程绍银 sycheng@ustc.edu.cn 中国科学技术大学信息安全测评中心 2016.7.18 工业控制系统安全政策与测评 程绍银 sycheng@ustc.edu.cn 中国科学技术大学信息安全测评中心 2016.7.18.

Presentation on theme: "程绍银 sycheng@ustc.edu.cn 中国科学技术大学信息安全测评中心 2016.7.18 工业控制系统安全政策与测评 程绍银 sycheng@ustc.edu.cn 中国科学技术大学信息安全测评中心 2016.7.18."— Presentation transcript:

1 程绍银 sycheng@ustc.edu.cn 中国科学技术大学信息安全测评中心 2016.7.18
工业控制系统安全政策与测评 程绍银 中国科学技术大学信息安全测评中心

2 六部门联合发文

3 中网办发文〔2016〕4号 四、强化网络安全师资队伍建设。鼓励高等院校有计划地组织网络安全专业教师赴网信企业、科研机构和国家机关合作科研或挂职。打破体制界限，让网络安全人才在政府、企业、智库间实现有序顺畅流动。 五、推动高等院校与行业企业合作育人、协同创新。鼓励企业深度参与高等院校网络安全人才培养工作，从培养目标、课程设置、教材编制、实验室建设、实践教学、课题研究及联合培养基地等各个环节加强同高等院校的合作。推动高等院校与科研院所、行业企业协同育人，定向培养网络安全人才，建设协同创新中心。

4 中网办发文〔2016〕4号 六、加强网络安全从业人员在职培训。建立党政机关、事业单位和国有企业网络安全工作人员培训制度，提升网络安全从业人 员安全意识和专业技能。各种网络安全检查要将在职人员网络安全培训情况纳入检查内容。制定网络安全岗位分类规范及能力标准。鼓励并规范社会力量、网络安全企业开展网络安全人才培养和在职人员网络安全培训 人才是网络安全第一资源

5 习近平419网信工作讲话

6 大纲 网络空间安全  工控系统安全 工控安全相关政策解读 工控安全测评 总结与交流

7 大纲 网络空间安全  工控系统安全 工控安全相关政策解读 工控安全测评 总结与交流

8

9 习近平“419”网信工作讲话 第一个问题，讲讲推动我国网信事业发展，让互联网更好造福人民。
第二个问题，讲讲建设网络良好生态，发挥网络引导舆论、反映民意的作用。 第三个问题，讲讲尽快在核心技术上取得突破。 第四个问题，讲讲正确处理安全和发展的关系。 第五个问题，讲讲增强互联网企业使命感、责任感，共同促进互联网持续健康发展。 第六个问题，讲讲聚天下英才而用之，为网信事业发展提供有力人才支撑。

10 习近平“419”网信工作讲话 网信事业代表着新的生产力、新的发展方向，应该也能够在践行新发展理念上先行一步
要把权力关进制度的笼子里，一个重要手段就是发挥舆论监督包括互联网监督作用 企业直接面向市场，处在创新第一线，处在掌握民众需要第一线，市场感觉敏锐，创新需求敏感，创新愿望强烈。应该鼓励和支持企业成为研发主体、创新主体、产业主体 网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进

11 习近平“419”网信工作讲话 第一，树立正确的网络安全观 第二，加快构建关键信息基础设施安全保障体系
整体 vs. 割裂；动态 vs. 静态；开放 vs. 封闭；相对 vs. 绝对；共同 vs. 孤立 第二，加快构建关键信息基础设施安全保障体系 金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问 题，具有很大的破坏性和杀伤力。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。

12 习近平“419”网信工作讲话 第三，全天候全方位感知网络安全态势 第四，增强网络安全防御能力和威慑能力
没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了 要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改 第四，增强网络安全防御能力和威慑能力 要落实网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施

13 习近平“419”网信工作讲话 “得人者兴，失人者崩。”网络空间的竞争，归根结底是人才竞争
培养网信人才，要下大功夫、下大本钱，请优秀的老师，编优秀的教材，招优秀的学生，建一流的网络空间安全学院 互联网领域的人才，不少是怪才、奇才，他们往往不走一般套路，有很多奇思妙想。对待特殊人才要有特殊政策，不要求全责备，不要论资排辈，不要都用一把尺子衡量

14 网络空间安全一级学科博士点 获批增列网络空间安全一级学科博士学位授权点的高校名单： 1 清华大学 15 武汉大学
1 清华大学 武汉大学 2 北京交通大学 华中科技大学 3 北京航空航天大学 中山大学 4 北京理工大学 华南理工大学 5 北京邮电大学 四川大学 6 哈尔滨工业大学 电子科技大学 7 上海交通大学 西安交通大学 8 南京大学 西北工业大学 9 东南大学 西安电子科技大学 10 南京航空航天大学 中国科学院大学 11 南京理工大学 国防科学技术大学 12 浙江大学 解放军信息工程大学 13 中国科学技术大学 解放军理工大学 14 山东大学 获批对应调整网络空间安全一级学科博士学位授权点的高校名单： 1 解放军电子工程学院 空军工程大学

15

16

17 “信息安全”专业本科毕业生就业满意度连续两年排名居首

18 “互联网+” 2015年3月5日，在第十二届全国人民代表大会第三次会议的开幕会上，李克强总理在《2015政府工作报告》中提出制定“互联网+”行动计划： “制定‘互联网+’行动计划，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康发展，引导互联网企业拓展国际市场。” “互联网+”战略就是利用互联网的平台，利用信息通信技术，把互联网和包括传统行业在内的各行各业结合起来，在新的领域创造一种新的生态

19 完善互联网融合标准规范和法律法规，增强安全意识，强化安全管理和防护，保障网络安全
4．保障安全基础。制定国家信息领域核心技术设备发展时间表和路线图，提升互联网安全管理、态势感知和风险防范能力，加强信息网络基础设施安全防护和用户个人信息保护。实施国家信息安全专项，开展网络安全应用示范，提高“互联网＋”安全核心技术和产品水平。按照信息安全等级保护等制度和网络安全国家标准的要求，加强“互联网＋”关键领域重要信息系统的安全保障。建设完善网络安全监测评估、监督管理、标准认证和创新能力体系。重视融合带来的安全风险，完善网络数据共享、利用等的安全管理和技术措施，探索建立以行政评议和第三方评估为基础的数据安全流动认证体系，完善数据跨境流动管理制度，确保数据安全。（网信办、发展改革委、科技部、工业和信息化部、公安部、安全部、质检总局等负责）

20 你的信息系统真的安全吗？

21 天然矛盾 信息系统  共享 信息安全  隔离 易用性 + 成本 安全性 信息共享，成本低，可用性好，使用方便 信息隔离，成本高，可用性差

22 信息安全 网络空间已经成为继陆、海、空、天之外的第五维国家安全领域 国家与社会安全 信息安全 基础设施安全 人类社会(人) 信息世界(机)
物理世界(物) 网络空间与现实世界相互渗透，推进人机物三元融合 “震网”、“火焰”等  安全威胁从信息领域推进到工业控制系统

23 天 GPS 空 网络空间 陆 海

24 网络空间 互联网、工业控制网络、社交网络。。。 船载电子设备 GPS 汽车电子设备 导航 iPhone 移动电话 PDAs DCs 智能家电
TVs 智能家电 。。。 PCs 传感器

25 网络空间安全

26 伊朗核电站遭受攻击 物理隔离，并不一定安全

27 乌克兰电网遭受攻击

28 汽车遭受攻击

29 信息安全威胁国家基础设施 广播 安全漏洞危害在增大 控制 工业 因特网 通讯 金融 信息对抗的威胁在增加 交通 医疗 电力

30 信息系统复杂性：过程复杂，结构复杂，应用复杂
信息安全问题产生根源 外因 人为和环境: 威胁与破坏 内因 信息系统复杂性：过程复杂，结构复杂，应用复杂 系统理论：在程序与数据上存在“不确定性” 设计：从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、代码大小、执行程度等因素被放在次要的位置 实现：由于人性的弱点和程序设计方法学的不完善，软件总是存在BUG。 使用、运行：人为的无意失误、人为的恶意攻击 如：无意的文件删除、修改 主动攻击：利用病毒、入侵工具实施的操作 被动攻击：监听、截包 维护 技术体系中安全设计和实现的不完整。 技术管理或组织管理的不完善，给威胁提供了机会。

31 我们自身的弱点不容小视  意识弱点  技术弱点  操作弱点  管理弱点 系统、 程序、设备中存在的漏洞或缺陷
配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当等  管理弱点 策略、程序、规章制度、人员意识、组织结构等方面的不足  意识弱点 意识上缺乏足够的重视，认为可有可无或事不关己

32 关键基础设施保护高峰论坛，7月16日，北京国家会议中心

33 信息安全的实现 一个完整的信息安全系统至少包含三类措施 技术方面的安全措施 管理方面的安全措施 相应的法律、法规、标准、政策等

34 大纲 网络空间安全  工控系统安全 工控安全相关政策解读 工控安全测评 总结与交流

35 相关政策法规 《网络安全法》（草案二次审议稿） 《国家安全法》
中央编办发[2015]17号文件：《中央编办关于工业和信息化部有关职责和机构调整的通知》 工信部协〔2011〕451号：《关于加强工业控制系统信息安全管理的通知》

36 网络安全法（草案二次审议稿）

37 网络安全法（草案二次审议稿） 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定
　　第一章　总　　则 　　第二章　网络安全支持与促进 　　第三章　网络运行安全 　　　　第一节　一般规定 　　　　第二节　关键信息基础设施的运行安全 　　第四章　网络信息安全 　　第五章　监测预警与应急处置 　　第六章　法律责任 　　第七章 附则

38 网络安全法（草案二次审议稿） 第三条　国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设，鼓励网络技术创新和应用，建立健全网络安全保障体系，提高网络安全保护能力。 第五条　国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

39 网络安全法（草案二次审议稿） 第二十条　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：     （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；     （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；     （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并留存网络日志不少于六个月；     （四）采取数据分类、重要数据备份和加密等措施；     （五）法律、行政法规规定的其他义务。

40 网络安全法（草案二次审议稿） 第二十九条　国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 第一稿：国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统（以下简称关键信息基础设施），实行重点保护。

41 关键基础设施与工业控制系统 工业控制系统(ICS)是由计算机设备与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测，在计算机调配下，实现设施自动化运行和业务流程管理与监控。工业控制系统是关键基础设施的核心控制系统，被广泛地使用于水利电力、能源化工、交通运输、智能制造等行业 典型的工业控制系统，包括监控和数据采集器(SCADA)、分布式控制系统(DCS)、过程控制系统（PCS）以及可编程逻辑控制器(PLC)等

42 网络安全法（草案二次审议稿） 第三十条　按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。 第三十一条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。 第三十三条　关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

43 网络安全法（草案二次审议稿） 第三十二条 除本法第二十条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：
第三十二条　除本法第二十条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期组织演练； （五）法律、行政法规规定的其他义务。 第三十六条　关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门

44 网络安全法（草案二次审议稿） 第三十七条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：
第三十七条　国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：     （一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；     （二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；     （三）促进有关部门、关键信息基础设施运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；     （四）对网络安全事件的应急处置与恢复等，提供技术支持与协助。

45 网络安全法（草案二次审议稿） 第五十条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。 第五十一条　国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

46 网络安全法（草案二次审议稿） 第五十七条 关键信息基础设施的运营者不履行本法第三十一条、第三十二条、第三十四条、第三十六条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款；对直接负责的主管人员处一万元以上十万元以下罚款。

47 网络安全法（草案二次审议稿） 第六十一条 违反本法第二十六条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安 全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘 留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。 违反本法第二十六条规定，受到治安管理处罚或者刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

48 网络安全法（草案二次审议稿） 第六十七条　发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。 第六十八条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。 第七十一条　违反本法规定，给他人造成损害的，依法承担民事责任。      违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

49 国家安全法 2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过国家安全法
国家主席习近平签署第29号主席令予以公布 法律对政治安全、 国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确，共7章84条 自2015年7月1日起施行 第二十五条　国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

50 中央网信办领导 小组将着眼国家 安全和长远发展
国家信息安全组织完成顶层设计 中央网络安全和信息化领导小组 主要任务和意义： 副组长：李克强 组长：习近平 副组长：刘云山 中央网信办领导 小组将着眼国家 安全和长远发展 多头监管的时代 已经结束 统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题；研究制定网络安全和信息化发展战略、宏观规划和重大政策；推动国家网络安全和信息化法治的建设； 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。 2014年2月27日， 中央网络安全和信息化领导小组宣告成立

51 工业控制系统安全管理职责 中央编办发[2015]17号文件：《中央编办关于工业和信息化部有关职责和机构调整的通知》
将信息化推进、网络信息安全协调等职责划给中央网络安全和信息化领导小组办公室 组织开展新技术新业务安全评估，加强信息通信业准入管理，拟订相关政策并组织实施 拟定电信网、互联网及工业控制系统网络与信息安全规划、政策、标准并组织实施，加强电信网、互联网及工业控制系统网络安全审查 负责网络安全防护、应急管理和处置

52 工业控制系统安全管理机构 原信息化推进司和原信息安全协调司承担的生产和制造系统信息安全和信息化职责与软件服务业司的职责进行整合，并将软件服务业司更名为信息化和软件服务业司 信息化和软件服务业司负责“统筹指导工业领域信息安全；研究拟定工业信息安全和信息安全产业发展战略、规划、政策和标准；指导做好重要工业领域工业控制系统安全保障工作；指导协调信息安全技术、产品研发及产业化”，并设系统安全处开展具体工作

53

54 工信部协〔2011〕451号 一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性　　 　　数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。 二、明确重点领域工业控制系统信息安全管理要求　　 　　加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

55 工信部协〔2011〕451号 （一）连接管理要求。 3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
　　3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。 （二）组网管理要求。　　 　　1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。　　 　　2. 采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。

56 工信部协〔2011〕451号 （三）配置管理要求。　　 　　1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。　　 　　2. 严格账户管理，根据工作需要合理分类设置账户权限。　　 　　3. 严格口令管理，及时更改产品安装时的预设口令，杜绝弱口令、空口令。　　 　　4. 定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。

57 工信部协〔2011〕451号 （四）设备选择与升级管理要求。 　　2. 加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。　　 　　3. 密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。　 （五）数据管理要求。　　 　　地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。 （六）应急管理要求。　　 　　制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。

58 工信部协〔2011〕451号 三、建立工业控制系统安全测评检查和漏洞发布制度　　 　　（一）加强重点领域工业控制系统关键设备的 信息安全测评工作。全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。重点领域的有关单位要请专 业技术机构对所使用的工业控制系统关键设备进行安全测评，检测安全漏洞，评估安全风险。工业和信息化部会同有关部门对重点领域使用的工业控制系统关键设备 进行抽检。　　 　　（二）建立工业控制系统信息安全检查制度。工业控制系统运营单位要从实际出发，定期组织开展信息安全检查，排查安全隐患，堵塞安全漏洞。工业和信息化部适时组织专业技术力量对重点领域工业控制系统信息安全状况进行抽查，及时通报发现的问题。

59 工信部协〔2011〕451号 四、进一步加强工业控制系统信息安全工作的组织领导 　　各地区、各部门、各单位要将工业控制系统 信息安全管理作为信息安全工作的重要内容，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，建立健全信息安全责任制。有关行业主管或监管部门、国有资产监督管理部门要加强对重点领域工业控制系统信息安全管理工作的指导 监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。有关部门要加快推动工业控制系统信息安全防护技术研究和产品研制， 加大工业控制系统安全检测技术和工具研发力度。国有大型企业要切实加强工业控制系统信息安全管理的领导，健全工作机制，严格落实责任制，将重要工业控制系 统信息安全责任逐一落实到具体部门、岗位和人员，确保领导到位、机构到位、人员到位、措施到位、资金到位。

60 大纲 网络空间安全  工控系统安全 工控安全相关政策解读 工控安全测评 总结与交流

61 安全测评相关标准 全国工业过程测量和控制标准化技术委员会(SAC/TC124) 全国信息安全标准化技术委员会(SAC/TC260)
GB/T ：《工业控制网络安全风险评估规范》 GB/T ：《工业控制系统信息安全：评估规范》 GB/T ：《工业控制系统信息安全：验收规范》 工业通信网络第3-3部分：系统安全要求和安全等级（在研） 全国信息安全标准化技术委员会(SAC/TC260) 信息安全等级保护系列政策和标准 更多的标准正在制定中。。。

62 GB/T 26333-2010 一种针对工业控制网络的安全风险评估方法 规定了工业控制网络安全风险评估的一般方法和准则
描述了工业控制网络安全风险评估的一般步骤 侧重于评估对象的分析和评估计划的设计

63 GB/T 30976.1-2014 规定了工业控制系统（SCADA、DCS，PLC，PCS等）信息安全评估的目标、评估的内容、实施过程等
适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用

64 GB/T 30976.2-2014 规定了工业控制系统的信息安全解决方案的安全性验收的流程、测试内容、方法及应达到的要求
通过增加设备或系统提高其安全性 实际工作中的指导 适用于石油、化工、电力、核设施、交通、冶金、水处理、生产制造等行业使用的控制系统和设备

65

66 等级保护相关政策文件

67 计算机信息系统安全保护等级划分准则（GB17859）
信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求 安全定级 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 状态分析 信息系统安全等级保护建设整改 方法指导 基线要求 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护基本要求 技术类 管理类 产品类 信息系统通用安全 技术要求 信息系统安全 管理要求 操作系统安全技术 要求 信息系统物理安全 技术要求 信息系统安全工程 管理要求 数据库管理系统安全技术要求 网络基础安全技术 要求 其他管理类标准 网络和终端设备隔离部件技术要求 其他技术类标准 其他产品类标准 67 计算机信息系统安全保护等级划分准则（GB17859）

68 信息安全等级保护 GB/T 22239-2008，《信息系统安全等级保护 基本要求》 技术要求 管理要求 物 理 安 全 网 络 安 全 主
机 安 全 应 用 安 全 数 据 安 全 安 全 管 理 制 度 安 全 管 理 机 构 人 员 安 全 管 理 系 统 建 设 管 理 系 统 运 维 管 理

69 等保 基本要求 扩充

70

71 正在制定的标准

72

73

74 工业控制系统信息安全等级 定级要素 资产重要程度：反映了工业控制系统所在工业生产行业领域的重要性，工业控制系统在企业生产过程中业务使命的重要性，工业控制系统及其相关生产装置以及相关生产总值等资产综合价值； 受侵害后潜在影响程度：反映了工业控制系统信息安全受到侵害后产生的直接损失和间接损失，包括对工业控制系统及其相关生产装置的影响，对工业生产运行安全的影响，以及对其他受侵害对象（如公民、企业、其他组织的合法权益及重要财产安全，环境安全、社会秩序、公共利益和人员生命安全，国家安全、国家经济安全）的影响； 需抵御的信息安全威胁程度：反映了对工业控制系统信息安全可能进行侵害的主要威胁及其强度；在工业控制系统客观存在的众多威胁中，依据工业控制系统、相关生产装置以及所属企业或行业本身的固有脆弱性及其可利用性，信息安全事件发生的可能性，确定实际需要抵御的信息安全威胁，并选择其中最高的威胁程度。

75

76 信息系统安全保护等级 业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表 系统安全保护等级矩阵表 第五级 第四级 第三级 国家安全
第二级 社会秩序、公共利益 第一级 公民、法人和其他组织的合法权益 特别严重损害 严重损害 一般损害 对相应客体的侵害程度 受侵害的客体 第五级 第四级 第三级 国家安全 第二级 社会秩序、公共利益 第一级 公民、法人和其他组织的合法权益 特别严重损害 严重损害 一般损害 对相应客体的侵害程度 受侵害的客体 第三级 XXX信息系统 系统服务安全等级 业务信息安全等级 安全保护等级 信息系统名称 系统安全保护等级矩阵表

77 测评实例：某水电站 通往调度的数据没有进行任何防护 补丁更新不及时，缺少防病毒措施
缺乏工控网络安全方面的培训，虽然有应急预案，但缺乏应急预案的评估、人员培训、备品备件以及应急演练 缺少工业控制系统设计、实施、维护、升级、废弃全生命周期的安全制度，没有对升级改造后的系统进行安全性评估 没有对现场的操作进行记录，操作人员在对现场设备的调整和设置未有相关记录 纵向加密设备存在明文记录口令问题 PLC可绕过上位机被关闭

78 测评实例：某燃气集团 工业控制网络中存在远程控制软件(TeamViewer)，此软件用于远程维护，但密码及其简单
做数据抓包时发现该SCADA网络中，存在较多的异常传输和嗅探数据 对燃气的门站系统进行检查时，发现主机存在较多的病毒，造成上位机监测数据时不定期出现蓝屏的情况

79 测评实例：某水厂 数据采集区无任何安全防护措施
安全管理不规范，口令明文记录，设备默认密码未更改，口令复杂度低，用户权限过高，审计功能关闭，缺少操作系统的登陆记录、配置修改记录、系统出错记录 缺少防病毒措施，补丁更新不及时 系统默认共享开放 网络没有冗余

80 测评实例：某钢铁企业 数据采集区采用的防护为传统信息行业的防火墙
L2层到L3层OPC通信方式设置为可读写，在L3层中存在互联网络接入的情况，增加系统风险，为攻击者入侵提供便捷的路径 口令更新频率较低，补丁更新不及时 网络没有冗余量 国外设备的安全漏洞及后门隐患

81 大纲 网络空间安全  工控系统安全 工控安全相关政策解读 工控安全测评 总结与交流

82 总结和交流 信息安全 安全是相对的，不安全是绝对的 三分技术，七分管理 有备无患 （备份、准备）

83

84

85 谢谢！