發電企業信息安全防護能力建設CONTENTS

第一部分 基本情況 第二部分 發電企業評估 第三部分 防護能力建設 第四部分 下一步工作1基本情況1必要性云、大數據、物聯網等新技術、新應用的使用開放式信息安全形勢更加嚴峻云、大數據、物聯網等新技術、新應用的使用開放式信息安全形勢更加嚴峻自成體系且封閉獨立的系統工業4.0、工業互聯網、中國制造2025IT系統信息安全基本特征工控系統信息安全基本特征

可用性—完整性—保密性

新的信息1基本情況1必要性（工信部協〔2011〕451號）；《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23）《關于開展2015（工信部裝〔201572號）；《國務院關于深化制造業與互聯網融合發展的指導意見》（國發〔2016〕28號）；《關于加強國家網絡安全標準化工作的若干意見》(中網辦發文〔2016〕5號)；《中華人民共和國網絡安全法》（2016.11）《工業控制系統信息安全防護指南》（工信軟函[2016]338號）201652620撐。體信息安全保障水平。1基本情況1基本情況產品服務要求信息安全技術工業控制系統終端安全要求信息安全技術產品服務要求信息安全技術工業控制系統終端安全要求信息安全技術工業控制系統漏洞檢測技術要求信息安全技要術信 信息 息安 安全 全技 技術 術求統工工和安技業測全術控試制技制 制評術要系工業控制系統產品信息安全技術要求……價統要統求方網求隔 法絡 離 絡監 與 審測 信 計安 息 產全 交 品技 換 安術 系 全基本技術要求全技術基本要求工業控制系統安全控制成熟度模型工業控制系統信息安全第部分驗收規范工業控制系統信息安全第部分評估規范信息安全技術工與測評制方系信息安全技術工業控制系統信息安全分級規范信息安全技術工業控制系統安全檢查指南1安全等級……法統4信息安全防護要求安全測評工控信息安全標準體系安全要求2安全實施3信息安全技術工業控制系統安全控制應用指南工業控制系統安全要求基本管理信息安全技術工業控制系統安要求 全管理基本要求12可參考。信息安全技術可參考。信息安全技術工業控制系統風險評估實施指南……注釋待制定標準在研標準發布/報批標準1基本情況1工業控制系統信息安全標準體系序號國標編號信安標委立項號名稱當前狀態1GB/T32919-2016—《信息安全技術工業控制系統安全控制應用指南》已發布2—2012bzzd-WG5-005《信息安全技術工業控制系統安全管理基本要求》報批稿3—2012bzzd-WG5-007《信息安全技術工業控制系統測控終端安全要求》報批稿4—2012bzzd-WG5-009《信息安全技術工業控制系統安全分級指南》報批稿5—2014bzzd-WG5-002《信息安全技術工業控制系統風險評估實施指南》報批稿6—2012bzzd-WG5-006《信息安全技術工業控制系統安全檢查指南》征求意見稿7—2014bzzd-WG5-004《信息安全技術工業控制系統網絡審計產品安全技術要求》征求意見稿8—2013bzzd-WG5-008《信息安全技術工業控制系統專用防火墻技術要求》征求意見稿9—2015bzzd-WG5-007《信息安全技術工業控制系統網絡監測安全技術要求和測試評價方法》征求意見稿1020160782-T-4692015bzzd-WG5-006《信息安全技術工業控制系統漏洞檢測技術要求和測試評價方法》征求意見稿11—2015bzzd-WG5-001《信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求》征求意見稿12—2013bzxd-WG5-002《信息系統安全等級保護基本要求第5部分：工業控制系統》征求意見稿13—2015bzxd-WG5-005《信息安全技術信息系統等級保護安全設計技術要求第5部分：對工業控制系統的擴展設計要求》征求意見稿14—2013bzzd-WG5-006《信息安全技術信息系統安全等級保護測評要求第5部分工業控制安全擴展測評要求》征求意見稿15—2016BZZD-WG5-002《信息安全技術數控網絡安全技術要求》征求意見稿16—2012bzzd-WG5-008《信息安全技術工業控制系統安全防護技術要求和測試評價方法》標準草案17—2015bzzd-WG5-003《信息安全技術工業控制系統產品信息安全通用評估準則》標準草案1基本情況1基本情況評估和檢查2016年11月，中央網信辦組織實施國家網絡安全關鍵信息基礎設施檢查。2016年11月，中央網信辦組織實施國家網絡安全關鍵信息基礎設施檢查。2017年4月，工信部信軟司開展工業控制系統信息安全防護能力預評估工作。2017年7月，工信部信軟司組織工業控制系統信息安全檢查。CONTENTS

第一部分 基本情況 第二部分 發電企業評估 第三部分 防護能力建設 第四部分 下一步工作2發電企業評估2發電企業評估開展工作通過國家網絡安全關鍵信息基礎設施檢查、工業控制系統信息安全防護能力預評估、工業控制系統信息安全檢查工作，初步摸清了我國工業企業安全防護現狀，也發現了一些共性問題。工業主機安全管理和防護 工業控制網絡防護力度工業主機安全管理和防護 工業控制網絡防護力度不到位 足實不到位重要工業控制設備防護手 應用業務系統安全漏洞段不足 出息安全評估指標。評價。2發電企業評估2開展工作我院已經數次組織評估隊伍分別赴浙江某發電廠和江蘇某發電廠進行工業控制系統信息安全標準符合性評估工作。對企業工業信息安全保障體系開展標準符合性評估：對企業工業信息安全保障體系開展標準符合性評估：評估手段：標準符合性在線評估，現場證據核查、人員訪談、系統/設備安全檢測；評估內容：企業工業信息安全管理、安全技術防護、安全運維的標準符合性。評估效果：提升了企業漏洞發現、隱患防范和風險評估能力，有效抵御90%以上的攻擊。2發電企業評估2開展工作《工業控制系統信息安全分級規范》《工業控制系統信息安全管理基本要求》《工業控制系統安全控制應用指南》（《工業控制系統信息安全分級規范》《工業控制系統信息安全管理基本要求》《工業控制系統安全控制應用指南》（GB/T32919-2016）建立工業信息安全保障體系包括企業制度建立及落實、人員安全管理、資產安全管理、供應鏈安全管理等方面。安全技術：包括物理環境安全防護、網絡設備安全防護、安全設備安全防護、重要數據安全防護等方面。安全服務/運維：制度、信息安全事件應急預案、信息安全事件應急技術支撐、災難備份恢復、重大信息安全事件處置等方面。共計186項安全控制措施。2發電企業評估2開展工作在工控安全評估系統的基礎上，搭配工控系統漏洞掃描工具、PLC安全監測工具，可以更準確、快捷的了解工控系統中潛在的安全問題。評估工具在工控安全評估系統的基礎上，搭配工控系統漏洞掃描工具、PLC安全監測工具，可以更準確、快捷的了解工控系統中潛在的安全問題。工控系統漏洞掃描工具 PLC安全監測具2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題發電廠的管理信息系統（MIS）與廠級監控信息系統（SIS）之間沒有網絡安全設備或設備未配置安全策略。企業辦公網獲取到SIS鏡像服務器、SIS露。備。流量等。2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題害。補丁未及時更新。性/安裝補丁的主機。設備的USB口未封閉。USB機接在操作員站上充電。2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題2發電企業評估發現問題技術。并缺乏防護。上的風險較大。非授權人員通過B/S基于Web庫中數據。洞等安全問題。策略和管理流程欠缺。數據庫服務器備份周期過制度。施。2發電企業評估2發現問題風險等級說明旁路控制高非授權人員對發電廠發送非法控制命令，導致電力系統故障。數據泄露中非授權人員修改電力系統配置，竊取電力交易中的敏感數據。違反授權低工作人員執行非授權的操作。篡改數據中非授權人員篡改控制命令、參數設置、交易報價等敏感數據。操作失誤中工作人員無意識地泄露口令或帶入病毒木馬等。CONTENTS

第一部分 基本情況 第二部分 發電企業評估 第三部分 防護能力建設 第四部分 下一步工作3防護能力建設3防護能力建設3防護能力建設解決方案3防護能力建設解決方案建設依據發電企業信息安全防護能力建設依據：《中華人民共和國網絡安全法》《電力監控系統安全防護總體方案》國能安全〔2015〕36號文《電力監控系統安全防護規定》國家發展和改革委員會令〔2014〕14號《工業控制系統安全控制應用指南》GB/T32919-2016《工業控制系統信息安全防護指南》工信軟函〔2016〕338號接入設備需可信；傳輸消息需可信；針對網絡安全：3防護能力建設解決方案3防護能力建設解決方案3防護能力建設解決方案3防護能力建設解決方案針對網絡安全：需在管理信息系統（MIS）針對主機安全：布，及時采取補丁升級措證。針對主機安全：要的USB格限制使用。3防護能力建設解決方案3防護能力建設解決方案3防護能力建設解決方案3防護能力建設解決方案針對主機安全：強化工業控制設備、SCADA碼最小位數、字符數字組要求。針對綜合安全：設備進行查殺。針對綜合安全：系統進行安全配置基線