信息与工控系统安全实验室规划方案目录1.术语、定义和缩略语 (1)2.信息与工控系统安全实验室概述 (1)2.1信息与工控系统安全实验室建设背景 (1)2.1.1 信息系统现状及主要威胁 (1)2.1.2 工控系统现状及主要威胁 (2)2.1.3信息与工控系统安全实验室建设目的及意义 (4)3.信息与工控系统安全实验室主要研究方向和实验内容 (5)3.1信息安全实验室主要研究方向和实验内容 (5)3.1.1 操作系统安全研究方向和实验内容 (5)3.1.2 数据库安全机制研究方向和实验内容 (6)3.1.3 身份认证研究方向和实验内容 (7)3.1.4 计算机病毒攻防研究方向和实验内容 (7)3.2网络安全主要研究方向和实验内容 (7)3.2.1 入侵检测与攻防研究方向和实验内容 (8)3.2.2 防火墙研究方向和实验内容 (8)3.2.3 漏洞扫描研究方向和实验内容 (9)3.2.4 WEB攻防研究方向和实验内容 (9)3.2.5 无线攻防研究方向和实验内容 (9)3.3工控安全研究方向和实验内容 (10)3.3.1 工控系统漏洞挖掘研究方向和实验内容 (10)3.3.2 工控系统攻防研究方向和实验内容 (11)3.3.3 安全DCS、PLC、SCADA系统研究方向和实验内容 (11)3.3.4 企业工控安全咨询评估 (12)3.3.5企业工控安全培训 (12)3.3.6 对外交流和联合研究 (12)4.信息与工控系统安全实验室组织与运行 (13)5.信息与工控系统安全实验室建设计划...................................................................... 错误!未定义书签。

1.术语、定义和缩略语工业控制系统：（industrial control system,ICS）：对工业生产过程安全、信息安全和可靠运行产生的作用和影响的人员、硬件和软件集合。

信息系统：（Information system）是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

2.信息与工控系统安全实验室概述2.1信息与工控系统安全实验室建设背景2.1.1信息系统现状及主要威胁随着信息技术的不断发展，信息日益成为一种重要的战略资源。

信息技术的应用几乎涉及到了各个领域，信息技术正逐渐改变着人们的日常生活和工作方式。

信息产业已经成为新的经济高速增长点，信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分。

可以说，信息安全事关国家安全、社会稳定，信息安全的重要性由此而知。

而近年来，随着信息技术的飞速发展，网络蠕虫、木马、分布式拒绝服务攻击以及间谍软件等技术与僵尸网络结合在一起，利用网络及信息系统的诸多漏洞，给互联网安全造成了严重的威胁。

信息安全的威胁来自方方面面，不可一一罗列。

但这些威胁根据其性质，基本上可以归结为以下几个方面：1)信息泄露：保护的信息被泄露或透露给某个非授权的实体。

2)破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。

3)拒绝服务：信息使用者对信息或其他资源的合法访问被无条件地阻止。

4)非法使用(非授权访问)：某一资源被某个非授权的人，或以非授权的方式使用。

5)窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。

例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

6)业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。

7)假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。

我们平常所说的黑客大多采用的就是假冒攻击。

8)旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。

例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。

9)授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。

10)计算机病毒：这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。

2.1.2工控系统现状及主要威胁随着计算机技术网络技术的发展，特别是互联网及社会公共网络平台的快速发展，在“两化”融合的行业发展需求下，为了提高生产高效运行、生产管理效率，国内众多行业大力推进工业控制系统自身的集成化，集中化管理。

系统的互联互通性逐步加强，与办公网、互联网也存在千丝万缕的联系。

但是工业控制系统建设时更多的是考虑各自系统的可用性，并没有考虑系统之间互联互通的安全风险和防护建设。

使得国际国内针对工业控制系统的攻击事件层出不穷，“震网”病毒事件为全球工业控制系统安全问题敲响了警钟，促使国家和社会逐渐重视工业控制系统的信息安全问题。

随着世界各国工业信息化的迅猛发展，各种工业自动化控制系统正快速地从封闭、孤立的系统走向互联（包括与传统IT系统互联），日益广泛地采用以太网、TCP/IP网络作为网络基础设施，将工业控制协议迁移到应用层；采用包括WLAN、GPRS 等在内的各种无线网络；广泛采用标准的Windows 等商用操作系统、设备、中间件与各种通用技术。

工业自动化控制系统的安全直接关系到各重点工业行业的生产安全。

如何保证开放性越来越强的生产控制网络的安全性，是目前摆在用户及行业自动化制造商面前的难题。

工业控制系统面临复杂的外部和内部威胁，主要集中在以下几个方面：1)外部攻击的发展工业控制系统采用大量的IT技术，互联性逐步加强，神秘的面纱逐步被揭开，工业控制信息安全日益进入黑客的研究范围，国内外大型的信息安全交流会议已经把工业控制信息安全作为一个重要的讨论议题。

随着黑客的攻击技术不断进步，攻击的手段日趋多样，对于他们来说，入侵到某个系统，成功破坏其完整性是很有可能的。

例如近几年的震网、火焰、Havex等病毒证明黑客开始对工控系统感兴趣。

2)内部威胁的加剧根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。

另据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客。

工业控制系统普遍缺乏网络准入和控制机制，上位机与下位机通讯缺乏身份鉴别和认证机制，只要能够从协议层面跟下位机建立连接，既可以对下位机进行修改，普遍缺乏限制系统最高权限的限制，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露。

缺乏事后追查的有效工具，也让责任划分和威胁追踪变得更加困难。

3)应用软件的威胁设备提供商提供的应用授权版本不可能十全十美，各种各样的后门、漏洞等问题都有可能出现。

出于成本的考虑，工业控制系统的组态软件一般与其工控系统是同家公司的产品，在测试节点问题容易隐藏，且组态软件的不成熟也会为系统带来威胁。

4)第三方维护人员的威胁第三方维护人员的威胁。

工业控制系统建设在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商。

如何有效地管控设备厂商和运维人员的操作行为，并进行严格的审计是系统运营面临的一个关键问题。

5)多种病毒的泛滥病毒可通过移动存储设备、外来运维的电脑，无线系统等进入系统，当病毒侵入网络后，自动收集有用信息，如关键业务指令、网络中传输的明文口令等，或是探测网内计算机的漏洞，向网内计算机传播。

由于病毒在网络中大规模的传播与复制，极大地消耗网络资源，严重时有可能造成网络拥塞、网络风暴甚至网络瘫痪，这是影响工业控制系统网络安全的主要因素之一. 2.1.3信息与工控系统安全实验室建设目的及意义面对信息安全问题的严峻形势，我国IT信息系统、工业控制系统管理工作中仍存在不少问题，主要是对IT信息系统、工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着政府和企业的生产安全。

如何使产品在整个生命周期都能满足安全完整性等级和功能安全性要求，保证信息安全，也成为了各行业业关注的重点。

实验室将针对我省信息与工业控制系统面临日益严重的信息安全攻击威胁等问题，围绕政府、电力电网、轨道交通、石油化工、水厂水利、煤炭运输等工业控制系统和其他领域的信息安全需求，建设信息与工业控制系统信息安全技术研发与工程化平台，开展包括操作系统安全、数据库安全、身份认证安全、计算机病毒安全等在内的信息安全；和防火墙、入侵检测、VPN、网络漏洞、网站安全等在内的网络安全；以及工业控制系统安全SCADA（数据采集与监视控制系统）、安全DCS（分布式控制系统）、安全PLC（可编程逻辑控制器）、安全RTU（远程终端单元）等关键技术和产品的研发及产业化。

实验室尤其针对缺少工业控制系统安全仿真验证手段、工业控制系统未建立安全防护体系、高端工业控制系统及核心部件主要由外国厂商提供的现状，着力实现工业控制系统“可发现、可防范、可替代”的目标，提升我省工控安全核心竞争力。

实验室建立该领域发展趋势和重大问题的研究机制，制定可持续发展战略，推动工控信息安全产业产、学、研、用在优势资源上的协同与集成，促进工控信息安全技术上、下游的对接与耦合。

另外，实验室将为相关单位提供一个IT信息、工控信息安全交流、促进产学研结合、加快科技创新与成果转化的高层次、高水平、高规格平台，共同开展工控信息安全关键技术研发、标准规范制定、有关课题研究，为我省工控信息安全事业的发展起到积极的推进作用，促进我省工控安全产业实现跨越式发展。

3.信息与工控系统安全实验室主要研究方向和实验内容3.1信息安全实验室主要研究方向和实验内容信息安全实验室使用对象主要为信息安全领域的安全联盟成员，要求该实验室可开展针对信息安全领域前沿技术的相关实验，使联盟成员可通过每个部分的实验深入理解信息安全前沿技术和过程，通过不同类型的实验使联盟成员理解安全机制并具备技术应用能力，并向联盟成员提供可进行深入技术研究的平台保障。

可全面开展服务器及信息系统进漏洞扫描分析，并直观显示目标所存在的安全隐患，并同时提供操作系统策略部署、数据库安全保障等实验操作。