工業(yè)控制系統(tǒng)安全測評技術方案

1、工業(yè)控制系統(tǒng)安全測評技術方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc31140131 1.工業(yè)互聯(lián)網安全概述 PAGEREF _Toc31140131 h 4 HYPERLINK l _Toc31140132 1.1工業(yè)互聯(lián)網概述 PAGEREF _Toc31140132 h 4 HYPERLINK l _Toc31140133 1.2工業(yè)互聯(lián)網安全架構 PAGEREF _Toc31140133 h 4 HYPERLINK l _Toc31140134 1.3工業(yè)互聯(lián)網典型安全問題 PAGEREF _Toc31140134 h 5 HYPERLINK l _To

2、c31140135 2.工業(yè)控制系統(tǒng)安全測評技術方案 PAGEREF _Toc31140135 h 8 HYPERLINK l _Toc31140136 2.1工業(yè)控制系統(tǒng)網絡健壯性檢測方案 PAGEREF _Toc31140136 h 8 HYPERLINK l _Toc31140137 7.1.1概述 PAGEREF _Toc31140137 h 8 HYPERLINK l _Toc31140138 7.1.2網絡健壯性測試平臺 PAGEREF _Toc31140138 h 8 HYPERLINK l _Toc31140139 7.1.3工控系統(tǒng)健壯性檢測方案 PAGEREF _Toc31

3、140139 h 9 HYPERLINK l _Toc31140140 7.2.4 小結 PAGEREF _Toc31140140 h 14 HYPERLINK l _Toc31140141 2.2工業(yè)控制系統(tǒng)等級保護測評方案 PAGEREF _Toc31140141 h 15 HYPERLINK l _Toc31140142 7.2.1案例概述 PAGEREF _Toc31140142 h 15 HYPERLINK l _Toc31140143 7.2.2工控系統(tǒng)等保工作現(xiàn)狀 PAGEREF _Toc31140143 h 15 HYPERLINK l _Toc31140144 7.2.3工控

4、系統(tǒng)等保測評工作實踐方案 PAGEREF _Toc31140144 h 16 HYPERLINK l _Toc31140145 7.2.4小結 PAGEREF _Toc31140145 h 19 HYPERLINK l _Toc31140146 3.結束語 PAGEREF _Toc31140146 h 20前 言 為落實中國制造 2025規(guī)劃，工信部明確了工業(yè)轉型升級的重點領域和工作要求。工業(yè)互聯(lián)網作為新一代信息技術與工業(yè)系統(tǒng)深度融合形成的產業(yè)和應用生態(tài)，是全球工業(yè)系統(tǒng)與高級計算、分析、感應技術以及互聯(lián)網連接融合的結果。它通過智能機器 間的連接并最終將人機連接，結合軟件和大數據分析，重構全球工

5、業(yè)、激發(fā)生產力， 讓世界更美好、更快速、更安全、更清潔且更經濟。工業(yè)互聯(lián)網的發(fā)展得到全球主要國家以及我國政府的高度重視和積極推進，產業(yè)界也正在加速開展相關探索和實踐。 工業(yè)互聯(lián)網廣泛應用于能源、交通以及市政等關系國計民生的重 要行業(yè)和領域，已成為國家關鍵信息基礎設施的重要組成部分。工業(yè) 互聯(lián)網打破了傳統(tǒng)工業(yè)相對封閉可信的制造環(huán)境，病毒、木馬、高級 持續(xù)性攻擊等安全風險對工業(yè)生產的威脅日益加劇，一旦受到網絡攻 擊，將會造成巨大經濟損失，并可能帶來環(huán)境災難和人員傷亡，危及 公眾安全和國家安全。工業(yè)互聯(lián)網自身安全可控是確保其在各生產領 域能夠落地實施的前提，也是產業(yè)安全和國家安全的重要基礎和保障。

6、工業(yè)互聯(lián)網安全概述工業(yè)互聯(lián)網概述工業(yè)互聯(lián)網的內涵用于界定工業(yè)互聯(lián)網的范疇和特征，明確工業(yè)互聯(lián)網總體目標，是研究工業(yè)互聯(lián)網的基礎和出發(fā)點；工業(yè)互聯(lián)網是互聯(lián)網和新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的產業(yè)和應用生態(tài)，是工業(yè)智能化發(fā)展的關鍵綜合信息基礎設施。其本質是以機器、原材料、控制系統(tǒng)、信息系統(tǒng)、產品以及人之間的網絡互聯(lián)為基礎，通過對工業(yè)數據的全面深度感知、實時傳輸交換、快速計算處理和高級建模分析，實現(xiàn)智能控制、運營優(yōu)化和生產組織方式變革。工業(yè)互聯(lián)網安全架構工業(yè)互聯(lián)網的安全需求可從工業(yè)和互聯(lián)網兩個視角分析。從工業(yè)視角看，安全的重點是保障智能化生產的連續(xù)性、可靠性，關注智能裝備、工業(yè)控制設備

7、及系統(tǒng)的安全；從互聯(lián)網視角看，安全主要保障個性化定制、網絡化協(xié)同以及服務化延伸等工業(yè)互聯(lián)網應用的安全運行以提供持續(xù)的服務能力，防止重要數據的泄露，重點關注工業(yè)應用安全、網絡安全、工業(yè)數據安全以及智能產品的服務安全。因此，從構建工業(yè)互聯(lián)網安全保障體系考慮，工業(yè)互聯(lián)網安全體系框架，如 HYPERLINK l _bookmark3 圖 所示，主要包括五大重點，設備安全、網絡安全、控制安全、應用安全和數據安全。圖 1 工業(yè)互聯(lián)網安全體系1設備安全是指工業(yè)智能裝備和智能產品的安全，包括芯片安全、嵌入式操作系統(tǒng)安全、相關應用軟件安全以及功能安全等。網絡安全是指工廠內有線網絡、無線網絡的安全，以及工廠外與用

8、戶、協(xié)作企業(yè)等實現(xiàn)互聯(lián)的公共網絡安全。控制安全是指生產控制系統(tǒng)安全，主要針對 PLC、DCS、SCADA 等工業(yè)控制系統(tǒng)的安全，包括控制協(xié)議安全、控制平臺安全、控制軟件安全等。應用安全是指支撐工業(yè)互聯(lián)網業(yè)務運行的應用軟件及平臺的安全，包括各類移動應用；數據安全是指工廠內部重要的生產管理數據、生產操作數據以及工廠外部數據（如用戶數據）等各類數據的安全。工業(yè)互聯(lián)網典型安全問題新一輪的工業(yè)革命是工業(yè)互聯(lián)網蓬勃發(fā)展的原動力。反之，工業(yè)互聯(lián)網的快速發(fā)展又改變或催生了工業(yè)生產的設計、生產、物流、銷售和服務模式。大規(guī)模個性化定制、遠程運維和工業(yè)云等新興業(yè)態(tài)嶄露頭角，并引起廣泛關注。同時， “數字化、智能化、

9、網絡化”為特征的工業(yè)互聯(lián)網既面臨傳統(tǒng) IT 的安全威脅， 也面臨以物理攻擊為主的信息通信技術（簡稱 ICT）的安全威脅。安全保障能力已成為影響工業(yè)互聯(lián)網創(chuàng)新發(fā)展的關鍵因素。隨著互聯(lián)網與工業(yè)融合創(chuàng)新的不斷推動，電力、交通、市政等大量關系國計民生的關鍵信息基礎設施日益依賴于網絡，并逐步與公共互聯(lián)網連接，一旦受到網絡攻擊，不僅會造成巨大的經濟損失，更可能造成環(huán)境災難和人員傷亡，危及公眾生活和國家安全。工業(yè)領域安全防護急需加強和提升。目前，工業(yè)領域安全防護采用分層分域 的隔離和邊界防護思路。工廠內網與工廠外網之間通常部署隔離和邊界防護措施， 采用防火墻、虛擬專用網絡、訪問控制等邊界防護措施保障工廠內網

10、安全。企業(yè) 管理層網絡主要采用權限管理、訪問控制等傳統(tǒng)信息系統(tǒng)安全防護措施，與生產 控制層之間較多的采用工業(yè)防火墻、網閘、入侵防護等隔離設備和技術實現(xiàn)保護 “數據安全”。生產控制層以物理隔離為主，工業(yè)私有協(xié)議應用較多，工業(yè)防火 墻等隔離設備需針對專門協(xié)議設計。企業(yè)更關注生產過程的正常進行，一般較少在工作站和控制設備之間部署隔離設備、進行軟件升級，一般也不安裝病毒防護軟件以避免帶來功能安全問題?？刂茀f(xié)議、控制軟件在設計之初也缺少諸如認證、授權、加密等安全功能，生產控制層安全保障措施的缺失成為工業(yè)互聯(lián)網演進過程中的重要安全問題。未來工業(yè)互聯(lián)網安全主要面臨以下幾方面的問題：生產設備安全問題開始凸現(xiàn)。

11、傳統(tǒng)生產設備以機械裝備為主，重點關注物理和功能安全。但未來的生產模式更強調終端的生產角色的扁平、協(xié)同， 導致生產設備數字化、信息化、網絡化、智能化水平不斷提升；生產環(huán)節(jié)中人機交互過程逐漸減少甚至消失（如無人工廠、自動駕駛）。上述因素導致一些安全隱患難以發(fā)覺，更重要的是導致海量設備直接暴露在網絡攻擊之下。木馬病毒能夠在這些暴露的設備之間的以指數級的感染速度進行擴散。這種情況下，工業(yè)設備就成為安全攻擊的“肉雞”武器。近期美國域名服務商被大量終端設備攻擊事件說明了這種攻擊方式的巨大危害。端到端生產模式下的網絡安全問題。為追求更高的生產效率，工業(yè)互聯(lián)網開始承擔從生產需求起至產品交付乃至運維的“端到端”

12、的服務。比如大規(guī)模個人定制的服裝行業(yè)，個性化定制的家電行業(yè)已經開始實現(xiàn)從由生產需求起至產品交付“端到端”的生產服務模式。無人化生產模式下，工廠網絡迅速向“三化（IP 化、扁平化、無線化）+靈活組網”方向發(fā)展，工廠網絡開始直接面臨眾多傳統(tǒng) IT 安全挑戰(zhàn)。工業(yè)網絡靈活組網的需求使網絡拓撲的變化更加復雜，導致傳統(tǒng)基于靜態(tài)防護策略和安全域的防護效果下降。工業(yè)生產網絡對信息交互實時性、可靠性的要求，難以接受復雜的安全機制，極易受到非法入侵、信息泄露、拒絕服務等攻擊?！岸说蕉恕钡纳a模式、無人化生產發(fā)展趨勢使得工業(yè)互聯(lián)網安全防護的邊界空前擴張，對安全防護機制的要求空前提高?？刂瓢踩珕栴}。當前工廠控制安全

13、主要關注控制過程的功能安全，信息安全防護能力不足?，F(xiàn)有控制協(xié)議、控制軟件等在設計之初主要基于 IT 和 OT 相對隔離以及 OT 環(huán)境相對可信這兩個前提，同時由于工廠控制的實時性和可靠性要求高，諸如認證、授權和加密等需要附加開銷的信息安全功能被舍棄。IT 和 OT 的融合打破了傳統(tǒng)安全可信的控制環(huán)境，網絡攻擊從 IT 層滲透到 OT 層， 從工廠外滲透到工廠內。遺憾的是，目前缺乏有效的應對 APT（Advanced3Persistent Threat，高級持續(xù)性威脅）攻擊檢測和防護手段。令業(yè)界最為擔心的是控制安全問題最接近物理實體安全。從某種意義上，物理空間的損害成為現(xiàn)實。應用安全問題。網絡化

14、協(xié)同、服務化延伸、個性化定制等新模式新業(yè)態(tài)的出現(xiàn)對傳統(tǒng)公共互聯(lián)網的安全能力提出了更高要求。工業(yè)應用復雜，安全需求多樣，因此對工業(yè)應用的業(yè)務隔離能力、網絡安全保障能力要求都將提高。數據安全問題。數據是工業(yè)互聯(lián)網的核心，工業(yè)數據由少量、單一、單向正在向大量、多維、雙向轉變，具體表現(xiàn)為工業(yè)互聯(lián)網數據體量大、種類多、結構復雜，并在 IT 和 OT 層、工廠內外雙向流動共享。工業(yè)領域業(yè)務應用復雜， 數據種類和保護需求多樣，數據流動方向和路徑復雜，不僅對網絡的可靠、實時傳遞造成影響，對重要工業(yè)數據以及用戶數據保護的難度也陡然增大。綜上所述，數字化的、網絡化、智能化生產設備安全、端到端生產模式下的網絡安全，

15、、生產控制系統(tǒng)安全、應用安全和數據安全是工業(yè)互聯(lián)網發(fā)展急需解決的問題，其中終端設備安全、生產控制系統(tǒng)安全和數據安全尤為急迫。工業(yè)控制系統(tǒng)安全測評技術方案工業(yè)控制系統(tǒng)主要基于傳感器、物聯(lián)網、云計算、移動互聯(lián)網等現(xiàn)代信息通信技術，實現(xiàn)對工業(yè)生產過程的精準控制和資源調度。從安全視角來看，工業(yè)控制系統(tǒng)不僅面臨著傳統(tǒng)的 ICT 安全風險，同時也面臨著 PLC、DCS、SCADA 等工控環(huán)境的特定協(xié)議、規(guī)程的安全風險。結合網絡安全法的要求，需要針對工控系統(tǒng)開展全面的例行安全測評，切實提高工控系統(tǒng)的安全等級。本案例匯編包括兩個安全測評領域的典型解決方案。工業(yè)控制系統(tǒng)網絡健壯性檢測方案概述工業(yè)控制系統(tǒng)（ICS

16、）是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數據采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)（如可編程邏輯控制器（PLC）。工業(yè)控制系統(tǒng)廣泛應用于核設施、電力、石化、化工、冶金、食品、市政、先進制造等國家關鍵基礎設施的運行控制過程中，是國家關鍵基礎設施的“中樞神經”。隨著我國“兩化融合”工作的不斷深化，工業(yè)控制系統(tǒng)面臨的內外部安全威脅日益嚴重，保障工業(yè)控制系統(tǒng)信息安全已經上升為國家層面的安全戰(zhàn)略。針對工業(yè)控制系統(tǒng)信息安全的問題，工控系統(tǒng)廠商、安全產品廠商、行業(yè)機構等信息安全干系方從不同的視角提出了一些安全解決方案，但這些解決方案大都是從“病了吃藥”的角度提出的。從根源上，更要增加工

17、控系統(tǒng)自身的免疫力和提升自身的抵抗力。網絡健壯性測試平臺阿基里斯認證是一項被用戶、行業(yè)組織和供應商廣泛認可和推薦的行業(yè)網絡安全國際標準，西門子、施耐德、ABB 等公司的自動化產品均通過了阿基里斯認證的所有要求，使得阿基里斯認證成為事實上的行業(yè)標準。阿基里斯測試平臺（Achilles Test Platform，以下簡稱 ATP）是為工業(yè)設備提供網絡健壯性測試而設計的平臺，主要測試對象為可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）控制器等，ATP 也可以測試任何有 Ethernet 端口和網絡堆棧實現(xiàn)的設備，如服務器、HMI、工程師站、網絡設備等。阿基里斯測試平臺提供主動式先期預防的技術

18、解決方案以提升網絡可靠性和安全性，并可驗證產品受到網絡攻擊時的耐受力，通過阿基里斯測試的產品，被證明已經達到通訊可靠性的最高標準要求，可以有效防范上萬種“零日漏洞”以及其他未公開的漏洞或隱患。工控系統(tǒng)健壯性檢測方案連接配置在進行設備測試時阿基里斯測試平臺支持兩種組網方式，一種是直接測試工控設備，另一種是橋接到工控設備和上位機中間。直接測試工控設備DUTAchillesAchilles ClientMgmtPort1Port2Port1圖 41 直連方式橋接到工控設備與上位機之間Port1Port1DUTAchillesVCSAchilles ClientPort2Port1Mgmt圖 42橋接

19、方式71阿基里斯測試平臺與被測設備（Device Under Test，以下簡稱 DUT）的連接如上圖所示，針對不同的測試對象、測試要求，拓撲結構會作出某些調整，應以具體情況為準。在 ATP 與 DUT 實現(xiàn)物理連接后，將對 ATP 配置界面進行具體配置。該操作主要是用來填寫 ATP、DUT 的 IP 地址與 MAC 地址，以便實現(xiàn)兩者的互聯(lián)互通。并可以開啟相應的監(jiān)視器，以查看在通信過程中 DUT 的端口或者協(xié)議是否正常工作。圖 43ATP 配置界面配置完成后，需要對 DUT 進行端口掃描，為后期測試項的執(zhí)行做好前期準備工作。端口掃描界面如下圖所示：圖 44端口掃描界面檢測執(zhí)行ATP 與 DU

20、T 實現(xiàn)連接以及配置和端口掃描等測試前準備工作后，開始具體的測試過程。阿基里斯測試主要分為兩個等級：一級和二級，針對不同的檢測級別，ATP 中包含不同的測試項，如以下兩表格所示：表 1Level-1 測試項協(xié)議類型Level-1 測試項EthernetEthernet Unicast Storm (L1)Ethernet Multicast Storm (L1)Ethernet Broadcast Storm (L1)Ethernet Fuzzer (L1)Ethernet Grammar (L1)ARPARP Request Storm (L1)ARP Host Reply Storm (L

21、1)ARP Cache Saturation Storm (L1)ARP Grammar (L1)IPIP Unicast Storm (L1)IP Multicast Storm (L1)IP Broadcast Storm (L1)IP Fragmented Storm (L1)73IP Fuzzer (L1)IP Grammar - Header Fields (L1)IP Grammar - Fragmentation (L1)IP Grammar - Options Fields (L1)ICMPICMP Storm (L1)ICMP Grammar (L1)ICMP Type/Co

22、de Cross Product (L1)TCPTCP Scan Robustness (L1)TCP SYN Storm (L1)TCP/IP LAND Storm (L1)TCP Fuzzer (L1)TCP Grammar (L1)UDPUDP Scan Robustness (L1)UDP Unicast Storm (L1)UDP Multicast Storm (L1)UDP Broadcast Storm (L1)UDP Fuzzer (L1)UDP Grammar (L1)表 2Level-2 測試項協(xié)議類型Level-2 測試項EthernetEthernet Unicast

23、 Storm (L1/L2)Ethernet Multicast Storm (L1/L2)Ethernet Broadcast Storm (L1/L2)Ethernet Fuzzer (L1/L2)Ethernet Grammar (L1/L2)Ethernet VLAN Grammar(L2)Ethernet LLC/SNAP Grammar(L2)Ethernet VLAN/LLC/SNAP Chaining(L2)Ethernet Data Grammar(L2)ARPARP Request Storm (L1/L2)ARP Host Reply Storm (L1/L2)ARP C

24、ache Saturation Storm (L1/L2)ARP Grammar (L2)IPIP Unicast Storm (L1/L2)IP Multicast Storm (L1/L2)IP Broadcast Storm (L1/L2)IP Fragmented Storm (L1/L2)IP Bad Checksum Storm(L2)IP Fuzzer (L1/L2)IP Grammar - Header Fields (L1/L2)IP Grammar - Fragmentation (L1/L2)IP Grammar - Options Fields (L1/L2)IP Da

25、ta Grammar(L2)ICMPICMP Storm (L1/L2)ICMP Fuzzer(L2)ICMP Grammar (L2)ICMP Type/Code Cross Product (L1/L2)TCPTCP Scan Robustness (L1/L2)TCP SYN Storm (L1/L2)YCP SYN Storm from Broadcast(L2)TCP/IP LAND Storm (L1/L2)TCP URG Storm(L2)TCP FIN Strom(L2)TCP RST Storm(L2)TCP Closed Receive Window Storm(L2)TC

26、P Segment Reassembly Storm(L2)TCP Fuzzer (L1/L2)TCP Grammar-Header Fields (L2)TCP Grammar-Contextually Invalid Packets(L2)TCP Priority Traffic Interleaving(L2)TCP Timestamp Manipulation(L2)TCP/IP Grammar (L2)TCP Selective Acknowledgement(L2)TCP Receive Window(L2)TCP Data Grammar(L2)TCP Maximum Concu

27、rrent Connections(L2)TCP Initial Sequence Number Randomness Check(L2)UDPUDP Scan Robustness (L1/L2)UDP Unicast Storm (L1/L2)UDP Multicast Storm (L1/L2)UDP Broadcast Storm (L1/L2)UDP Fuzzer (L1/L2)UDP Grammar (L2)UDP Data Grammar (L2)75通過測試設置，選擇測試所需的 ATP 中不同測試項，作為測試執(zhí)行的測試案例，在測試執(zhí)行界面執(zhí)行已選擇的測試項，進行被測設備網絡健壯

28、性檢測。如下圖所示：圖 45測試執(zhí)行界面測試過程中發(fā)現(xiàn)的問題會在事件日志中詳細說明，用以指導測試產品廠商進行產品改進。在測試結果界面，保存的信息包括：測試結果、測試參數、測試環(huán)境信息、監(jiān)視圖表、事件日志、抓包分析或流量分析。最終，阿基里斯測試平臺會針對測試過程生成 PDF 報告，通過分析測試數據，可以自動判斷被測設備是否通過認證。7.2.4 小結基于上述工控安全健壯性測評思路，2016 年對國內某 LK 系列可編程控制器開展了阿基里斯認證工作，分別對基礎 TCP/IP 協(xié)議棧、工業(yè)應用層總線開展了Fuzzing 測試、風暴測試、資源耗盡型測試、錯誤數據型測試和完整性測試工作。經過近一個月的迭代

29、測試，被測公司通過不斷優(yōu)化代碼，攻克了惡意攻擊、不完整報文、廣播風暴等多種情景下，控制器底層控制總線仍可保持正常運行的技術難關，最終通過認證，并于 2017 年 3 月 1 日獲得 Achilles Level I 認證證書，成為國內首家獲得該認證的大型 PLC 供應商。工業(yè)控制系統(tǒng)等級保護測評方案案例概述網絡安全法自 2017 年 6 月 1 日起正式施行，其中第三十一條規(guī)定如下： 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度

30、的基礎上，實行重點保護。工業(yè)控制系統(tǒng)（Industrial control system，以下簡稱 ICS）在能源、交通、水利等關鍵信息基礎設施中普遍應用，應對各行業(yè)工業(yè)控制系統(tǒng)執(zhí)行網絡安全等級保護制度并實行重點信息安全保護。工控系統(tǒng)等保工作現(xiàn)狀近兩年來，國家為掌握關鍵信息基礎設施的 ICS 信息安全態(tài)勢，國家網信部門、公安部門和其它機關、行業(yè)主管單位組織了多次專項安全檢查，通過此種方式可有效的督促 ICS 運營者落實網絡安全相關工作。國家陸續(xù)出臺或修訂了與 ICS 信息安全相關的政策、法律法規(guī)、技術標準， 如：2016 年工業(yè)自動化和控制系統(tǒng)網絡安全 集散控制系統(tǒng)(DCS)第 2 部分： 管

31、理要求正式發(fā)布、2016 年 11 月工信部正式發(fā)布工業(yè)控制系統(tǒng)信息安全防護指南、2017 年 6 月 1 日將正式實施網絡安全法等。由于 ICS 應用的行業(yè)的特殊性以及針對 ICS 的信息安全產品體系尚不成熟等原因，目前部分 ICS 運營者更傾向于 ICS 控制系統(tǒng)廠商提供適用于其系統(tǒng)與工程的安全解決方案，諸如艾默生、ABB、施耐德、和利時等廠商也推出了自主設計的信息安全解決方案。77工控系統(tǒng)等保測評工作實踐方案工業(yè)控制系統(tǒng)的信息安全等級保護工作的工作思路是：以等級保護測評過程管理指南為基礎，以信息系統(tǒng)安全等級保護基本要求為核心，以具體測評對象所屬行業(yè)的信息安全要求為重點，結合已有對工業(yè)控制

32、系統(tǒng)信息安全的研究成果，對具體的服務范圍、測評方法、過程均進行了針對性的設計。以下以電力行業(yè)某發(fā)電廠的 DCS（分布式控制系統(tǒng)）等級保護測評服務為分析對象來進行說明。圖 46DCS 系統(tǒng)結構圖此廠的 DCS 系統(tǒng)#1、#2 機組分別配備 6 臺操作員站，1 臺歷史站，1 臺工程師站，1 臺通訊站，一臺激光彩色打印機。同時#0 機組為公用控制系統(tǒng)，包括了遠程空壓站、遠程燃油泵房、輔機循環(huán)水等的具體控制。DCS 系統(tǒng)及生產區(qū)域系統(tǒng)（如 NCS、TL、FW 等）的數據通過網絡單向隔離器與 SIS 系統(tǒng)連接。Modem BankModem BankModem BankModem BankModem B

33、ankModem BankModem BankModem Bank網絡單向隔離器202.119.100.11202.119.100.12202.119.100.13202.119.100.14202.119.100.15202.119.100.16202.119.100.17202.119.100.18主干網絡交換機網絡單向隔離器 二區(qū)系統(tǒng)維護站192.168.200.4 三區(qū)系統(tǒng)維護站值長站群集192.168.200.3網絡交換機192.168.200.1192.168.200.2鏡像數據庫服務器192.168.110.10WEB服務器應用服務器實時數據庫服務器SIS機房MIS辦公樓DCS1

34、工程師站DCS2工程師站 FW系統(tǒng)工程師站NCS系統(tǒng)工程師站 TDM系統(tǒng)工程師站 NCS1系統(tǒng)工程師站NCS2系統(tǒng)工程師站TL系統(tǒng)工程師站DCS1DCS2FW NCS TDMNCS1NCS2TL圖 47SIS 系統(tǒng)網絡拓撲圖測評內容的變化針對電廠的 DCS 系統(tǒng)（三級）信息安全等保測評工作時，在項目準備階段， 對本項目的內容進行了分析，將進行兩方面工作：等級保護測評與生產控制區(qū)信息安全風險評估。其中，等級保護測評針對 DCS 系統(tǒng)進行符合性測評，風險評估為用戶提供生產控制區(qū)整體安全風險量化評估工作以便客戶更加直觀的了解到生產控制區(qū)域內存在的信息安全風險及進行相關整改規(guī)劃。等級保護測評本項目的測

35、評對象為電廠生產控制I 區(qū)內的DCS 系統(tǒng)，該 DCS 系統(tǒng)依據信息系統(tǒng)安全保護等級定級指南、電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見定為三級信息系統(tǒng)，在進行等級保護測評時，應依據信息系統(tǒng)安全等級保護基 本要求的三級系統(tǒng)基本要求與電力行業(yè)信息系統(tǒng)安全等級保護基本要求中 對應等級相關新增、增強要求指導測評工作。依據上述標準、規(guī)范要求，編制某電廠 DCS 系統(tǒng)信息安全等級保護測評作業(yè)指導書來具體指導測評工作。生產控制區(qū)信息安全風險評估針對工業(yè)控制系統(tǒng)應用領域存在信息安全基礎差、信息安全風險高的普遍狀況，在實施工業(yè)控制系統(tǒng)類信息安全等級測評項目時，也為用戶提供廠級信息系統(tǒng)或生產大區(qū)的信息系統(tǒng)風險評估

36、服務。上述某電廠 DCS 系統(tǒng)的等級測評過程中，項目團隊依據信息安全技術 信息安全風險評估規(guī)范（GB/T 209842007）、電力監(jiān)控系統(tǒng)安全防護評估方案 （國能安全201536 號附件 7）對該電廠生產控制區(qū)的系統(tǒng)進行了風險評估。測評過程的變化上述某電廠 DCS 系統(tǒng)的等級測評過程遵循信息系統(tǒng)安全等級保護測評過程指南(GB/28449-2012) 中的相關要求，同時結合工控系統(tǒng)進行了相關的補充與改進，具體測評過程流程圖如下圖所示：評估報告、整改建議專用工具項目啟動項目結束測試工具準備作業(yè)指導書編制測評準備環(huán)節(jié)通過內部評審報告編制報告編制確認重新評估安全加固安全整改漏洞發(fā)現(xiàn)風險評估現(xiàn)場測評仿真驗證/ 離線測試現(xiàn)場評估環(huán)節(jié)持續(xù)工控風險跟蹤知識庫支撐工控安全防護解決方案庫工控漏洞庫工控等保測評作業(yè)指導書庫圖 48 測評過程流程圖測評工具的使用在目前對工業(yè)生產控制系統(tǒng)的等級保護測評中，針對三級及三級以上的系統(tǒng)一般不采取工具測試（漏洞掃描與滲透測試）。建議在條件許可的情況下，應對三級及三級以上的系統(tǒng)采用專項的工具測試，而