工业控制系统网络安全设计方案.pdf

《工业控制系统网络安全设计方案.pdf》由会员分享，可在线阅读，更多相关《工业控制系统网络安全设计方案.pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、工业控制系统安全设计方案 1.1 工业控制系统概述 工业控制系统是几种类型控制系统的总称，包括监控与数据采集（SCADA）系统、分布式（集散）控制系统（DCS）和其他控制系统，其他控制系统如在工业部门和关键基础设施中经常可以看到的可编程式逻辑控制器（PLC）等。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组

2、态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。1.2 工控行业状况 工控行业工控安全需求凸显。电力行业，遵循 36 号文国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知内容进行安全建设，电力监控系统安全防护总体方案 对省级以上调度中心、地级调度中心、各类型发电厂、变电站、配电监控的监控系统的安全防护。近几年，能源局每年都会有对电厂和电网检查。各级电网还会对电厂进行安全检查。工信部依据工控系统信息安全防护指南对电力企业进行检查。公安部通过执法检查对电力企业进行安全检查。在安全检查和调度工控安全年方向的推动

3、下，电厂、电调、电科院需求明确，今年有大量项目涌出。工业互联网应用，作为智能制造的关键基础，打破了传统工业相对封闭可信的制造环境，但与此同时，这也造成病毒、木马、高级持续性攻击等互联网安全风险对工业生产的威胁日益加剧。纵观整个 2017 年，工业互联网在国内的推进无论从国家政策层面还是企业实际落地层面都得到了积极的重视，而对工业互联网的信息安全保障也是一样的，伴随着国家“互联网+制造业”、“三去一补一降”等政策的不断推进落实，工业互联网的推进速度必将不断加快，工业控制系统安全的发展重点也将逐步转向工业物联网安全、工业云安全等工业互联网的安全范畴。从目前已有的工业互联网平台架构来看，工业互联网安

4、全的市场焦点将主要围绕工业物联网安全、工业云安全、工业数据安全等方面。在工业物联网安全，可信计算、物联网设备认证、密钥管理、可视化管控等将会是主要趋势，如何解决非智能设备的安全管控仍将是难点。而在工业云平台，更多的将会聚焦于数据安全、权限控制、API 安全、APT 攻击、拒绝服务、安全评估服务等。对于工业数据安全，数据作为工业互联网的核心，已开始从少量、单一、单向正在向大量、多维、双向转变，因此，工业数据安全重点强调数据的整个生命周期的管理。1.3 工业控制系统安全现状 2015 年 5 月，中国制造 2025正式发布，其内涵核心是把信息互联技术与传统工业制造相结合，形成生产智能化，提高资源利

5、用率，以此来推动整个国家竞争力。近年来，随着两化深度融合战略的持续推进，以及物联网等新兴技术在工业领域的应用，工业控制系统的安全也倍受国家和企业的关注。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施，在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。据统计，过去一年，国家信息安全漏洞共享平台收录了 100 余个对我国影响广泛的工业控制系统软件安全漏洞，较2010 年大幅增长近 10 倍，涉及西门子、亚控科技和三维力控等国内外知名工业控制系统制造商的产品。安全漏洞的涌现，无疑为工业控制系统增加了风险，进而影响正常的生产秩序，甚至会危及人员健康和公共财产安全。两化融合和物联网的发

6、展使得TCP/IP 协议和 OPC 协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。例如，OPC Classic 协议(OPC DA，OPC HAD 和 OPC A&E)基于微软的 DCOM 协议，而 DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且 OPC 通讯采用不固定的端口号，导致目前几乎无法使用传统的 IT 防火墙来确保其安全性。因此确保使用 OPC 通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。提到工控安全问题，很多人可能会简单地理解为直接用于控制的实时操作系统设备的安全。然而，从整个架构上看，工业控制系统是

7、由服务器、终端、前端的实时操作系统等共同构成的网络体系，同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。在整个工业控制系统中，大多数工控软件都是运行在通用操作系统上，例如操作员站一般都是采用 Linux 或 Windows 平台，由于考虑到系统运行的稳定性，一般系统运行后不会对 Linux 或 Windows 平台打补丁；另外，大多工业控制网络都属于专用内部网络，不与互联网相连，即使安装反病毒软件，也不能及时地更新病毒数据库，并且杀毒软件对未知病毒和恶意代码也无能为力。操作系统漏洞无法避免，加之传统防御技术和方式的滞后性，给病毒、恶意代码的传染与扩散留下了空间。据了解，在 2010

8、年爆发的“震网（Stuxnet）”事件中，病毒导致部分用于铀浓缩的离心机无法运行，直击伊朗核工业。由此可见，针对工业控制系统的攻击行为，已经对国家经济和社会发展产生深远的影响。事实上，不仅仅是“震网(Stuxnet)”病毒，近年来相继涌现出的著名恶意软件如“毒区(Duqu)”、“火焰(Flame)”等等，也将攻击重心向石油、电力等国家命脉行业领域倾斜，工业控制系统面临的安全形势越来越严峻。2017 年 5 月 12 日,“WannaCry”勒索病毒在全球范围内 大规模爆发,电力、石油、通信、交通运输、医疗等众多行业领域受到事件影响。此次勒索病毒感染了全球 150 多个国家的 30 万台主机。从

9、我国受影响情况来看,教育、政 府、能源、电力等重点领域重要系统均受到相关波及,造成 系统中断、数据丢失、业务停摆等一系列严重后果。从源头上看,该勒索病毒利用了 2017年4月遭泄密的美国国家安全局(NSA)网络军火库中的“永恒之蓝”攻击程序,通过 Windows 系统漏洞实现迅速广泛传播。新型恶意软件“工业破坏者”直指电力领域工控设备，安全研究人员经分析认为,“工业破坏者”恶意软件与 2016 年 12 月 17 日发生在乌克兰首都基辅输电变电站的网络攻击事件有关。“工业破坏者”可以攻击采用 IEC 60870-5-101、IEC 60870-5-104、IEC 61850 以及 OPC DA

10、 协议的变电站、交通管理、供水系统、石油石化、发电等关键信息基础设施，可以对现场设备发特定指令，具有数据清除功能，定时器触发时间为 2016 年 12 月 17 日 22 点。监管部门针对工控系统的安全检查呈常态化。2015 年 6 月至 12 月国家能源局在全国范围内组织开展了电力工控系统安全防护专项监管工作，重点对电力行业电力工控系统网络安全管理、管理规定制度落实、总体技术防护策略落实、PLC设备隐患排查及漏洞整改、宣传教育培训等工作开展情况进行监督检查。2016 年2017 年，国家能源局综合司开展并网电厂涉网安全专项检查工作 2016 年 6 月起，全国公安机关开展 2016 年网络安

11、全执法检查，检查范围包括电力、航空航天、铁路、石化、石油、轨道交通、核工业、冶金、市政供水、燃气、供热等多个重点行业工控系统。2017 年，公安部工控等保检查工作。20152017 年，工信部、各地经信委组织重点网络系统和工业控制系统安全检查。20162017 年，网信办对于基础设施进行信息安全检查。1.4 政策背景 自 2010 年震网（Stuxnet）病毒爆发后，我国对国家基础设施的信息安全问题非常重视。2011 年 9 月，发布工信部协2011451号关于加强工业控制系统信息安全管理的通知。此后在 2012 年 6 月，国务院印发国务院关于大力推进信息化发展和切实保障信息安全的若干意见（

12、国发201223 号）中明确要求：“保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。”之后,工信部办公厅又印发了关于开展工业控制系统信息安全风险信息发布工作的通知（厅函2012629 号），加快建立工业控制系统信息安全信息通报机制。中国制造 2025 提出要“加强智能制 造工业控制系统网络安全保障能力建设,健全综

13、合保障体系”。16 年 5 月，国务院关于深化制造业与互联网融合发展的指导意见 将“提高工业信息系统安全水平”作为主要任务之一。2016 年 12 月，国家互联网信息办公室发布国家网络空间安全战略，明确将保护关键信息基础设施作为战略任务。2017 年 6 月 1 日起施行的中华人民共和国网络安全法则明确提出，要保障关键信息基础设施运行安全，对关键信息基础设施的安全风险进行抽查检测，提出改进措施等。为贯彻落实国务院关于深化制造业与互联网融合发展的指导意见（国发201628 号），工信部于 2017 年 8 月印发工业控制系统信息安全防护能力评估工作管理办法，由此来督促工业企业做好工业控制系统信息

14、安全防护工作，检验工业控制系统信息安全防护指南（工信部信软2016338 号）的实践效果，综合评价工业企业工业控制系统信息安全防护能力。17 年 11 月，刚发布的关于深化“互联网+先进制造业”发展工业互联网的指导 意见(以下简称指导意见)围绕制造强国和网络强国建 设的安全保障需求,以“强化安全保障”为指导思想、“安全可 靠”为基本原则,提出“建立工业互联网安全保障体系、提升 安全保障能力”的发展目标,部署“强化安全保障”的主要任务,为工业互联网安全保障工作制定了时间表和路线图。17 年 12 月，工业和信息化部印发工业控制系统信息安全行动计划（2018-2020 年）目标到 2020 年，全

15、系统工控安全管理工作体系基本建立，全社会工控安全意识明显增强。建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台），态势感知、安全防护、应急处置能力显著提升。培育一批影响力大、竞争力强的龙头骨干企业，创建 3-5 个国家新型工业化产业示范基地（工业信息安全），产业创新发展能力大幅提高。等级保护标准是国内非涉密信息系统的安全集成标准，网络安全法是作为中国信息安全的基本法,明确的提到信息安全的建设要遵照等级保护标准来做建设。为了配合中华人民共和国网络安全法的实施，适应工业控制系统网络安全等级保护工作的开展，在即将发布的 信息安全技术 网络安全等级保护基本要求中，不仅

16、针对共性安全保护需求提出安全通用要求，也针对工业控制的个性安全保护需求提出了安全扩展要求。信息安全技术 网络安全等级保护基本要求针对数据采集与监视控制系统（SCADA）、集散控制系统（DCS）和其它控制系统、可编程逻辑控制器（PLC）、远程测控单元（RTU）等各类工业控制系统（ICS），规定了网络安全等级保护的扩展要求，为电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业的工控系统网络安全等级保护措施的设计、落实、测试、评估等提供了清晰的指导要求。1.5 安全技术需求 1.5.1 物理和环境安全需求 物理和环境安全主要影

17、响因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。具体安全需求如下：由于机房容易遭受雷击、地震和台风等自然灾难威胁，需要通过对物理位置进行选择，及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题；由于机房容易遭受水患和火灾等灾害威胁，需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁；由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常，应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁；由于机房电压波动影响，需要合理设计电力供应系统来解决因电压波动带来的安全威胁；

18、针对机房供电系统故障，需要合理设计电力供应系统，如：购买UPS系统、建立发电机机房，铺设双电力供电电缆来保障电力的供应，来解决因供电系统故障带来的安全威胁；针对机房容易遭受静电、设备寄生耦合干扰和外界电磁干扰，需要采取防静电和电磁防护措施来解决静电、设备寄生耦合干扰和外界电磁干扰带来的安全威胁；针对机房容易遭受强电磁场、强震动源、强噪声源等污染，需要通过对物理位置的选择、采取适当的电磁防护措施，来解决强电磁场、强震动源、强噪声源等污染带来的安全隐患；针对利用非法手段进入机房内部盗窃、破坏等安全威胁，需要通过进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施，来解决非法手段进入机房

19、内部盗窃、破坏等带来的安全问题；针对利用工具捕捉电磁泄漏的信号，导致信息泄露的安全威胁，需要通过采取防电磁措施，来解决电磁泄漏带来的安全问题。针对电磁干扰、极端天气、火灾和水患、盗窃、破坏等安全威胁，导致室外控制设备故障或无法正常运行，需要对室外控制设备采取箱体固定和应急处置措施。1.5.2 网络和通信安全需求 网络和通信层指利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。具体安全需求如下：针对网络架构设计不合理而影响业务通信或传输问题，需要通过优化设计、安全域改造完成。工业控制系统内部以及工业控制系统与企业其他系统之间应划分

20、为独立的安全区域，并采用技术隔离手段（工业控制系统与企业其他系统之间采用单向隔离手段）；涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离。针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性和保密性，需要通过数据加密技术、数据校验技术来保障。在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。针对内部人员未授权违规连接外部网络，或者外部人员未经许可随意接入内部网络而引发的安全风险，以及因使用无线网络传输的移动终端而带来的安全接入风险等问题，需要通过违规外

21、联、安全准入控制以及无线安全控制措施来解决。应对所有参与无线通信的用户（人员、软件进程或者设备）进行身份鉴别、授权以及访问控制；应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护；对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统行为。针对攻击者越权访问文件、数据或其他资源，需要通过访问控制、身份鉴别等技术来解决。工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界通用网络服务；在工业控制系统内安全域和安全域之间的边界防护机制失效时是有及报警机制。针对通过分布式拒绝服务攻击恶意地

22、消耗网络、操作系统和应用系统资源，导致拒绝服务或服务停止的安全风险，需要通过抗 DDoS 攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击（如碎片重组，协议端口重定位等），需通过网络入侵检测、恶意代码防范等技术措施来解决。针对利用网络结构设计缺陷旁路安全策略，未授权访问网络，需通过访问控制、身份鉴别、网络结构优化和调整等综合方法解决。针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析，以及集中安全策略分发、漏洞补丁升级等安全管理问题，需要通过集中安全管控机制来解决。针对确需使用拨号访

23、问服务的工业控制系统，需通过拨号权限、访问控制、身份鉴别、认证加密、主机加固等措施来增加拨号服务的安全性。1.5.3 设备和计算安全需求 设备和计算安全包括各类网络设备、服务器、管理终端和其他办公设备系统层的安全风险。主要涵盖两个方面，一是来自系统本身的脆弱性风险；另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下：针对用户帐号权限设置不合理、帐号暴力破解等等安全风险，需要通过帐号管理、身份鉴别、访问控制等技术手段解决。针对在网页浏览、文档传递、介质拷贝或文件下载、邮件收发时而遭受恶意代码攻击的安全风险，需通过恶意代码防范技术手段解决。针对操作用户对系统错误配置或更改而引起的

24、安全风险，需通过安全配置核查、终端安全管控等技术手段解决。针对设备系统自身安全漏洞而引起被攻击利用的安全风险，需要通过漏洞扫描技术、安全加固服务等手段解决。针对通过恶意代码或木马程序对主机、网络设备或应用系统进行攻击的安全威胁，需通过恶意代码防护、入侵检测、身份鉴别、访问控制、安全审计等技术手段解决。控制设备自身如受条件限制无法实现身份鉴别、访问控制和安全审计等要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；应在经过充分测试评估后，在不影响系统安全稳定运行的情况下，使用专用设备和专用软件对控制设备进行更新等工作；应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行口等，确

25、需保留的必须通过相关的技术措施实施严格的监控管理；控制设备在上线前要经过安全性检测，确保控制设备固件中不存在恶意代码程序。1.5.4 应用和数据安全需求 应用和数据安全涉及业务应用系统及重要数据传输、存储的安全问题。具体安全需求如下：针对利用各种工具获取应用系统身份鉴别数据，进行分析获得鉴别内容，从而未授权访问、使用应用软件、文件和数据的安全风险，需要采用两种或两种以上鉴别方式来，可通过应用系统开发或第三方辅助系统来保证对应用系统登录鉴别安全；针对应用系统缺陷、接口设计等导致被恶意攻击利用、数据丢失或运行中断而影响服务连续性的安全风险，需要通过对产品采购、自行软件开发、外包软件和测试验收进行流

26、程管理，同时保证应用软件具备自我容错能力；针对应用系统过度使用内存、CPU 等系统资源，需要对应用软件进行实时的监控管理，同时对系统资源进行管控；针对由于应用系统存储数据而引发的数据损毁、丢失等数据安全问题，需通过本地数据备份和异地容灾备份等手段来解决；针对通过伪造信息进行应用系统数据的窃取风险，需要加强网络边界完整性检查，加强对网络设备进行防护、对访问网络的用户身份进行鉴别，加强数据保密性来解决。应采用校验码技术、加解密技术或同等安全性的技术手段对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行验证，保证重要数据在存储过程中的完整性。1.6 安全管理需求 1.6.1 安全策

27、略和管理制度需求 安全策略和管理制度涉及安全方针、总体安全策略、安全管理制度、审批流程管理和安全检查管理等方面。其安全需求如下：需要制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；需要建立安全管理制度，对管理活动进行制度化管理，制定相应的制定和发布制度；需要对安全管理制度进行评审和修订，不断完善、健全安全制度；需要建立相应的审批部门，进行相关工作的审批和授权；需要建立协调机制，就信息安全相关的业务进行协调处理；需要建立审核和检查部门，安全人员定期的进行全面的安全检查；需要建立恰当的联络渠道，进行沟通和合作，进行事件的有效处理；需要建立审

28、核和检查的制度，对安全策略的正确性和安全措施的合理性进行审核和检查；需要建立备案管理制度，对系统的定级进行备案；需要建立产品采购，系统测试和验收制度，确保安全产品的可信度和产品质量；1.6.2 安全管理机构和人员需求 安全管理机构和人员管理涉及安全部门设置、人员岗位设置、人员安全管理等方面。其安全需求如下：需要建立专门安全职能部门，设置安全管理岗位，配备安全管理人员、网络管理人员、系统管理人员；需要对人员的录用进行必要的管理，确保人员录用的安全；需要对人员离岗进行有效的管理，确保人员离岗不会带来安全问题；需要对人员考核进行严格的管理，提高人员安全技能和安全意识；需要对人员进行安全意识的教育和培

29、训，提高人员的安全意识；需要对第三方人员进行严格控制，确保第三方人员访问的安全。1.6.3 安全建设管理需求 安全建设管理涉及安全方案设计、安全集成建设、变更控制管理、工程质量管理，以及应急事件处置等方面。其安全需求如下：需要具有总体安全方案设计、安全评审的流程和管理能力；密码算法和密钥的使用需符合国家密码管理的规定；需要任何变更控制和设备重用要申报和审批，对其实行制度化管理；需要对安全产品质量进行验证测试的能力；需要安全工程的实施质量和安全功能的实现管理能力；需要对信息安全事件实行分等级响应、处置的流程管理能力。工业控制系统重要设备及专用信息安全产品需通过国家及行业监管部门认可的专业机构的安

30、全性及电磁兼容性检测后方可采购使用。应在外包开发合同中包含开发单位、供应商对所提供设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的约束条款。1.6.4 安全运维管理需求 安全运维管理涉及机房运行管理、资产管理、系统安全运行维护管理等方面。其安全需求如下：需要保证机房具有良好的运行环境；需要对信息资产进行分类标识、分级管理；需要对各种软硬件设备的选型、采购、使用和保管等过程进行控制；需要各种网络设备、服务器正确使用和维护；需要对工业控制系统按照类别进行安全漏洞和隐患的识别，并在确保安全生产的情况下及时进行修补；建立并定期更新、验证控制设备的漏洞台账或漏洞库，定期对不影响生产

31、环境的高危漏洞进行修补；对不能修复的漏洞，应在系统维护期间开展补偿措施，弥补漏洞对工业控制系统带来的风险。在更新恶意代码库、木马库以及规则库前，应首先在测试环境中测试通过，对隔离区域恶意代码更新应有专人负责，更新操作应离线进行，并保存更新记录；工业控制系统重要软硬件系统、设备及专用信息安全产品应采用符合国家及行业相关要求的产品及服务。需要对网络、操作系统、数据库系统和应用系统进行安全管理；需要定期地对通信线路进行检查和维护；需要硬件设备、存储介质存放环境安全，对其使用进行控制和保护；需要对支撑设施、硬件设备、存储介质进行日常维护和管理；需要对系统使用手册、维护指南等工具文档进行管理；需要在事件

32、发生后能采取积极、有效的应急策略和措施。2 技术体系设计方案 2.1 技术体系设计目标 技术体系设计目标是根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在信息安全产品采购和安全控制开发阶段具有依据。工业控制系统的第三级信息安全保护技术体系的设计目标是通过对定级系统增加系统安全审计等安全功能，增强身份鉴别、审计等功能，同时增加区域边界之间的安全通信管道，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自我保护的能力。2.2 技术体系设计框

33、架 对于工业控制系统根据被保护对象业务性质分区，针对功能层次技术特点实第2层 计算环境第3层 计算环境第4层 企业经营管理层 信息安全区域A第3层和第4层之间通信网络第2层和第3层之间通信网络见GB/T 25070-2010复杂工业控制系统等级保护安全通信网络第1层和第2层之间通信网络信息安全区域B第3层 边界防护 第2层 边界防护第1层 计算环境第1层 边界防护第0层 计算环境第0层 边界防护第0层和第1层之间通信网络第2层 计算环境第2层 边界防护安全管理中心系统管理安全管理审计管理第1层和第2层之间通信网络注：（a）一个信息安全区域可以包括多个不同等级的子区域；（b）纵向上分区以工业现场

34、实际情况为准（本防护方案的分区为示例性分区），分区方式包括但不限于：第02层组成一个安全区域、第01层组成一个安全区域等。第1层 计算环境第1层 边界防护第0层 计算环境第0层 边界防护信息安全区域B1第1层 计算环境第1层 边界防护第0层 计算环境第0层 边界防护信息安全区域B2区域边界防护区域边界防护区域边界防护区域边界防护信息安全区域之间通信网络信息安全区域之间通信网络第0层和第1层之间通信网络第0层和第1层之间通信网络安全管理中心边界防护施信息安全等级保护设计，通过构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系，采用分层、分区的架构，结合工业控制系统总线协议复杂多样

35、、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。2.3 安全技术防护体系设计 主机安全防护 主机操作系统安全加固不但能够实现基于文件自主访问控制，对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安全；而且能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器重要数据完整性不被破坏。安全审计管理 在安全计算环

36、境防护中，安全审计管理包括对各类用户的操作行为审计，以及网络中重要安全事件的记录审计等内容，且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。因此，此类安全审计通常包括日常运维安全审计、数据库访问审计、Web 业务访问审计，以及对所有设备、系统的综合日志审计。在有冗余的重要应用环境，现场设备双重或多重控制器可采用实时审计跟踪技术，确保及时捕获网络安全事件信息并报警。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP 服务器），以确保审计分析的正确性。控制过程完整性保护 保护系统的同步机制、校时机制，保持控制周期稳定、现场总线轮询周期稳定

37、;现场设备应能识别和防范破坏控制过程完整性的攻击行为，应能识别和防止以合法身份、合法路径干扰控制器等设备正常工作节奏的攻击行为;在控制系统遭到攻击无法保持正常运行时，应有故障隔离措施，应使系统导向预先定义好的安全的状态，将危害控制到最小范围。安全管理中心设计 依据等级保护要求第三级中网络和通信安全相关安全控制项，结合安全管理中心对系统管理、安全管理和审计管理的设计要求，安全管理中心建设主要通过网络管理系统、综合安全管理平台等机制实现。通过网络管理系统能够对网络设备、网络链路、主机系统资源和运行状态进行监测和管理，实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。通过综合安全管理平台

38、对安全设备、网络设备和服务器、工业控制现场控制设备等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范化和过滤归处理，设置监控指标告警阈值，触发告警并记录，对各类网络安全报警和日志信息进行关联分析和预警通报，实现对工业控制系统设备的可用性和安全性进行实时监控。在综合安全管理平台呈现工业控制系统设备间的访问关系，形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单，从而及时发现未定义的信息通讯行为以及识别重要业务操作指令级的异常。3 管理体系设计方案 3.1 管理体系设计框架 3.2 安全管理防护体系设计 3.2.1 安全策略和管理制度设计 安全策略和管理制度是对信息安全目标和工

39、作原则的规定，其表现形式是一系列安全策略体系文件。安全策略和管理制度是信息安全保障体系的核心，是信息安全管理工作、技术工作和运行维护工作的目标和依据。建立工控系统系统安全管理制度，制定工控系统信息安全工作的总体方针和安全策略，明确安全工作的总体目标、范围、原则和安全框架等，并将工控系统安全防护及其信息报送纳入日常安全生产管理体系，负责所辖范围内工控系统及数据网络的安全管理；对安全管理活动中各类管理内容建立安全管理制度；对安全管理人员或操作人员执行的重要管理操作建立操作流程；形成由安全策略、管理制度、操作规范等构成的全面的信息安全管理制度体系。具体安全策略和管理制度可参考以下内容建设：设立信息安

40、全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；总体方针安全策略信息安全管理制度技术标准、操作规程记录、表单 设立系统管理人员、网络管理人员、安全管理人员岗位，定义各工作岗位的职责；成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求；配备安全管理专职人员，不可兼任；授权审批部门及批准人，对关键活动进行审批；建立各审批事项的审批程序，按照审批程序执行审批过程；信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；信息安全领导小组应定期召开

41、例会对信息安全工作进行指导、决策；加强与供应商、安全企业、安全机构的合作与沟通，获取信息安全的最新发展动态；聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审；由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；由安全管理部门定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；制定、实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。3.2.2 安全管理机构和人员管理设计 安全管理机构和人员管理建设将决定整个安全管理体系的成败。明确由主管安全生产

42、的领导作为工控系统安全防护的主要责任人，成立指导和管理信息安全工作的信息安全领导小组；设立信息安全管理工作的职能部门；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。信息安全领导小组应由单位高层领导和有关部门的管理人员组成，负责协调、指导及管理信息安全各个方面的工作。信息安全领导小组应履行如下职责：就整个单位的信息安全策略方针和责任达成一致；就信息安全的重要和原则性的方法、处理过程达成一致，并提供支持，如风险评估、信息分类方法等；确保将安全作为制定业务系统建设和维护计划的重要部分；授权对安全控制措施是否完善进行评估，并协调新系统或新服务的特定信息安全控制措施的实施情况；审查重大的

43、信息安全事故，制定改进措施；审核信息安全建设和管理的重要活动，如重要安全项目建设、重要安全管理措施出台等。人员安全管理应作为安全管理的重中之重，需要重点考虑人员录用、人员离岗、安全意识教育和培训，以及外部人员管理等。严格规范人员录用过程，对被录用人员的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议；定期对各个岗位的人员进行安全意识教育、岗位技能培训和相关安全技术培训及安全认知的考核；对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。3.2.3 安全建设管理设计 根据系统的安全保

44、护等级选择基本安全措施，并依据工控系统安全防护要求和风险分析的结果补充和调整安全措施；指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；组织相关部门和有关安全技术专家进行论证和审定，并经过监管机构、上级信息安全主管部门的审核。安全建设管理应贯穿到信息系统整个生命周期，在系统审批、建设、安全定级与备案、安全方案设计、软件开发与实施、验收与测试、系统交付与等级测评，以及服务商选择等过程均需要进行安全管理。应采用国家认可专业机构

45、进行过安全性及电磁兼容性检测的工业控制系统重要设备及专用信息安全产品。3.2.4 安全运维管理设计 安全运维管理是整个系统安全运行的重要环节，其内容涵盖机房环境管理、资产管理、介质管理、设备管理、漏洞和风险管理、网络及系统安全管理、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理，以及安全服务管理工作等内容，各环节应符合国家及行业标准的要求。具体如下：3.2.4.1 机房环境管理 在机房环境管理中需要对机房供配电、空调、温湿度控制等设施指定专人或专门部门定期进行维护管理；同时还应建立机房安全管理制度，对机房人员出入、物品带进带出和机房环境安全等方面做出规定

46、；配置电子门禁系统和监控录像系统，对机房出入人员实行电子记录和监控录像。3.2.4.2 资产管理 针对资产管理，应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，规范资产管理和使用的行为；编制并保存与信息系统相关的资产、资产隶属关系、安全级别和所处位置等资产清单。同时应根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施，确定信息分类与标识的原则和方法，对信息的使用、传输和存储做出规定。3.2.4.3 介质管理 应建立介质安全管理制度，对介质存放环境、使用、维护和销毁等方面做出规定；如介质的归档和查询须有记录，并对存档介质的目录清单定期盘点。除此之外

47、，还应对存储介质的数据安全进行管理和防范，具体如下：对于需要送出维修或销毁的介质，应采用多次读写覆盖，清除介质中的敏感或重要数据，防止数据泄露；根据数据备份需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同；根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实行专人管理；对介质物理运输过程中人员选择、打包、交付等情况进行控制；保密性较高的信息存储介质未经批准不得自行销毁，销毁时必须做到双人监销，销毁记录应妥善保存；重要数据存储介质带出工作环境应采取加密方式，并进行监控管理；对存放的介质定期进行完整性和可用性检查，确认其数据或软件没有受到损坏或丢失。3.2.4.4 设备维

48、护管理 对信息系统相关的各种设备、线路等指定专人或专门部门定期进行维护管理；对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立申报、审批管理规定；对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理；按操作规程实现服务器的启动/停止、加电/断电等操作，加强对服务器、网络设备等重要设备或系统的日志文件检查和监控；建立软硬件设备维护管理制度，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等；3.2.4.5 漏洞和风险管理 针对漏洞和风险管理，需要通过漏洞扫描系统对发现的系统安全漏洞进行及时修补；需要定期安装最新补丁程序，对重要漏洞进行及时修补；定期开

49、展安全测评，形成安全测评报告，采取措施应对发现的安全问题。按照工业控制系统类别，建立控制设备漏洞台账或漏洞库，通过扫描机制或情报共享机制定期更新；通过漏洞台账或漏洞库，建立漏洞测试验证机制，定期对不影响生产环境的高危漏洞进行修补；对不能修复的漏洞，应建立补偿措施，弥补漏洞对工业控制系统带来的风险。3.2.4.6 网络和系统安全管理 指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析处理工作；对网络设备和系统的安全策略维护、配置文件更改进行流程审批；通过身份鉴别、访问控制等措施限制远程管理账户的操作行为；指定专人对系统进行管理，删除或者禁用不使用的系统缺省账户；对能够使用

50、系统工具的人员及数量进行限制和控制；根据业务需求和系统安全确定系统的访问控制策略、文件及服务的访问权限；对系统账户进行分类管理，权限设定应当遵循最小授权要求；对于账户安全管理的执行情况进行检查和监督，定期审计和分析用户账户的使用情况；定期检查违反规定无线上网及其他违反网络安全策略的行为。3.2.4.7 恶意代码防范管理 提高全体员工的网络病毒、恶意代码安全防范意识，及时升级防病毒软件；在读取移动存储设备上的数据以及接收文件或邮件之前，先进行病毒检查；对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定；定期检查恶意代码库的升级情况并进行记录，对防病毒软件、防病毒网关上截获的危