資訊保安風險排查報告範文
在日常生活和工作中,報告有著舉足輕重的地位,報告中提到的所有資訊應該是準確無誤的。那麼大家知道標準正式的報告格式嗎?以下是小編為大家整理的資訊保安風險排查報告範文,僅供參考,希望能夠幫助到大家。
資訊保安風險排查報告範文1
一、網路資訊保安各系統實施情況
我局嚴格執行《xx省司法行政系統資訊網路管理規定(暫行)》,制定了《xx市司法局資訊採集釋出管理系統》、《xx市司法局網路裝置維護管理規定》、《資料備份和移動儲存裝置管理系統》。並與相關部門簽訂責任書,定期檢查制度執行情況,發現問題及時整改。
二、硬體和網路裝置管理
重點檢查內外網接入情況,消除內外網裝置共享、混合連線等安全隱患,嚴格實施內外網物理隔離。嚴禁計算機使用者擅自在內外網之間切換,防毒軟體由網管定期升級維護。禁止使用無線網絡卡、藍芽等具有無線互聯功能的裝置。有專人負責機房的管理和維護,無關人員未經批准不得進入機房,機房內的網路裝置和資料不得使用。
網路和硬體裝置應24小時正常執行,工作溫度應保持在25℃以下。內網專用防火牆設定正確,相關安全策略啟用正常。IP地址分配表中的網路線路有明確的標記和記錄。所有硬碟和移動裝置應按照保密要求進行檢查。所有儲存在u盤中的.檔案必須符合保密要求。用於內外網傳輸的u盤不得儲存檔案。內外網計算機應嚴格區別使用,內部檔案不得在外網計算機上儲存或操作。
三、軟體系統的使用
嚴格執行“誰出版,誰負責”按照《xx市司法局資訊採集與釋出管理系統》,需要保證資訊在網上的審批和記錄,做到“保密不在網上,上網不保密”,認真履行網路資訊保安職責。網管人員定期備份相關程式、資料、檔案,每臺電腦都安裝了正版瑞星防毒軟體,定期更新、消毒、木馬掃描,及時發現並修復作業系統漏洞,確保電腦不受病毒、木馬入侵。
我們對網站和應用系統的程序升級、賬號、密碼、軟體補丁、病毒查殺、外部介面、網站維護等方面的突出問題逐一清理排查,能夠及時更新升級,進一步強化安全措施,堵塞漏洞,消除隱患,及時化解風險。
做好與工作無關的軟體程式的解除安裝和清理工作,如炒股、遊戲、聊天、下載、線上視訊等。,在所有電腦上,杜絕利用電腦從事與工作無關的行為。
四、存在的問題
第一,機房沒有防雷裝置,近期我們會加緊解決。
二是部分工作人員網路安全意識和技能不強。要進一步加強對全球員工的電腦保安意識教育和技能培訓,提高防範意識,充分認識計算機網路和資訊保安案件的嚴重性,真正將電腦保安防護知識融入員工專業素質的提高。
通過自查,全員網路和資訊保安保密意識進一步提高,資訊網路安全基本技能進一步提高,保證了全地區網路執行效率,加強了網路安全,規範了辦公秩序,為司法行政順利開展提供了重要的安全保障。
資訊保安風險排查報告範文2
根據《市委關於組織資訊保安專項檢查的通知》,我局對資訊保安檢查工作進行了統一部署,對我局涉密載體、重要崗位、敏感人員進行了全面梳理和認真檢查。現將檢查情況報告如下:
一、是領導高度重視,切實加強資訊保安
局領導高度重視此次檢查工作,召開專項工作會議,組織認真學習檔案精神,切實增強幹部職工保密意識,確保我局資訊保安。會上成立了以紀委書記孟為組織,辦公室主任郭敏為副組長,相關部門負責人為成員的領導小組。會上,與各部門和直屬單位主要領導簽署了《資訊保安領導責任書》,與重點部門和崗位涉密人員簽署了《涉密人員崗位保密承諾書》,防止和杜絕了洩密事件的發生。
二、認真開展自查自糾,加強重點部門和崗位的安全保障
我局成立了資訊保安檢查領導小組,對此次檢查進行了統一部署。一、本次檢查物件包括近3年在職和離職人員持有的祕密載體人員。清理重點是機密電子檔案和電腦、行動硬碟、軟盤、光碟、u盤、錄影帶等。儲存和處理機密資訊。局機要檔案是保密的關鍵部門。局機關機要室嚴格執行保密精神,負責接收和管理信件。目前,我局機要檔案館有兩名專職人員負責機要檔案的管理。存放機密檔案的場所符合保密、防火、防盜的安全要求。機密檔案和機密檔案通常存放在倉庫的檔案櫃中,密碼電報和金鑰儲存在保險箱中,並定期清洗和檢查,以防丟失。收發的保密檔案需要辦理書面登記、簽字和借閱手續。借用機密檔案和電報必須經辦公室主任批准。收集所有機密檔案和資料並歸檔。影印和影印保密檔案必須經辦公室主任批准,並辦理登記手續。機密檔案的任何副本應視為原件,使用後應及時收回。聯網的計算機未處理機密檔案(包括已登記的檔案目錄),機密檔案的銷燬已登記並經主管領導批准,在保密部門指定的銷燬單位進行,不存在向廢品收購部門出售機密檔案的.現象。第二,這種清理需要對祕密向量逐一進行計數、檢查和註冊。如果存在涉密計算機和移動儲存介質的隱藏祕密,已按照相關規定採取相應措施。第三,必須恢復的祕密向量會在這個庫存中恢復;不應該由個人保留的電子文件一律刪除。
三、存在的問題及整改措施
通過這次檢查,發現全域性系統密矢的安全管理基本良好,沒有機密檔案丟失。主要問題是:幹部職工保密意識有待進一步加強。比如我局近幾年離職、離崗、調動、退休的領導幹部和涉密人員,都沒有儲存涉密檔案,所以對他們沒有專門的清場程式,也沒有涉密檔案下發後定期核查的記錄。局領導要求全體工作人員進一步強化保密意識,建立管理制度,細化管理措施,完善各項程式,徹底杜絕機密檔案丟失,確保機密檔案安全。
資訊保安風險排查報告範文3
局資訊保安工作嚴格按照縣資訊化工作領導小組辦公室的有關要求,對涉及到的資訊保安方面進行全面自查,與上一年度相比資訊保安工作取得新的進展。近年來我局無資訊保安事故發生。
(一)20xx年資訊保安主要工作情況
1、資訊保安組織機構落實情況
為規範資訊公開工作,落實好資訊保安的相關規定,我局成立了資訊保安工作領導小組,落實了管理機構,由辦公室負責資訊保安的日常管理工作,明確了資訊保安的主管領導、分管領導和具體管理人員。
2、日常資訊保安管理落實情況
根據工作實際,我局資訊保安工作主要涉及上級下發的涉密檔案管理、政府資訊公開工作資訊管理、業務工作相關資料資訊管理、根據這些實際,我局已從落實管理機構和人員、加強教育培訓、更新裝置、健全完善相關制度等方面對資訊保安的人員、資產、執行和維護管理進行了落實。
(1)落實具體負責資訊保安工作的人員,對涉密資訊檔案、材料實行專人管理;對重要辦公區、辦公計算機等進行嚴格管理,確保資訊保安工作。
(2)結合工作實際,對涉密檔案材料管理和計算機、移動儲存裝置等的維修、報廢、銷燬管理進行了規定。對日常資訊辦公軟體、應用軟體等的安裝使用,均按照上級部門的`要求和規定,嚴格進行操作管理。
3、安全防範措施落實情況
(1)涉密計算機經過了保密技術檢查,並安裝了防火牆。同時配置安裝了專業防毒軟體,加強了在防篡改、防病毒、防攻擊、防癱瘓、防洩密等方面的有效性。
(2)計算機都設有開機密碼,由專人保管負責。同時,涉密計算機相互共享之間設有嚴格的身份認證和訪問控制。
(3)網路終端沒有違規上國際網際網路及其他的資訊網的現象,沒有安裝無線網路等。
(4)安裝了針對移動儲存裝置的專業防毒軟體。
4、應急響應機制建設情況
(1)堅持和涉密計算機系統定點維修單位聯絡機關計算機維修事宜,並商定給予應急技術以最大程度的支援。
(2)嚴格檔案的收發,完善了清點、修理、編號、簽收制度,並要求資訊管理員每天下班前進行系統備份。
(3)及時對系統和軟體進行更新,對重要檔案、資訊資源做到及時備份,資料恢復。
5、資訊科技產品和服務國產化情況
(1)終端計算機的保密系統和防火牆、防毒軟體等,皆為國產產品。
(2)工資系統、年報系統等皆為市委、市政府統一指定產品系統。
6、安全教育培訓情況
對全體計算機使用人員開展了操作培訓,並講解了網路安全的一些知識。
(二)資訊保安檢查發現的主要問題及整改情況
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,一是專業技術人員較少,資訊系統安全方面可投入的力量有限;二是規章制度體系初步建立,但還不完善,未能覆蓋相關資訊系統安全的所有方面;三是遇到計算機病毒侵襲等突發事件處理不夠及時。
針對存在的問題:一是要繼續加強對幹部的安全意識教育,提高做好安全工作的主動性和自覺性;二是要切實增強資訊保安制度的落實工作,不定期的對安全制度執行情況進行檢查,對於導致不良後果的責任人,要嚴肅追究責任,從而提高人員安全防護意識;三是要以制度為根本,在進一步完善資訊保安制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的資訊系統安全事故;四是要加大對線路、系統等的及時維護和保養,加大更新力度;五是要提高安全工作的現代化水平,便於我們進一步加強對計算機資訊系統安全的防範和保密工作。
(三)對資訊保安檢查工作的意見和建議
1、加強資訊網路安全技術人員培訓,使安全技術人員及時更新資訊網路安全管理知識,提高相關管理及法律法規等的認識,不斷地加強資訊網路安全管理和技術防範水平。
2、加大網路安全裝置的投入。企業安全檢查情況彙報材料工程施工安全檢查反思材料電信企業關於資訊保安保密管理工作彙報。
資訊保安風險排查報告範文4
為了保護我公司內部的計算機資訊系統安全,我們始終把計算機資訊系統的保密管理工作作為保密工作的重中之重,建立和完善了計算機資訊系統保密技術監督和管理機制,加強涉密計算機網路和媒體的保密管理,重視上網資訊的保密檢查工作,認真做好公司內部計算機網路管理和工程技術人員的安全保密技術培訓工作,及時發現洩密隱患,落實防範措施。同時,還購買先進的網路安全裝置,解決我公司之初保密技術滯後問題,增強我公司資訊系統安全的總防範能力,較好的實現了“人防”與“技防”並舉。
一、制度健全,措施落實
為使保密工作做到有章可循,我公司計算機資訊保安根據《中華人民共和國計算機資訊系統安全保護條例》等法規,結合工作實際,建立和健全了《保密管理制度》、《網路管理制度》等多的項防範制度,單位保密工作領導小組負責對各項規章制度的執行情況進行檢查,發現
問題及時解決,將計算機資訊系統保密工作切實做到防微杜漸,把不安全苗頭消除在萌芽狀態,確保網路安全暢通。至今沒有發生洩密事件。
二、加強學習,增強保密觀念
我公司把加快發展保密技術擺在目前保密工作的重要位置上,認真解
決資訊化大趨勢中保密技術滯後問題,增強防範能力。凡涉及國家祕密的通訊、辦公自動化和計算機資訊系統的建設,與保密設施的建設同步進行,確保涉密資訊系統物理隔離的.保密要求,從整體上提高保密技術防範能力。同時,加強對上網資訊的跟蹤監測,及時發現問題,堵塞漏洞。
資訊洩露是區域網的主要保密隱患之一,所謂資訊洩露,就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統中的資訊,特別是祕密資訊和敏感資訊,從而造成洩密事件。由於區域網在保密防護方面有三點脆弱性:一是資料的可訪問性。二是資訊的聚生性。三是設防的困難性。儘管可以層層設防,但對一個熟悉網路技術的人來說,下些功夫就可以突破這些關卡,這給保密工作帶來一定難度。我中心根據近幾年的實踐和保密技術發展的要求,對我公司計算機區域網的保密防範採取以下幾個方面的手段:
(1)充分利用網路作業系統提供的保密措施,定期進行系統升級;
嚴格控制訪問許可權,準確地劃分網路資訊的涉密等級、範圍和涉密人員;
(2)加強資料庫的資訊保密防護。採用現代密碼技術,加大保密強度。藉助現代密碼技術對資料進行加密,將重要祕密資訊由明文變為密文。
(3)採用防火牆技術,防止區域網與外部網連通後祕密資訊的外洩。區域網最安全的保密方法莫過於不與外部聯網,但除了一些重點單位和要害部門,大多數區域網都與廣域網的連線。防火牆是建立在區域網與外部網路之間的電子系統,用於實現訪問控制,即阻止外部入侵者進入區域網內部,而允許區域網內部使用者訪問外部網路。
(4)在各科室安裝國家主管部門批准的查毒防毒軟體適時查毒和防毒,不使用來歷不明、未經防毒的軟體、軟盤、光碟、u盤等載體,不訪問非法網站,自覺嚴格控制和阻斷病毒來源。
四、加強對重要裝置的監管,確保資訊不外流
對於涉及重要資訊的計算機和計算機外部裝置(包括軟盤、u盤、光碟、行動硬碟等)進行磁碟資訊加密處理,定期資訊備份,備份盤和正式盤不與普通外部儲存器混合使用,不使用時由專人管理,存放在有密碼鎖的櫃內,不得外借;對於新啟用的重要資訊外部儲存器在使用前均進行安全性檢查和防毒處理;儲有重要資訊的裝置報廢時,均需進行粉碎性處理。
資訊保安風險排查報告範文5
為認真貫徹落實財政部網路安全和資訊化領導小組辦公室《關於地方財政部門進一步強化網路安全暨開展20xx年網路安全檢查的通知》檔案精神,高度重視,安排專人對財政系統網路存在的安全隱患進行了全面檢查,現將檢查情況彙報如下:
一、20xx年度網路安全檢查工作組織開展情況
1、統一思想認識,提高政治站位。迅速召開專題會議,傳達學習財政部網路安全和資訊化領導小組辦公室《關於地方財政部門進一步強化網路安全暨開展20xx年網路安全檢查的通知》檔案精神,並對網路安全工作作出了重要指示和部署。
2、加強統一領導,落實安全責任。為進一步加強對網路安全檢查自查工作的組織領導,成立了由局黨組書記、局長吳冰同志為組長,各黨組成員為副組長的自查工作領導小組,負責網路安全檢查自查工作安排部署,嚴格對照核查內容和工作要求,認真開展了自查工作。
3、加強督查督導,確保整改到位。結合我縣財政實際情況,組織安排好本地區財政系統網路安全檢查工作,全面排查網路風險、漏洞和突出問題,及時部署整改措施,提高網路安全防護能力。
二、20xx年網路安全檢查情況彙總
一是組織領導方面。成立了由主要領導擔任第一責任人、各相關股室參與、資訊中心負責具體工作的財政系統安全保護工作領導小組,統一協調全域性開展財政專網執行安全管理工作。
二是網路安全方面。一是做好本級電腦保安檢查。從內外網是否混接、財政應用軟體是否使用ukey登入、計算機防毒、系統漏洞補丁修復、計算機實名制管理等方面對全域性所有財政專網計算機進行網路安全檢查。二是重新部署內網防毒確保安全。所有金財網pc端及伺服器均安裝了省廳統一部署的亞信防病毒軟體,所有外網安裝了360、金山毒霸等防毒軟體;pc端及伺服器均採用了登入強口令密碼、資料庫異地儲存備份、資料加密等安全防護措施。三是切實抓好金財網、外網、媒介和應用軟體的'管理,對金財網pc端、外網pc端實行分網管理,嚴格區分內網和外網,確保內外網不混用、不同用。四是加強對硬體安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連線等;加強密碼管理、ip管理、網際網路行為管理等;加強計算機應用安全管理,包括郵件系統、資源庫管理、軟體管理等。
三是落實責任方面。一是建立健全相關制度。為確保計算機網路安全、建立健全了《電腦保安保密制度》、《網路資訊保安管理制度》等一系列規章制度,確保本單位資訊系統建設和網路安全能夠正常執行。二是制定了《縣財政局網路安全應急預案》,按照要求定期開展應急演練。三是按照州財政局要求,聯合縣電信公司對全縣金財網ip地址進行了規範改造。四是結合省財政廳相關要求,正在對關鍵系統開展等保評測工作,嚴格按照網路安全行業主管部門的要求,及時查漏補缺,完成評測整改工作。確保核心業務系統安全執行,保障全縣財政業務正常開展。五是對照國家等級保護2.0標準及省財政廳制定的相關技術規範添置入侵檢測、入侵防護、安全審計、資料備份等網路安全防護裝置。強化網路安全硬體保障基礎,補齊網路安全硬體建設上的短板。
四是宣傳教育方面。一是加強網路安全學習培訓。定期不定期組織全域性人員專題培訓等方式全方位宣傳學習《網路安全法》等。二是積極主動對接當地網信辦及網安部門,參加網路安全宣傳週活動,每年定期組織預算單位財務人員集中培訓網路安全知識與日常管理技巧,提高網路安全意識,防範不規範操作,規避內外網互聯風險。
五是落實經費方面。將網路安全建設經費納入年初預算,確保經費保障充足,相繼採購防火牆、堡壘機、安全管理系統等網路安全產品,進一步提高了網路安全技術保障能力。
三、存在的問題
1、整體安全狀況的基本判斷
從檢查情況看,網路與資訊保安總體情況良好。始終把資訊保安作為資訊化工作的重點內容,網路資訊保安工作機構健全、責任明確,日常管理維護工作比較規範;管理制度完善,技術防護措施得當,資訊保安風險得到有效降低;比較重視資訊系統系統管理員和網路安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經費有一定保障,基本保證了網資訊系統持續安全穩定執行。
2、發現的主要問題和薄弱環節
雖然我縣財政系統網路安全在上級部門的指導下取得了一定的成績,但在檢查過程中也發現了一些管理方面存在的薄弱環節,如網路資訊保安知識宣傳較少、網路安全管理專業技術力量薄弱等。
四、整改措施及下一步計劃
今後我們將嚴格按照有關要求,繼續加強對網路安全的監管及網路安全裝置的維護、資訊保安意識教育和防範技能訓練,實現人防與技防相結合,認真做好財政專網與資訊保安維護工作。一是加強網路安全工作組織領導,提高責任意識。二是建立健絡安全管理制度,認真貫徹執行。三是加強人才隊伍的培養,統籌建立應急處理體系。四是加大安全技術體系建設。五是加強與上級部門、兄弟縣(市)的溝通交流,相互借鑑、相互學習,共同提高。
資訊保安風險排查報告範文6
為了規範校園內計算機資訊網路系統的安全管理工作,保證校園網資訊系統的安全和推動校園精神文明建設,我校成立了校園網路安全組織機構,建立健全了各項安全管理制度,加強了網路安全技術防範工作的力度。下面將詳細情況彙報如下:
一、成立校園網路安全組織機構
組長:
副組長:
成員:
陳先鋒
二、建立健全各項安全管理制度
我校根據《中華人民共和國計算機資訊系統安全保護條例》、《教育網站和網校暫行管理辦法》等法律法規制定出了適合我校的《校園網路安全管理辦法》,同時建立了《x中學校園網路安全應急預案》,《x中學校園網日常管理制度》,《x中學網路資訊保安維護制度》等相關制度。除了建立這些規章制度外,我們還堅持了對我校的校園網路隨時檢查監控的執行機制,有效地保證了校園網路的.安全。
三、嚴格執行備案制度
學校機房堅持了服務於教育教學的原則,嚴格管理,完全用於教師和學生學習計算機網路技術和查閱與學習有關的資料,沒有出現出租轉讓等情況。
四、加強網路安全技術防範措施,實行科學管理
我校的技術防範措施主要從以下幾個方面來做的:
1、安裝了防火牆,防止病毒、不良資訊入侵校園網路、Web伺服器。
2、安裝防毒軟體,實施監控網路病毒,發現問題立即解決。
3、及時修補各種軟體的補丁。
4、對學校重要檔案、資訊資源、網站資料庫做到及時備份,建立系統恢復檔案。
五、加強校園計算機網路安全教育和網管人員隊伍建設
目前,我校每位領導和部分教師都能接入因特網,在查閱資料和進行教學和科研的過程中,我校學校領導重視網路安全教育,使教師們充分認識到網路資訊保安對於保證國家和社會生活的重要意義,並要求資訊科技教師在備課、上課的過程中,有義務向學生滲透計算機網路安全方面的常識,並對全校學生進行計算機網路安全方面的培訓,做到校園計算機網路安全工作萬無一失。
六、我校定期進行網路安全的全面檢查
我校網路安全領導小組每學期初將對學校微機房、領導和教師辦公用機及學校電教室的環境安全、裝置安全、資訊保安、管理制度落實情況等內容進行一次全面的檢查,對存在的問題要及時進行糾正,消除安全隱患。
七、存在問題
我校計算機師資配備較弱,計算機操作技術水平相對較低,還缺乏專業計算機教師;計算機硬體配置陳舊,執行速度慢;在這些方面還有待於今後改善。
資訊保安風險排查報告範文7
一、工業控制系統安全分析
工業控制系統(IndustrialControlSystems,ICS),是由各種自動化控制組件和實時資料採集、監測的過程控制組件共同構成。其元件包括資料採集與監控系統(SCADA)、分散式控制系統(DCS)、可程式設計邏輯控制器(PLC)、遠端終端(RTU)、智慧電子裝置(IED),以及確保各元件通訊的介面技術。
典型的ICS控制過程通常由控制迴路、HMI、遠端診斷與維護工具三部分元件共同完成,控制迴路用以控制邏輯運算,HMI執行資訊互動,遠端診斷與維護工具確保ICS能夠穩定持續執行。
1.1工業控制系統潛在的風險
1.作業系統的安全漏洞問題
由於考慮到工控軟體與作業系統補丁相容性的問題,系統開車後一般不會對Windows平臺打補丁,導致系統帶著風險執行。
2.防毒軟體安裝及升級更新問題
用於生產控制系統的Windows作業系統基於工控軟體與防毒軟體的相容性的考慮,通常不安裝防毒軟體,給病毒與惡意程式碼傳染與擴散留下了空間。
3.使用U盤、光碟導致的病毒傳播問題。
由於在工控系統中的管理終端一般沒有技術措施對U盤和光碟使用進行有效的管理,導致外設的無序使用而引發的安全事件時有發生。
4.裝置維修時膝上型電腦的隨便接入問題
工業控制系統的管理維護,沒有到達一定安全基線的膝上型電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。
5.存在工業控制系統被有意或無意控制的風險問題
如果對工業控制系統的操作行為沒有監控和響應措施,工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險。
6.工業控制系統控制終端、伺服器、網路裝置故障沒有及時發現而響應延遲的問題
對工業控制系統中IT基礎設施的執行狀態進行監控,是工業工控系統穩定執行的基礎。
1.2“兩化融合”給工控系統帶來的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為了實現實時的資料採集與生產控制,滿足“兩化融合”的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通訊,而企業管理系統一般直接連線Internet,在這種情況下,工業控制系統接入的範圍不僅擴充套件到了企業網,而且面臨著來自Internet的威脅。
同時,企業為了實現管理與控制的一體化,提高企業資訊化合綜合自動化水平,實現生產和管理的高效率、高效益,引入了生產執行系統MES,對工業控制系統和管理資訊系統進行了整合,管理資訊網路與生產控制網路之間實現了資料交換。導致生產控制系統不再是一個獨立執行的系統,而要與管理系統甚至網際網路進行互通、互聯。
1.3工控系統採用通用軟硬體帶來的風險
工業控制系統向工業乙太網結構發展,開放性越來越強。基於TCP/IP乙太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中,由於工業系統整合和使用的便利性,大量使用了工業以太環網和OPC通訊協議進行了工業控制系統的整合;同時,也大量的使用了PC伺服器和終端產品,作業系統和資料庫也大量的使用了通用的系統,很容易遭到來自企業管理網或網際網路的病毒、木馬、黑客的攻擊。
2、MES層與工業控制層之間的安全防護
通過在MES層和生產控制層部署工業防火牆,可以阻止來自企業資訊層的病毒傳播;阻擋來自企業資訊層的非法入侵;管控OPC客戶端與伺服器的通訊,實現以下目標:
區域隔離及通訊管控:通過工業防火牆過濾MES層與生產控制層兩個區域網路間的通訊,那麼網路故障會被控制在最初發生的區域內,而不會影響到其它部分。
實時報警:任何非法的訪問,通過管理平臺產生實時報警資訊,從而使故障問題會在原始發生區域被迅速的發現和解決。
MES層與工業控制層之間的安全防護如下圖所示:
2.1.3工控系統安全防護分域
安全域是指同一系統內有相同的安全保護需求,相互信任,並具有相同的安全訪問控制和邊界控制策略的子網或網路,且相同的網路安全域共享一樣的安全策略。
在管理層、製造執行層、工業控制層中,進行管理系統安全子域的劃分,製造執行安全子域的劃分、工業控制安全子域的劃分。安全域的合理劃分,使用每一個安全域都要明確的邊界,便於對安全域進行安全防護。對MES、ICS的安全域劃分如下圖所示:
如上圖所示,為了保證各個生產線的安全,對各個生產線進行了安全域劃分,同時在安全域之間進行了安全隔離防護。
2.1.4工控系統安全防護分等級
根據安全域在資訊系統中的重要程度以及考慮風險威脅、安全需求、安全成本等因素,將其劃為不同的安全保護等級並採取相應的安全保護技術、管理措施,以保障資訊的安全。
安全域的'等級劃分要做到每個安全域的資訊資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等。安全域所涉及應用和資產的價值越高,面臨的威脅越大,那麼它的安全保護等級也就越高。
二、工業控制系統安全防護設計
通過以上對工業控制系統安全狀況分析,我們可以看到,工控系統採用通用平臺,加大了工控系統面臨的安全風險,而“兩化融合”和工控系統自身的缺陷造成的安全風險,主要從兩個方面進行安全防護。
通過“三層架構,二層防護”的體系架構,對工業企業資訊系統進行分層、分域、分等級,從而對工控系統的操作行為進行嚴格的、排他性控制,確保對工控系統操作的唯一性。
通過工控系統安全管理平臺,確保HMI、管理機、控制服務工控通訊設施安全可信。
2.1構建“三層架構,二層防護”的安全體系
工業控制系統需要進行橫向分層、縱向分域、區域分等級進行安全防護,否則管理資訊系統、生產執行系統、工業控制系統處於同一網路平面,層次不清,你中有我、我中有你。來自於管理資訊系統的入侵或病毒行為很容易對工控系統造成損害,網路風暴和拒絕式服務攻擊很容易消耗系統的資源,使得正常的服務功能無法進行。
2.1.1工控系統的三層架構
一般工業企業的資訊系統,可以劃分為管理層、製造執行層、工業控制層。在管理信層與製造執行系統層之間,主要進行身份鑑別、訪問控制、檢測審計、鏈路冗餘、內容檢測等安全防護;在製造執行系統層和工業控制系統層之間,主要避免管理層直接對工業控制層的訪問,保證製造執行層對工業控制層的操作唯一性。工控系統三層架構如下圖所示:
通過上圖可以看到,我們把工業企業資訊系統劃分為三個層次,分別是計劃管理層、製造執行層、工業控制層。
管理系統是指以ERP為代表的管理資訊系統(MIS),其中包含了許多子系統,如:生產管理、物質管理、財務管理、質量管理、車間管理、能源管理、銷售管理、人事管理、裝置管理、技術管理、綜合管理等等,管理資訊系統融資訊服務、決策支援於一體。
製造執行系統(MES)處於工業控制系統與管理系統之間,主要負責生產管理和排程執行。通過MES,管理者可以及時掌握和了解生產工藝各流程的執行狀況和工藝引數的變化,實現對工藝的過程監視與控制。
工業控制系統是由各種自動化控制組件和實時資料採集、監測的過程控制組件共同構成。主要完成加工作業、檢測和操控作業、作業管理等功能。
2.1.2工控系統的二層防護
1、管理層與MES層之間的安全防護
管理層與MES層之間的安全防護主要是為了避免管理資訊系統域和MES(製造執行)域之間資料交換面臨的各種威脅,具體表現為:避免非授權訪問和濫用(如業務操作人員越權操作其他業務系統);對操作失誤、篡改資料,抵賴行為的可控制、可追溯;避免終端違規操作;及時發現非法入侵行為;過濾惡意程式碼(病毒蠕蟲)。
也就是說,管理層與MES層之間的安全防護,保證只有可信、合規的終端和伺服器才可以在兩個區域之間進行安全的資料交換,同時,資料交換整個過程接受監控、審計。管理層與MES層之間的安全防護如下圖所示:
2.2構建工業控制系統安全管理平臺
工業控制系統和傳統資訊系統具有大多數相同的安全問題,但同時也存在獨特的安全需求。工業控制系統最大的安全需求是唯一性和排它性,在某一特定的工業控制系統中,工業控制系統只需用唯一的工業應用程式和工業通訊協議執行,其他一概不需要。
啟明星辰工業系統安全管理平臺為工業控制系統建立了一個相對可信的計算環境,對工控系統管理終端和網路通訊具有非常強的安全控制功能。工業控制系統安全管理平臺有兩部分組成,一部分是工業控制系統安全管理平臺,具有終端管理、網路管理、行為監控功能,另一部分是終端安全管理客戶端。
2.2.1管理平臺部分
工業控制系統的安全執行,主要需要保障工業控制系統相關資訊系統基礎設施的安全,包括工業乙太網網路、操作終端、關係資料庫伺服器、實時資料庫伺服器、操作和應用系統等各類IT資源的安全,從工業控制系統安全的角度對工控系統的各類IT資源進行監控(包括裝置監控、執行監控與安全監控),實現對安全事件的預警與響應,保障工業控制系統的安全穩定執行。
具體而言,工業控制系統安全管理平臺功能如下:
1.能夠對應用伺服器、關係資料庫伺服器、實時資料庫伺服器、工業乙太網裝置執行狀態進行監控,例如CPU、記憶體、埠流量等等。
2.能夠對操作終端外設、程序、桌面進行合規性線上和離線管理。
3.能夠對各層邊界資料交換情況進行監控。
4.能夠對工業控制系統中的網路操作行為進行審計。
5.能夠對工業控制系統日誌進行關聯分析和審計。
6.能夠對工業控制系統中的異常事件進行預警響應。
7.能夠對工業企業資訊系統進行虛擬安全域的劃分。
2.2.2工業控制系統終端安全管理部分
由於工業控制系統管理終端的安全防護技術措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點,在終端上發生、發起,並通過網路感染或破壞其他系統。
工業控制系統終端最大特點是應用相對固定,終端主要安裝工業控制系統程式,所以,要防範傳統方式的病毒或木馬等惡意軟體,最直接的方式就是利用工業控制系統對終端應用程式的程序進行管理。
具體而言,工業控制系統安全管理平臺終端安全管理部分功能如下:
1.工業控制系統安全管理平臺客戶端軟體輕巧精煉,佔用資源極少,能夠最大程度保證工業控制系統管理終端的穩定性。
2.工業控制系統安全管理平臺客戶端具有終端准入控制功能,可以防止沒有達到安全基線的筆記本對終端進行管理。
3.工業控制系統安全管理平臺客戶端具有終端安全優化與加固功能,能夠對工業控制系統終端進行安全優化和加固,使終端安全水平達到一定的安全基線。
4.工業控制系統安全管理平臺客戶端具有外設管理功能,對工業控制系統的外設進行管理,比如USB介面、光碟機、網絡卡、串列埠等。
5.工業控制系統安全管理平臺客戶端具有工業控制系統應用程式監控功能,對終端中的工業控制系統軟體進行監控和管理。
6.工業控制系統安全管理平臺客戶端具有工業通訊協議監控功能。工業控制系統終端通訊協議相對固定,客戶端能夠對終端通訊協議具有唯一性管理功能。
7.工業控制系統安全管理平臺客戶端具有離線管理功能,工業控制系統終端有一部分無法進行線上管理,客戶端具有比較強大的離線自管理功能,可以完成對離線終端的管理。
8.工業控制系統安全管理平臺客戶端具有強身份認證功能,客戶端具有使用工業控制系統線上終端和離線終端都具有強身份認證功能,從而防止工業控制系統被有意或無意被控制的風險。
三、總結
國內外發生了多起由於工控系統安全問題而造成的生產安全事故。最鮮活的例子就是20xx年10月發生在伊朗布什爾核電站的“震網”(Stuxnet)病毒,為整改工業生產控制系統安全敲響了警鐘。
為此,工信部在20xx年10月下發了“關於加強工業控制系統資訊保安管理的通知”,要求各級政府和國有大型企業切實加強工業控制系統安全管理。工信部趙澤良司長也強調,工業控制系統安全工作也到了非加強不可的時候,否則將影響到我國重要的生產設施的安全。
本文根據工業控制系統安全防護的特點,提出了對工業控制系統進行分層、分域、分等級,構建“三層架構,二層防護”的工業控制系統安全體系架構思想;通過分析工業控制系統面臨的風險,對作為工業控制系統安全防護的核心產品——工業控制系統安全管理平臺功能進行了說明。工控系統安全管理平臺,不僅是實現工業控制系統終端安全的產品,也是監控工業控制系統IT基礎實施和操作行為的平臺。
