工业控制系统信息安全检查评估分析.docx

《工业控制系统信息安全检查评估分析.docx》由会员分享，可在线阅读，更多相关《工业控制系统信息安全检查评估分析.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、工业控制系统信息安全检查评估分析工业限制系统信息平安检查评估分析 本文关键词：限制系统，平安检查，评估，工业，分析工业限制系统信息平安检查评估分析 本文简介：摘要：工业化与信息化高度融合，工控系统起先不断遭遇外来攻击，国内外越来越关注工控行业的信息平安，接连发布相关政策与标准，以此来指导工控行业的信息平安防护工作。与此同时，工控平安检查与评估顺势成为工控信息平安防护工作的一个重要部分，通过平安检查与评估来预判工控系统存在的风险，从而最大程度上降低工控平安工业限制系统信息平安检查评估分析 本文内容：摘要：工业化与信息化高度融合，工控系统起先不断遭遇外来攻击，国内外越来越关注工控行业的信息平安，接

2、连发布相关政策与标准，以此来指导工控行业的信息平安防护工作。与此同时，工控平安检查与评估顺势成为工控信息平安防护工作的一个重要部分，通过平安检查与评估来预判工控系统存在的风险，从而最大程度上降低工控平安带来的损失。关键词：脆弱性；平安检查；风险工业限制系统，简称ICS，主要包括分布式限制系统（DCS)、监控和数据采集限制系统（SCADA）及可编程逻辑限制器(PLC)等限制系统装置1。现在，ICS遍及于石化、电力、能源、冶金、水处理等行业。日前，两化融合战略的不断推动，加之物联网等新兴技术领域的拓展，工控系统平安随之受到企业的关注。在信息平安攻防战的阴影下，工控系统作为能源、电力、石化制造等国家

3、命脉行业的关键基础设施，其运行环境势必会面临着持续攀升的平安风险。目前，对我国影响广泛的工业限制系统软硬件漏洞日益增多，从国家信息平安漏洞共享平台数据可以看出2，较之2022年，近年平安漏洞增长幅度约10倍，包括施耐德、西门子、三维力控和亚控等国内外知名工控系统制造商的软硬件产品。工控漏洞的不断涌现，势必会对工控系统增加风险，从而影响正常的工控生产秩序，甚至危及人员的健康和财产平安。1政策法规1.1国外政策法规为应对关键信息基础设施面临的威逼和挑战，各国纷纷在战略布局、政策法规、标准规范和重点技术创新牵引等方面开展了一系列举措，以推动关键信息基础设施的整体平安保障实力。2003年12月，美国发

4、布了关键基础设施标识、优先级和爱护3；2022年6月，美国国土平安部发布了国家基础设施爱护安排，该安排建有全球相对领先的体系及标准；2022年，美国国土平安部发布了关于物联网平安的准则，即保障物联网平安的战略原则。2022年，法国发布国防和国家平安白皮书，重点关注关键信息基础设施限制系统平安；2022年，欧洲网络与信息平安局（ENISA）发布国家网络平安战略评估框架，目的是加强欧洲各国网络平安防范实力，爱护关键信息基础设施；欧盟2022年发布欧盟网络与信息系统平安指令。2022年，日本发布网络平安战略，提出要建立关键信息基础设施爱护的评估认知机制和信息共享机制；日本建有关键信息基础设施攻防实景

5、模拟基地，并进行实战演习。1.2国内政策法规2022年4月19日，习近平主席发表重要讲话，“没有网络平安，就没有国家平安”4。2022年10月17日，工信部发布工业限制系统信息平安防护指南，提出十一大项平安防护指导要求，为工控企业开展工控平安防护工作供应了有力的指导依据。2022年11月7日，第十二届全国人大常务委员会其次十四次会议顺当通过了中华人民共和国网络平安法，自2022年6月1日起施行。2022年7月31日，工信部制定了一项关于工控评估的管理方法，即工业限制系统信息平安防护实力评估工作管理方法，以此来指导工控企业开展工控系统信息平安防护工作。2检查方法鉴于工业限制现场环境的独有特性，工

6、控平安检查评估的方法主要包括文档审查、人员访谈、核查验证、现场查看、平安监测等。2.1文档审查主要包括自查工作开展、平安问题整改、被检工控系统运行状况、平安防护措施及策略信息等相关资料。2.2人员访谈经与企业相关员工进行交谈和问询，了解被检工控系统技术和管理方面的基本信息、近一个月至半年的运行状况，并对一些须要抽检的相关内容进行确认。2.3核查验证有些信息还须要经过上机确认并加以核实，例如，通过人员访谈和文档审核中获得的信息，须要进行上机核查验证。2.4现场查看对被检工控系统运行环境、运维工作环境等进行现场查看。2.5平安检测依据实际状况，检查人员根据相关要求对被检工控系统进行检测。包括：工控

7、漏洞扫描于渗透测试、配置策略核查、记录并分析运行日志等。3检查流程依据工业现场的状况，结合工业现场的特性，一般来说检查流程主要包扩方案制定、打算、现场核查和总结分析四个阶段，详细如图1所示。3平安评估内容相较于平安检查，平安评估是对检查过程中系统暴漏的风险进行量化分析，主要包括资产评估、脆弱性评估、威逼评估及已有平安措施确认。3.1资产评估评估的根本目标就是为了爱护工控资产，避开遭遇威逼攻击。为了开展好评估工作，须要对资产进行合理分类，并对资产的管理状况进行具体驾驭。阶段一：确定好工控检查的项目范围，然后对资产进行识别并加以分类，包括人员资料以及软硬件资产等。阶段二：进行资产识别、分类并赋值。

8、3.2脆弱性评估脆弱性是系统资产所暴露的一个或多个弱点的特性，脆弱性评估是通过肯定方法识别系统在技术与管理上所暴露脆弱性，并对其进行赋值的过程。技术脆弱性评估主要是通过文档、访谈或借助人工及工具等方式对工控系统的主机、网络等技术层次方面进行脆弱性识别并赋值。管理脆弱性评估主要是借助文档查阅、管理访谈等方式对人员平安管理、工控平安管理制度、工控平安管理机构等进行脆弱性识别并赋值5。3.3威逼评估除传统的信息系统威逼外，工控DCS限制系统的威逼或是来自智能仪表的传输数据非法篡改、或是来自移动介质的病毒对上位机的感染、或是来自网络中针对限制器通讯协议的攻击。通过威逼分析，找出信息系统或者DCS限制系

9、统目前存在的潜在风险因素，并进行统计，赋值，以便于列出风险。3.4已有平安措施确认在对工控系统脆弱性识别的同时，也应当对已实行的平安措施进行相关确认。平安措施确认的核心主要在于平安评估是否有效，也就是能否准确地降低了工控系统的内在脆弱性，防卫了外来威逼。为了防止不必要的工作和成本，应当接着保持合理有效的已有平安措施，避开重复实施平安措施6。当确认已有平安措施有不适当的状况，应对其核查验证，确定是否取消、实施修正，或实行更合适的平安措施进行替代7。5工控系统风险综合分析风险是一种潜在可能性或概率，是指某个威逼利用系统的脆弱性，引发某项资产或一组资产的损失，进而干脆地或间接地给工控企业或机构带来肯

10、定的损失。因此，风险和系统的资产本身的价值、资产暴漏的脆弱性、外在威逼等干脆相关8。资产评估、威逼评估及脆弱性评估是计算风险的打算条件，参照风险计算原理图，计算出外在威逼利用内在脆弱性导致平安事务发生的概率，综合分析资产价值及脆弱性的严峻程度推断一旦发生平安事务将带来的损失，从而计算出风险值，风险计算原理如图2所示9。6结语近年来，随着两化融合的推动，工业限制系统也起先互联网化，给工作带来便利的同时，也随之带来一些平安风险和隐患。因而，对工业限制系统进行相关检查及评估显得尤为重要，本文结合国内外的相关政策标准，介绍了工业限制系统的常见检查方法、检查流程以及平安评估内容，希望对工控系统平安的发展

11、有肯定的推动作用。参考文献：1冯伟.我国工业限制系统面临的信息平安挑战及措施建议J.信息平安与技术，2022.2魏晓雷,刘龙涛.电力行业工业限制系统信息平安风险评估探讨J.信息平安探讨，2022.3苏晓娟,钟建强,毛钧庆.美国加强关键基础设施保障的主要举措探析J.信息平安与通信保密，2022.4李欲晓,谢永江.世界各国网络平安战略分析与启示J.网络与信息平安学报，2022.5胡士菱.如何做好信息系统平安风险脆弱性评估J.信息系统工程，2022.6张海霞.基于CVE的网络平安评估系统D.哈尔滨理工高校，2022.7侯红霞,刘建华,范九伦.电信网风险评估方法探讨J.网络平安技术与应用，2022.8李增鹏,马春光,李迎涛.基于层次分析涉密信息系统风险评估J.信息网络平安，2022.9陈国凯.无线局域网环境下移动智能终端平安评估探讨D.南京师范高校，2022.作者：曹国江 唐厚学 唐彭 胡金宇 单位：中国电子科技网络信息平安有限公司第8页 共8页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页第 8 页 共 8 页