用户名:密码:

设为首页 | 加入收藏

您所在的位置是产经新闻>>>>产经新闻产经新闻

工业控制系统信息安全评估方案

发布时间:2019-7-16 13:59:00

 公司简介

中国电子技术标准化研究院(工业和信息化部电子工业标准化研究院,工业和信息化部电子第四研究院,简称“电子标准院”、“电子四院”),创建于1963 年,是工业和信息化部直属事业单位,通过开展标准科研、检测、计量、认证、信息服务等业务,面向社会提供标准化技术服务。电子标准院承担55 个IEC、ISO/IEC JTC1 的TC/SC 国内技术归口和17 个全国标准化技术委员会秘书处的工作,与多个国际标准化组织及国外著名机构建立了合作关系。电子标准院建有政府授权和权威机构认可的实验室、认证机构和工作站。

国家火力发电工程技术研究中心于2009年由国家科技部批准立项建设,依托华北电力大学建设运行。中心重点开展适应清洁能源发展的火电蓄能和高效变工况运行技术、大型火力发电机组的高效运行与过程节能技术、火力发电清洁运行与环保减排技术、火力发电测控与仿真技术等4个方向的工程化研究,建立面向火力发电行业产业化开发和新技术、新产品的推广辐射网络体系。

北京华电知企能源技术服务有限公司(简称华电知企)是电力能源行业工业4.0的开拓者,是中国电力产业生态圈的领军者。华电知企通过与上述两家单位的形成战略联盟,依托于科技部国家火力发电工程技术研究中心,由中国电子技术标准化研究院提供技术支持,面向市场推出工业控制系统信息安全评估产品,业务涵盖电厂、电网、电力建设、电产品生产、电力设计单位、教育及科研院、包括环保、节能、运营、信息化、大数据等类别的电力科技企业以及为电力行业做各种生产型服务的机构。开创了在电力能源领域运营主体创新、生产经营创新的新局面;开启了传统产业电商化、多元化、市场化的新篇章。

实施背景

工业控制系统(以下简称工控系统)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、交通水利等领域。其可用性和实时性要求高,系统生命周期长,是信息站的重点攻击目标。西方发达国家已将工控系统安全作为国家战略安全的重要组成部分,而我国相关研究还处于起步阶段,特别是大量使用国外产品,关键系统的安全性受制于人,重要基础设施的工控系统成为外界渗透攻击的目标。近年来工控系统安全事件频发,尤其是“震网”、“火焰”、“毒区”等APT攻击的出现,充分反映出工控系统信息安全所面临形势的严峻性。

根据《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)和《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,2018-2020 年是我国工业互联网建设起步阶段,对未来发展影响深远。以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,坚持新发展理念,按照高质量发展的要求,落实《指导意见》决策部署,到2020年底,初步建成工业互联网基础设施和产业体系。建立工业互联网安全保障体系,建立健全安全管理制度机制,全面落实企业内网络安全主体责任,制定设备、平台、数据等至少10项相关安全标准,同步推进标识解析体系安全建设,显著提升安全态势感知和综合保障能力。

评估的意义

工控系统的信息技术来源于传统信息技术,但是又不同于传统信息技术,这是因为传统信息技术是以传递信息为最终目的,而工控系统网络传递信息时以引起物质或能量的转移为最终目标。在办公应用环境中,计算机病毒和蠕虫往往会导致公司网络故障,因而办公网络的信息安全越来越受到重视,通常采用杀毒软件和防火墙等软件方案解决安全问题。在工控系统中,恶意入侵软件,将会造成生产线停顿,导致严重后果。因此,工控系统安全有更高的要求。

按照《网络安全法》第 38 条要求,重要工业企业原则上宜每年进行一次评估,以适应企业控制系统不断变化的要求。评估所形成的评估得分及报告,仅是对评估时工控系统安全防护状况的表述。建议其他工业企业每年至少进行1次自评估或委托第三方评估。

基于以上不同,工业控制系统信息安全评估也必须在保证工业控制系统征程运行的技术上进行,评估工作也需要第三方独立机构的专业的技术团队予以支持,评估提出的问题也必须是切实可行,这样的评估工作才能保证生产效率的最大化,评估收益的最大化。,我公司长期支撑工信部工控安全评估及网信办关键基础设施检查工作,积累了丰富的工业控制系统评估经验。在历次评估工作中,未发生因评估失误导致的设备宕机等安全事故,评估结果均得到被测单位的一致好评。

评估工作流程

工业控制系统信息安全防护能力评估工作程序如图所示。主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分。

评估涉及的部门

企业应成立由企业负责人牵头的,信息化、生产管理、设备管理等相关部门组成的信息安全协调小组,负责统筹协调工业控制系统信息安全相关工作。

评估周期及费用

初步评估周期在五个工作日内完成,评估机构根据评估方法的要求,在履行必要的评估程序后,对被评估对象出具的书面工作报告,根据评估发现的问题逐一进行整改,整改周期根据评估风险高低不同大约需要1-6个月时长。

整个项目的预算费用在50W-80W之间。

信息安全资质

国家信息安全风险评估资质

中国合格评定国家认可委员会实验室认可资质

网络安全审查机构

信息安全等级保护测评机构推荐证书

CNAS检验检测机构资质

一级保密资格单位

质量管理体系认证

国家信息处理产品标准符合性检测中心

国家文档软件产品质量监督检验中心

工业和信息化部重点实验室

工业控制系统安全标准与测评重点实验室

相关案例

国家电网南京嘉庆变电站              

广州白云山中一药业有限公司

上海汽车集团股份有限公司            

北京三元食品有限公司

甘肃省天水市华天科技股份有限公司    

广东东风乘用车有限公司

神华神木化学工业有限公司            

浙能集团台州第二发电厂

华能集团长兴电厂                    

华能集团玉环电厂

湖北三宁化工有限公司                

湖北新冶钢有限公司

中石油西北销售集团所属11个油库     

安徽马鞍山钢铁集团          

 

联系地址:北京市北农路2号华北电力大学主楼D8

方式:马辉 18513423669  

       张蒙 18513422878


国家能源产业公共服务平台 国家火力发电工程技术研究中心
邮编102206 北京昌平区华北电力大学行政楼4层
TEL:61772209
FAX:61772250/ E-mail:tprc@gmail.com

Copyright©2010 - 2013 All Rights Reserved 京ICP备1925870号