基于工业控制系统信息安全评估规范的评估研究及安全问题对策

周黎辉 周滨 张远志 蔡蕙敏

基于工业控制系统信息安全评估规范的评估研究及安全问题对策

周黎辉1周滨2张远志3蔡蕙敏4

根据《工业控制系统信息安全第1部分评估规范》（GB/T 30976.1-2014）的基本要求开展工业控制系统信息安全风险评估工作，能帮助我们进一步掌握被检查单位重要网络与信息系统基本情况，查找突出问题和薄弱环节，分析面临的安全威胁和风险，评估安全防护水平，提出针对性地防范对策和改进措施，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障工业控制网络的信息安全，研究符合评估规范的风险评估方法并针对安全问题提出安全策略与建议。

结合目前工业控制系统与网络安全形势与现状，并针对历年来重要工业控制系统信息安全检查过程中发现的薄弱环节，以某工业企业重要工控系统的信息安全风险评估工作为案例研究符合评估规范的风险评估方法。重点评估：网络安全管理情况、技术防护情况、应急工作情况 、宣传教育培训情况、信息安全风险评估工作落实情况、商用密码使用情况、安全问题整改情况。重点研究上一年度各类网络安全检查（包括：重要基础设施检查、重要信息系统检查、等级保护测评、信息安全风险评估、密码设备检查等方面）和本年度安全检查所发现问题的整改情况及整改效果。

实施流程

调研内容主要包括以下几点：评估单位信息系统的基本情况（主要包括：硬件资产、软件资产、文档和数据、人力资源、业务应用、物理环境、组织管理；及网络拓扑图（系统规划、设计的相关图）、系统建设的基本情况、外包单位的基本信息、系统运行的基本状况、系统的组织机构）

资产调查

目前该单位工业控制系统网络连接采取物理隔离的方式，不与互连网连接；各工业控制系统针对各车间需求独立运行，无以太网之间相连，目前正使用的系统有：净化中控系统、净化冷凝系统，焦炉自动化控制系统、加工控制系统，重要系统采取双机冗余热备的方式，发生故障时可由另一套系统临时代替监控工作，如热备不足以满足时，可由人工操作替代。由于生产连续性，每半年检修停机后进行系统及数据备份。系统备份使用光盘作为介质。机动室为硬件设备备件管理部门，库存有相应备件。软件升级及软件编程由项目承建单位实施，项目建成后无软件升级及二次编程的情况。终端设备具备基本的运行环境，设置消防设备、空调设备、监控设备、防尘设施，未设置防潮设备。各机房均配备UPS及电池组，60KV，持续时间8个小时，负载16%若系统断电后可自动切换到后备电源。

软件主要有组态软件和操作系统两个类型，组态软件主要采用WINCC7.0+SETP7，操作系统主要使用Windows2000系统，定制开发系统是由Visuol basic 6.0（美国）+SQL Server 2005开发。

传感器设备使用的是国产仪器仪表，产品不易损坏，可由国内其他厂家同类型号产品替代。

各工业控制系统均单独设立操作室，与外部环境相对隔离，操作室防尘措施有铺设地胶、地板，设备安装机台、机柜，规定打扫除尘周期等，恒温措施有配备空调、风扇、暖气等设备，防火防化配有灭火器、防化服，电源配备UPS系统稳压续航，部分操作室设有防爆应急灯等。

亟待解决的问题

完善信息安全管理制度。 设立信息安全及工业控制系统统一管理的部门，配备专职信息安全工作人员及岗位。制定统一的信息安全管理策略，信息安全管理制度需进一步完善。

加强移动存储介质的管理与使用。严格对移动存储介质的管理与使用，建议对工业控制系统的数据采取单向导出（光盘刻录）的方式，避免工控机感染病毒而造成系统瘫痪。

安装系统补丁程序。安装被利用漏洞的系统补丁，安装微软提供的下列补丁文件：RPC远程执行漏洞（MS08-067）、快捷方式文件解析漏洞（MS10-046）、打印机后台程序服务漏洞（MS10-061），此外需要注意还有一个尚未修补的提升权限（EoP）漏洞，以及微软随后发现的另一个类似漏洞。

综合评价

在信息安全管理体系方面。该企业在日常信息安全及自查工作中，对重要岗位部分签订保密协议，制定相关安全管理制度，并对存储介质管理、运维操作、操作人员工作交接、外围维修、应急演练等相关记录。在管理安全工作中虽有相应制度的建立，但是制度不完善，记录不完整，管理安全程度属于中等。

物理环境安全方面。物理环境有一定措施但不完善。主要无除湿设备，缺少环境检测装置，无空气净化设备物理环境安全程度属于中等。

软硬件对国外的依赖程度方面。为保证生产，该企业未对软件系统升级更新，采取每半年停产检修期间，对系统进行停机备份，在系统崩溃的情况下2～3小时可完成镜像恢复，硬件设备生命周期为5～10年，硬件设备损坏的情况下，从机动室调取备件，最长于半天内完成替换，如备件不足时由机动室递交采购申请，并由上一级部门统一安排采购备库。硬件设备在国内无替代产品，如出现故障，备件不足导致故障设备无法替换的情况下系统将无法运行。软硬件对国外的依赖程度属于高依赖。

企业的工业控制系统是独立运行的，没有相互通讯，但是预留通讯端口，已具备DCS系统的基础框架，一旦接入以太网，缺少国外产品的升级更新服务，系统仍将会受到较大的威胁。

系统对业务的影响程度。工业控制系统独立而互不通讯，其中某套系统遭受破坏或者篡改不会影响到其他的系统，而单套系统所使用的仪表传感器具有一定的防护机制，设定有上下限值，系统对数据的设置超过安全范围将视为无效，因此不会造成设备的直接损坏，但是会造成工艺的波动。工艺环节的波动仅对产品质量有所影响，这种影响也在可控范围之内，不会对整个生产造成重大影响。

网络防护方面。系统连接互联网，联网运行覆盖整个企业，用户较多，存在可能对系统运行造成较大影响的外部威胁，系统面临的威胁程度低。系统设置防护系统和设备，但结构不完整，防护方式单一，如防护设备故障，或者在系统内进行入侵，仍存在一定的危险。系统安全防护能力为中。

( 作者单位：1，3，4.贵阳宏图科技有限公司；2.贵州大学管理学院）