第一篇:工控系统信息安全报告
工业控制系统信息安全
一、工业控制系统安全分析
工业控制系统(Industrial Control Systems, ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。
1.1 工业控制系统潜在的风险
1.操作系统的安全漏洞问题
由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
2.杀毒软件安装及升级更新问题
用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3.使用U盘、光盘导致的病毒传播问题。
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4.设备维修时笔记本电脑的随便接入问题
工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5.存在工业控制系统被有意或无意控制的风险问题
如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题
对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
1.2 “两化融合”给工控系统带来的风险
工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
1.3 工控系统采用通用软硬件带来的风险
工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。
2、MES层与工业控制层之间的安全防护
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示:
2.1.3 工控系统安全防护分域
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示:
如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
2.1.4 工控系统安全防护分等级
根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障信息的安全。
安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
二、工业控制系统安全防护设计
通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。
通过“三层架构,二层防护”的体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。
通过工控系统安全管理平台,确保HMI、管理机、控制服务工控通信设施安全可信。
2.1 构建“三层架构,二层防护”的安全体系
工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面,层次不清,你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害,网络风暴和拒绝式服务攻击很容易消耗系统的资源,使得正常的服务功能无法进行。
2.1.1 工控系统的三层架构
一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示:
通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。
管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等,管理信息系统融信息服务、决策支持于一体。
制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。
2.1.2 工控系统的二层防护
1、管理层与MES层之间的安全防护
管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。
也就是说,管理层与MES层之间的安全防护,保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示:
2.2 构建工业控制系统安全管理平台
工业控制系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性,在某一特定的工业控制系统中,工业控制系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。
启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成,一部分是工业控制系统安全管理平台,具有终端管理、网络管理、行为监控功能,另一部分是终端安全管理客户端。
2.2.1 管理平台部分
工业控制系统的安全运行,主要需要保障工业控制系统相关信息系统基础设施的安全,包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类IT资源的安全,从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控、运行监控与安全监控),实现对安全事件的预警与响应,保障工业控制系统的安全稳定运行。
具体而言,工业控制系统安全管理平台功能如下:
1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控,例如CPU、内存、端口流量等等。
2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。
3.能够对各层边界数据交换情况进行监控。
4.能够对工业控制系统中的网络操作行为进行审计。
5.能够对工业控制系统日志进行关联分析和审计。
6.能够对工业控制系统中的异常事件进行预警响应。
7.能够对工业企业信息系统进行虚拟安全域的划分。
2.2.2 工业控制系统终端安全管理部分
由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒、木马、黑客等攻击行为都利用这些安全弱点,在终端上发生、发起,并通过网络感染或破坏其他系统。
工业控制系统终端最大特点是应用相对固定,终端主要安装工业控制系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。
具体而言,工业控制系统安全管理平台终端安全管理部分功能如下:
1.工业控制系统安全管理平台客户端软件轻巧精炼,占用资源极少,能够最大程度保证工业控制系统管理终端的稳定性。
2.工业控制系统安全管理平台客户端具有终端准入控制功能,可以防止没有达到安全基线的笔记本对终端进行管理。
3.工业控制系统安全管理平台客户端具有终端安全优化与加固功能,能够对工业控制系统终端进行安全优化和加固,使终端安全水平达到一定的安全基线。
4.工业控制系统安全管理平台客户端具有外设管理功能,对工业控制系统的外设进行管理,比如USB接口、光驱、网卡、串口等。
5.工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能,对终端中的工业控制系统软件进行监控和管理。
6.工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定,客户端能够对终端通信协议具有唯一性管理功能。
7.工业控制系统安全管理平台客户端具有离线管理功能,工业控制系统终端有一部分无法进行在线管理,客户端具有比较强大的离线自管理功能,可以完成对离线终端的管理。
8.工业控制系统安全管理平台客户端具有强身份认证功能,客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能,从而防止工业控制系统被有意或无意被控制的风险。
三、总结
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒,为整改工业生产控制系统安全敲响了警钟。
为此,工信部在2011年10月下发了“关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。工信部赵泽良司长也强调,工业控制系统安全工作也到了非加强不可的时候,否则将影响到我国重要的生产设施的安全。
本文根据工业控制系统安全防护的特点,提出了对工业控制系统进行分层、分域、分等级,构建“三层架构,二层防护”的工业控制系统安全体系架构思想;通过分析工业控制系统面临的风险,对作为工业控制系统安全防护的核心产品——工业控制系统安全管理平台功能进行了说明。工控系统安全管理平台,不仅是实现工业控制系统终端安全的产品,也是监控工业控制系统IT基础实施和操作行为的平台。(启明星辰 张晔)
第二篇:工控行业市场分析报告
工控机是计算机技术与自动控制技术结合的产物,不仅是计算机的重要门类,而且是实现工业生产自动化,实现优质、高产、低耗,提高工业企业经济效益的重要技术手段。发展工控机对实现工业现代化、促进产业信息化和振兴经济有重要意义。本文从工控机市场、金融危机影响等方面深入剖析其行业现状,做出这份市场分析报告。
工控机即工业控制计算机,英文简称IPC(IndustrialPersonalComputer),是一种采用总线结构,对生产过程及机电设备、工艺装备进行检测与控制的工具总称。工控机具有重要的计算机属性和特征,如具有计算机CPU、硬盘、内存、外设及接口,并有操作系统、控制网络和协议、计算能力、友好的人机界面。
工控机市场分布
目前国内的工控机供应渠道主要来源于中国台湾及内地的厂商,国外的产品经过几年的市场拼杀后,由于成本高、价格高、服务难,现已完全退出国内市场。目前,国内的IT业研发、加工技术力量不断提升;各类芯片和各类器件、生产设备在国际市场基本可平等选购;软件资源的可移植性可节省大量的人力、物力。在这些有利条件下,国内一些厂商抓住机会快速崛起,利用本土综合竞争优势逐步将国外品牌挤出国内工控市场。某些企业以每年超过100%的资产增长速度,鼎立于国内的工控市场,而且已成功打入国际工控市场。现国内市场主要工控机厂商有台湾的研华、磐仪、大众和大陆的研祥、华北、祈飞等。
研祥等单位IPC产品的发展势头强劲;盛博的嵌入式产品已经进入国际市场,成为西门子、阿尔斯通等欧洲公司的配套产品;航天测控公司的VXI、PXI产品已成为国防工业中地面测控产品;康拓公司的新一代CompactPCI、PXI系列产品也开发成功,并成功地推出了基于APCI、PXI总线产品的KT8000自动测试平台,引领了航天器地面测控的新潮流。在我国台湾的同行中,除了研华、磐仪等之外,凌华科技集团的CompactPCI、PXI系列产品也频频出现在市场中。
工控行业的产品和技术非常特殊,属于中间产品,是为其他各行业提供可靠、嵌入式、智能化的工业计算机。随着社会信息化的不断深入,关键性行业的关键任务将越来越多地依靠工控机,而以IPC为基础的低成本工业控制自动化正在成为主流,本土工控机厂商所受到的重视程度也越来越高。随着电力、冶金、石化、环保、交通、建筑等行业的迅速发展,从工控行业市场分析报告
数字家庭用的机顶盒、数字电视,到银行柜员机、高速公路收费系统、加油站管理、制造业生产线控制,金融、政府、国防等行业信息化需求不断增加,对工控机的需求很大,工控机市场发展前景十分广阔。
在2010年的一份工控行业影响力国产品牌调查报告中显示,研华工控机在国内工控机相关产业知名度相当高。这是因为研华工控机不仅质量好,性能稳定,数据处理能力强,基本上可以满足国内各种应用条件、苛刻环境的要求,相对进口工控机的价格有很大的优势,良好的售前售后服务使其在国内有很高的市场占有率。经过20多年的发展,研华已经在工控机市场中积累了丰富的经验,并为全球用户提供全面的系统整合硬件、软件客户服务、全球后勤支持和电子商务基础设施等解决方案,在国内口碑良好。
世界金融危机对工控机行业的影响
过去的几年,世界金融危机的爆发,对我国工控行业产生了很大的负面影响,却也打破了早前的市场占有格局!
中国出口产品中的大部分都是利润率不高的制造加工品,这使得很多出口企业面临更大的生存压力。同时,美元的不断贬值,也推动了各类大宗商品价格的上涨,构成了企业的现实成本压力。而劳动力成本和原材料成本的不断上升,更导致大批制造企业的生产经营面临着困境,而这些消极因素也势必会对工控行业产生影响。
就工控行业而言,首先,由于生产要素和资源价格的大幅上涨使得位居上游的原厂商成本大增,从而也就不可能支持其采取通过适度的让利优惠以增加或维持市场占有率的策略,甚至,原厂商将会通过不断提高供货价以减少其自身销售利润的损失或至少维持原有之利润不会下降,而同时位居下游的最终客户也因为同样的原因被迫降价销售,这上下一夹,就把中间的利润空间及生存空间挤的所剩无几。
其次,随着宏观调控带来的紧缩货币政策,导致了市场资金供给量的大幅下降和资金成本的大幅飙升,这已经不单单是挤压企业利润空间的问题,更加上升到了危及企业生存安全的高度。相当数量的希望在此环境中生存下来的制造企业都不得不想办法压缩应收账款,适量扩大应付账款,最重要的是,随着紧接着全球通胀而来的全球经济衰退初现端倪,相应的全球消费也都出现了较为明显的抑制,而这些都大大加剧了生产制造企业的生存困境,呈现的现象就是由于销售路径的变窄变细势必带来了道路堵赛的状况,于是竞争进一步加剧。工控机行业服务于纺织、建筑、汽车、造船、印刷、石化等多个行业,随着这些行业在金融危机中受到波及,工控机行业也或多或少受到了影响。
另外本身的金融危机,导致国内货币紧缩,对工控企业的融资及贷款的进展都有了一定的阻碍,使得有些企业的资金链出现问题,直接使得工控产品的需求量大幅下滑。
国内各工控品牌的发展动向
结合我国国情出发,国家的十二五规划提出,全力为节能、低碳、环保企业推出“独一无二”一流展示、推广、沟通、交流平台。给国产品牌企业带来了机遇和挑战!下面就目前国内几个大型品牌的最新产品和动向做简单的介绍和分析。
市场份额和口碑略逊于研华的研祥,在去年12月份,与两岸三地IT厂商在沪叙谈嵌入式,以云计算、物联网为代表的IT科技叙谈嵌入式技术和产品在云物时代的系统融合。目前,嵌入式技术成为落实云端运算与物联网愿景的关键之一,也是争夺未来智能产业市场的基础能力。研祥智能在国内最早提出嵌入式智能平台(EIP)战略。年底,研祥智能又联合北工大共建实验室,做深产学研一体化工作,创造一个优势资源互补的共赢模式。全球计算机产业能做到摩尔速度,高校和科研机构扮演了重要角色。无论是人才输出,还是实验合作,高校一直是高科技企业工程技术人员的孵化器。因此,研祥致力于用认真精神办好合作,一同收获良好的社会和经济效益。其对人才、产品研发的重视程度可见一斑。今年,在国家政策利好的刺激下,研祥又大举进军光伏产业,立志于政府一损皆损,一荣皆荣。
和研祥一样,华北工控最近也推出一款具有智能光BYPASS功能的网络模块P1M02,这款最新的网络模块,其独特的智能光BYPASS功能设计顺应了目前网络市场的最新需求。
与研祥不同,凌华科技致力于量测、自动化及计算机通讯科技之改进及创新,提供解决方案给全球网络电信、智能交通及电子制造客户。近日发布了一款业界最高效能的小型机器视觉系统EOS-1200,EOS-1200搭载第二代Intel® Core™ i7四核处理器,提供四通道PoE(Power over Ethernet)端口,数据传输率高达4 Gb/s。此外,凌华科技EOS-1200更领先业界支持IEEE 1588精密时间同步协议,让多组工业相机可以达到同步取像,通过单一缆线整合电力、图像数据传输、以及同步触发信号线,和传统解决方案相比,仅需三分之一的配线数量,大幅降低客户的配线成本以及后续维护成本。结合支持多通道GigE Vision,小巧尺寸,极高运算性能,低单位成本,弹性配置以及方便的程序开发等业界多项创新规格,凌华EOS-1200小型机器视觉系统是需要多通道工业相机的产线自动化,为机器人设备与食品包装等应用提供了最佳解决方案。
威强工业电脑于2005年创立了一个业务部门——IEIMobile,专注于移动计算和自动化行业,以满足不断增长的行业需求和顺应移动市场的发展,如云计算,3G网络访问和不断
增加的3G用户数量。IEI Mobile是专业移动解决方案提供商。他们开发了多样化的产品,包括平板电脑,工业PDA,车载电脑等。通过不断结合最高端的通信和简易操作的移动应用程序,IEI Mobile旨在为客户提供可靠,实惠,便携式的移动设备。
近期推出的一款ICEFIRE 10.4是专为医疗保健行业设计的平板电脑。备受赞誉的ICEFRE因其具备双模输入,双热插拔电池,1D/2D条形码阅读器,RFID读写器,智能卡读卡器,指纹识别器,蓝牙,Wi-Fi和3.75G无线连接等功能充分展示了“精品”。ICEFIRE和世界知名品牌所生产的产品有着一样的功能但是极具价格优势,高性能低功耗平台、灵活性计算、精准高效的数据采集、在交换电池时无需关掉设备、安防及访问控制是其显著的创新功能。
专业网路通讯硬体平台领导厂商——艾讯科技股份有限公司,也在近期推出一款1U机架型极致效能网路应用安全平台NA-550,最多可提供高达26组的千兆乙太网路埠,支持市场上最新的Intel® Xeon®中央处理器E3系列,内建Intel® C206高速晶片组,配备4组最高达16GB的DDR3 1333MHz的non-buffer non-ECC/ECC DIMM插槽高频宽记忆体,专为中大型企业量身设计;为提供更大的应用弹性与轻易维护,前面板配置有3组网路模组之扩充介面,藉此以满足不同网口数目的弹性化需求,最适合应用于入侵检测系统(IDS)/入侵防护系统(IPS)、虚拟私人网路、内容过滤、整合威胁管理、云端运算解决方案以及其它网路安全应用等领域。
不久,艾讯又隆重发表全新Din-rail铝轨式无风扇宽温嵌入式电脑系统rBOX103,配备CAN Bus通讯介面,搭载超低功耗 Intel® Atom™ 中央处理器 Z510PT 1.1 GHz或 Z520PT 1.33 GHz,内建 Intel® US15WPT晶片组,以及最高达2GB的DDR2系统记忆体;此平台配备2组CAN 2.0 A/B介面,成为满足高速传输与高效率侦错机制的理想解决方案。轻巧的系统内建序列埠、区域网路以及USB 2.0,能够有效率地进行资料的运算、通讯与撷取。此工业用强固型铝轨式嵌入式电脑平台采用IP30机壳的迷你机身设计,支持零下40°C至高温70°C宽温操作范围,可在极端严峻的环境中操作;另为简化执行管理程序,艾讯自行研发智慧型“AXView”监控软体,可快速为顾客量身订做属于自己的管理系统。
随着“十二五”产业规划进入密集发布期,节能环保、新能源、新一代信息技术、生物、高端装备制造、新材料和新能源汽车等七大战略性新兴产业将迎来快速发展机遇。战略性新兴产业将为投资者提供未来10年中国最大的投资机会。工控及自动化产业涉及电力、电子、计算机、人工智能、通讯、机电等诸多领域,属综合学科产业。具备如下特点:
1、产品技术含量高,专业性强。
2、厂商众多:全球厂商达20万家。仅变频器的生产商就达2000余家。
3、竞争激烈,国内工业控制系统产品供应商直接面临美、日、欧各国公司的竞争,无论IPC、DCS还是PLC,外国公司占统治地位的状况将长期存在。
4、产品繁多:至今无法形成统一确切的分类标准。
5、应用广泛:遍及冶金、石油、化工、纺织、造纸、机械、机床、汽车、航空航天、楼宇、环境工程等所有工业及民用领域。
6、市场巨大:2000年我国工控机市场规模为170~207亿元人民币。从目前中国的工控及自动化市场发展来看,中国拥有世界最大的市场,而中国的工控业发展又相对滞后。传统工业技术改造、工厂自动化、企业信息化需要大量的工业自动化系统,潜在市场巨大。
7、自动化企业规模太小,有信誉的品牌产品还未形成。
8、自动化企业多数急功近利,没有投入,人员不稳,不能形成积累。
9、多数自动化企业没有明显的核心技术能力,缺乏后劲,国产系统就总体水平与国际著名品牌系统相比还有差距,特别是在应用平台和开放性方面等。
10、国内自动化系统企业综合业务能力差,系统产品系列不全等。
所以,目前工控行业要想有强劲的发展,必须具备长远的战略发展眼光,立足于智能、环保、创新的科学理念,结合IT科技的发展,储备人才,接轨云端计算,抓住国家政府的利好政策,寻找适合自己发展的道路!
2012.2
第三篇:2014年政府系统信息安全检查情况报告
2014年政府系统信息安全检查情况报告
市政府网管中心:
根据《通知》要求,我局对本部门信息系统安全情况进行了自查,现将具体情况汇报如下:
一、基本情况
按照《通知》要求,我局立即组织开展全局范围的信息系统安全检查工作,对我局的业务信息系统、网络安全情况等作了全面检查。
二、2014年信息安全主要工作情况
(一)信息安全制度落实情况;我局严格按照上级部门要求,全面落实安全防范措施,全力保障信息系统安全工作,积极开展信息安全应急演练,有效降低、防范信息安全风险,应急处置能力得到切实提高,保证了信息系统持续安全稳定运行,建立建全信息安全制度。我局针对信息化工作,制订了有关规章制度,对内部网络安全管理、计算机及网络设备管理、数据、资料和信息的安全、政府信息公开保密审查等各方面都作了详细规定,进一步规范了我局信息安全管理工作。
(二)信息安全管理与技术防护情况:
1.加强日常监督,遵照“涉密计算机不上网,上网计算机不涉密”的工作原则,严格按照保密要求处理光盘、硬盘、U
盘等存储介质的管理、维修和销毁工作。涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
2.定期进行系统数据备份,及时对系统软件进行更新、升级,对系统数据、信息资源做到及时备份。
(三)安全防范措施落实情况
1.为确保我局网络信息安全工作有效顺利开展,积极与网络安全经验丰富的技术人员取得联系,不定期对网络安全保障工作进行检查。
2.登录系统都设有专门的账户名及密码,由操作人员负责保管。
(四)应急管理
1.与系统外包单位紧密联系,实时监控系统运用,并商定其给予局应急技术以最大程度的支持。
2.定时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
三、检查发现的主要问题和面临的威胁
在自查过程中我们发现了一些不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及
时。
四、改进措施与整改效果
(一)继续加强对局机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
(二)切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
(三)以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
(四)提高安全工作的现代化水平,加大人员培训力度,提高系统管理人员的专业技术水平,以便进一步加强对计算机信息系统安全的防范和保密工作。
五、关于加强信息安全工作的意见和建议
希望市政府能够经常性地组织有关信息系统安全、网络安全等方面的专业培训,进一步提高信息系统管理工作人员的专业技术水平,强化信息系统的安全防范工作。
二〇一四年十一月十三日
第四篇:传统信息安全产品VS工控安全问题
传统信息安全产品VS工控安全问题
关键词:威努特 工控网络安全 信息安全 作者:wnt 摘要:为什么传统信息安全产品不能解决工控安全问题
从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是——不能!
实践证明传统信息安全产品不能解决工业控制系统的安全问题
我们在现场调研时发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。但是,传统的防火墙在保护O P C服务器时,由于不支持OPC协议的动态端口开放,不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。
综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。为什么传统信息安全产品/方法不适用于工业控制系统
传统信息安全产品/方法不适用于工业控制系统,是由于工业控制系统相对于IT信息系统的有其独特差异性,而传统信息安全产品是针对IT信息系统的需求开发的。工业控制系统相对于IT信息系统的差异,在信息安全需求方面主要有以下体现:
1)
工业控制系统以“可用性”为第一安全需求,而IT信息系统以“机密性”为第一安全需求。在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。这一差异,导致工业控制系统中的信息安全产品,必须从软硬件设计上达到更高的可靠性,例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。另外,导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接,不适用于工业控制系统,工业控制系统的需求是防火墙故障时保证网络畅通。
2)
工业控制系统不能接受频繁的升级更新操作,而IT信息系统通常能够接受频繁的升级更新操作。这对依赖一个黑名单库来提供防护能力的信息安全产品(例如:反病毒软件,IDS/IPS)是一个严峻的挑战。
3)
工业控制系统对报文时延很敏感,而IT信息系统通常强调高吞吐量。在网络报文处理的性能指标(吞吐量、并发连接数、连接速率、时延)中,IT信息系统强调吞吐量、并发连接数、连接速率,对时延要求不太高(通常几百微秒);而工业控制系统对时延要求高,某些应用场景要求时延在几十微秒内,对吞吐量、并发连接数、连接速率往往要求不高。这一差异,导致工业控制系统中的信息安全产品,必须从CPU选型、软硬件架构上做到低时延,这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。
4)
工业控制系统基于工业控制协议(例如,OPC、Modbus、DNP3、S7),而IT信息系统基于IT通信协议(例如,HTTP、FTP、SMTP、TELNET)。虽然,现在主流工业控制系统已经广泛采用工业以太技术,基于IP/TCP/UDP通信,但是应用层协议是不同的,这就要求信息安全产品必须支持工业控制协议(例如,OPC、Modbus、DNP3、S7),否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。
5)
工业控制系统的工业现场环境恶劣(如,野外零下几十度的低温、潮湿、高原、盐雾),而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的信息安全硬件产品,必须按照工业现场环境的要求专门设计硬件,做到全密闭、无风扇,支持﹣40℃~70℃等。
所以,要想解决工业控制系统的信息安全问题,传统信息安全产品和解决方案并不是一剂对症良药,工业控制系统需要有一套为自己量身打造的信息安全产品,才能有效抵御工业系统面临的各种安全威胁,为客户带来工控安全防护的真正价值。
第五篇:单位信息安全系统自查报告
自查报告
我单位目前只有一个污染源在线自动监控系统,并已向公安部门定级备案为二级系统。为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,先严格按照《信息系统安全等级保护实施指南》对系统进行运营和管理。
污染源在线自动监控系统由我单位环境监察大队负责管理,并派监察大队室主任夏烈同志专门负责具体运营实施,已有等级保护工作文件并制定相关方案。我单位严格依据国家等级保护政策、标准规范和行业主管部门要求,组织开展各项工作,单位领导对等级保护工作十分重视,并根据上级要求对系统专业人员进行业务培训。
单位重要岗位人员都已签订信息安全和保密协议,有完整的外部人员访问机房等重要区域的现场陪同记录。建立了安全责任制,系统管理员、网络管理员、安全管理员、安全审计员与本单位都已签订信息安全责任书。有专人负责机房安全管理,并建立了机房进出人员管理和日常监控等相关制度。已建立系统建设相关管理制度,并有专人负责信息安全产品采购、使用管理、工程实施、服务外包等系统建设项目,单位建立了日常信息安全监测和预警机制,并周期性备份重要数据及重要信息系统。
污染源在线自动监控系统已向公安部门定级备案,并定性为第二级信息系统,每月请外包公司对信息系统进行升级以提升系统的安全保护等级,信息系统所承载的业务、服务范围、安全需求等未发生重大变化。我单位对本信息系统的重要新有清楚的认识,定期开展重要信息系统相关的威胁分析和相互依赖分析。
单位准备将重要信息系统等级测评和安全建设整改工作纳入经费预算,要求测评机构和测评人员提供相关证明和资质材料,并与相关测评机构签订保密协议并对测评过程进行监督,做到重要信息系统严格保密,严格按照国家标准和行业标准建设安全设施落实安全措施,并根据等级测评结果对不符合安全标准要求的地方,进一步进行整改。
严格按照《管理办法》要求的条件选择本单位使用的信息安全产品,本单位无国外信息安全产品,信息安全产品国产化率达到90%,包括2台联想服务器,4台华为路由器、交换机。服务器上均安装国内防火墙,均通过国家统一强制认证,定期由专业人员对病毒库进行升级,保证所有数据的安全传输。我们现严格依照《信息安全等级保护管理办法》规定,配合上级工作,做好推进信息安全等级保护工作,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。