工业控制系统信息安全风险测评工作实践与探讨.docVIP

工业控制系统信息安全风险测评工作实践与探讨 　　【 摘 要 】 通过工业控制系统信息安全风险测评工作的开展，帮助我们进一步掌握被检查单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险，评估安全防护水平，提出针对性地防范对策和改进措施，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障工业控制网络的信息安全。 　　【 关键词 】 工业控制系统；网络；病毒；信息安全风险 　　Industrial Control System Information Security Risk Assessment Work Practice and Exploration 　　Cai Hui-min 1 Zhou Li-hui 1 Zhou Bin 2 　　（1. Guiyang Productivity Promotion Center GuizhouGuiyang 550002； 　　2. Guizhou University School of Management GuizhouGuiyang 550025） 　　【 Abstract 】 Through the industrial control system information security risk assessment work， to help us further grasp the important basic network and information system by examination unit circumstance， find problems and weak links， and analyses the security threat and risk， the level of security protection targeted prevention countermeasures and improvement measures are put forward， and promote the safety protection ability and level， so as to prevent or reduce significant information security incidents occur， ensure the information security of the industrial control network. 　　【 Keywords 】 industrial control systems；network security； virus； information risk 　　1 引言 　　信息安全是全面推进我国国民经济和社会信息化进程的重要保障，党中央、国务院高度重视信息安全问题。2012年国务院有关领导主持召开了国家网络与信息安全协调小组会议，部署了2012年重点领域网络与信息安全检查行动，国务院办公厅印发了《关于开展重点领域网络与信息安全检查行动的通知》（国办函〔2012〕102号），我们根据文件精神要求并结合贵州省重点领域网络与信息化建设的实际情况，对贵州省内某国有企业重要信息系统与工业控制系统开展了安全风险测评工作。本文将对该企业工业控制系统信息安全风险测评的过程中遇到和发现的问题进行探讨，并对今后如何加强工业控制系统信息安全保障工作进行思考，提出加强工业控制系统的安全管理的方法和提升技术防护能力的措施。 　　2 测评工作方法与流程 　　根据信息安全相关的国家法律法规、政策文件、国家标准，采取咨询调查、工具检测、手工核查等方式开展测评工作。 　　调查与咨询：分发调查表给被评估单位的工作人员；与被评估单位的领导、部门负责人、技术人员面谈；查阅被评估单位信息安全方面和保密工作方面的文档。 　　人工核查：专业技术人员参照信息系统安全配置核查标准对信息系统进行安全检查，并对信息系统的已有安全措施进行确认。 　　工具检测：利用专业检查工具对信息系统进行检查检测，如漏洞扫描工具。 　　（注：考虑到工业控制系统的实时性以及企业业务对其依赖性，大多数工业控制系统都是24小时运行，一年只有两三天的时间可以停止运行进行检修，因此在测评工作将慎用渗透性测试。） 　　依据以上方式获取的数据，并按照工业控制网络风险评估规范要求对工业控制系统的信息安全风险进行测评。测评工作包括了测评工作准备阶段、现场测评工作阶段、问题与风险分析阶段、测评工作总结阶段，其具体流程如图1所示。 　　3 测评工作内容 　　整个测评工作主要采取现场测评方式实施，其测评工作内容有：对企业工业控制系统的系统基本情况、安全管理情况、数据备份与恢复、