周黎輝 周濱 張遠志 蔡蕙敏

基于工業(yè)控制系統(tǒng)信息安全評估規(guī)范的評估研究及安全問題對策

周黎輝1周濱2張遠志3蔡蕙敏4

根據《工業(yè)控制系統(tǒng)信息安全第1部分評估規(guī)范》（GB/T 30976.1-2014）的基本要求開展工業(yè)控制系統(tǒng)信息安全風險評估工作，能幫助我們進一步掌握被檢查單位重要網絡與信息系統(tǒng)基本情況，查找突出問題和薄弱環(huán)節(jié)，分析面臨的安全威脅和風險，評估安全防護水平，提出針對性地防范對策和改進措施，促進安全防護能力和水平提升，預防和減少重大信息安全事件的發(fā)生，切實保障工業(yè)控制網絡的信息安全，研究符合評估規(guī)范的風險評估方法并針對安全問題提出安全策略與建議。

結合目前工業(yè)控制系統(tǒng)與網絡安全形勢與現狀，并針對歷年來重要工業(yè)控制系統(tǒng)信息安全檢查過程中發(fā)現的薄弱環(huán)節(jié)，以某工業(yè)企業(yè)重要工控系統(tǒng)的信息安全風險評估工作為案例研究符合評估規(guī)范的風險評估方法。重點評估：網絡安全管理情況、技術防護情況、應急工作情況 、宣傳教育培訓情況、信息安全風險評估工作落實情況、商用密碼使用情況、安全問題整改情況。重點研究上一年度各類網絡安全檢查（包括：重要基礎設施檢查、重要信息系統(tǒng)檢查、等級保護測評、信息安全風險評估、密碼設備檢查等方面）和本年度安全檢查所發(fā)現問題的整改情況及整改效果。

實施流程

調研內容主要包括以下幾點：評估單位信息系統(tǒng)的基本情況（主要包括：硬件資產、軟件資產、文檔和數據、人力資源、業(yè)務應用、物理環(huán)境、組織管理；及網絡拓撲圖（系統(tǒng)規(guī)劃、設計的相關圖）、系統(tǒng)建設的基本情況、外包單位的基本信息、系統(tǒng)運行的基本狀況、系統(tǒng)的組織機構）

資產調查

目前該單位工業(yè)控制系統(tǒng)網絡連接采取物理隔離的方式，不與互連網連接；各工業(yè)控制系統(tǒng)針對各車間需求獨立運行，無以太網之間相連，目前正使用的系統(tǒng)有：凈化中控系統(tǒng)、凈化冷凝系統(tǒng)，焦爐自動化控制系統(tǒng)、加工控制系統(tǒng)，重要系統(tǒng)采取雙機冗余熱備的方式，發(fā)生故障時可由另一套系統(tǒng)臨時代替監(jiān)控工作，如熱備不足以滿足時，可由人工操作替代。由于生產連續(xù)性，每半年檢修停機后進行系統(tǒng)及數據備份。系統(tǒng)備份使用光盤作為介質。機動室為硬件設備備件管理部門，庫存有相應備件。軟件升級及軟件編程由項目承建單位實施，項目建成后無軟件升級及二次編程的情況。終端設備具備基本的運行環(huán)境，設置消防設備、空調設備、監(jiān)控設備、防塵設施，未設置防潮設備。各機房均配備UPS及電池組，60KV，持續(xù)時間8個小時，負載16%若系統(tǒng)斷電后可自動切換到后備電源。

軟件主要有組態(tài)軟件和操作系統(tǒng)兩個類型，組態(tài)軟件主要采用WINCC7.0+SETP7，操作系統(tǒng)主要使用Windows2000系統(tǒng)，定制開發(fā)系統(tǒng)是由Visuol basic 6.0（美國）+SQL Server 2005開發(fā)。

傳感器設備使用的是國產儀器儀表，產品不易損壞，可由國內其他廠家同類型號產品替代。

各工業(yè)控制系統(tǒng)均單獨設立操作室，與外部環(huán)境相對隔離，操作室防塵措施有鋪設地膠、地板，設備安裝機臺、機柜，規(guī)定打掃除塵周期等，恒溫措施有配備空調、風扇、暖氣等設備，防火防化配有滅火器、防化服，電源配備UPS系統(tǒng)穩(wěn)壓續(xù)航，部分操作室設有防爆應急燈等。

亟待解決的問題

完善信息安全管理制度。 設立信息安全及工業(yè)控制系統(tǒng)統(tǒng)一管理的部門，配備專職信息安全工作人員及崗位。制定統(tǒng)一的信息安全管理策略，信息安全管理制度需進一步完善。

加強移動存儲介質的管理與使用。嚴格對移動存儲介質的管理與使用，建議對工業(yè)控制系統(tǒng)的數據采取單向導出（光盤刻錄）的方式，避免工控機感染病毒而造成系統(tǒng)癱瘓。

安裝系統(tǒng)補丁程序。安裝被利用漏洞的系統(tǒng)補丁，安裝微軟提供的下列補丁文件：RPC遠程執(zhí)行漏洞（MS08-067）、快捷方式文件解析漏洞（MS10-046）、打印機后臺程序服務漏洞（MS10-061），此外需要注意還有一個尚未修補的提升權限（EoP）漏洞，以及微軟隨后發(fā)現的另一個類似漏洞。

綜合評價

在信息安全管理體系方面。該企業(yè)在日常信息安全及自查工作中，對重要崗位部分簽訂保密協議，制定相關安全管理制度，并對存儲介質管理、運維操作、操作人員工作交接、外圍維修、應急演練等相關記錄。在管理安全工作中雖有相應制度的建立，但是制度不完善，記錄不完整，管理安全程度屬于中等。

物理環(huán)境安全方面。物理環(huán)境有一定措施但不完善。主要無除濕設備，缺少環(huán)境檢測裝置，無空氣凈化設備物理環(huán)境安全程度屬于中等。

軟硬件對國外的依賴程度方面。為保證生產，該企業(yè)未對軟件系統(tǒng)升級更新，采取每半年停產檢修期間，對系統(tǒng)進行停機備份，在系統(tǒng)崩潰的情況下2～3小時可完成鏡像恢復，硬件設備生命周期為5～10年，硬件設備損壞的情況下，從機動室調取備件，最長于半天內完成替換，如備件不足時由機動室遞交采購申請，并由上一級部門統(tǒng)一安排采購備庫。硬件設備在國內無替代產品，如出現故障，備件不足導致故障設備無法替換的情況下系統(tǒng)將無法運行。軟硬件對國外的依賴程度屬于高依賴。

企業(yè)的工業(yè)控制系統(tǒng)是獨立運行的，沒有相互通訊，但是預留通訊端口，已具備DCS系統(tǒng)的基礎框架，一旦接入以太網，缺少國外產品的升級更新服務，系統(tǒng)仍將會受到較大的威脅。

系統(tǒng)對業(yè)務的影響程度。工業(yè)控制系統(tǒng)獨立而互不通訊，其中某套系統(tǒng)遭受破壞或者篡改不會影響到其他的系統(tǒng)，而單套系統(tǒng)所使用的儀表傳感器具有一定的防護機制，設定有上下限值，系統(tǒng)對數據的設置超過安全范圍將視為無效，因此不會造成設備的直接損壞，但是會造成工藝的波動。工藝環(huán)節(jié)的波動僅對產品質量有所影響，這種影響也在可控范圍之內，不會對整個生產造成重大影響。

網絡防護方面。系統(tǒng)連接互聯網，聯網運行覆蓋整個企業(yè)，用戶較多，存在可能對系統(tǒng)運行造成較大影響的外部威脅，系統(tǒng)面臨的威脅程度低。系統(tǒng)設置防護系統(tǒng)和設備，但結構不完整，防護方式單一，如防護設備故障，或者在系統(tǒng)內進行入侵，仍存在一定的危險。系統(tǒng)安全防護能力為中。

( 作者單位：1，3，4.貴陽宏圖科技有限公司；2.貴州大學管理學院）