工業(yè)控制系統(tǒng)信息安全公司會(huì)議演講稿

劉怡欣2014-04-11

工業(yè)控制系統(tǒng)信息安全綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動(dòng)態(tài)基本概念一信息安全(security)基本概念一本質(zhì)安全(safety)基本概念二工業(yè)控制系統(tǒng)(ICS)是綜合集成了計(jì)算機(jī)、網(wǎng)絡(luò)、現(xiàn)代通信，微電子以及自動(dòng)化技術(shù)，是對(duì)多種控制系統(tǒng)的總稱，包括：可編程邏輯控制器(PLC)；監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)；分布式控制系統(tǒng)（DCS)； ICS普遍應(yīng)用于電力、水處理、石油、天然氣、化工、交通運(yùn)輸、制造業(yè)（煙草、汽車、食品等）?；靖拍疃删幊踢壿嬁刂破?PLC)；PLC單純的實(shí)現(xiàn)邏輯功能和控制，不提供人機(jī)界面，實(shí)現(xiàn)操作需借助與按鈕指示燈、HMI以及SCADA系統(tǒng)，PLC實(shí)現(xiàn)單機(jī)及簡(jiǎn)單控制?；靖拍疃O(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)SCADA是對(duì)分布距離遠(yuǎn)，生產(chǎn)單位分散的生產(chǎn)系統(tǒng)的一種數(shù)據(jù)采集、監(jiān)視和控制系統(tǒng)，SCADA作為生產(chǎn)管理級(jí)上位監(jiān)控；基本概念二分布式控制系統(tǒng)（DCS)DCS兼具PLC和SCADA二者功能，但是基本上用在比較大的系統(tǒng)中和一些控制要求高的系統(tǒng)中，實(shí)現(xiàn)復(fù)雜控制；（Honeywell、和利時(shí)DCS）工業(yè)控制系統(tǒng)特點(diǎn)實(shí)時(shí)性要求高，強(qiáng)調(diào)實(shí)時(shí)I/O能力；可用性要求高，系統(tǒng)一旦上線，不能接受重新啟動(dòng)之類的響應(yīng)，中斷必須有計(jì)劃和提前預(yù)定時(shí)間；工控硬件要求壽命長(zhǎng)，防電磁干擾，防爆，防塵等要求非常嚴(yán)格；特有的工業(yè)控制協(xié)議通訊協(xié)議，不同廠商控制設(shè)備采用不同通信協(xié)議，很多協(xié)議不公開(kāi)；工控系統(tǒng)上線生產(chǎn)后，一般不會(huì)調(diào)整；工控系統(tǒng)要求封閉性比較強(qiáng)。工業(yè)控制系統(tǒng)特點(diǎn)傳統(tǒng)工控安全的管理屬于生產(chǎn)單位和部門；操作人員缺乏應(yīng)對(duì)信息安全的警惕性和經(jīng)驗(yàn)；工控系統(tǒng)中承載著一些需要保密的工藝數(shù)據(jù)；加強(qiáng)工控系統(tǒng)的物理安全，會(huì)達(dá)到事半功倍的效果；現(xiàn)場(chǎng)設(shè)備越來(lái)越多具備無(wú)線接入功能；工控系統(tǒng)是國(guó)家重要的基礎(chǔ)設(shè)施，工控系統(tǒng)安全會(huì)影響到生命安全、重大財(cái)產(chǎn)損失以及產(chǎn)生環(huán)境問(wèn)題。工業(yè)控制系統(tǒng)功能層次工業(yè)控制系統(tǒng)功能層次GB/T20720《企業(yè)控制系統(tǒng)集成》IEC62264工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)天然氣調(diào)度系統(tǒng)架構(gòu)（實(shí)體模型）工業(yè)控制系統(tǒng)協(xié)議工業(yè)控制系統(tǒng)

傳統(tǒng)IT部分工控部分硬件平臺(tái)終端、服務(wù)器IPC、工業(yè)交換機(jī)、工業(yè)環(huán)網(wǎng)、PLC、RS485、RS232、CANBus現(xiàn)場(chǎng)總線系統(tǒng)平臺(tái)通用系統(tǒng)（基本上都是基于windowsXP、win7、win8、windows2003、windows2008）通用系統(tǒng)（基本上是基于windowsXP、win7、windows2000、windows2003）通訊協(xié)議HTTP等通用協(xié)議工業(yè)協(xié)議如：

OPC、RockwellABControlNet、RSLogixOPC\DDEGEFanucGESRTPQuickPanel數(shù)據(jù)庫(kù)關(guān)系數(shù)據(jù)庫(kù)Oracle、SQLServer實(shí)時(shí)數(shù)據(jù)庫(kù)，Rockwell-RSSQLGEFANUC-iHistorian、PHD開(kāi)發(fā)環(huán)境常見(jiàn)開(kāi)發(fā)語(yǔ)言和工具C、java等組態(tài)軟件RSlogix、RSlinx、WINCC、STEP7、iFIX等應(yīng)用軟件IT應(yīng)用系統(tǒng)工業(yè)制造應(yīng)用系統(tǒng)綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動(dòng)態(tài)Stuxnet震網(wǎng)病毒2010年7月震驚全球工業(yè)界——世界上首個(gè)專門針對(duì)ICS編寫的病毒；伊朗核電站Stuxnet病毒事件病毒特點(diǎn)：目標(biāo)明確，針對(duì)特定場(chǎng)景結(jié)構(gòu)復(fù)雜，隱藏、掩飾手段高明多種偽裝，盜用數(shù)字簽名，逃避查殺，同時(shí)利用多個(gè)0day漏洞，不惜代價(jià)；7個(gè)已知和未知漏洞，其中至少4個(gè)0day漏洞（其中五個(gè)windows系統(tǒng)漏洞和2個(gè)西門子SIMATICWinCC漏洞）；修改PLC的程序邏輯，造成物理過(guò)程的故障；傳播途徑：U盤、共享網(wǎng)絡(luò)、打印機(jī)危害攻擊伊朗核設(shè)施，使得伊朗核計(jì)劃拖后兩年，60%的個(gè)人電腦感染病毒；全球超過(guò)45000個(gè)網(wǎng)絡(luò)遭受攻擊；多個(gè)行業(yè)的領(lǐng)軍企業(yè)的工控系統(tǒng)受此感染。時(shí)間表2010年6月，震網(wǎng)病毒首次發(fā)現(xiàn)，并且攻擊伊朗核設(shè)備成功；2010年12月，微軟推出針對(duì)Stuxnet所利用的漏洞修復(fù)補(bǔ)丁；2012年7月，西門子公司宣布修復(fù)Stuxnet利用的軟件漏洞。從發(fā)現(xiàn)病毒，到發(fā)布修復(fù)補(bǔ)丁，一共兩年多時(shí)間伊朗核電站Stuxnet病毒事件伊朗核電站Stuxnet病毒事件美國(guó)《紐約時(shí)報(bào)》稱，美國(guó)和以色列情報(bào)機(jī)構(gòu)合作制造出“震網(wǎng)”病毒?！罢鹁W(wǎng)”病毒結(jié)構(gòu)非常復(fù)雜，計(jì)算機(jī)安全專家在對(duì)軟件進(jìn)行反編譯后發(fā)現(xiàn)，它不可能是黑客所為，應(yīng)該是一個(gè)“受國(guó)家資助的高級(jí)團(tuán)隊(duì)研發(fā)的結(jié)晶”。安全傳統(tǒng)概念絕對(duì)的物理隔離就不會(huì)出現(xiàn)安全問(wèn)題受影響的只是二次系統(tǒng)，一次設(shè)備不會(huì)受到損壞2007年，在美國(guó)國(guó)土安全局”Aurora”演習(xí)中，針對(duì)電力控制系統(tǒng)進(jìn)行滲透測(cè)試，一臺(tái)發(fā)電機(jī)在其控制系統(tǒng)收到攻擊后被物理?yè)p壞2000年，俄羅斯政府聲稱黑客成功控制了世界上最大的天然氣輸送管道網(wǎng)絡(luò)2001年，黑客入侵了監(jiān)管美國(guó)加州多數(shù)電力傳輸系統(tǒng)的獨(dú)立運(yùn)營(yíng)商2003年，美國(guó)俄亥俄州Davis-Besse的核電廠控制網(wǎng)絡(luò)內(nèi)的一臺(tái)計(jì)算機(jī)被微軟的SQLServer蠕蟲(chóng)病毒所感染，導(dǎo)致其安全監(jiān)控系統(tǒng)停機(jī)近5小時(shí)2003年，中國(guó)龍泉、政平、鵝城換流站控制系統(tǒng)發(fā)現(xiàn)病毒，后發(fā)現(xiàn)是由外國(guó)工程師在系統(tǒng)調(diào)試中使用筆記本電腦所致2010年，“震網(wǎng)(Stuxnet)”病毒在伊朗出現(xiàn)2011年，沙特國(guó)家石油公司受到攻擊，超過(guò)三萬(wàn)臺(tái)電腦癱瘓2012年，美國(guó)國(guó)土安全局下屬的ICS-CERT組織稱，自2011年12月以來(lái)，已發(fā)現(xiàn)多起試圖入侵大型輸氣公司的黑客活動(dòng)2012年4月22號(hào)，伊朗石油部和國(guó)家石油公司內(nèi)部電腦網(wǎng)絡(luò)遭受病毒攻擊，為安全起見(jiàn)，伊朗方面暫時(shí)切斷海灣附近哈爾克島石油設(shè)施的網(wǎng)絡(luò)連接工業(yè)控制系統(tǒng)安全事件-能源2000年，一個(gè)工程師在應(yīng)聘澳大利亞的一家污水處理廠被多次拒絕后，遠(yuǎn)程侵入該廠的污水處理控制系統(tǒng)，惡意造成污水處理站的故障，導(dǎo)致超過(guò)1000立方米的污水被直接排入河流，導(dǎo)致嚴(yán)重的環(huán)境災(zāi)難2006年，黑客從互聯(lián)網(wǎng)上攻破了美國(guó)哈里斯堡的一家污水處理廠的安全措施，在其系統(tǒng)內(nèi)植入了能夠影響污水處理的惡意程序，導(dǎo)致了嚴(yán)重的事故2007年，攻擊者侵入加拿大的一個(gè)水利SCADA控制系統(tǒng)，通過(guò)安裝惡意軟件破壞了用于從Sacrmento河調(diào)水的控制計(jì)算機(jī)2010.1.3112歲男孩侵入亞利桑那州的羅斯福大壩，150萬(wàn)英畝的水域，可把整個(gè)鳳凰城淹掉2011年，黑客通過(guò)Internet操縱了美國(guó)伊利諾伊州城市供水系統(tǒng)SCADA，使得其控制的供水泵遭到破壞工業(yè)控制系統(tǒng)安全事件-水處理1997年，一個(gè)十幾歲的少年侵入紐約NYNES系統(tǒng)，干擾了航空與地面通信，導(dǎo)致馬薩諸塞州的Worcester機(jī)場(chǎng)關(guān)機(jī)6小時(shí)2003年，SCX運(yùn)輸公司的計(jì)算機(jī)系統(tǒng)被病毒感染，導(dǎo)致華盛頓特區(qū)的客貨運(yùn)輸中斷2003年，19歲的AaronCaffery侵入Houston渡口的計(jì)算機(jī)系統(tǒng)，導(dǎo)致該系統(tǒng)停機(jī)2008年，一少年攻擊了波蘭Lodz的城鐵系統(tǒng)，用一個(gè)電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車廂出軌2011年，上海地鐵因信號(hào)系統(tǒng)故障發(fā)生追尾事件，原因查明是系統(tǒng)升級(jí)過(guò)程中發(fā)生信息阻塞導(dǎo)致信號(hào)燈故障工業(yè)控制系統(tǒng)安全事件-交通2000年6月5號(hào)，江蘇省某縣供電局某220KV變電所發(fā)生了一起帶地線合閘的惡性誤操作事故，造成全所停電。當(dāng)時(shí)負(fù)荷達(dá)70000KW，給該縣造成了很大的經(jīng)濟(jì)損失2006年，清華同方環(huán)境有限公司在中國(guó)華能集團(tuán)公司德州電廠二期3號(hào)機(jī)組脫硫裝置運(yùn)行過(guò)程中，旁路門突然非受控性關(guān)閉，致使工作間內(nèi)7人被埋，其中4人搶救無(wú)線死亡2007年，法國(guó)電力公司全資企業(yè)廣西來(lái)賓B電廠（2臺(tái)36萬(wàn)千瓦燃煤機(jī)組）因江邊水泵房設(shè)備的控制和通訊完全中斷，造成兩臺(tái)機(jī)組停運(yùn)，全廠對(duì)外停電2008年，華中（河南）電網(wǎng)因續(xù)電保護(hù)誤動(dòng)作、安全穩(wěn)定控制裝置拒動(dòng)等原因引發(fā)一起重大電網(wǎng)事故，導(dǎo)致華中東部電網(wǎng)與川渝電網(wǎng)解列，華中電網(wǎng)與西北電網(wǎng)直流閉鎖、與華北電網(wǎng)解列2012年，亞馬遜等網(wǎng)站上出現(xiàn)了智能電表破解裝置，聲稱可以通過(guò)無(wú)線網(wǎng)更改智能電表讀數(shù)工業(yè)控制系統(tǒng)安全事件-能源1992年，一前雇員關(guān)閉了雪佛蘭位于22個(gè)州的應(yīng)急報(bào)警系統(tǒng)，直到一次緊急事件發(fā)生以后發(fā)被發(fā)現(xiàn)2005年，在Zotob蠕蟲(chóng)安全事件中，盡管在Internet與企業(yè)網(wǎng)、控制網(wǎng)之間都部署了防火墻，但還有13個(gè)美國(guó)汽車廠由于被蠕蟲(chóng)病毒感染而被迫關(guān)閉，50,000生產(chǎn)線工人被迫停止工作，預(yù)計(jì)經(jīng)濟(jì)損失超過(guò)1,400,000美元2011年，美國(guó)某大型藥廠被黑客侵入并悄悄更改了生產(chǎn)物料配比，導(dǎo)致幾個(gè)批次的藥品出現(xiàn)不良反應(yīng)，給藥廠造成巨大損失工業(yè)控制系統(tǒng)安全事件-制造工業(yè)控制系統(tǒng)安全事件入侵者通過(guò)現(xiàn)場(chǎng)無(wú)線網(wǎng)絡(luò)，入侵工控生產(chǎn)過(guò)程控制系統(tǒng)，控制產(chǎn)品生產(chǎn)溫度，改變產(chǎn)品生產(chǎn)質(zhì)量。工控系統(tǒng)安全事件入侵者在郵件中植入木馬，控制辦公終端，進(jìn)一步滲透到SCADA系統(tǒng)，從工程師服務(wù)獲取生產(chǎn)工藝數(shù)據(jù)。某制造行業(yè)工控安全事件移動(dòng)存儲(chǔ)設(shè)備的隨意接入，把病毒代入工控系統(tǒng)。移動(dòng)筆記本在沒(méi)有準(zhǔn)入控制和身份認(rèn)證的情況下接入工控網(wǎng)絡(luò)，把病毒帶入到工控系統(tǒng)。維護(hù)工控系統(tǒng)疏忽導(dǎo)致網(wǎng)線插錯(cuò)，造成工控網(wǎng)形成網(wǎng)絡(luò)風(fēng)暴，造成生產(chǎn)停車。固定IP地址與DHCP共存造成的IP地址沖突，影響生產(chǎn)作業(yè)。硬件設(shè)備丟失問(wèn)題。某石化行業(yè)工控安全事件2009.6.儲(chǔ)控中心電腦感染蠕蟲(chóng)死機(jī)；2009.10.芳烴裝置控制系統(tǒng)感染病毒運(yùn)行異常；2010.5.上層網(wǎng)絡(luò)感染病毒故障；2009-2010.操作站頻繁死機(jī)；雖未發(fā)生嚴(yán)重事故，但還是耗費(fèi)了大量的人力、物力和精力去處理安全事件，給安全生產(chǎn)帶來(lái)很大隱患!工控系統(tǒng)的脆弱性工業(yè)控制應(yīng)用系統(tǒng)幾乎是傳統(tǒng)IT信息系統(tǒng)的拷貝，但安全防護(hù)遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)IT系統(tǒng)的安全防護(hù)。工控系統(tǒng)大量采用IT通用軟硬件，如PC服務(wù)器和終端產(chǎn)品、操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)；由于工控系統(tǒng)兼容性的問(wèn)題，系統(tǒng)補(bǔ)丁和殺毒軟件的安全措施不到位，使系統(tǒng)的脆弱性得以放大！工控系統(tǒng)的脆弱性工控軟件與通信協(xié)議不健壯相對(duì)于傳統(tǒng)IT軟件，工業(yè)控制系統(tǒng)組態(tài)軟件、PLC嵌入式系統(tǒng)等在設(shè)計(jì)過(guò)程中主要考慮可用性，實(shí)時(shí)性、對(duì)安全性考慮不足；工控系統(tǒng)通信協(xié)議缺乏授權(quán)和加密、缺乏對(duì)用戶身份的鑒別和認(rèn)證等安全機(jī)制。工控系統(tǒng)的脆弱性工業(yè)控制系統(tǒng)安全不僅使用一個(gè)技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題，需要完善的工業(yè)控制系統(tǒng)安全政策、標(biāo)準(zhǔn)、制度和安全意識(shí)來(lái)支撐。相對(duì)信息系統(tǒng)用戶來(lái)說(shuō)，工控系統(tǒng)用戶安全意識(shí)更加薄弱！大多數(shù)的漏洞在工控系統(tǒng)上存在的時(shí)間超過(guò)3年一年左右，這些漏洞就已經(jīng)存在于開(kāi)源的黑客入侵工具M(jìn)etasploitSCADAmodule工控系統(tǒng)的脆弱性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)急速增加2012年美國(guó)ICS蜜罐實(shí)驗(yàn)?zāi)M了一個(gè)連接在Internet上的ICS18小時(shí)內(nèi)發(fā)生第一次深度攻擊28天內(nèi)發(fā)生39次深度攻擊美國(guó)DHS的統(tǒng)計(jì)，41%記錄在案的針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊是針對(duì)能源相關(guān)行業(yè)石油及天然氣行業(yè)電力基礎(chǔ)設(shè)施攻擊已經(jīng)蔓延到關(guān)鍵基礎(chǔ)設(shè)施的各個(gè)部門Sources–DHS,NSSLabs,TrendMicro針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊常常成為新聞?lì)^條Sources–WallStreetjournal,WiredMagazine工控系統(tǒng)面臨的威脅臺(tái)灣ICST在幾個(gè)月時(shí)間，通過(guò)檢測(cè)31廠家的67個(gè)產(chǎn)品，挖掘出50個(gè)可以被利用的漏洞。從2007年起，每年的黑客大會(huì)都有關(guān)于工控系統(tǒng)安全的報(bào)告。美國(guó)ICS-CERT報(bào)告，2012年工控安全事件197起，2013上半年工控安全事件206起。排在前三位的行業(yè)分別是：能源、關(guān)鍵制造業(yè)、交通。工控系統(tǒng)面臨的威脅分析來(lái)自于經(jīng)營(yíng)管理網(wǎng)與互聯(lián)網(wǎng)的威脅“兩化”融合，信息化帶動(dòng)了工業(yè)化，工業(yè)化促進(jìn)了信息化。產(chǎn)生了新型工業(yè)化，同時(shí)是也把傳統(tǒng)IT風(fēng)險(xiǎn)延伸到了工控系統(tǒng)使工控系統(tǒng)面臨來(lái)自經(jīng)營(yíng)管理網(wǎng)和互聯(lián)網(wǎng)的威脅；工控系統(tǒng)面臨的威脅分析來(lái)自于工控系統(tǒng)內(nèi)網(wǎng)的威脅：操作系統(tǒng)漏洞已知與無(wú)法修復(fù)的尷尬！病毒木馬橫行與無(wú)法殺毒的尷尬！非工控應(yīng)用軟件的存在，帶來(lái)的未知風(fēng)險(xiǎn)！移動(dòng)介質(zhì)的隨意使用帶來(lái)的風(fēng)險(xiǎn)！移動(dòng)筆記本隨意接入帶來(lái)的風(fēng)險(xiǎn)！工業(yè)無(wú)線網(wǎng)絡(luò)邊界的不可見(jiàn)與非法接入的不可控風(fēng)險(xiǎn)！安全標(biāo)準(zhǔn)與動(dòng)態(tài)2014.1.12美國(guó)白宮發(fā)布《網(wǎng)絡(luò)安全框架》2013.5美國(guó)商務(wù)部NIST更新《工業(yè)控制系統(tǒng)安全指南》版本r1，2014年第一季度將推出第二版本國(guó)際電工委員會(huì)制定IEC62443(ISA99)工控安全標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn)與動(dòng)態(tài)2011-2013連續(xù)三年被發(fā)改委納入國(guó)家信息安全專項(xiàng)2013.12.26國(guó)家標(biāo)準(zhǔn)批準(zhǔn)公布《工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范》2012年6月，《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)〔2012〕23號(hào)）中明確：保障工業(yè)控制系統(tǒng)安全。2011年9月，工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（451號(hào)文）工控安全動(dòng)態(tài)工信部安全協(xié)調(diào)司趙澤良司長(zhǎng)在RSA中國(guó)2011大會(huì)上強(qiáng)調(diào)“工業(yè)控制系統(tǒng)安全工作也到了非加強(qiáng)不可的時(shí)候了！”2014年02月27日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立；2014年3月6日上海市正式發(fā)布了《上海市網(wǎng)絡(luò)與信息安全事件專項(xiàng)應(yīng)急預(yù)案》。綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動(dòng)態(tài)工控系統(tǒng)安全-白名單工控PC、服務(wù)器的進(jìn)程、服務(wù)操作員站、工程師站、HMI、WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器；工控系統(tǒng)訪問(wèn)控制列表IT防火墻、工業(yè)交換機(jī)、工業(yè)防火墻等；工控系統(tǒng)資產(chǎn)能夠?qū)崟r(shí)識(shí)別非法設(shè)備進(jìn)入工控系統(tǒng)。工控系統(tǒng)安全-層次化“層次化”根據(jù)工控系統(tǒng)功能的不同，對(duì)工控系統(tǒng)進(jìn)行縱向分層、橫向分域，域分等級(jí)，目的是進(jìn)行安全隔離防護(hù)。針對(duì)工控系統(tǒng)的特點(diǎn)，我們提出了“三層架構(gòu)，二層發(fā)防護(hù)”的方案。工控系統(tǒng)安全-邊緣化“邊緣化”從工控系統(tǒng)演變過(guò)程可以看到，工控系統(tǒng)最初是獨(dú)立的自動(dòng)控制系統(tǒng)，但隨著信息化的發(fā)展，以及智能控制的要求，不斷的引入IT技術(shù)、互聯(lián)網(wǎng)技術(shù)，從而使工控系統(tǒng)不再獨(dú)立。工控系統(tǒng)安全，需要加強(qiáng)工控系統(tǒng)周邊信息化系統(tǒng)的安全。例如：SCADA、MES、ERP安全。工控系統(tǒng)安全-透明化“透明化”工控系統(tǒng)安全采取的技術(shù)措施、管理措施，不能夠降低系統(tǒng)使用者的易用性，安全措施對(duì)使用者來(lái)說(shuō)是透明的；工控系統(tǒng)安全解決方案，不能夠降低系統(tǒng)的可用性、盡可能避免系統(tǒng)的延時(shí)（如果有延時(shí)，必須在可接受的范圍之內(nèi)）。綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動(dòng)態(tài)工控系統(tǒng)安全解決方案思路基于工控系統(tǒng)安全防護(hù)理念，從四個(gè)維度，解決工控系統(tǒng)安全問(wèn)題。工控系統(tǒng)安全防護(hù)縱向分層：三層架構(gòu)，二層防護(hù)。經(jīng)營(yíng)管理層、生產(chǎn)控制層、過(guò)程控制層。橫向分域：不同的車間、不同的生產(chǎn)線進(jìn)行邏輯隔離。分層分域的目的就是進(jìn)行安全隔離防護(hù)。GB/T20720-1企業(yè)控制系統(tǒng)集成工控系統(tǒng)安全防護(hù)經(jīng)營(yíng)管理層與生產(chǎn)控制層之間的防護(hù)工控系統(tǒng)安全防護(hù)生產(chǎn)控制層與生產(chǎn)過(guò)程層之間的防護(hù)工控系統(tǒng)安全加固經(jīng)營(yíng)管理層-系統(tǒng)安全加固對(duì)ERP、MIS等與生產(chǎn)控制層交互的終端、服務(wù)器以及交換設(shè)備進(jìn)行安全加固。生產(chǎn)控制層-系統(tǒng)安全加固對(duì)SCADA、MES系統(tǒng)中工控計(jì)算機(jī)（IPC）、服務(wù)器進(jìn)行白名單式安全加固，同時(shí)對(duì)工業(yè)交換機(jī)進(jìn)行加固。生產(chǎn)過(guò)程層-系統(tǒng)安全加固對(duì)PLC、RTU等進(jìn)行安全加固。工控系統(tǒng)安全監(jiān)控工控系統(tǒng)的可用性監(jiān)控工控系統(tǒng)安全監(jiān)控工控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控準(zhǔn)確呈現(xiàn)安全事件工控系統(tǒng)安全監(jiān)控工控系統(tǒng)指令監(jiān)控工控系統(tǒng)安全解決方案整體框架解決方案解決的主要問(wèn)題工控機(jī)（IPC）操作系統(tǒng)的加固（進(jìn)程、服務(wù)白名單）工控機(jī)（IPC）外設(shè)管理，如USB接口，光驅(qū)，網(wǎng)卡，串口。工控機(jī)（IPC）強(qiáng)口令認(rèn)證。工控系統(tǒng)與管理系統(tǒng)的安全隔離控制。工控系統(tǒng)的無(wú)線安全接入。工控系統(tǒng)遠(yuǎn)程安全接入。工控系統(tǒng)的設(shè)備準(zhǔn)入控制。工控系統(tǒng)的可用性、異常事件以及流量監(jiān)控。工控系統(tǒng)病毒的查殺。解決方案煙草企業(yè)工控信息安全解決方案石化企業(yè)工控信息安全解決方案軍工企業(yè)工控信息安全解決方案鋼鐵制造工控信息安全解決方案電力系統(tǒng)工控信息安全解決方案煤礦企業(yè)工控信息安全解決方案綱要III

III工控系統(tǒng)介紹工控系統(tǒng)安全分析工控系統(tǒng)安全理念I(lǐng)V工控安全解決方案V工控安全動(dòng)態(tài)西門子安全解決方案專業(yè)安全咨詢安全策略流程安全PC、PLC、NET西門子安全解決方案物理安全安全策略與流程網(wǎng)絡(luò)分區(qū)與邊界防護(hù)安全的單元間通信系統(tǒng)加固與補(bǔ)丁管理惡意軟件的監(jiān)測(cè)與防護(hù)訪問(wèn)控制與賬號(hào)管理日志與審計(jì)施耐德工控安全解決方案設(shè)備系統(tǒng)管理邁克菲嵌入式控制解決方案（McAfeeEmbeddedControl），完整性控制解決方案（McAfeeIntegrityControl）以及應(yīng)用性控制解決方案（McAfeeApplicationControl）加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施環(huán)境的安全性、可用性和可靠性。其他廠家（2012年10月，國(guó)際工控巨頭霍尼韋爾聯(lián)合全球終端安全廠家Bit9開(kāi)展工控終端安全產(chǎn)品的研發(fā)）其他廠家青島海天煒業(yè)GuardIFW2400（Tofino多芬諾）和利時(shí)、力控華康、珠海鴻瑞、中科網(wǎng)威綠盟——《2013工業(yè)控制系統(tǒng)及其安全性研究報(bào)告》啟明星辰工控系統(tǒng)安全動(dòng)態(tài)ADLab針對(duì)工控系統(tǒng)的信息安全，重點(diǎn)開(kāi)展三個(gè)方面的研究工作。與國(guó)家有關(guān)部門開(kāi)展了多個(gè)工控安全課題的研究。已有工控主機(jī)惡意代碼檢測(cè)工具、基于Fuzzing技術(shù)檢測(cè)工具，今年推出工控漏掃產(chǎn)品啟明星辰工控安全動(dòng)態(tài)啟明星辰工控安全動(dòng)態(tài)參與工控系統(tǒng)安全標(biāo)準(zhǔn)的編制工作啟明星辰工控安全動(dòng)態(tài)在“首屆工業(yè)控制系統(tǒng)安全峰會(huì)”上，啟明星辰提出工控系統(tǒng)安全的整體解決方案，受到了工控界的關(guān)注。啟明星辰發(fā)表的“工業(yè)控制系統(tǒng)安全體系架構(gòu)與管理平臺(tái)”論文成為2012年工控安全最熱門的文章。啟明星辰工控安全動(dòng)態(tài)啟明星辰在2011年提出工控終端安全是工控系統(tǒng)安全防護(hù)的重點(diǎn)，并開(kāi)始相關(guān)產(chǎn)品的研發(fā)。啟明星辰工控安全動(dòng)態(tài)公司第一個(gè)工控系統(tǒng)安全項(xiàng)目已經(jīng)中標(biāo)，以項(xiàng)目帶產(chǎn)品，因此也產(chǎn)生了以下工控產(chǎn)品：工業(yè)控制終端安全管理系統(tǒng)；工控系統(tǒng)無(wú)線安全產(chǎn)品；工控系統(tǒng)OPC網(wǎng)閘；ProFiNet邏輯隔離型安全裝置；Modbus/TCP物理隔離型安全裝置；工業(yè)控制安全審計(jì)系統(tǒng)；工業(yè)控制入侵檢測(cè)系統(tǒng)；工業(yè)控制統(tǒng)一安全管理平臺(tái)。拓展模式參與行業(yè)工控系統(tǒng)安全課題研究項(xiàng)目參與國(guó)家工控系統(tǒng)安全產(chǎn)品課題研究項(xiàng)目參與國(guó)家工控系統(tǒng)安全標(biāo)準(zhǔn)制定工作參與行業(yè)控制系統(tǒng)安全試點(diǎn)項(xiàng)目參與行業(yè)工控系統(tǒng)安全課題研究項(xiàng)目拓展對(duì)象

各省級(jí)經(jīng)信委，電力、石油、石化、煙草、汽車制造、交通（尤其是地鐵）等具有創(chuàng)新意識(shí)的單位。拓展內(nèi)容

針對(duì)經(jīng)信委，開(kāi)展具有通用性工控系統(tǒng)安全技術(shù)課題研究，比如：工控系統(tǒng)安全管理平臺(tái)、工控系統(tǒng)IPC終端管理、工控系統(tǒng)安全網(wǎng)關(guān)、工控系統(tǒng)無(wú)線安全設(shè)備、工控系統(tǒng)入侵檢測(cè)系統(tǒng)等課題的開(kāi)展。針對(duì)行業(yè)，開(kāi)展具有行業(yè)特點(diǎn)的課題，如XXX行業(yè)工控系統(tǒng)安全可行性研究、XXX安全技術(shù)在XXX企業(yè)工控領(lǐng)域可用性探討等。參與行業(yè)工控系統(tǒng)安全課題研究項(xiàng)目拓展方法

各省、直轄市經(jīng)信委具有開(kāi)展工控