或另外 附纸。 3.报送材料需加盖单位公章。 四

阐述了在'两化融合'背景下,公用事业中工业控制系统面临新的安全形势和新的业务需求,从结构、设备可靠性、数据保密性等角度设计了一套新的工业控制系统网结构。

工业控制系统是国家经济的重要命脉,是国家建设的基础设施,但当前,工业控制系统也正面临着严峻的信息安全风险,信息系统的工业控制安全防护体系的建立迫在眉睫。本文通过分析我国工业企业控制系统信息安全风险,提出分层分域、重生防御策略发展,构建工业控制防护信息安全体系,建立建设安全风险评估体系,管理安全体系,技术安全体系等建设方案。

介绍一种基于国产处理器、开源操作系统的工业控制系统产品的设计思路,并以电力行业的通信管理机为出发点作为研究对象,分析电力行业对通讯管理机的功能和性能要求,研究基于国产软硬件平台的安全工业控制计算机。方案采用模块化的设计思想,可以快速、方便地实现系统升级,软件具备安全功能,实现工业控制系统的自主可控。

为应对控制系统与互联网技术深度融合引发的安全新挑战,抵御震网病毒、火焰病毒、blackenergy等靶向攻击,针对工业控制系统漏洞挖掘、修复与控制等技术滞后,以及工业控制安全面临的“难发现、难监测、难防护”等问题,通过对工业控制系统的理论模型、关键技术、装备研制及测试评估进行研究,以漏洞挖掘与利用研究为主线,以理论与体系架构研究和安全技术测试验证平台的建设为基础,以动态监测防护和主动防御为目标,以测试样例集的攻防验证与典型示范为应用,提出了包含工业控制系统漏洞挖掘、深度检测、动态防护、主动防御等的整体安全技术解决方案,设计并构建了集漏洞挖掘、验证评估、动态防护、主动防御于一体的工业控制系统安全技术体系.

为应对控制系统与互联网技术深度融合引发的安全新挑战,抵御震网病毒、火焰病毒、blackenergy等靶向攻击,针对工业控制系统漏洞挖掘、修复与控制等技术滞后,以及工业控制安全面临的“难发现、难监测、难防护”等问题,通过对工业控制系统的理论模型、关键技术、装备研制及测试评估进行研究,以漏洞挖掘与利用研究为主线,以理论与体系架构研究和安全技术测试验证平台的建设为基础,以动态监测防护和主动防御为目标,以测试样例集的攻防验证与典型示范为应用,提出了包含工业控制系统漏洞挖掘、深度检测、动态防护、主动防御等的整体安全技术解决方案,设计并构建了集漏洞挖掘、验证评估、动态防护、主动防御于一体的工业控制系统安全技术体系.

为应对控制系统与互联网技术深度融合引发的安全新挑战,抵御震网病毒、火焰病毒、blackenergy等靶向攻击,针对工业控制系统漏洞挖掘、修复与控制等技术滞后,以及工业控制安全面临的\"难发现、难监测、难防护\"等问题,通过对工业控制系统的理论模型、关键技术、装备研制及测试评估进行研究,以漏洞挖掘与利用研究为主线,以理论与体系架构研究和安全技术测试验证平台的建设为基础,以动态监测防护和主动防御为目标,以测试样例集的攻防验证与典型示范为应用,提出了包含工业控制系统漏洞挖掘、深度检测、动态防护、主动防御等的整体安全技术解决方案,设计并构建了集漏洞挖掘、验证评估、动态防护、主动防御于一体的工业控制系统安全技术体系。

1实际应用和技术发展对控制系统的影响通用信息技术越来越多地应用于控制系统,如图形用户界面gui、对象链接嵌入opc、分布式组件对象模型dcom等,这些技术的应用大大加强了控制系统的功能和性能。控制系统的深入应用使用户对系统提出了越来越高的要求,更大、更快、更全、更可靠、更安全,已成为广大用户和厂家的不懈追求。多系统互连已成趋势,消除"信息孤岛"已成为普遍要求。2信息孤岛与信息安全控制与管理一体化进程的不断推进,信息技术的不断发展,使多年来困扰工控界的"信息孤岛"问题得到了很大程度的解决,但同时产生的信息安全问题也日益突出。

2017年9月14日,由工业控制系统信息安全产业联盟(icsisia)主办,中国自动化学会发电自动化专业委员会协办、国网河南电力公司电力科学研究院、控制网(kongzhi.net)&《自动化博览》及icsisia秘书处承办的\"2017第六届工业控制系统信息安全峰会\"第三站在郑州丰乐园大酒店举办.此次峰会共邀请来自大唐、国网、华电、国电投、华能等电力集团的数十家电力企业的近150位参会代表共聚一堂,共同探讨当前环境下,电力行业工业控制系统信息安全面临的问题及解决方案.会议由国网河南电力公司电力科学研究院电源技术中心副主任郭为民主持.

信息安全产品强制性认证目录 产品类别产品名称产品的定义和适用范围 1、边界安全 1）防火墙 防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问 控制的系统。 适用的产品范围为：（1）以防火墙功能为主体的软件或软硬件组合；（2）其它 网络产品中的防火墙模块；不适用个人防火墙产品。 2）网络安全隔 离卡与线路选 择器 网络安全隔离卡是指安装在计算机内部，能够使连接该计算机的多个独立的网 络之间仍然保持物理隔离的设备。安全隔离线路选择器是与配套的安全隔离卡一起使 用，适用于单网布线环境下，使同一计算机能够访问多个独立的网络，并且各网络仍 然保持物理隔离的设备。 适用的产品范围为：（1）安全隔离计算机；（2）安全隔离卡；（3）安全隔离 线路选择器。 3）安全隔离与 信息交换产品 安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上， 通过安全通道在

2012年3月23日,公安部在天津召开\"信息安全产品管理工作会议\

1 污水处理厂防雷方案 第一部分、概述 污水处理厂一般位于城市郊区，厂区占地面积较大，并且厂区附近没有高 大建筑物，附近较空旷，易遭受雷击。经过我们对现场的实地勘察，须进行实施 防雷保护的内容为： 沼气发电厂房顶部排风装置的高度超出了厂房避雷带的保护范围。须增设防 直击雷装置。 厂区内监控系统外部摄像头没有防直击雷措施，支撑摄像头的杆塔没有接 地。外部摄像头须安装防直击雷装置。 消化池数据处理系统和中控室机房没有防雷电波侵入和雷电感应的措施。 数据处理系统机房包括电源供配电系统和数据信号传输系统。电源供配电系统为 市电双路供电，数据信号传输系统采用4-20ｍａ模拟信号线路。 中控室机房位于办公大楼的六楼，电源供配电系统为市电双路供电，闭路电视监 控系统信号传输采用同轴电缆，控制信号为485数字信号。 为此，依据系统防雷的设计理论，我们建议进行以下各方面的系统防雷保护： a．沼