工业控制系统安全一体化技术
汇报人:机械工业仪器仪表综合技术经济研究所史学玲教授
汇报日期:2019年5月9日
演讲者介绍
●史学玲
●国家安全生产专家组成员
●机械工业仪器仪表综合技术经济研究所(ITEI)副总工程师
●IEC TC65 中国专家
●SAC/TC124/SC10 系统及功能安全标准化技术委员会副主任委员●全国机械安全标准化技术委员会委员
●全国电气安全标准化技术委员会委员
●全国电工电子可靠性与维修性标准化技术委员会委员
主要内容
一、工业安全与安全一体化
二、工业控制系统安全一体化技术
三、标准体系规划
四、成果验证
3
工业安全(safety)
工业:石油、化工、冶金、电力、机械、运输......
工业是一类特殊的关键基础设施:
关键基础设施是指那些对国家来说非常重要的系统和资产,其遇到的任何
瘫痪或损毁将对国家安全、国家经济安全和/或国家公众健康和安全产生巨
大的破坏性影响
工业安全(Safety):工业设施与系统没有不可接受的风险?风险:
?人身伤害
?财产损失
?环境破坏
?声誉影响
过去安全-责任
现在安全-
技术
未来
安全-协同
已有安全
?消防
?机械安全
?电气安全
?爆炸
?辐射
?……
正被重视的安全
?功能安全
?信息安全
?伦理安全
?……
将被关注的安全
?安全一体化
工业安全(Safety)技术发展历程
工业安全技术随着工业化进程不断更新,但安全问题极为复杂,导致安全生产事故防不胜防。
工业安全与安全一体化通过人的注意力和判断力通过装置和系统采取的安全措施通过人-物-环境协同
人
(人文科学)
组织
(社会科学)
技术
(自然科学)
工业安全与安全一体化
管理
用户
机器
设备
法律
法规
用户在轻松愉悦的环境中获得本质安全
什么是工业的安全一体化?
基于人、物、环境有效协同获得的安全
能自动检测、智能识别工业生产过程中机器装备、环境的危
险状态,随时掌握人的动作和能力,综合使用多个领域、多
门学科技术,建立人、物和环境的协同关系,把风险控制在
可容忍水平
工业安全与安全一体化
●智能安全
●法律法规自符合
●环境自适应
●动态安全距离监测
●人员能力分级
●设备能力分级
●工作职责分配到每天和每个人
●识别并控制了所有风险
●动态的风险评估与控制
工
业
的
安
全
一
体
化
前
景
14
主要内容
一、工业安全与安全一体化
二、工业控制系统安全一体化技术
三、标准体系规划
四、成果验证
8
Thanks
社会应急响应紧急广播工厂应急响应撤离规程减轻机械减轻系统仪表安全控制系统仪表安全减轻系统操作员监督预防
机械保护系统
操作员校正动作时的过程报警
仪表安全控制系统
仪表安全预防系统
基本过程控制系统(BPCS)
控制与监视系统(过程报警)
操作员监督
工业过程工业安全(safety )与工业控制系统:
工业中使用两类不同的控制系统:
1.工业过程控制BPCS
2.功能安全防护系统
?预防系统
?减轻系统
?撤离系统综合使用,实现工业生产过程本质安全固有安全
本质安全功能安全信息安全
?工业控制系统的功能失效可能导致灾难
?安全保护系统功能失效
–形成第二类危险源
–实际风险超过可接受风险,出现“不安全”状态–出现事故概率很高
–事故案例1
?安全控制系统功能失效
–危险立即产生事故案例2
?工业控制系统功能失控
?失控,导致破坏、危险
?事故案例3
要让技术在安全的框架内发展,必须实现功能安全
信息安全不但依赖技术,还依赖-适
当的国家战略、健全的政策、全面
的法律框架等。
事件1:2005年3月23日,BP公司在美国
德州的炼油厂在开车过程中发生了多起
爆炸事故,造成15人死亡,170多人受伤。
分析:事故直接原因是液位计失灵。
事件2:2017年5月17日,美国加利福尼
亚州一名特斯拉Model S车主在开启了自
动驾驶状态下撞上前方转弯的卡车不幸
身亡。
分析:由于卡车涂装为纯白色,在强烈
反光下,Tesla车载摄像头未能将这辆开
车从天空背景中识别出来。
可信性
Dependability 可用性
availability
可靠性reliability
维修性
maintainability
信任性
Credibility
忠实性
fidelity
防护性
Security
关键技术:
?信息安全
?新技术引入后的风险识别与控制
?大数据、大系统
?互联互通
?人工智能
?新产品的失效模式与MTBF数据
?复杂系统的使用维护
?第三方监管
?标准与检测认证
证明安全的技术?审核?评估?验证?确认组成安全的技术?智能设备?子系统
?系统产业链
产业提升和技术进步变更管理试运行和安全确认
SIL
(safety integrity level 安全完整性等级)SL
(security level 信息安全等级)
系统方案制定(IEC61882,IEC61508(GB/T20438),IEC61511(GB/T21109),GT/T30976,
IEC62443
变更管理系统要求规格书产品产业链
和工程服务操作和维护整体技术概况
标准与检测认证
主要内容
一、工业安全与安全一体化
二、工业控制系统安全一体化技术
三、标准体系规划
四、成果验证
13
Thanks
安全一体化技术标准体系规划
需求设计工程运行
变更
生命周期维监视防护控制减轻应急业务维网络协同层
经营管理层
生产管理层
生产过程层基础设施层
层级维
《数字化车间功能安全要求》《数字化车间信息安全要求》
......《智能工厂安全一体化第1部分:一般要求》《智能工厂安全一体化第2部分:风险评估要求》《智能工厂安全一体化第3部分:系统协同设计要求》《智能工厂安全一体化第4部分:系统评测要求》......
Thanks 安全一体化标准系列
工艺设计※
制造运行管理
计划调度
质量管理
工艺执行
生产物流管理
设备管理
执行层
基础层车间信
息交互
车间信
息交互
管理层
企业信息交互
企业信
息交互
设
备
/
系
统
车
间
工
厂
或
企
业企业运营管理
产品生命周期管理
企业资源计划......
工厂级安全一体化管理
应急响应管理
安全计划
信息
安全
安环健
车间级安全一体化管理
危险源管理安全完整性管理
人员安全管理保护层管理一体化风险管理系统信
息交互
系统信
息交互
信息安全管理系统级安全一体化控制/一体化安全设备
制造设备生产资源
安全相关系统/设备安全相关生产资源
动设备静设备机床DCS PLC 人员物料
维修
工具
网络
设施
安全栅安防系统
安全阀SIS FGS
人员安全备件
维修
工具
网络安全设施
信息
交互
安全信
息交互
安全信
息交互
安全信
息交互
安全信
息交互
智能工厂安全一体化管控
——第1部分:一般要求
旨在定义和规范智能工厂安全一体
化架构和一体化安全要素,为智能
工厂一体化安全设计、实施、运行
和维护提供指导。
——第2部分:风险评估要求
建立并规范智能工厂安全一体
化风险评估的内容和流程。
——第3部分:系统协同设计要求
规范安全相关控制系统的信息安
全设计集成应遵循的原则和具体要
求。
——第4部分:系统评测要求
建立和规范安全一体化完善度指
标的评测方法和流程。提出具体评
测要求。
主要内容
一、工业安全与安全一体化
二、工业控制系统安全一体化技术
三、标准体系规划
四、成果验证
16
Thanks 基于风险建模,将物联网的泛在感知、计算机信息技术的数据挖掘和智能分析等有机融合,构建实时、可视、可预测、可追溯、精准控制、精细管理的安全风险管控系统,实现风险管控智能化提升。
安全一体化智能管控系统机械工业仪器仪表综合技术经济研究所
安全一体化智能管控系统
Thanks
试验验证平台
安全一体化标准研究成果在机械工业仪器仪表综合技术经济研究所智能制造综合标准化试验验证平台上开展了试验验证
将信息安全态势感知与功
能安全风险动态趋势结合
威努特工控安全---工业互联网空间安全态势分析报告
工业互联网空间安全态势分析报告 来自工业互联网雷达团队 北京威努特技术有限公司 2017年11月
工业互联网空间安全态势分析报告 目录 1. 概述 (1) 2. 范围 (2) 3. 统计分析 (3) 3.1. 按工控系统区域分析 (4) 3.2. 按工控系统类型分析 (7) 3.3. 按设备厂商统计分析 (9) 3.4. 按开放协议统计分析 (10) 3.5. 按工控漏洞级别分析 (12) 3.6. 按工控漏洞类型分析 (12) 4. 结论 (14) 附录1. 工业互联网雷达简介 (16)
1.概述 工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力。 随着工业互联网的快速发展,大量的工业控制系统也接入了互联网络。工业控制系统重点应用在炼油、石化、电力、冶金、建材、交通、电网、水网、气网、国防、智能制造等关系到国家和社会稳定、经济正常运行的重要领域。随着我国大力推进信息化建设,工业控制系统在我国各行业的应用范围和部署规模快速增长,工业控制系统已成为国家关键基础设施的“中枢神经”。其中,公用事业行业,大中型城市的燃气输配、供电、供水、供暖、排水、污水处理等均采用了智能工业控制系统;以石油石化天然气为代表的能源行业,从大型油气田到数万公里的原油、天然气和成品油输送管线,大规模采用工业控制系统;电力行业,发电、调度、变电、配电和用电等各个环节都离不开工业控制系统;以铁路为代表的公共交通行业,远程监控系统已具规模,若干铁路局采用了先进的工控系统实现调车作业自动化;水利行业,国家防汛指挥系统采用工控系统进行区域和全国联网;智能制造行业,越来越多的信息技术应用到了工业制造领域,生产模式得以根本性的改变,各种智能制造设备和系统进行网络互联互通的趋势越来越快。 我国近几年工业控制系统的安全事件屡有发生,如钢厂异常停机、石化工厂蠕虫泛滥等等,这些层出不穷的安全事件,为我国关键基础设施核心要害系统安全问题敲响了警钟。
工业控制系统安全风险分析
工业控制系统安全风险分析 金山网络企业安全事业部 张 帅 2011年11 月12日,待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露,迅速引发各国政府与安全机构的广泛关注,对真凶的质疑直指曾攻击布什尔核电站工业控制系统的Stuxnet 蠕虫病毒。截至目前,事故真相与细节并未公布,但工业控制系统长期存在的风险隐患却已是影响国家关键基础设施稳定运行的重要因素,甚至威胁到国家安全战略的实施。为此,工信部于2011年10月发布文件,要求加强国家主要工业领域基础设施控制系统与SCADA 系统的安全保护工作。 文章从IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,借鉴国际上有关工业控制系统安全保护要求及标准,分析当前我国工业控制系统存在的威胁,并提出一套基于ICS 系统的威胁发现与识别模型。 工业控制系统介绍 工业控制系统(Industrial Control Systems,ICS),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control Systems,DCS)、可编程逻辑控制器(Programmable Logic Controllers,PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术[1] 。 目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。 一次典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具3部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保出现异常操作时进行诊断和恢复,如图1所示。 图1 典型的ICS 操作过程 SCADA 是工业控制系统的重要组件,通过与数据传输系统和HMI 交互,SCADA 可以对现场的运行设备进行实时监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。目前,SCADA 广泛应用于水利、电力、石油化工、电气化、铁路等分布式工业控制系统中。SCADA 系统总体布局如图2所示。 图2 SCADA 系统总体布局 DCS 广泛应用于基于流程控制的行业,例如电力、石化等行业的分布式作业,实现对各个子系统运行过程的整体管控。 PLC 用以实现工业设备的具体操作与工艺控制。通常,SCADA 或DCS 系统通过调用各PCL 组件来为其分布式业务提供基本的操作控制,例如汽车制造流水线等。 工业控制系统安全现状 与传统的信息系统安全需求不同,ICS 系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。据权威工业安全事件信息库(Repository of Security Incidents,RISI)统计,截止2011年10月,全球已发生200余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使得针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全管理的需求变得更加迫切。1982-2009年工业系统攻击事件如图3所示。 图3 1982-2009 年工业系统攻击事件 纵观我国工业控制系统的整体现状,西门子、洛克
工业控制系统安全现状与风险分析--省略-CS工业控制系统安全(精)
c o m p u t e r s e c u r i t y 工控安全专题 导语 :本文将从 IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,借鉴国际上有关工业控制系统安全保护要求及标准,分析当前我国工业控制系统存在的风险,并提出一套基于 I C S 系统的威胁发现与识别模型。 工业控制系统安全现状与风险分析——ICS 工业控制系统安全风险分析之一 张帅 2011年 11月 12日,待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露,迅速引发各国政府与安全机构的广泛关注,对真凶的质疑直指曾攻击布什尔核电站工业控制系统的 Stuxnet 蠕虫病毒。截至目前,事故真相与细节并未公布,但工业控制系统长期存在的风险隐患却已是影响国家关键基础设施稳定运行重要因素,甚至威胁到国家安全战略实施。为此工信部于 2011年 10月份发布文件,要求加强国家主要工业领域基础设施控制系统与 SCADA 系统的安全保护工作。 1 工业控制系统介绍 工业控制系统(Industrial Control Systems, ICS ,是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA 、分布式控制系统(DCS 、可编程逻辑控制器(PLC 、远程终端(RTU 、智能电子设备 (IED ,以及确保各组件通信的接口技术。 目前工业控制系统广泛地应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
浅谈工业控制系统网络安全问题与应对策略
浅谈工业控制系统网络安全问题与应对策略 、工业控制系统 工业控制系统(Industrial Control Systems, ICS)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 工业控制系统广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节,保证工业设施的正常运转,是国家关键基础设施和信息系统的重要组成部分。SCADA是广域网规模的控制系统,RTU作为远程终端;DCS是局域网规模的控制系统,主要采用PLC作为远程终端。 当前工业控制系统的核心自动化部件是计算机或嵌入式芯片,经过几十年的发展已走过了专用机、通用机和因特网终端等阶段。抽象地看,工业控制系统由三个部分组成:主控站、远程终端和受控工业过程。 2、工业控制系统安全问题 2.1、工业控制系统网络化带来严重的安全问题 工业控制系统在最初发展的几十年里是完全独立的,与企业管理系统是隔离的。但是随着各行业企业对实现管理与控制的一体化需求的增
加,工业控制系统和企业管理信息系统逐步实现了网络化集成,管理信息网络与生产控制网络之间实现了数据交换,导致工业控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。 另外,工业控制系统的结构也在向工业以太网结构发展,开放性越来越强。基于TCP/IP协议以太网通讯技术在该领域得到广泛应用。工业控制系统中大量使用了使用了通用PC服务器、PC终端、通用的操作系统和数据库,这样很容易遭到来自企业管理网或互联网的病毒、木马以及黑客的攻击。 2.2、典型案例 1982年的夏天,前苏联西伯利亚一条天然气输送管道发生了大爆炸。这场爆炸可谓是迄今为止最为壮观的非核弹爆炸,爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断,前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨TNT。这是由里根时期的白宫官员托马斯C里德所著的个人回忆录《在深渊:一个内幕人的冷战历史》解密的内容。 当时根据美国政府的计划,美国中情局在天然气管道的操作软件上做了手脚,对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程,特意安置了定时炸弹。这些软件可以正常运作一段时间,但不久就会重新调整油泵的速度和阀门的设置,产生大大超过油管接头和焊接承受的压力,最终破坏整个管道系统。 2010年,以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千
浅谈工业控制系统网络安全问题与应对策略
浅谈工业控制系统网络安全问题与应对策略 1、工业控制系统 工业控制系统(Industrial Control Systems, ICS)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 工业控制系统广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节,保证工业设施的正常运转,是国家关键基础设施和信息系统的重要组成部分。SCADA是广域网规模的控制系统,RTU作为远程终端;DCS是局域网规模的控制系统,主要采用PLC作为远程终端。 当前工业控制系统的核心自动化部件是计算机或嵌入式芯片,经过几十年的发展已走过了专用机、通用机和因特网终端等阶段。抽象地看,工业控制系统由三个部分组成:主控站、远程终端和受控工业过程。 2、工业控制系统安全问题 2.1、工业控制系统网络化带来严重的安全问题 工业控制系统在最初发展的几十年里是完全独立的,与企业管理系统是隔离的。但是随着各行业企业对实现管理与控制的一体化需求的增加,工业控制系统和企业管理信息系统逐步实现了网络化集成,管理信息网络与生产控制网络之间实现了数据交换,导致工业控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。 另外,工业控制系统的结构也在向工业以太网结构发展,开放性越来越强。基于 TCP/IP协议以太网通讯技术在该领域得到广泛应用。工业控制系统中大量使用了使用了通用PC服务器、PC终端、通用的操作系统和数据库,这样很容易遭到来自企业管理网或互联网的病毒、木马以及黑客的攻击。 2.2、典型案例 1982年的夏天,前苏联西伯利亚一条天然气输送管道发生了大爆炸。“这场爆炸可谓是迄今为止最为壮观的非核弹爆炸,爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断,前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨TNT。”这是由里根时期的白宫官员托马斯?C?里德所著的个人回忆录《在深渊:一个内幕人的冷战历史》解密的内容。 当时根据美国政府的计划,美国中情局在天然气管道的操作软件上做了手脚,对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程,特意安置了“定时炸弹”。这些软件可以正常运作一段时间,但不久就会重新调整油泵的速度和阀门的设置,产生大大超过油管接头和焊接承受的压力,最终破坏整个管道系统。 2010年,以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机报废的原因,就是受到了著名的“震网”病毒武器的攻击。
工业控制系统安全
工业控制系统网络与信息安全 北京力控华康魏钦志 摘要:随着“两化”融合的推进和以太网技术在工业控制系统中的大量应用,进而引发的病毒和木马对SCADA系统的攻击事件频发,直接影响公共基础设施的安全,其造成的损失可能非常巨大,甚至不可估量。而在工业控制系统中,工控网络管理和维护存在着特殊性,不同设备厂家使用不同的通信协议/规约,不同的行业对系统网络层次设计要求也各不相同,直接导致商用IT网络的安全技术无法适应工业控制系统。本文将从工业控制的角度,分析工业控制系统安全的特殊性,并提出针对工控系统安全的综合解决方案。 关键字:工业控制系统安全两化融合SCADA 工业协议 一、工业控制系统介绍 1、工业控制系统 工业控制系统(Industrial Control Systems, ICS),由几种不同类型的控制系统组成,包括监控数据采集系统(SCADA),分布式控制系统(DCS),过程控制系统(PCS)、可编程逻辑控制器(PLC)和远程测控单元(RTU)等,广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏,不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害。 国外典型工业控制系统入侵事件: ?2007 年,攻击者入侵加拿大的一个水利SCADA 控制系统,通过安装恶意软件破坏了用 于取水调度的控制计算机; ?2008 年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致 4 节车厢脱轨; ?2010 年,“网络超级武器”Stuxnet 病毒通过针对性的入侵ICS 系统,严重威胁到伊 朗布什尔核电站核反应堆的安全运营; ?2011 年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系 统的供水泵遭到破坏。 2、工业控制网络的发展 现场总线技术作为传统的数据通讯方式广泛地应用在工业控制中。经过多年的争论和斗争后,现场总线国际标准IEC–61158 放弃了其制定单一现场总线标准的初衷,最终发布了包括10 种类型总线的国际标准。因此,各大总线各具特点、不可互相替代的局面得到世界工控界的认可。多种现场总线协议和标准的共存,意味着在各总线之间实现相互操作、相互兼容的代价是高昂的,且困难的。
工业控制系统信息安全
工业控制系统信息 安全
工业控制系统信息安全 一、工业控制系统安全分析 工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 典型的ICS 控制过程一般由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。 1.1 工业控制系统潜在的风险 1. 操作系统的安全漏洞问题 由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。 2. 杀毒软件安装及升级更新问题 用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,一般不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。 3. 使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。 4. 设备维修时笔记本电脑的随便接入问题 工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。 5. 存在工业控制系统被有意或无意控制的风险问题 如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。 6. 工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。 1.2 “两化融合”给工控系统带来的风险 工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,经过逻辑隔离的方式,使工业控制系统和企业管理系统能够直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不但扩展到了企业网,而且面临着来自Internet的威胁。
关于工业控制系统安全的思考
关于工业控制信息安全的思考 工业的重要性 工业是指原料采集与产品加工制造的产业或工程。工业是社会分工发展的产物,经过手工业、机器工业、现代工业三个发展阶段。我国工业主要分为轻工业和重工业两类:轻工业指主要提供生活消费品和制作手工工具的工业;重工业是指为国民经济各部门提供物质技术基础的主要生产资料的工业。 我国是工业大国,工业产值生产总值位居世界第一。工业决定国民经济现代化的速度、规模和水平,在当代世界各国国民经济中起着主导作用。工业还为自身和国民经济其他各个部门提供原材料、燃料和动力,为人民物质文化生活提供工业消费品;它还是国家财政收入的主要源泉,是国家经济自主、政治独立、国防现代化的根本保证。除此以外,在社会主义条件下,工业的发展还是巩固社会主义制度的物质基础,是逐步消除工农差别、城乡差别、体力劳动和脑力劳动差别,推动社会主义向共产主义过渡的前提条件。 信息安全的重要性 信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,在互联网时代最为重要。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。 工业控制信息安全的重要性 我国工业的快速发展与工业控制自动化技术不断应用是不可分割的,随着信息技术的发展,物联网、云计算等新兴技术的涌现,以及两化融合的持续推进,工控系统的自动化和信息化势必融为一体。工业自动化和信息化系统是工业的核心组成部分,是支撑国民经济的重要基础设施,是工业各行业、企业的“神经中枢”。工业信息安全的核心任务是确保这些“神经中枢”的安全。如果黑客利用设备硬件或软件的通用协议、漏洞、病毒攻击关键基础设备,将可能导致系统停滞、设
工业控制系统网络安全防护建设浅析 刘斌
工业控制系统网络安全防护建设浅析刘斌 发表时间:2019-03-27T11:19:48.810Z 来源:《电力设备》2018年第29期作者:刘斌 [导读] 摘要:计算机技术、网络技术已经遍及生活、生产和学习等领域,成为21世纪人类的必需。 (光大环保能源(莱芜)有限公司) 摘要:计算机技术、网络技术已经遍及生活、生产和学习等领域,成为21世纪人类的必需。在这样的历史背景下,基于信息交流和计算机运用的工业自动化控制系统也发展起来,并迅速得到普及。笔者针对存在于我国当前工业自动化控制系统信息安全方面的主要问题,提出了相应的应对措施。 关键词:工业自动化;控制系统;网络 安全信息是工业生产不可获缺的组成部分,信息化是工业生产的必然趋势,它不仅能大大减少人工的使用量,还能降低生产成本、提高生产效率。在这个信息化的时代,信息交换日益频繁,工业自动化控制系统的信息安全问题日益成为业内关注的焦点。我国当前的工业自动化控制系统与先进国家的差距依然较大,信息安全隐患较多。 1概述 1.1工业自动化控制系统的内涵 工业自动化控制系统通过提前设定生产目标、借助一系列参数来对生产过程进行控制从而实现生产目标的一整套硬件和软件。 1.2工业自动化控制系统的优势 传统的工业生产操作以人力为主,离不开人的直接干预,往往让人精疲力竭还经常出错。而自动化控制系统控制下的生产,不仅可以大大降低劳动强度,还可以减少不合格产品、提高生产效率,比起投入来工业自动化控制系统为企业创造的效益要多得多。工业自动化生产让人类向前迈了一大步,手工操作被大规模的智能机械代替,而工人只要熟练掌握自动化控制系统的操作技术就能轻松完成生产任务,很多时候只需要动动手指头。工业自动化控制的优越性逐渐被人认识,被广泛的运用于建筑、机械制造、信息技术和交通运输等领域,促进了生产效率的稳步提高和社会的快速发展。 1.3工业自动化控制系统的分类 工业自动化控制系统的构成较为复杂,往往需要较多的机器和设备,这些设备设施可以分为三个部分:执行层、驱动层和控制层。根据一定的标准可以对工业自动化控制系统进行分类,比如:根据采用控制原理的不同,可以分为闭环控制系统和开环控制系统;根据给定信号的不同可以分为程序控制系统、恒值控制系统和随动控制系统。 2存在于保障工业自动化控制系统网络安全方面的主要问题 2.1管理制度亟待完善 我国市场经济的真正发展始于上世纪七十年代末期,至今不足四十年,还很不成熟。当前,就算是效率较好的大型国有企业,也存在较多的管理漏洞。企业运行以人为主体,所以企业管理首先是人的管理,只有把人员管理好了,企业才有可能进入良性发展的轨道。调查表明,为数不少的生产企业在门禁制度上存在不规范的地方,外来人员可以轻易的进入企业,与内部员工鱼龙混杂,增加了企业管理的难度,企业的重要信息很有可能被外来人员窃取,给企业造成不同程度的损失。另外,对于工业自动化控制系统的管理也没有严格执行人和系统一一对应的制度,企业内部人员规范起来很难,信息的绝对安全无从得到保障。 2.2专业技术人才短缺 科技是第一生产力,掌握现代先进科学技术的人才对于企业的发展具有举足轻重的作用。一方面,工业自动化控制系统日新月异并被广泛运用,另一方面相应的专业人才青黄不接,人才的培养远不能满足工业自动化控制系统发展的需要。造成这种局面原因主要有两方面:其一,我国尚未建成健全的工业自动化控制系统专业技术人才的培养体系,学科教学周期长、效率低。其二,自动化控制系统是建立在计算机信息技术的基础之上的,而计算机信息技术的更新换代周期越来越短,往往是我们的技术人员刚刚熟悉一套系统,这套系统就面临淘汰的边缘了,人才的培养远远不上技术更新的脚步。中国企业急需能熟练掌握自动化控制的人才,更需要既懂控制系统又能为信息安全提供保障的人才。 2.3系统控制协议加密技术薄弱 通信协议的加密和登录认证技术上相对比较薄弱,这严重威胁到了系统运行中的信息安全。诸如安全绕过技术以及缓冲区溢出技术,是入侵方常用的几种破坏系统运行通信协议的方式。另外,加密技术的薄弱,与信息系统的管理维护人员本身的思想意识也有一定的关系。 3工业自动化控制系统网络安全防护措施 3.1引进国外先进管理理念 俗话说,他山之石可以攻玉。在历史上的四次工业革命中,中国就错过了两次。从第一次工业革命算起,欧美国家的工业生产经历了二百五十余年,在长期发展过程中,欧美国家积累了丰富的工业管理经验,中国当前所面临的问题欧美企业也都曾出现过,也总结出了相应的应对策略,比如微软的“高压管理策略”、IBM公司的“开门政策”、松下公司“经营就是下雨打伞”的管理理念以及诺基亚公司的“优秀团队构建”策略等都是具有十分重要借鉴价值。在工业自动化控制系统信息安全的保障方面,欧美企业也有许多值得中国企业借鉴的成功经验,也有成熟的操作系统防护体系、企业网络防护体系以及防病毒体系等。 3.2加大专业技术人才培养力度 习总书记提醒我们:先进技术是买不来的。我们提倡引进欧美先进的管理理念,但是如是我们掌握工业自动化控制系统,信息安全保障的核心技术,我们终将受制于人,因此我们必须培养出我们自己的专业技术人才。首先,企业应增加培训经费、完善培训体系、健全培训制度,站在世界工业生产前沿的高度,培养出与国际接轨的专业性操作人才;其次,要强化安全教育,改变员工安全意识薄弱的局面,让每位员工都深刻认识到信息安全的重要性;第三,进一步完善管理体系,强化对系统设备及人员的管理,为工业自动化系统安全信心提供强有力的保障。 3.3安全监测平台的建立 建设专门的工业网络防护设备安全监测管理平台,对关键部位的网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、
《工业互联网空间安全态势分析报告》威努特工控安全
工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力。 随着工业互联网的快速发展,大量的工业控制系统也接入了互联网络。工业控制系统重点应用在炼油、石化、电力、冶金、建材、交通、电网、水网、气网、国防、智能制造等关系到国家和社会稳定、经济正常运行的重要领域。随着我国大力推进信息化建设,工业控制系统在我国各行业的应用范围和部署规模快速增长,工业控制系统已成为国家关键基础设施的“中枢神经”。其中,公用事业行业,大中型城市的燃气输配、供电、供水、供暖、排水、污水处理等均采用了智能工业控制系统;以石油石化天然气为代表的能源行业,从大型油气田到数万公里的原油、天然气和成品油输送管线,大规模采用工业控制系统;电力行业,发电、调度、变电、配电和用电等各个环节都离不开工业控制系统;以轨道交通为代表的公共交通行业,从控制列车运行的信号系统、到统一指挥调度的综合监控系统已全部实现网络化控制;水利行业,国家防汛指挥系统采用工控系统进行区域和全国联网;智能制造行业,越来越多的信息技术应用到了工业制造领域,生产模式得以根本性的改变,各种智能制造设备和系统进行网络互联互通的趋势越来越快。 我国近几年工业控制系统的安全事件屡有发生,如钢厂异常停机、石化工厂蠕虫泛滥等等,这些层出不穷的安全事件,为我国关键基础设施核心要害系统安全问题敲响了警钟。
研究范围:中国互联网空间的所有IPv4 地址。 研究对象:研究范围内的工业互联网设备。 研究方法:使用工业互联网雷达引擎扫描互联网空间,发现接入的工业互联网设备,根据设备指纹信息获取资产信息(包括设备类型、厂商、型号、固件版本和软件版本等),根据固件或软件版本信息获取漏洞信息,然后结合资产和漏洞信息梳理出《工业互联网空间安全态势分析报告》。 研究时间:2017年9月~ 2017 年11 月。 三、统计分析 截止2017年11月4日,本轮共探测到全国接入互联网的工业互联网设备17821个,其中DTU数据中心占15146个,其他工控系统占2675个。以下为暴露在公网的工业互联网设备全国区域分布图。 图1、全国接入互联网的工业互联网设备区域分布图
浅谈工业自动化控制系统安全及其防范对策
浅谈工业自动化控制系统安全及其防范对策 【摘要】基于TCP/IP网络的工业自动化控制系统潜在的安全风险是不可避免的。本文从IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,分析当前工业控制系统存在的风险,并提出采取相应的安全措施,使系统的安全损失减少到最小。 【关键词】控制系统;安全;防范对策 1 工业控制系统介绍 工业控制系统(Industrial Control Systems,ICS)是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。 目前工业控制系统广泛的应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。 2 工业自动化控制系统信息安全定义及现状 工业自动化控制系统信息安全就是对工业自动化控制系统及终端设备进行安全防护。根据工业自动化控制系统涉及的终端设备及系统,普遍认为信息安全包括:保护在工业自动化控制系统中广泛使用的,如工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。 工业自动化控制系统信息安全中最为基础的部分就是工业以太网,所以工业以太网网络首先得必须保证7*24*365天的可用性,必须能够不间断的可操作,能够确保系统的可访问性,数据能够实时进行传输,需要有完备的保护方案。 工业自动化控制系统信息安全的所带来的风险十分广泛,大致的威胁级别可以分为:未授权访问、数据窃取、数据篡改、病毒破坏工厂导致停产。 2.1 未授权访问 未授权访问是指未经授权使用网络或未授权访问网络资源、文件的一种行为。主要包括非法进入系统或网络后进行操作的行为。
工业控制系统安全解决方案
工业控制系统安全解决方案篇一:Tofino(多芬诺)工业网络安全解决方案 工业网络安全解决方案 一、概述 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。XX年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。工信部协[XX]451号通知明确指出,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常
运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。 二、行业现状与分析 需要重点解释的是,商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子,商业防火墙通常允许该网络内的用户使用HTTP浏览因特网,而控制网络则恰恰相反,它的安全性要求明确禁止这一行为;再比如,OPC是工业通讯中最常用的一种标准,但由于OPC基于DCOM 技术,在应用过程中端口在1024-65535间不固定使用,这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中,选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求,Tofino?是一种经济高效的方式。 三、Tofino解决方案 方案亮点 Tofino能够用来分离安全系统网络与过程系统网络,实现关键系统与非关键系统的物理隔离。与普通商用防火墙相比,Tofino更适于工业控制系统安全防护,主要体现在:(1)工业型:
关于加强工业控制系统信息安全管理的通知
关于加强工业控制系统信息安全管理的通知【发布时间:2011年10月27日】【来源:信息安全协调司】【字号:大中小】 工信部协[2011]451号 各省、自治区、直辖市人民政府,国务院有关部门,有关国有大型企业: 工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下: 一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。 二、明确重点领域工业控制系统信息安全管理要求 加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。各地区、各部门、各单位要结合实际,明确加强工业控制系统信息安全管理的重点领域和重点环节,切实落实以下要求。 (一)连接管理要求。 1. 断开工业控制系统同公共网络之间的所有不必要连接。
工业控制系统信息安全系统应急预案
工业控制系统信息安全应急预案为了切实做好市污水厂网络与信息安全突发事件的防范和应急处理工作,提高污水厂中控系统预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保市污水厂中控系统网络与信息安全,结合工作实际,制定本预案。 一、总则 本预案适用于本预案定义的1级、2级网络与信息安全突发公共事件和可能导致1级、2级网络与信息安全突发公共事件的应对处置工作。 本预案所指网络与信息系统的重要性是根据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。 (一)分类分级。 本预案所指的网络与信息安全突发公共事件,是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。 1、事件分类。 根据网络与信息安全突发公共事件的发生过程、性质和特征,网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害,
事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。 自然灾害是指地震、台风、雷电、火灾、洪水等。 事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。 2、事件分级。 根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,将网络与信息安全突发公共事件分为四级:1级 (特别重大)、2级 (重大)、3级 (较大)、4级 (一般)。国家有关法律法规有明确规定的,按国家有关规定执行。 1级 (特别重大):网络与信息系统发生全局性大规模瘫痪,事态发展超出自己的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。 2级 (重大):网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。 3级 (较大):某一部分的网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门、跨地区协同处置的突发公共事件。
浅谈工业控制系统安全态势
浅谈工业控制系统信息安全态势 摘要 进入21世纪,人类迈向信息化时代的步伐不断加快,随着信息技术的发展,信息安全也面临着严峻的现实考验。近年来,针对工控系统的安全事件不断攀高。本文介绍了石油工业控制系统的特点,分析当前安全形势下工控系统面临的安全威胁,提出应加强措施以应对安全威胁。 关键词 工业控制系统石油工业SCDAD系统信息安全分析 正文 随着网络信息技术的发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,并以各种方式与互联网等公共网络连接。在工业控制系统愈发智能的同时,其网络也变的更加透明、开放、互联,TCP/IP 存在威胁同样出现在工业网络中。病毒、木马等威胁开始向工业控制系统扩散,信息安全问题日益突出。 进入21世纪,工业控制系统已经深入石油工业的每个重要部分,智能管控的方向已经渐入实际,随之带来的安全问题也令石油企业堪忧,作为石油高校的学子,我们有必要学习并认识工业控制系统运作中存在的问题。同时,工控系统的健康发展需要软硬件的配合,在计算机综合实验课程学习的基础上,我们也有一定的能力去解释相关问题并找到相应的解决办法。 1 工业SCDAD系统与石油行业应用 工业控制系统(Industrial Control Systems,ICS),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的对工业生产过程实现检测、控制、优化、调度、管理和决策的业务流程管控系统,实现增加产量、提高质量、降低消耗、确保安全等目的。其包括监控和数据采集系统(Supervisory Control and Data Acquisition,SCADA),分布式控制系统(Distributed Control Systems,DCS),以及其他更小的系统控制器,如可编程逻辑控制器(Programmable Logic Controllers,PLC)。目前工业控制系统广泛应用于电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。 SCADA系统,即数据采集与监视控制系统。SCADA系统广泛应用于电力、
解读工业控制系统信息安全防护的指南资料全
解读《工业控制系统信息安全防护指南》制定《指南》的背景 通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。”可以看出,《工业控制系统信息安全防护指南》是根据《意见》制定的。《意见》中相关要求 《意见》“七大任务”中专门有一条“提高工业信息系统安全水平”。工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。 以上这些,就是政策层面的指导思想和要求。 《指南》条款详细解读 《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。我们从《指南》要求的主体、客体和方法将十一条分为三大类: a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任: 1.10 供应链管理
(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。 解读:工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。 (二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。解读:与工业控制系统安全服务方签定保密协议,要求服务商及其服务人员严格做好保密工作,尤其对工业控制系统内部的敏感信息(如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等)进行重点保护,防范敏感信息外泄。1.11 落实责任 通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。 解读:设立工业控制系统安全管理工作的职能部门,负责工业控制系统全生命周期的安全防护体系建设和管理,明确安全管理机构的工作范围、责任及工作人员的职责,制定工业控制系统安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。
2018年工控安全行业市场调研分析报告
2018年工控安全行业市场调研分析报告
1. 工控网络安全新态势 (4) 1.1 两化深度融合大背景下,工控系统信息安全重要意义凸显 (4) 1.1.1 工业4.0、物联网快速普及,工控系统与外部融合加深 (4) 1.1.2 能源等重要基础设施已经成为高级别网络攻击的新目标,工控安全形势严峻 (5) 1.1.3 我国工控安全态势不容乐观 (8) 1.2 工控安全:起步较晚、受政策高度关注 (9) 1.2.1 工控系统信息安全发展历程 (9) 1.2.2 政策重点关注 (10) 2. 重点关注工控测评细分领域 (12) 2.1 工控安全市场概要:处于快速起步阶段的蓝海市场 (12) 2.2 看好工控行业信息安全测评市场 (13) 2.2.1 重要基础设施强制定期检测,电力领域工控安全检测市场增长稳健 (13) 2.2.2 核电、化工、石油等行业需求将驱动工控信息安全测评整体市场持续高速增长 (14) 3. 投资策略:布局工控技术背景较强的信息安全厂商 (16) 3.1 推荐标的 (16) 3.1.1 卓识网安:工控安全测评行业龙头,成长空间大 (16) 3.1.2 珠海鸿瑞:聚焦隔离、加密、审计硬件安全产品,业绩增长稳健 (18) 4. 风险提示 (20) 表1:近年工控安全事件 (6) 表2:工控领域政策梳理 (10) 表3:我国信息系统分级标准 (13) 表4:卓识网安工控系统信息安全知识库 (16) 表5:卓识网安开发的工控测评专用系统 (16) 表6:卓识网安公司软件著作权 (17) 图1:各国工业控制系统的联网数量 (4) 图2:联网工控系统品牌 (4) 图3:全球联网工控系统类型 (5) 图4:全球工控安全事件数量,2012-2015 (5) 图5:2000-2016年公开工控漏洞趋势图 (7) 图6:2000-2016年公开工控漏洞主要类型统计 (7)