2022工业控制系统信息安全防护方案建议

工业控制系统信息安全防护方案建议2022年6月2日1工控安全事件危害目录1工控安全事件危害目录2国内外法律法规及政策33工控安全主要内容44工控安全建设路径工控安全事件国外工控安全事件国外2019年美国变电站控制中心被恶意破坏

2014年Havex病毒威胁基础设施2019年委内瑞拉电厂遭到蓄意破坏

2015年乌克兰电力系统遭攻击2014年德国钢铁厂遭受APT攻击

2018年意大利石油与天然气公司遭受网络攻击

线遭恶意勒索病毒

2010年震网破坏伊朗核设施工控安全事件-国内工控安全事件-国内国内重大工控安全事件国内重大工控安全事件8中国互联网网络安全报告工业控制系统漏洞库收录数量持续攀升，较2017年增长了22.6%2018全年累计发现境外对我国暴露工控系统的恶意嗅探事件约4451万起，较2017年暴增约8中国互联网网络安全报告工业控制系统漏洞库收录数量持续攀升，较2017年增长了22.6%2018全年累计发现境外对我国暴露工控系统的恶意嗅探事件约4451万起，较2017年暴增约17倍息系统等关键信息基础设施安全漏洞事件达2.1万起•••我国自2009年以来网络攻击增长15倍，其中30%是针对国家基础设施2010年齐鲁石化、2011年大庆石化炼油厂，工控系统分别感染病毒2015年航天集团高端数控机床与精密测量数据外泄2018年台积电、合晶科技全线感染病毒，造成产线停工••••工控安全主要风险途径工控安全主要风险途径通过操作站带来的风险 “两网连接“带来的风险通过操作站带来的风险“两网连接“带来的风险远程运维带来的风险工业无线带来的风险远程运维带来的风险工业无线带来的风险1工控安全事件危害目录1工控安全事件危害目录2国内外法律法规及政策33工控安全主要内容44工控安全建设路径国标标准-IEC62443国标标准-IEC62443IEC62443《工业过程测量、控制和自动化网络与系统信息安全》NISTSP800-82《工业控制系统安全指南》ISO/IEC27001《信息安全管理体系基本要求》国内工控安全政策国内工控安全政策2021.42017.72017.5 2016.10 2017.122021.42017.72017.5工业和信息化部印发安全防护指南》

工业和信息化部印发《工业控制系统信息安全事件应急管理工作指南》

工业和信息化部印发《工业控制系统信息安全防护能力评估工作管理办法》

工业和信息化部印发《工业控制系统信息安全行动计划（2018-2020年）》

全国信息安全标准化技术委员会发布《工业控制系统信息安全（报批稿）2019年5月，国家市场监管总局正式发布等保2.0，将工控安全纳入监管范畴省工信政策要求省工信政策要求为进一步提升江苏省工业企业、工业互联网平台企业的信息安全防护能力和水平，根据《关于加强工业互联网安全工作的实施意见》、《2021息安全工作要点》等文件要求，开展工业信息安全防护星级企业培育工作。本次培育工作通过检测评估、咨询诊断和整改提升等方式，防护能力，帮助企业实现星级达标或星级提升。省工信厅负责工业信息安全防护星级企业培育工作的总体协调推进。 各设区市工信局培企业间的对接服务工作。自评估咨询机构负责为企业提供免费咨询服务。省级工业信息安全服务支撑机构负责为企业提供咨询诊断、整改提升等服务，针对存在的问题提出安全防护整改建议足星级企业培育标准。在今后省工信厅专项资金申报、省市两级智能车间、小巨人、试点示范等荣誉称号等申报，星级企业优先推荐。1工控安全事件危害目录1工控安全事件危害目录2国内外法律法规及政策33工控安全标准及星级评定44工控安全建设路径工业控制系统信息安全防护能力成熟度模型工业控制系统信息安全防护能力成熟度模型

安全能力要素工工 业网 工 业 工 业 控 网 边全件工 业 络 软 安边全件业 主 界 设 机 安 备 安 全安 全全

2级：规范防护组织建立并记录工业控制系统信息安全防护能力建设工作，能够针对工业控制设备、工业主机、工业网络、工业数据等方面，制定规范化安全防护制度，能够以重复方式执行，采用数字化装备、信息技术手段等有针对性的开展安全防护，面向各方面形成独立、可复制的安全防护能力

4级：综合协同合决策、协调防护的安全能力1级：基础建设能力成熟度等级工业控制系统信息安全防护能力成熟度模型

1级：基础建设组织能够依据工控系统安全防护的技术基础和条件开展基本保护工作，安全防护能力建设主要基于特定业务场景尚未形成规范化、流程化的工作方式，多依赖信息安全人员主观经验，建设过程未要求以文档形式记录，无法可复制

3级：集成管控组织能够对工控系统设备、主机、系统、网络、数据等方面，在规范防护已有，对相对独立的单点防护设备进行集中统一管控，形成体系化制度，实现内部工控系统信息安全的集中管理、统一控制的安全防护能力

5级：智能优化组织能够采用人工智能、主动防御、内生安全等先进技术，与已有安全防护设备、系统、制度体系深度融合，使得可通过知识学习、智能建模分析等技术，构建可智能化演进的安全防护系统，形成具有自决策、自进化能力的安全防护体系安全能力要素——安全能力要素——机构建设成立信息安全协调小组生产、设备、车间安全管理员网络管理员系统管理员信息安全协调小组生产、设备、车间安全管理员网络管理员系统管理员信息安全协调小组安全能力要素——人员能力安全能力要素——人员能力具备工控安全防护意识具备工控安全风险管理知识具备工控安全防护资质具备工控安全工程实践经验具备风险控制和改进方案的能力能够有效执行已定义的安全过程模型主要内容模型主要内容PA体系

PA：过程域BP：基础实践核心保护对象安全要求 通用安全要求1、工业设备安全：PA01控制设备安全、PA02现场测控设备安全、PA03设备资产管理、PA04存储媒体保护2、工业主机安全：PA05专业安全软件、PA06漏洞和补丁管理、PA07外设接口管理131000安全、A114412A14A15A1635271819A2045、PA40升级安全保障能力建设过程——PA解读能力建设过程——PA解读过程域过程域描述安全维度等级1：基础建设等级2：规范防护等级3：集成管控等级4：综合协同等级：智能优化PA03设备资产管理建立组织工业控制系统资产管理机制，从资产的类型、管理模式等方面实现统一的管理要求机构建设组织建立资产多级管理及使用处置规则并明确资产责任人，在资产生命周期内对其进行适当管理（BP.03.06）制度流程度产清单（），确核查、可追溯（BP.03.03）涵盖技术工具组织对关键工业主机、网络设备、控制组件等进行冗余配置（如双机冷/热备等）（BP.03.05）上传至云端（云），综合管控组织采用自动化扫描等技术，智能发现新增或变更的网络设备、工业主机、控制设备等，并自动更新资产清单（BP.03.08）人员能力组织仅根据特定需求或基于组织经验开展设备资产管理（BP.03.01）能力建设过程——BP解读能力建设过程——BP解读PA03设备资产管理基础实践内容描述解读备注BP.03.01组织仅根据特定需求或基于组织经验开展设备资产管理资产登记表等级1BP.03.02组织制定设备资产管理制度设备资产管理制度等级2BP.03.03组织建立工业控制系统资产清单（包括软件资产、硬件资产、固件资产等），确保工业控制系统资产信息可核查、可追溯工业控制系统资产清单BP.03.04围绕组织工业控制系统承载的关键业务，制定涵盖关键工业主机、网络设备、控制组件等的重要资产清单重要资产清单等级3BP.03.05组织对关键工业主机、网络设备、控制组件等进行冗余配置（如双机冷/热备等）关键设备冗余BP.03.06组织建立资产多级管理及使用处置规则并明确资产责任人，在资产生命周期内对其进行适当管理明确资产责任人等级4BP.03.07组织将工业控制系统设备资产清单及相关信息上传至云端（可为私有云），对设备资产进行综合管控设备资产清单上云BP.03.08组织采用自动化扫描等技术，智能发现新增或变更的网络设备、工业主机、控制设备等，并自动更新资产清单资产清单自动更新等级5工控安全星级拓扑示意主导思想：纵向隔离、横向分区防护层次：现场设备层、生产控制层和管理执行层。操作员站OPC服务器工程师站SCADAPLCDCSRTUHMI操作员站OPC服务器工程师站SCADAPLCDCSRTUHMI阀门马达转换器传感器管理层控制层设备层车间1操作员站OPC服务器工程师站SCADAPLCDCSRTUHMI阀门马达转换器传感器网站WEB

漏洞扫描系统IDS/IPS

工业运维管理系统

工业安全演练平台

工业防火墙WAFVPN

工业互联网工业互联网电子商务上网行为管理 堡垒机电子商务

工业综合管理系统/态势感知防火墙

DMZ区

安全管理区

防火墙工业工业防火墙网闸防火墙

车间......①② DB③④ ⑤

PM CRMER MESP云平台

工业终端管控

工业防火墙

管理层

控制层

设备层终端设备区

数据中心区

车间n星级评估工作目标星级评估工作目标设计《工业控制系统信息安全防护指南》《信息安全技术工业控制系统信息安全防护能力成熟度模型》《网络安全法》建设运维《工业控制系统信息安全防护指南》《信息安全技术工业控制系统信息安全防护能力成熟度模型》《网络安全法》建设运维推动本建立有效的切实提升企业培育星级01 02 03010203为保证等级核定结果的公正合客观，采用基于证据的方式，须有证据支持每条细则的评价结果。证据包括：负责人谈话记录、制度文件、设备运行记录、现场核查结果和测试结果等。

工业控制系统信息安全防

工业控制系统信息安全防护能力成熟度模型各等级安全控制措施权重相同，总体通过率需高于80%，单项通过率高于40%。星级企业申报情况星级企业申报情况工业信息安全防护星级企业申报情况

2020年工控安全防护星级企业（82家）4星级：2家、3星级：16家2星级：15家、1星级：49家

2021年

工业信息安全防护星级企业申报情况工控安全防护星级企业（180家）4星级：无、3星级：6家2星级：26家、1星级：148家1工控安全事件危害目录1工控安全事件危害目录2国内外法律法规及政策33工控安全主要内容44工控安全建设路径工控安全建设目标工控安全建设目标目标：保障工控设备/产品的信息安全集成管控级对工业控制系统设备、主机、系统、网络、数据等方面进行集中统一管控，并形成体系化制度。使用集成化工具来策划和管理工业控制系统信息安全。03基础建设级制度已初步建立，基于织特业务场 01景和知识经验水平，未形成规范化、流程化的工作方式规范防护级流程已规范化，但执行程未规范 02地计划和管理

能力成熟度等级

综合协同级04策和协调防护智能优化级05工控安全建设原则工控安全建设原则1、以国家工业控制信息安全标准为导向1、以国家工业控制信息安全标准为导向2、注重工业控制系统风险源识别3、建立企业工业控制系统信息安全管理制度4、注重工控系统网络安全区域划分5、优选国家安全可控的工业控制信息安全产品；、加强工控安全意识培育与人才培养；工控安全建设步骤工控安全建设步骤5213 421

6星级申报评估检查6及风险评估

展规划蓝图

内部评估完善工控安全-现状调研与风险评估工控安全-现状调研与风险评估评估原理价值：“全身体检”评估原理IT、扫描、渗透、分析等各种手段员、制度、服务等各层面及行业政策要求现状调研资产识别威胁识别脆弱性识别风险分析主要阶段现状调研资产识别威胁识别脆弱性识别风险分析

依据标准评估报告工信部《工业控制系统信息安全防护指南》评估报告GB/T26333-2010《工业控制网络安全风险评估规范》GB/T32919-2016《工业控制系统安全控制应用指南》GB/T22239-2019《网络安全等级保护基本要求》GB/T《工业控制系统信息安全防护能力成熟度模型》IEC62443《工业过程测量、控制和自动化网络与系统信息安全》TISAX可信信息安全评估交换工控安全-管理制度体系工控安全-管理制度体系以《工业控制系统信息安全防护能力成熟度模型》为标准，参考《网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》等建立工控安全管理制度规范。组织与人员安全管理

业务连续性管理护管理

管理制度规范

资产与介质管理物理及环境安全管理

安全事人员能力建设人员能力建设提升方式安全意识及专业技能 培训+考试提升方式讲解员工应遵守的工控安全各项规定，帮助员工快速了解工控安全安全职责以及注意事项工控安全管理规范培训定的安全现象/知识冲击结果，分析、强调漠视工控安全的严重后果，引导中高管理层重视与投入工控安全建设讲解员工应遵守的工控安全各项规定，帮助员工快速了解工控安全安全职责以及注意事项工控安全管理规范培训定的安全现象/知识冲击结果，分析、强调漠视工控安全的严重后果，引导中高管理层重视与投入工控安全建设工控安全意识培训防护部署，保证信息化管理专业人员对工控安全的较全面与深入的了解。工控安全专业能力培训通过全面学习掌握工控系统信息安全领域前沿知识和技术，掌握工控安全基础、工控安全防护技术、工控安全风险管理、工控安全法规与标准体系等知识内容，具备从事工业控制系统安全工作的技能。CISP-ICSSE等专业认证。工控安全认证工控安全-技术防护体系工控安全-技术防护体系主导思想：纵向隔离