工控系统信息安全评测

工控系统信息安全评测（通用5篇）

工控系统信息安全评测 篇1

工业控制系统信息安全

一、工业控制系统安全分析

工业控制系统(Industrial Control Systems, ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。

1.1 工业控制系统潜在的风险

1.操作系统的安全漏洞问题

由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，导致系统带着风险运行。

2.杀毒软件安装及升级更新问题

用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。

3.使用U盘、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全事件时有发生。

4.设备维修时笔记本电脑的随便接入问题

工业控制系统的管理维护，没有到达一定安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的威胁。

5.存在工业控制系统被有意或无意控制的风险问题

如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。

6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题

对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

1.2 “两化融合”给工控系统带来的风险

工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。

同时，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业控制系统和管理信息系统进行了集成，管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联。

1.3 工控系统采用通用软硬件带来的风险

工业控制系统向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

2、MES层与工业控制层之间的安全防护

通过在MES层和生产控制层部署工业防火墙，可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标：

 区域隔离及通信管控：通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部分。

 实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。

MES层与工业控制层之间的安全防护如下图所示：

2.1.3 工控系统安全防护分域

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。

在管理层、制造执行层、工业控制层中，进行管理系统安全子域的划分，制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分，使用每一个安全域都要明确的边界，便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示：

如上图所示，为了保证各个生产线的安全，对各个生产线进行了安全域划分，同时在安全域之间进行了安全隔离防护。

2.1.4 工控系统安全防护分等级

根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障信息的安全。

安全域的等级划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高，面临的威胁越大，那么它的安全保护等级也就越高。

二、工业控制系统安全防护设计

通过以上对工业控制系统安全状况分析，我们可以看到，工控系统采用通用平台，加大了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷造成的安全风险，主要从两个方面进行安全防护。

 通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统操作的唯一性。

 通过工控系统安全管理平台，确保HMI、管理机、控制服务工控通信设施安全可信。

2.1 构建“三层架构，二层防护”的安全体系

工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害，网络风暴和拒绝式服务攻击很容易消耗系统的资源，使得正常的服务功能无法进行。

2.1.1 工控系统的三层架构

一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间，主要避免管理层直接对工业控制层的访问，保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示：

通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是计划管理层、制造执行层、工业控制层。

管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了许多子系统，如：生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。

制造执行系统(MES)处于工业控制系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。

2.1.2 工控系统的二层防护

1、管理层与MES层之间的安全防护

管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁，具体表现为：避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。

也就是说，管理层与MES层之间的安全防护，保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示：

2.2 构建工业控制系统安全管理平台

工业控制系统和传统信息系统具有大多数相同的安全问题，但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性，在某一特定的工业控制系统中，工业控制系统只需用唯一的工业应用程序和工业通信协议运行，其他一概不需要。

启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境，对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成，一部分是工业控制系统安全管理平台，具有终端管理、网络管理、行为监控功能，另一部分是终端安全管理客户端。

2.2.1 管理平台部分

工业控制系统的安全运行，主要需要保障工业控制系统相关信息系统基础设施的安全，包括工业以太网网络、操作终端、关系数据库服务器、实时数据库服务器、操作和应用系统等各类IT资源的安全，从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控、运行监控与安全监控)，实现对安全事件的预警与响应，保障工业控制系统的安全稳定运行。

具体而言，工业控制系统安全管理平台功能如下：

1.能够对应用服务器、关系数据库服务器、实时数据库服务器、工业以太网设备运行状态进行监控，例如CPU、内存、端口流量等等。

2.能够对操作终端外设、进程、桌面进行合规性在线和离线管理。

3.能够对各层边界数据交换情况进行监控。

4.能够对工业控制系统中的网络操作行为进行审计。

5.能够对工业控制系统日志进行关联分析和审计。

6.能够对工业控制系统中的异常事件进行预警响应。

7.能够对工业企业信息系统进行虚拟安全域的划分。

2.2.2 工业控制系统终端安全管理部分

由于工业控制系统管理终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。

工业控制系统终端最大特点是应用相对固定，终端主要安装工业控制系统程序，所以，要防范传统方式的病毒或木马等恶意软件，最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。

具体而言，工业控制系统安全管理平台终端安全管理部分功能如下：

1.工业控制系统安全管理平台客户端软件轻巧精炼，占用资源极少，能够最大程度保证工业控制系统管理终端的稳定性。

2.工业控制系统安全管理平台客户端具有终端准入控制功能，可以防止没有达到安全基线的笔记本对终端进行管理。

3.工业控制系统安全管理平台客户端具有终端安全优化与加固功能，能够对工业控制系统终端进行安全优化和加固，使终端安全水平达到一定的安全基线。

4.工业控制系统安全管理平台客户端具有外设管理功能，对工业控制系统的外设进行管理，比如USB接口、光驱、网卡、串口等。

5.工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能，对终端中的工业控制系统软件进行监控和管理。

6.工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定，客户端能够对终端通信协议具有唯一性管理功能。

7.工业控制系统安全管理平台客户端具有离线管理功能，工业控制系统终端有一部分无法进行在线管理，客户端具有比较强大的离线自管理功能，可以完成对离线终端的管理。

8.工业控制系统安全管理平台客户端具有强身份认证功能，客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能，从而防止工业控制系统被有意或无意被控制的风险。

三、总结

国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒，为整改工业生产控制系统安全敲响了警钟。

为此，工信部在2011年10月下发了“关于加强工业控制系统信息安全管理的通知”，要求各级政府和国有大型企业切实加强工业控制系统安全管理。工信部赵泽良司长也强调，工业控制系统安全工作也到了非加强不可的时候，否则将影响到我国重要的生产设施的安全。

本文根据工业控制系统安全防护的特点，提出了对工业控制系统进行分层、分域、分等级，构建“三层架构，二层防护”的工业控制系统安全体系架构思想;通过分析工业控制系统面临的风险，对作为工业控制系统安全防护的核心产品——工业控制系统安全管理平台功能进行了说明。工控系统安全管理平台，不仅是实现工业控制系统终端安全的产品，也是监控工业控制系统IT基础实施和操作行为的平台。(启明星辰 张晔)

工控系统信息安全评测 篇2

关键词：电网信息化,工控系统,信息安全

智能化、信息化和网络化是现代电网技术的发展趋势, 构建统一坚强的电网是国家电网公司未来电网建设目标和方向。近年来, 随着信息技术的成熟及其在电力系统的深化应用, 智能变电站迅速发展。变电站由光纤代替了电缆, 实现了由“硬”到“软”、由“实”到“虚”的转化, 使得全站的运行、控制建立在全数字化的信息网络基础上。

随着2015年12月23日乌克兰电网因遭受黑客攻击而导致大面积用户停电长达六小时, 信息安全组织SANSICS于2016年1月9日明确宣称, 本次事件确定为“网络协同攻击”造成的乌克兰电网停电事故。

过去, 在研究电力系统信息安全问题时, 往往将通信信息系统的问题简单归结为“信息扰动”或“二次系统扰动”, 大多从系统可用性的角度去分析信息通信基础架构可能会对电力物理系统运行造成的影响。但是, 本次网络攻击事件的原理、手段及目标远远超出了信息扰动的范畴, 很难将其归类为客观存在的概率性扰动问题, 而是主观操作的计划性蓄意攻击问题。因此, 其被认为是人类历史上信息安全影响电力系统运行的里程碑事件。

一、电力工控系统信息安全问题的具体表现和解决办法

1.1电力工控系统发展面临着重大机遇和挑战

当前, 随着国家、行业和企业信息化建设的不断深化, 电力工控专业迎来了重要的发展机遇。积极响应国家“互联网+”行动计划、促进电网与互联网融合发展, 是当前我们面临的重要课题;随着电力体制改革的逐步推进, 电力行业各项业务面临着重大调整, 信通专业的支撑保障作用更加突显;工控作为坚强智能电网的重要组成部分, 对国网公司“全球能源互联网”的宏大构想将起到关键的引领和支撑作用。我们必须抓住机遇, 乘势而上, 努力开创工控专业工作的新局面。

1.2工控安全的风险隐患日益突出

工控技术的飞速发展是一把“双刃剑”, 一方面给我们的工作、生活带来了极大便利, 另一方面也给信息安全带来了更多隐患。近年来, 互联网上信息泄露事件层出不穷, 国网系统内信息安全风险也日益升级。特别是移动互联技术迅速普及后, 移动终端和移动应用已成为信息安全的高危区。一方面, 要进一步强化保障信息安全的技术措施, 加大工作创新和技术升级力度。

另一方面, 要全面加强公司系统全员信息安全教育, 将信息安全作为员工上岗的必修之课, 促进全员信息安全意识的整体提升。

1.3工控系统运维的压力不断增大

当前, 城市建设步伐的不断加快, 配电网改造全面实施, 部分建设单位违规作业、野蛮施工屡禁不止, “外破”风险居高不下, “内破”风险也逐渐升温。工控系统网络部分设备超期服役、老化明显, 备品备件已经停产, 存在设备故障无法维修的风险隐患。

面对专业运维越来越严峻的挑战, 需要我们加大通道升级改造力度, 加快推进“两网融合”、数据通信网等重点项目建设, 不断优化网络结构, 推动工控系统升级换代;需要积极应用新技术、新方法支撑专业运维管理, 结合工作实际大胆创新、勇于尝试, 探索一套行之有效、具有特色的工作方法。

1.4工控专业队伍建设需要与时俱进

受历史原因影响, 工控运维队伍年龄两极分化现象比较突出, 定编不足和结构性缺员的问题仍未根本解决, 如何盘活现有资源, 是当前亟待解决的重要问题。要打通工控专业人才使用、成长的平台, 着力培养复合型的专业人才, 促进工控专业的相互融合。如何培养、促进新生力量快速成长, 及早适应企业信息化发展的需要, 仍需进一步建立完善相关的体制机制。

二、电力工控系统网络安全问题的发展要求

通过提出预警机制, 为工控安全综合治理探索出一条新的途径, 提高工控安全防护水平, 加强信息安全意识, 降低安全风险, 为电网和公司的发展提供信息安全保障。随着信息化工作的快速发展, 工控安全也不断面临新的形式, 现有的管理手段和技术措施能否适应新形势的发展和要求, 是工控安全治理需要不断考虑的问题, 需通过以下几方面进行不断完善:

1、全面落实信息安全与工控安全规划、建设、运行“三同步”的工作要求, 将信息安全检查与风险评估纳入电网工控常态安全管理

2、深入梳理与分析电网工控系统中的安全风险, 结合公司红蓝队建设, 进一步完善信息安全漏洞全过程管理。

3、加强工控系统的日常巡检、运行监测、安全审计、漏洞挖掘和整改加固, 建立工控安全漏洞管理平台, 完善安全风险和漏洞通报制度。

他山之石促我国工控系统信息安全 篇3

2010年伊朗爆发的“震网”病毒，感染了

包括4万5千多个工控系统网络。这次事件给我们敲响了警钟，说明大型关键工控系统的应用企业在保障工控系统信息安全方面仍然存在着严重漏洞，这对于工业生产运行和国家经济安全构成了巨大威胁。在此形势下，工信部曾于2011年下发了《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）。《通知》指出，从相关政府部门到各地区，包括核设施、制造业、钢铁、化工、石油石化、电力等关系国计民生的重要领域都应当充分认识到工控系统信息安全的重要性和紧迫性。

我国工控信息安全现状

国家政策及标准

为加强工控系统信息安全的保障工作，我国政府先后出台了《关于开展重要工业控制系统基本情况调查的通知》（工信厅协函〔2011〕1003号）、国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）等文件，发布了GB/T 26333-2010《工业控制网络安全风险评估规范》、GB/T 18272-2000《工业过程测量和控制系统评估中系统特性的评定》等推荐性的国家标准。由于工控系统涉及的行业众多，各行业具体的管理要求和系统设备的工作环境不尽相同，因此，必须深入研究我国工业控制系统的行业特点和需求，才能有针对性地制定相关行业的工业控制系统信息安全保障标准。

相关机构及厂商

在工业控制系统信息安全机构保障方面，国家发改委曾在2012年启动了工业控制系统安全技术国家工程实验室的建设工作，实施工业控制系统安全模拟平台建设，研究工业控制系统的安全防护策略及机制，开展工业控制系统监控软件、嵌入式软件、现场总线等方面的安全渗透与对抗、脆弱性检测、安全评估、安全防护等关键技术研究。结合典型行业的工程应用与生产落实，研究推动工业控制系统信息安全标准体系的建立，研发用于保护工业控制系统的核心技术产品，为国家重要基础设施的工业控制系统安全管理和防护提供技术支撑。

同时，我国成立了全国工业过程测量和控制标准化技术委员会（SAC/TC 124），并持续跟踪国际上工业过程测量、控制和自动化标及准化技术委员会（IEC/TC65）的信息安全标准化活动。2009年SAC/TC124获得工信部批准，正式立项启动3项IEC 62443国际标准转化为行业标准的制定工作，并成立工业控制系统信息安全起草工作组。为便于工业控制系统信息安全评估和验收的实际操作，SAC/TC124又在2011年启动了两项国家标准（“工业控制系统信息安全第一部分：评估规范”和“工业控制系统信息安全第二部分：验收要求”）的制定（现阶段标准尚未发布），与国外同步开展相关工作，力求在国际标准化工作中争取主动，保障我国工业控制系统信息安全。

在国内，一些优秀的安全厂商，如绿盟科技、三零卫士、中科网威、力控华康、和利时集团等，也在保障工业控制系统信息安全方面进行了一些积极探索和有益尝试。

比对国外防护顶层设计差距

目前，国内外都已经纷纷开始着手工控系统信息安全领域内的分析和研究工作。如图1所示，美国与欧盟在工控系统信息安全防护方面的起步较早，并且已经初步形成了包含计划、标准、指南、计划在内的涉及多个方面的规范化理论体系。与之相比，我国的研究进展还存在着较多不足，图2列举了目前我国与国外在工控系统信息安全方面的对比。

从世界范围来看，由于美国的工业信息化程度较高并且曾多次遭受恐怖主义的威胁，因此美国从国家安全战略层面出发制定了一系列政策措施来保障工控系统信息安全事业的推进落实。其中2002年7月，布什政府正式公布了美国历史上第一份《国土安全国家战略》报告，对美国国土安全政策作出了全局性、战略性规划。该报告第一次将国土安全涉及的任务归为六大类，明确提出要保护关键基础设施和重要资产，确保网络安全。随后，又颁布了《网络空间保障国家安全战略》、《反恐国家战略》和《关键基础设施与关键资产物理保障国家战略》等一系列涉及基础设施的安全保障政策，从而使工控系统信息安全上升到了国家安全战略层面，并做到“有法可依”。

相比较而言，我国在此方面的相应的政策制定较少，目前含有“工控系统信息安全”的法律法规或政策规章仅有2011年工信部《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）和国务院的《关于大力推进信息化发展和切实保障信息安全的若干意见》两个文件，并且两个文件对工控系统信息安全仅仅从认识、要求、制度、组织领导等宏观层面予以说明，没有细化深入指出具体的应对措施和技术指标，并且法律约束相对较弱。1993年颁布的《中华人民共和国国家安全法》未涉及工业控制系统信息安全内容，相关法律政策有待加强。

比对国外其他防护措施差距

主管部门

对于工控系统信息安全的主管部门，美国主要以国土安全部为代表的职能部门来负责，整合了联邦调查局、国防部、能源部、司法部等多个具体的职责部门，各部门间相互协作，各司其职。工控信息安全涉及多个领域，目前我国还没有专门的针对工控系统信息安全的总体主管部门，仅由工信部进行工作指导协调，各行业主管部门进行各行业的监管，相对而言缺少国家层面的整体部署及协调工作，党的十八届三中全会决定设立的国家安全委员会有望填补这个空缺。

专项计划

美国发布了《国家基础设施保护计划》（National Infrastructure Protection Plan，NIPP），并在随后的一段时间内陆续发布了NIPP针对各个领域的详细计划，为美国各级政府机关和私营部门该如何管理国家重要基础设施和关键资源提供了明确的职责划分和实施框架。建立了涵盖能源、电力、交通等14个行业的工控系统安全协调工作机制，包括建立优先级、目标和需求的协同方法，使各行业工控系统信息安全做到“分步骤、分阶段、以此推进”。我国目前尚无此类计划。

标准指南

标准是工控系统信息安全“有据可循”的主要内容，若无标准，则会陷入无处下手的尴尬境地。美国国家标准与技术研究院发布的《工控系统安全指南》（SP800-82）、美国国土安全部与英国国家基础设施保护中心（CPNI）联合发布的《工控系统安全评估指南》和《工控系统远程访问配置管理指南》都为工控系统信息安全评估及安全管理提供了具体指导，具有明确的定义及操作方法，使用对象涵盖了企业的各类人员，具有可操作性。相对而言，适用于我国的相关标准暂时还未正式发布，相关的标准正在紧锣密鼓地制定之中。

科研支撑

除了有政策、部门、计划、标准之外，美国还有专门的技术支撑机构，如成立的工控系统应急响应小组（ICS-CERT）及工控系统联合工作组（ICS-JWG）两个工作组。这两个小组全面负责与工控系统信息安全相关的安全问题，开展工控系统信息安全事件的预防、发现、预警和协调处置等工作，维护美国工控系统联网环境的安全、保障其基础设施工业的安全平稳运行。

在技术研究领域，美国拥有爱达荷国家实验室（Idaho National Laboratory，INL）、桑地亚国家实验室（Sandia National Laboratories，SNL）等诸多专门从事工控系统信息安全的国家及实验室，从人力、物力、财力等方面全面支持有关工控信息安全的理论技术研究，为后续提供可持续的发展保证。

此外，美国国家Idaho实验室已经建立了国家工控系统测试床（National SCADA Test Bed），其中模拟了大型工业控制设备的运行，并进行了大量测试。

而这些有关的技术支撑项目、科学实验研究和模拟平台建设，我国都还处在尚未明确或计划建设中。

综上所述，我国的工业控制系统信息安全工作现在仍然处于探索与起步阶段，整体上的工作机制尚未完全建立，厂商、研究机构及企业各自为政，在国家层面缺乏系统化、体系化的计划规范。因此，需要从全局的角度出发，找准着眼点，通过制定策略、顶层设计、确立标准、完善体系、探索方法、健全机制等手段，坚持以“政府主导、企业主体、机构支撑”为原则，通过多方协作、共同努力，共同推进工业控制系统信息安全工作，保障工业基础设施安全稳定运行。

工控系统信息安全评测 篇4

1判断题:11道,每道2分,总分22

1.信息是有寿命的。

正确

错误

2.信息也可以是商品，具有使用价值和价值。

正确

错误

3.广义的信息资源等同于知识、资料和消息。

正确

错误

4.凡是我们接收到的数据都是信息

正确

错误

5.信息技术是指能够扩展人的信息器官功能，完成信息获取、传递、处理、利用等功能的一种技术

正确

错误

6.信息是客观事务的特征通过一定物质载体形式的反映。

正确

错误

7.语义信息是信息认识过程中的最高层次

正确

错误

8.语言处理系统用于管理计算机的资源和控制程序的运行，是管理电脑硬件与软件资源的程序。

正确

错误

9.信息技术是信息管理的技术基础

正确

错误

10.计算机硬件是支持计算机软件工作的基础。

正确

错误

11.OAS是介于结构化与非结构化之间的一些事物处理

正确

错误

单选题:9道,每道2分,总分18

1.在实际生活和工作中，人们往往将（）和信息两个术语当做意义相同的词语。知识

语言

数据

资料

文字

2.古代信息管理活动时期的信息资源以（）形式的信息资源为主。

电子信息资源

文献信息资源

数据库

模型库

图画

3.（）年诞生了第一台全光数字计算机。

1990

1992

1980

1982

1991

4.古代信息管理活动时期的信息管理重点在于（）。

传播

利用

收藏

开发

执行

5.局域网的地理范围一般在（）以内，属于一个部门或一组群体组建的小范围网 5千米

10千米

15千米

20千米

100千米

6.近代信息管理活动时期，信息管理的主体是（）。

信息资源的所有者

政府信息官员

信息资源使用者

专门的信息管理专业人员

政府管理人员

7.（）是客观存在的事务以及客观事务运动和变化的一种反映。

数据

信息

加工

处理

分析

8.MRPII和ERP的核心内容都是（）。

MRPII

ERP

MRP

SCM

OA

9.近代信息管理活动时期的信息管理目的是（）。

收藏与使用结合收藏

开发

传播

分类

多选题:20道,每道3分,总分60多选题:20道,每道3分,总分60

1.信息技术体系包括4个基本层次：（）

主体技术层次

应用技术层次

支撑技术层次

客体技术层次

基础技术层次

2.按照信息产生的先后和加工深度可以将信息划分为（）零次信息

初级信息

一次信息

二次信息

三次信息

3.联合国教科文组织认定的图书馆的4项智能是（）。保存人类文化遗产

社会信息流整序

传递情报

辅助决策

启发民智的文化教育

4.信息的生命周期包括四个重要的子过程，分别是（）信息产生的过程

信息获取的过程

信息再生的过程

信息施效的过程

信息搜集的过程

5.从信息管理的层次角度，可将其分为（）

中观层次的信息管理

微观层次的信息管理

宏观层次的信息管理

战略层次的信息管理

战术层次的信息管理

6.现代通信技术主要包括（）等。

数字通信

卫星通信

微波通信

光纤通信

7.一般微型计算机的硬件系统包括以下几部分（）。操作系统

存储器

中央处理器

输入输出设备

U盘

8.信息技术的支撑技术主要是指（）。

机械技术

电子与微电子技术

激光技术

传输技术

生物技术

9.常见的应用软件有（）等。

文字处理软件

数据处理软件

图形处理软件

网络应用软件

游戏软件

10.按照认识主体的观察过程可以将信息划分为（）语义信息

实在信息

先验信息

实得信息

决策信息

11.计算机系统由（）两部分组成操作系统

软件系统

硬件系统

程序

处理器

12.常见的系统软件有（）等。

操作系统

语言处理系统

数据库系统

分布式软件系统

人机交互系统

13.按照信息的载体，可以分为（）

语音信息

图像信息

文字信息

多媒体信息

14.广义的信息资源包括：（）

信息劳动的场所

信息劳动的对象

信息劳动的设备

信息劳动的技术

信息劳动者

15.信息具有如下属性（）

客观性

价值性

等级性

可分享性

可再生性

16.现代信息管理活动时期，信息管理的主体是（）CIO

信息使用者

CKO

更加技术化、专门化、专业化的人才

政府信息官员

17.计算机软件包括（）两大类

系统软件

操作系统

应用软件

程序

语言处理系统

18.信息管理具有两方面的特征，分别是（）载体特征

技术特征

经济特征

效应特征

管理特征

19.计算机网络按网络范围可划分为（）。局域网

城域网

市域网

广域网

州域网

20.客户关系管理的核心在于（）

了解客户的需求

知道哪些客户是最有利可图的什么是最有效的沟通方式

发展客户

工控安全,系统使用者的探索 篇5

国内工控系统现状

郭森以电力企业为例,用特别传统的16个字来概括了工控系统所面临的环境,即安全分区、网络专用、横向隔离、纵向认证。工业生产系统和IT系统是有严格的划分的,有单向隔离的严格要求。不过,今天互联网已经通过各种方式和工业生产系统之间产生了各种各样的联系。郭森说,“对电力企业来说,环保对我们来说可能是一个不安全的网络,它的接入可能对网络带来新的安全问题。使得原来我们自认为安全的工业生产环境,由于各种的接入方式,导致我们本身的不安全。”

从工业控制系统的分布来看,我们主要是指能源、电力、石油石化、天然气,使用的工控设备的数量大概占到整个社会工控系统安装的60%。如果能源行业的工控系统不安全,整个工控系统安全是无从说起的。电力行业属于国民经济范畴的十大支柱产业,这其中有两个行业非常特殊,一个是电力,一个是电信。因为电的生产过程全部是在线的,过程中没有产成品和半成品的,这给工业控制提出了更高的安全要求,一旦出现问题,就会影响在线的应用。

对于工控安全来说,实际上就是希望威胁因素进不到行业的生产控制系统网络,即便进入了也希望它不具备处理和影响生产应用的能力。然而,根据郭森介绍,以DCS分散控制系统为例,绝大部分控制系统,有92%来自于国外。这些工业控制系统的操作系统,包括自身产品的开发都是不受控的,一直都面临安全问题。那么这个安全将怎么保证?

而国外的工业控制系统安全生产厂商,他们同样也有很多问题,比如他们的工业控制系统卖到了我国企业中,现在执行的安全检测流畅,中国作为WTO组织内的开放市场国家,其检测的法律依据是什么?检测的标准是什么?检测以后,什么指标是合格的,什么指标是不合格的?是一个安全厂商来检测,还是一个国家的测评机构来检测?国家对这个检测有没有授权?这样的检测机构有什么样的水平?什么样的人员才能完成这个检测?

为此,国家投入巨资建立工控安全测评实验室。国家发改委每年根据年度计划列出包括安全产品的开发、安全服务、试点示范工程等在内的信息安全专项。2013年9月国家能源局下发387号文,要求能源企业及时完成工业控制安全漏洞的整改。从2014年到2015年的立项也将工业控制系统安全提到了国家试点工程。在国家项目的立项过程中,工业控制刚好是能源企业的优势,在能源企业中工业控制系统的应用占到整个工业控制系统的60%左右,因此,在2014年已经立项的工业控制安全的试点示范专项中,专门包括了电力企业以及智能电网安全等。国家标准委员会等第三方机构也在积极制定工业控制系统的安全基本要求等。不过,工控系统安全建设规范、工控系统的安全检测标准都还尚未发布。

而诸多拭目以待的安全厂商。究竟应该在工控系统安全市场扮演什么角色,谁是推动整个产业链发展的动力,谁为安全买单,怎么从这个大的蛋糕中分到一块,都还没有特别明确的说法。

让安全厂商充分参与,一定要有良好的生态环境。首要的前提是标准。国外安全体系的建设,包括评估、对程序的检测、对组件的认定,以及标准的制定,目前已经形成了比较成熟的体系。在国内,虽然浙江大学工控安全实验室等机构都在参与国家标准的研究和制定,但是标准的制定和真正作为国家标准发布并且让企业去遵从,还需要非常长的周期。

行业的应对之策

威胁一直存在。郭森介绍,“我们叫国内的电网为‘坚强电网’。对于我们的国家来说,出于社会责任,电力企业盈利时要保证发电量,亏本时也要保证发电量。这相较于国外盈利才发电的电网要安全得多。这也导致社会对于电网的依赖性越来越强,这个电网就越来越不能出现问题。”

据了解,今年8月国家发改委专门发了14号令,其中列举了六个附件,要求电力企业在工业控制的网络当中一定要采取更多的措施,对外部入侵进行防范。郭森说,“14号令的前身是电监会5号令,已经对网络安全提出了很高的要求,比如安全分区、网络专用、横向信息管理系统和控制系统之间的隔离、发电企业和电网调度系统的纵向认证。在这个基础上,这次又提出了很高的要求,其中增加了综合防护。”根据要求,能源企业一定要对工业控制系统的网络进行加固,一定要增加边界防护,一定要对应用安全进行审计,数据要做异地备份。

随着越来越多的投资机构对产业安全发展过程的推动,越来越多的协会和联盟也相继成立。然而因为工业控制系统的协议都是私有的,这些设备的生产条件非常苛刻,想通过第三方对厂家的产品进行安全改进是不现实的。因此,能源企业或者是工控系统的直接使用行业加入到这些组织当中,成为让整个安全生产的链条稳定运转一种模式。