2022工業(yè)控制系統(tǒng)信息安全防護方案建議

工業(yè)控制系統(tǒng)信息安全防護方案建議2022年6月2日1工控安全事件危害目錄1工控安全事件危害目錄2國內(nèi)外法律法規(guī)及政策33工控安全主要內(nèi)容44工控安全建設(shè)路徑工控安全事件國外工控安全事件國外2019年美國變電站控制中心被惡意破壞

2014年Havex病毒威脅基礎(chǔ)設(shè)施2019年委內(nèi)瑞拉電廠遭到蓄意破壞

2015年烏克蘭電力系統(tǒng)遭攻擊2014年德國鋼鐵廠遭受APT攻擊

2018年意大利石油與天然氣公司遭受網(wǎng)絡(luò)攻擊

線遭惡意勒索病毒

2010年震網(wǎng)破壞伊朗核設(shè)施工控安全事件-國內(nèi)工控安全事件-國內(nèi)國內(nèi)重大工控安全事件國內(nèi)重大工控安全事件8中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告工業(yè)控制系統(tǒng)漏洞庫收錄數(shù)量持續(xù)攀升，較2017年增長了22.6%2018全年累計發(fā)現(xiàn)境外對我國暴露工控系統(tǒng)的惡意嗅探事件約4451萬起，較2017年暴增約8中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告工業(yè)控制系統(tǒng)漏洞庫收錄數(shù)量持續(xù)攀升，較2017年增長了22.6%2018全年累計發(fā)現(xiàn)境外對我國暴露工控系統(tǒng)的惡意嗅探事件約4451萬起，較2017年暴增約17倍息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞事件達2.1萬起???我國自2009年以來網(wǎng)絡(luò)攻擊增長15倍，其中30%是針對國家基礎(chǔ)設(shè)施2010年齊魯石化、2011年大慶石化煉油廠，工控系統(tǒng)分別感染病毒2015年航天集團高端數(shù)控機床與精密測量數(shù)據(jù)外泄2018年臺積電、合晶科技全線感染病毒，造成產(chǎn)線停工????工控安全主要風(fēng)險途徑工控安全主要風(fēng)險途徑通過操作站帶來的風(fēng)險 “兩網(wǎng)連接“帶來的風(fēng)險通過操作站帶來的風(fēng)險“兩網(wǎng)連接“帶來的風(fēng)險遠程運維帶來的風(fēng)險工業(yè)無線帶來的風(fēng)險遠程運維帶來的風(fēng)險工業(yè)無線帶來的風(fēng)險1工控安全事件危害目錄1工控安全事件危害目錄2國內(nèi)外法律法規(guī)及政策33工控安全主要內(nèi)容44工控安全建設(shè)路徑國標(biāo)標(biāo)準-IEC62443國標(biāo)標(biāo)準-IEC62443IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》ISO/IEC27001《信息安全管理體系基本要求》國內(nèi)工控安全政策國內(nèi)工控安全政策2021.42017.72017.5 2016.10 2017.122021.42017.72017.5工業(yè)和信息化部印發(fā)安全防護指南》

工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》

工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》

工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》

全國信息安全標(biāo)準化技術(shù)委員會發(fā)布《工業(yè)控制系統(tǒng)信息安全（報批稿）2019年5月，國家市場監(jiān)管總局正式發(fā)布等保2.0，將工控安全納入監(jiān)管范疇省工信政策要求省工信政策要求為進一步提升江蘇省工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的信息安全防護能力和水平，根據(jù)《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的實施意見》、《2021息安全工作要點》等文件要求，開展工業(yè)信息安全防護星級企業(yè)培育工作。本次培育工作通過檢測評估、咨詢診斷和整改提升等方式，防護能力，幫助企業(yè)實現(xiàn)星級達標(biāo)或星級提升。省工信廳負責(zé)工業(yè)信息安全防護星級企業(yè)培育工作的總體協(xié)調(diào)推進。 各設(shè)區(qū)市工信局培企業(yè)間的對接服務(wù)工作。自評估咨詢機構(gòu)負責(zé)為企業(yè)提供免費咨詢服務(wù)。省級工業(yè)信息安全服務(wù)支撐機構(gòu)負責(zé)為企業(yè)提供咨詢診斷、整改提升等服務(wù)，針對存在的問題提出安全防護整改建議足星級企業(yè)培育標(biāo)準。在今后省工信廳專項資金申報、省市兩級智能車間、小巨人、試點示范等榮譽稱號等申報，星級企業(yè)優(yōu)先推薦。1工控安全事件危害目錄1工控安全事件危害目錄2國內(nèi)外法律法規(guī)及政策33工控安全標(biāo)準及星級評定44工控安全建設(shè)路徑工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型

安全能力要素工工 業(yè)網(wǎng) 工 業(yè) 工 業(yè) 控 網(wǎng) 邊全件工 業(yè) 絡(luò) 軟 安邊全件業(yè) 主 界 設(shè) 機 安 備 安 全安 全全

2級：規(guī)范防護組織建立并記錄工業(yè)控制系統(tǒng)信息安全防護能力建設(shè)工作，能夠針對工業(yè)控制設(shè)備、工業(yè)主機、工業(yè)網(wǎng)絡(luò)、工業(yè)數(shù)據(jù)等方面，制定規(guī)范化安全防護制度，能夠以重復(fù)方式執(zhí)行，采用數(shù)字化裝備、信息技術(shù)手段等有針對性的開展安全防護，面向各方面形成獨立、可復(fù)制的安全防護能力

4級：綜合協(xié)同合決策、協(xié)調(diào)防護的安全能力1級：基礎(chǔ)建設(shè)能力成熟度等級工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型

1級：基礎(chǔ)建設(shè)組織能夠依據(jù)工控系統(tǒng)安全防護的技術(shù)基礎(chǔ)和條件開展基本保護工作，安全防護能力建設(shè)主要基于特定業(yè)務(wù)場景尚未形成規(guī)范化、流程化的工作方式，多依賴信息安全人員主觀經(jīng)驗，建設(shè)過程未要求以文檔形式記錄，無法可復(fù)制

3級：集成管控組織能夠?qū)た叵到y(tǒng)設(shè)備、主機、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面，在規(guī)范防護已有，對相對獨立的單點防護設(shè)備進行集中統(tǒng)一管控，形成體系化制度，實現(xiàn)內(nèi)部工控系統(tǒng)信息安全的集中管理、統(tǒng)一控制的安全防護能力

5級：智能優(yōu)化組織能夠采用人工智能、主動防御、內(nèi)生安全等先進技術(shù)，與已有安全防護設(shè)備、系統(tǒng)、制度體系深度融合，使得可通過知識學(xué)習(xí)、智能建模分析等技術(shù)，構(gòu)建可智能化演進的安全防護系統(tǒng)，形成具有自決策、自進化能力的安全防護體系安全能力要素——安全能力要素——機構(gòu)建設(shè)成立信息安全協(xié)調(diào)小組生產(chǎn)、設(shè)備、車間安全管理員網(wǎng)絡(luò)管理員系統(tǒng)管理員信息安全協(xié)調(diào)小組生產(chǎn)、設(shè)備、車間安全管理員網(wǎng)絡(luò)管理員系統(tǒng)管理員信息安全協(xié)調(diào)小組安全能力要素——人員能力安全能力要素——人員能力具備工控安全防護意識具備工控安全風(fēng)險管理知識具備工控安全防護資質(zhì)具備工控安全工程實踐經(jīng)驗具備風(fēng)險控制和改進方案的能力能夠有效執(zhí)行已定義的安全過程模型主要內(nèi)容模型主要內(nèi)容PA體系

PA：過程域BP：基礎(chǔ)實踐核心保護對象安全要求 通用安全要求1、工業(yè)設(shè)備安全：PA01控制設(shè)備安全、PA02現(xiàn)場測控設(shè)備安全、PA03設(shè)備資產(chǎn)管理、PA04存儲媒體保護2、工業(yè)主機安全：PA05專業(yè)安全軟件、PA06漏洞和補丁管理、PA07外設(shè)接口管理131000安全、A114412A14A15A1635271819A2045、PA40升級安全保障能力建設(shè)過程——PA解讀能力建設(shè)過程——PA解讀過程域過程域描述安全維度等級1：基礎(chǔ)建設(shè)等級2：規(guī)范防護等級3：集成管控等級4：綜合協(xié)同等級：智能優(yōu)化PA03設(shè)備資產(chǎn)管理建立組織工業(yè)控制系統(tǒng)資產(chǎn)管理機制，從資產(chǎn)的類型、管理模式等方面實現(xiàn)統(tǒng)一的管理要求機構(gòu)建設(shè)組織建立資產(chǎn)多級管理及使用處置規(guī)則并明確資產(chǎn)責(zé)任人，在資產(chǎn)生命周期內(nèi)對其進行適當(dāng)管理（BP.03.06）制度流程度產(chǎn)清單（），確核查、可追溯（BP.03.03）涵蓋技術(shù)工具組織對關(guān)鍵工業(yè)主機、網(wǎng)絡(luò)設(shè)備、控制組件等進行冗余配置（如雙機冷/熱備等）（BP.03.05）上傳至云端（云），綜合管控組織采用自動化掃描等技術(shù)，智能發(fā)現(xiàn)新增或變更的網(wǎng)絡(luò)設(shè)備、工業(yè)主機、控制設(shè)備等，并自動更新資產(chǎn)清單（BP.03.08）人員能力組織僅根據(jù)特定需求或基于組織經(jīng)驗開展設(shè)備資產(chǎn)管理（BP.03.01）能力建設(shè)過程——BP解讀能力建設(shè)過程——BP解讀PA03設(shè)備資產(chǎn)管理基礎(chǔ)實踐內(nèi)容描述解讀備注BP.03.01組織僅根據(jù)特定需求或基于組織經(jīng)驗開展設(shè)備資產(chǎn)管理資產(chǎn)登記表等級1BP.03.02組織制定設(shè)備資產(chǎn)管理制度設(shè)備資產(chǎn)管理制度等級2BP.03.03組織建立工業(yè)控制系統(tǒng)資產(chǎn)清單（包括軟件資產(chǎn)、硬件資產(chǎn)、固件資產(chǎn)等），確保工業(yè)控制系統(tǒng)資產(chǎn)信息可核查、可追溯工業(yè)控制系統(tǒng)資產(chǎn)清單BP.03.04圍繞組織工業(yè)控制系統(tǒng)承載的關(guān)鍵業(yè)務(wù)，制定涵蓋關(guān)鍵工業(yè)主機、網(wǎng)絡(luò)設(shè)備、控制組件等的重要資產(chǎn)清單重要資產(chǎn)清單等級3BP.03.05組織對關(guān)鍵工業(yè)主機、網(wǎng)絡(luò)設(shè)備、控制組件等進行冗余配置（如雙機冷/熱備等）關(guān)鍵設(shè)備冗余BP.03.06組織建立資產(chǎn)多級管理及使用處置規(guī)則并明確資產(chǎn)責(zé)任人，在資產(chǎn)生命周期內(nèi)對其進行適當(dāng)管理明確資產(chǎn)責(zé)任人等級4BP.03.07組織將工業(yè)控制系統(tǒng)設(shè)備資產(chǎn)清單及相關(guān)信息上傳至云端（可為私有云），對設(shè)備資產(chǎn)進行綜合管控設(shè)備資產(chǎn)清單上云BP.03.08組織采用自動化掃描等技術(shù)，智能發(fā)現(xiàn)新增或變更的網(wǎng)絡(luò)設(shè)備、工業(yè)主機、控制設(shè)備等，并自動更新資產(chǎn)清單資產(chǎn)清單自動更新等級5工控安全星級拓撲示意主導(dǎo)思想：縱向隔離、橫向分區(qū)防護層次：現(xiàn)場設(shè)備層、生產(chǎn)控制層和管理執(zhí)行層。操作員站OPC服務(wù)器工程師站SCADAPLCDCSRTUHMI操作員站OPC服務(wù)器工程師站SCADAPLCDCSRTUHMI閥門馬達轉(zhuǎn)換器傳感器管理層控制層設(shè)備層車間1操作員站OPC服務(wù)器工程師站SCADAPLCDCSRTUHMI閥門馬達轉(zhuǎn)換器傳感器網(wǎng)站W(wǎng)EB

漏洞掃描系統(tǒng)IDS/IPS

工業(yè)運維管理系統(tǒng)

工業(yè)安全演練平臺

工業(yè)防火墻WAFVPN

工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)電子商務(wù)上網(wǎng)行為管理 堡壘機電子商務(wù)

工業(yè)綜合管理系統(tǒng)/態(tài)勢感知防火墻

DMZ區(qū)

安全管理區(qū)

防火墻工業(yè)工業(yè)防火墻網(wǎng)閘防火墻

車間......①② DB③④ ⑤

PM CRMER MESP云平臺

工業(yè)終端管控

工業(yè)防火墻

管理層

控制層

設(shè)備層終端設(shè)備區(qū)

數(shù)據(jù)中心區(qū)

車間n星級評估工作目標(biāo)星級評估工作目標(biāo)設(shè)計《工業(yè)控制系統(tǒng)信息安全防護指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》《網(wǎng)絡(luò)安全法》建設(shè)運維《工業(yè)控制系統(tǒng)信息安全防護指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》《網(wǎng)絡(luò)安全法》建設(shè)運維推動本建立有效的切實提升企業(yè)培育星級01 02 03010203為保證等級核定結(jié)果的公正合客觀，采用基于證據(jù)的方式，須有證據(jù)支持每條細則的評價結(jié)果。證據(jù)包括：負責(zé)人談話記錄、制度文件、設(shè)備運行記錄、現(xiàn)場核查結(jié)果和測試結(jié)果等。

工業(yè)控制系統(tǒng)信息安全防

工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型各等級安全控制措施權(quán)重相同，總體通過率需高于80%，單項通過率高于40%。星級企業(yè)申報情況星級企業(yè)申報情況工業(yè)信息安全防護星級企業(yè)申報情況

2020年工控安全防護星級企業(yè)（82家）4星級：2家、3星級：16家2星級：15家、1星級：49家

2021年

工業(yè)信息安全防護星級企業(yè)申報情況工控安全防護星級企業(yè)（180家）4星級：無、3星級：6家2星級：26家、1星級：148家1工控安全事件危害目錄1工控安全事件危害目錄2國內(nèi)外法律法規(guī)及政策33工控安全主要內(nèi)容44工控安全建設(shè)路徑工控安全建設(shè)目標(biāo)工控安全建設(shè)目標(biāo)目標(biāo)：保障工控設(shè)備/產(chǎn)品的信息安全集成管控級對工業(yè)控制系統(tǒng)設(shè)備、主機、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面進行集中統(tǒng)一管控，并形成體系化制度。使用集成化工具來策劃和管理工業(yè)控制系統(tǒng)信息安全。03基礎(chǔ)建設(shè)級制度已初步建立，基于織特業(yè)務(wù)場 01景和知識經(jīng)驗水平，未形成規(guī)范化、流程化的工作方式規(guī)范防護級流程已規(guī)范化，但執(zhí)行程未規(guī)范 02地計劃和管理

能力成熟度等級

綜合協(xié)同級04策和協(xié)調(diào)防護智能優(yōu)化級05工控安全建設(shè)原則工控安全建設(shè)原則1、以國家工業(yè)控制信息安全標(biāo)準為導(dǎo)向1、以國家工業(yè)控制信息安全標(biāo)準為導(dǎo)向2、注重工業(yè)控制系統(tǒng)風(fēng)險源識別3、建立企業(yè)工業(yè)控制系統(tǒng)信息安全管理制度4、注重工控系統(tǒng)網(wǎng)絡(luò)安全區(qū)域劃分5、優(yōu)選國家安全可控的工業(yè)控制信息安全產(chǎn)品；、加強工控安全意識培育與人才培養(yǎng)；工控安全建設(shè)步驟工控安全建設(shè)步驟5213 421

6星級申報評估檢查6及風(fēng)險評估

展規(guī)劃藍圖

內(nèi)部評估完善工控安全-現(xiàn)狀調(diào)研與風(fēng)險評估工控安全-現(xiàn)狀調(diào)研與風(fēng)險評估評估原理價值：“全身體檢”評估原理IT、掃描、滲透、分析等各種手段員、制度、服務(wù)等各層面及行業(yè)政策要求現(xiàn)狀調(diào)研資產(chǎn)識別威脅識別脆弱性識別風(fēng)險分析主要階段現(xiàn)狀調(diào)研資產(chǎn)識別威脅識別脆弱性識別風(fēng)險分析

依據(jù)標(biāo)準評估報告工信部《工業(yè)控制系統(tǒng)信息安全防護指南》評估報告GB/T26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》GB/T32919-2016《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》GB/T22239-2019《網(wǎng)絡(luò)安全等級保護基本要求》GB/T《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》TISAX可信信息安全評估交換工控安全-管理制度體系工控安全-管理制度體系以《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》為標(biāo)準，參考《網(wǎng)絡(luò)安全等級保護基本要求》、《工業(yè)控制系統(tǒng)信息安全防護指南》等建立工控安全管理制度規(guī)范。組織與人員安全管理

業(yè)務(wù)連續(xù)性管理護管理

管理制度規(guī)范

資產(chǎn)與介質(zhì)管理物理及環(huán)境安全管理

安全事人員能力建設(shè)人員能力建設(shè)提升方式安全意識及專業(yè)技能 培訓(xùn)+考試提升方式講解員工應(yīng)遵守的工控安全各項規(guī)定，幫助員工快速了解工控安全安全職責(zé)以及注意事項工控安全管理規(guī)范培訓(xùn)定的安全現(xiàn)象/知識沖擊結(jié)果，分析、強調(diào)漠視工控安全的嚴重后果，引導(dǎo)中高管理層重視與投入工控安全建設(shè)講解員工應(yīng)遵守的工控安全各項規(guī)定，幫助員工快速了解工控安全安全職責(zé)以及注意事項工控安全管理規(guī)范培訓(xùn)定的安全現(xiàn)象/知識沖擊結(jié)果，分析、強調(diào)漠視工控安全的嚴重后果，引導(dǎo)中高管理層重視與投入工控安全建設(shè)工控安全意識培訓(xùn)防護部署，保證信息化管理專業(yè)人員對工控安全的較全面與深入的了解。工控安全專業(yè)能力培訓(xùn)通過全面學(xué)習(xí)掌握工控系統(tǒng)信息安全領(lǐng)域前沿知識和技術(shù)，掌握工控安全基礎(chǔ)、工控安全防護技術(shù)、工控安全風(fēng)險管理、工控安全法規(guī)與標(biāo)準體系等知識內(nèi)容，具備從事工業(yè)控制系統(tǒng)安全工作的技能。CISP-ICSSE等專業(yè)認證。工控安全認證工控安全-技術(shù)防護體系工控安全-技術(shù)防護體系主導(dǎo)思想：縱向隔離