工业控制系统网络安全等级保护探索

SYS SECURITY 系统安全一、前言工业互联网融合了工业控制系统、物联网、云计算、大数据、移动互联网等技术。

2012年美国通用电气公司(GE)发布《工业互联网：打破智慧与机器的边界》白皮书，随后推出Predix，在全球掀起了工业互联网的热潮[1]。

西门子、ROBERTBOSCH、霍尼韦尔、ABB、施耐德、艾默生电气等跨国企业也相继推出了自身的工业互联网解决方案，我国工业和信息化部也在2017年发布了《工业互联网平台白皮书（2017版）》。

工业互联网的应用是未来工业企业发展的趋势，也是我国民族工业走向智能化、集约化、网络化的重要途径，是实现“中国制造2025”的重要目标。

近年来，随着我国基础设施网络化、信息化进程脚步不断加快，工业互联网的应用不断崭露头角，网络安全问题也日益增多，网络攻击行为从最开始的IT层渗透到OT层，工业企业在推进工业互联网的过程中面临的网络安全问题也逐渐暴露，无论是上层的传统计算机系统，还是底层的工业控制系统，一旦遭到攻击，将会给企业和国家带来难以估量的损失，网络空间安全已上升为国家战略。

工业互联网既涵盖了传统互联网产业，也将新一代信息技术，如物联网、云计算、大数据、移动互联网等技术与工业控制技术进行了多维度的整合，为实现工业智能化发展提供了关键综合信息系统基础设施；构建工业互联网环境,需要实现对一线生产机器、控制系统、产品生产信息管理系统、产品需求信息管理系统、销售信息管理系统、经营信息管理系统和生产运维人员、客户等客体的互联互通，通过对工业生产和供求实时数据进行全面深度感知、实时传输交换、分布式计算处理和深度建模分析，实现智能调度、能源管控优化、高效弹性化运营和绿色生产模式变革。

2017年11月，国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，该意见作为推进工业互联网的纲领性文件和指导规范，提出要加快发展工业互联网，构建网络、平台、安全三大功能体系，强化工业互联网安全保障，推进制造强国和网络强国建设[2]；在三大体系中，网络体系是基础，平台体系是核心，安全体系是保障。

基于SDN和集成学习的工业控制网络安全防护系统
杨凡;丁之;王扬;卿凌云
【期刊名称】《现代电子技术》
【年(卷),期】2024(47)6
【摘要】针对工业控制网络通信信息安全与稳定问题,设计一种基于SDN和集成
学习的工业控制网络安全防护系统。

该系统采用SDN技术,分为物理层、现场层、转发层、控制层和应用层等5个层次。

物理层包含现场终端设备;现场层通过控制
模块与操作员站实现对现场终端的控制;转发层使用SDN交换机进行通信数据传输,并将数据镜像传输至应用层进行安全分析;控制层中的SDN控制器管理和控制SDN交换机,并执行应用层下发的安全防护策略;应用层利用集成学习算法对工业控制网络进行入侵行为检测,通过安全响应模块分析入侵信息并选择相应的防御机制。

实验结果表明,所设计系统满足工业控制网络通信的实时性要求,能准确地实施入侵
检测,从而保障工业控制网络的安全性和正常通信。

【总页数】5页(P22-26)
【作者】杨凡;丁之;王扬;卿凌云
【作者单位】中国科学院大学成都计算所;四川中烟工业有限责任公司信息中心【正文语种】中文
【中图分类】TN915.1-34;TP393
【相关文献】
1.基于在线集成学习技术的工业控制网络入侵防范技术探讨
2.工业控制网络安全系列之一工业控制系统网络安全防护的九大误区
3.基于等级保护2.0工业控制系统网络安全防护体系研究
4.DDoS攻击下基于SDN的工业控制系统边云协同信息安全防护方法
因版权原因，仅展示原文概要，查看原文内容请购买。

解读《工业控制系统信息安全防护指南》工业控制系统信息安全防护指南》是为了贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》而制定的。

该指南是根据政策层面的指导思想和要求编制的，旨在保障工业企业工业控制系统信息安全。

政策中明确要求提高工业信息系统安全水平，___根据要求编制了《___关于印发信息化和工业化融合发展规划（2016-2020年）》，其中提到工业信息安全形势日益严峻，对两化融合发展提出新要求。

工业控制系统信息安全防护指南》提出了十一条三十款要求，贴近实际工业企业真实情况，务实可落地。

指南的整体思路借鉴了等级保护的思想。

这些要求可以分为三大类，即针对主体目标（法人或人）的要求、针对工业控制系统的要求和针对安全管理的要求。

针对主体目标的要求包括第十条供应链管理和第十一条人员责任。

在选择工业控制系统规划、设计、建设、运维或评估等服务商时，应优先考虑具备工控安全防护经验的企事业单位，并以合同等方式明确服务商应承担的信息安全责任和义务。

同时，要求与工业控制系统安全服务方签定保密协议，要求服务商及其服务人员严格做好保密工作，尤其对工业控制系统内部的敏感信息进行重点保护，防范敏感信息外泄。

除此之外，《工业控制系统信息安全防护指南》还提出了其他要求，如加强网络安全防护、加强物理安全防护、加强安全事件应急处置等。

这些要求的提出有助于逐步完善工业信息安全保障体系，进一步提高工业信息系统的安全水平。

为了加强工控安全，需要建立工控安全管理机制并成立信息安全协调小组，明确工控安全管理责任人，部署工控安全防护措施。

这个职能部门应负责工业控制系统全生命周期的安全防护体系建设和管理，制定安全管理方针，持续实施和改进工业控制系统的安全防护能力，不断提升工业控制系统防攻击和抗干扰的水平。

针对资产和数据的安全要求，需要建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置原则。

所有资产应指定责任人，并且明确责任人的职责，明确资产使用权。

了解网络安全等级保护发展历程解读网络安全等级保护2.0背景及变化一、首先跟大家讲讲什么是网络安全等级保护？网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

二、了解网络安全等级保护发展历程●1994-2007 网络安全等级保护起步与探索1994年2月18日《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年9月15日《关于信息安全等级保护工作的实施意见》2007年6月22日《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）●2007-2016 网络安全等级保护标准化与发展GB/T 22239—2008 基本要求；22240、25070、28448、28449等保国标系列标准。

●2016-2019 网络安全等级保护行业深耕落地2017年6月1日《中华人民共和国网络安全法》2018年6月27日《网络安全等级保护管理条例（征求意见稿）》●2019——进入网络安全等级保护2.0时代2019年5月13日《信息安全技术网络安全等级保护基本要求》2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》（公安部1960号）2020年11月1日《信息安全技术网络安全等级保护定级指南GB/T22240-2020》正式实施三、了解网络安全等级保护2.0的背景自1994年第“147号令”，我国开始实施信息系统等级保护。

十几年来，在金融、能源、电信、医疗卫生等多个行业都已深耕落地，但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展，等级保护1.0已无法有效的应对新技术带来的信息安全风险，为了满足新的技术挑战，有效防范和管理各种信息技术风险，提升国家层面的安全水平，等级保护2.0应时而生。

工业控制系统信息安全等级保护基本要求概述首先，工业控制系统信息安全等级保护需要建立完善的安全管理体系。

企业应建立专门的信息安全管理机构和岗位，明确相关人员的责任和权限，并建立健全的信息安全管理制度和程序，确保信息资产的安全运行和使用。

其次，工业控制系统信息安全等级保护需要进行风险评估和安全保护措施的规划。

企业应对工业控制系统中的信息资产进行全面的风险评估，找出潜在的信息安全风险和威胁，然后制定相应的安全保护措施和计划，包括安全策略、安全技术、安全控制和安全服务等。

再次，工业控制系统信息安全等级保护需要加强系统安全防护。

企业应采取合适的技术手段和安全措施，对工业控制系统中的信息进行加密保护，建立访问控制和认证措施，设置安全检测和防护设备，防止病毒、木马和网络攻击等安全威胁。

最后，工业控制系统信息安全等级保护需要加强安全监控和应急响应。

企业应建立健全的安全监控机制，实施安全事件的实时监测和告警，加强安全事件的分析和处置，及时掌握和处理安全风险和威胁，保障工业控制系统信息的安全可靠运行和应急响应能力。

工业控制系统信息安全等级保护是一个综合性的工作，需要全面考虑技术、管理和人员等多方面因素。

保护工业控制系统信息安全等级不仅仅是企业内部的事务，也受到政府监管和国际标准的影响。

因此，企业需要深入了解信息安全管理的最新动向和政策法规，严格遵守相关规定和标准，确保工业控制系统的信息安全等级达到国家和国际的要求。

在保护工业控制系统信息安全等级的过程中，企业需要考虑以下几个方面：1. 加强人员安全意识和培训。

作为信息安全的第一道防线，人员的安全意识和行为对工业控制系统的信息安全等级至关重要。

企业应该加强员工的信息安全教育和培训，让员工充分了解信息安全政策、风险和威胁，掌握安全使用信息系统的方法和技巧，形成良好的安全意识和行为习惯。

2. 加强物理安全措施。

工业控制系统信息安全等级保护不仅仅是网络和软件层面的安全，还需要考虑到物理设施的安全。

工业控制系统等级保护主要标准
工业控制系统等级保护主要标准包括以下几个方面：
1.ISA/IEC62443：ISA/IEC62443是一系列工业控制系统安全标准，包括关键基础设施保护、网络和系统安全等。

2. NIST Cybersecurity Framework：NIST Cybersecurity Framework是美国国家标准与技术研究院发布的一个标准框架，用于指导组织的信息安全战略与规划。

3.ISO/IEC27001/27002：ISO/IEC27001/27002是信息安全管理系统的国际标准，其中ISO/IEC27001主要定义了信息安全管理体系的要求和规范，ISO/IEC27002则提供了信息安全管理实践指南和控制目录。

4.DHSCSET：DHSCSET是美国国土安全部开发的一个安全评估工具，用于帮助组织评估工业控制系统的安全性，发现潜在的安全漏洞和风险。

5.IEC62433：IEC62433是国际电工委员会发布的工业控制系统安全标准，覆盖了工业控制系统的安全评估、风险评估、安全管理等方面。

《工业控制系统网络安全等级保护的建设》摘要：【文献标志码，【文章编号，制定统一的工控系统安全管理规范，如保证工控系统设备的运行能满足最大生产需求，优化系统拓扑结构，杜绝系统单点漏洞;调整安全网关策略，防范包括（分布式拒绝服务）在内的各种安全风险;在系统中部署入侵防御系统（IDS）、入侵检测系统（IPS）、安全管理软件等，监测来自系统内外部的入侵;部署工控系统审计系统，对系统的操作、修改、设置等实行审计并记录[2];验证所有连接系统的用户身份，杜绝无相应权限的用户进行管理配置的操作;安装系统数据检查设施，依托数据采集技术，制定管理基线，依据系统实际情况管理和放行数据;增加多种登录方式，如声纹识别、面部识别等生物信息技术，实行双因子登录;防止远程管理系统主机和防火墙，若有实际需求，应当使用密文，防止用户身份信息在传输中被盗取;能防范无认证设施接入系统，防止信息资产流失许新锋Construction of the Network Security Level Protection of Industrial Control SystemXU Xin-feng（Zhengzhou University of Light Industry， Zhengzhou 450000， China）【摘要】现代卷烟工业企业的两化融合程度越来越高，网络的触角已经延伸到各个业务角落，工控网络安全风险也越来越突出。

因而，如何建立一个高质量、稳固牢靠的工控系统网络成为现代卷烟工业企业工控系统建设的一个重要组成部分。

论文剖析了现代卷烟工业企业工控系统安全等保2.0的情况，综合工控系统实际需求，提出等保工作部署的基本策略。

【Abstract】 The integration degree of modernization and industrialization of modern cigarette industrial enterprises is getting higher and higher， the network"s tentacles have been extended to various business corners， and industrial control network security risks have become increasingly prominent. Therefore， how to build a high-quality， stable and reliable industrial control system network has become an important part of the industrial control system construction of modern cigarette industry enterprises. This paper analyzes the safety and security guarantee 2.0 of the industrial control system of modern cigarette industrial enterprises， and combined with the actual needs of the industrial control system， it proposes the basic strategy of the level protection work deployment.【关键词】工业控制系统;安全防护体系建设;部署建议;边界控制【Keywords】 industrial control system; security protection system construction; deployment proposal; boundary control【中圖分类号】TB4 【文献标志码】A 【文章编号】1673-1069（2020）03-0112-021 引言保证各卷烟工业企业生产运行控制系统网络安全的一个有效方法就是工控系统网络安全等级保护制度，实行工控系统网络安全分级防护，能极大地降低当前卷烟工业企业遇到的工控系统网络安全风险，依据“核心优先”的思路，把相关资源优先投入到工控系统的安全防护之中，可以有效促进卷烟工业企业尽快打牢工控系统安全等保的根基。

关于LNG接收站的工控网络安全防护方案探索摘要：随着人工智能、大数据、云计算等多种互联网信息技术广泛应用到工业领域，很多工控网络安全问题日渐暴露出来，工控网络安全检测及防护体系也越来越受到社会的关注【1】。

近年来，随着“2010年伊朗核设施震网病毒”等事件的发生，为石油化工行业控制系统网络安全敲响了警钟，石化企业的工控网络安全形势日益严峻【2】。

本文针对目前接收站工控网络特点，对接收站的工控安全建设面临的风险进行分析，并提出对应的工控网络安全防护方案。

关键词：工业控制系统；接收站；网络安全；一、接收站工控网络安全风险分析伴随工业化信息化融合，工业控制系统已经成为接收站必不可少的关键生产系统。

以国内某接收站为例，根据现场实际防护建设情况进行网络安全风险分析，具体分析以下五个方面：（一）安全物理环境分析物理层主要考虑如下方面的内容：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（二）安全通信网络分析目前生产控制系统按照业务功能划分不同的层级和安全区域，隔离措施包括工控网与生产网之间部署防火墙进行隔离，生产网与办公网之间通过防火墙进行隔离。

工控网、生产网和办公网之间通过部署防火墙进行隔离，需要进行替换，加强隔离措施，同时针对生产网与其他系统的边界、DCS系统网络与工厂以太网之间同样需要采取一定的隔离措施，保证重要系统的安全。

（三）安全区域边界分析根据现场实际情况，工业控制系统不同层级及业务系统之间存在多个边界，这些边界都缺少必要的入侵防范措施，无法对从生产网内部或外部发起的已知/未知攻击进行实时检测，也无法对入侵行为进行响应。

在整体网络架构中缺少审计手段，不能对网络中的用户行为和安全事件进行审计，无法及时发现网络中的异常行为。

（四）安全计算环境分析目前某接收站针对安全计算环境的安全加固措施不足，具体风险如下：1、非法程序执行风险生产环境中的工作站缺少有效的安全防护措施，即使部分工作站安装有杀毒软件，其病毒库也严重过期，不能检测出主机上的恶意代码，无法提供完整的安全防护。

等保2.0下工业控制系统安全防护★安成飞 杭州安恒信息技术股份有限公司1　引言在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高生产高效运行、生产管理效率，国内众多行业大力推进工业控制系统自身的集成化，集中化管理。

系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。

德国的工业4.0标准、美国的“工业互联网”以及“先进制造业国家战略计划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国“互联网+” “中国制造2025”等相继出台，对工业控制系统的通用性与开放性提出了更高的要求。

未来工业控制系统将会有一个长足发展，工业趋向于自动化、智能化，系统之间的互联互通也更加紧密，面临的安全威胁也摘要：本文通过介绍《GBT22239-2019信息安全技术网络安全等级保护基本要求》（简称等保2.0）中工业控制系统安全的要求，提出了基于等保2.0要求的工业控制系统安全防护方案。

关键词：工业控制系统；工业控制系统安全；等级保护Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.Key words: Industrial control system; Security of industrial control system; Classified protection of cybersecuritySecurity Protection of Industrial Control System under Classified Protection of Cybersecurity 2.0会越来越多。

科技创新13基于等保2.0的火电厂DCS 网络防护方案探讨黄启东（浙江浙能嘉华发电有限公司，浙江 嘉兴 314201）摘要：DCS 控制系统即分散控制系统，其融合了控制技术、计算机技术、通讯技术、CRT 技术，是一种控制功能分散、操作显示集中、结构分级的工业控制系统，在电力、石化、冶金等行业的过程控制中得到了广泛的应用。

随着2019年《信息安全技术网络安全等级保护基本要求》（简称等保2.0）的颁布，工业控制系统和云计算、移动互联、物联网一起被列为特定的等级保护对象。

针对DCS 控制系统在火电厂的应用情况，并结合等保2.0的相关要求，从技术、管理等方面提出了大型火电厂DCS 网络安全防护方案。

关键词：DCS；等保2.0随着计算机和通讯技术的发展，DCS 控制系统也得到了快速的发展，在工业制造和市政等不同领域得到了广泛应用。

DCS 系统往往采用TCP/IP 协议、OPC 协议等通用协议和一些通用网络设备，一方面给系统带来了开放性、便利性，另一方面也给系统带来了网络安全方面的诸多威胁。

2010年，“震网病毒”感染了全球4.5万多个网络，甚至通过移动介质携带进入了“孤岛”运行的伊朗核设施控制系统，摧毁了多台离心机，给工控网络安全敲响了警钟。

2015年的乌克兰电网受到攻击事件则再一次展示了工控系统一旦被攻击破坏后带来的巨大损失和影响。

在此背景下，等保2.0的颁布给工控安全提出了明确的要求和建议，为工控网络安全防护工作的开展指引了方向。

根据相关规定，大型火力发电厂的DCS 系统必须满足等保2.0第三级要求。

本文介绍了大型火力电厂的DCS 运行现状，分析了网络安全方面存在的隐患，并提出了DCS 网络安全防护方案。

1 火电厂典型DCS 网络结构和风险 1.1 DCS 系统结构 目前火电厂使用的DCS 系统一般采用以太网结构，系统结构如图1所示。

图1是以2台单元发电机组为例的DCS 网络结构图，1号、2号发电机组的控制系统组成一个网络,2台机组公用设备也组成一套独立的控制系统网络,这3个网络同时连接到一个核心交换机上，可通过数据的交互访问实现在单元机组CRT 上操作公用系统被控设备。

解读等保2.0：工控系统安全如何应对新要求【前言】随着我国“互联网+”战略的逐步落地，产业互联网将成为未来国家最重要的基础设施之一。

云计算、大数据、人工智能、物联网等新技术在关键信息基础设施中广泛应用，网络安全形势与需求发生快速变化，使得等保1.0，即2008年发布的《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》及其配套政策文件和标准，已经不再符合新技术、新业务场景下的网络安全保护要求。

等保2.0扩展了网络安全保护的范围，提高了对关键信息基础设施进行等级保护的要求，并且针对不同保护对象的安全目标、技术特点、应用场景的差异，采用了安全通用要求与安全扩展要求结合的方式，以更好地满足安全保护共性化与个性化要求，提升了等级保护的普适性与可操作性，为《网络安全法》的实施执行提供了有力的技术保障。

一、等保2.0对工业控制系统的安全扩展要求除了安全通用要求，等保2.0对工业控制系统提出了安全扩展要求，以适用工业控制的特有技术和应用场景特点，如下图。

其中，安全扩展的特殊要求包括：1、物理和环境安全：增加了对室外控制设备的安全防护要求，如放置控制设备的箱体或装置以及控制设备周围的环境；2、网络和通信安全：增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求，增加了拨号使用控制和无线使用控制的要求；3、设备和计算安全：增加了对控制设备的安全要求，控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备，如PLC、DCS控制器等；4、安全建设管理：增加了产品采购和使用和软件外包方面的要求，主要针对工控设备和工控专用信息安全产品的要求，以及工业控制系统软件外包时有关保密和专业性的要求；5、安全运维管理：调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求，更加适配工业场景应用和工业控制系统。

二、工业控制系统安全的重点要求解读。

Research & Analysis工业控制系统信息安全防护分析Research and Analysis on Security Protection Industrial Control System Network★孙天宁，邹春明，严益鑫公安部第三研究所摘要：工业控制系统信息化的发展，使得工控网络安全风险逐渐突出。

自“十三五”后，网络空间安全上升至国家战略层面，工业控制系统作为国家级 关键信息基础设施，其信息安全至关重要。

本文剖析了工业控制系统信息安全 现有风险，并结合政策法规、测评标准、工控系统全生命周期安全管理、可靠 工控信息安全产品、计算机安全，提出了工控信息安全防护方案。

关键词：工业控制系统；网络安全；安全防护Abstract：With the development of information technology of industrial control system, industrial control system inform atization makes industrial control network security gradually prominent. Since “The 13th Five-Year plan”，cyberspace security has risen to the national strategy. As a national key information infrastructure, the information security of industrial control system is very important. Combined with policies and regulations, evaluation standards, safety management of industrial control system in the whole life cycle, reliable industrial control inform ation security products and computer security, this paper analyzes the existing risks of industrial control information security, and puts forward the security protection scheme.Key words: Industrial control system; Cyberspace security; Security protectionl引言工业控制系统（Industrial Control Systems,ICS)广泛运用于能源、制造、航天、军工等牵涉国民经济核心地位的主要基础设施，一般指由计算机与工业过程控制部件组成的自动化控制系统。

信息系统工程 │ 2019.11.2048SYS SECURITY 系统安全摘要：随着《信息安全技术 网络安全等级保护基本要求》发布，等级保护要求上升到新的高度，工业控制系统作为关键信息基础设施也被纳入了新的等级保护范畴。

论文通过对工业控制系统网络安全现状分析后，设计了一种基于等级保护2.0标准的工控控制系统网络安全防护体系，该体系主要依据《信息安全技术 网络安全等级保护基本要求》的通用要求和工业控制系统的扩展要求，同时结合了P2DR和IATF安全模型，分别设计了安全管理体系和安全技术体系以及安全运维体系等三大体系，为工业控制系统稳定、可靠运行提供了保障。

关键词：等级保护2.0标准；工业控制系统；网络安全；防护体系；漏洞一、前言随着2019年5月13号公安部正式发布《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护设计要求》《信息安全技术 网络安全等级保护测评要求》等3项标准（以下简称等保2.0），新的等保要求也进入到新的高度。

同时，工业控制系统作为关键信息基础设施也被纳入等保范围之内，分为通用要求和工业控制系统扩展要求[1-2]。

本文主要围绕《信息安全技术 网络安全等级保护基本要求》标准，结合当前工业控制系统的网络安全现状，进行基于等保2.0的工业控制系统网络安全防护体系研究。

二、工业控制系统网络安全安全现状分析（一）技术方案1.工业控制系统存在漏洞。

据国家信息安全漏洞共享平台统计，目前工业控制系统的漏洞2000多个，主要体现在控制器、工业协议、工业主机操作系统、工业应用软件等方面，如西门子、施耐德、研华、和利时、亚控等典型工控安全产品厂商。

另一方面，高中危漏洞占比95%以上，缓存溢出、拒绝服务等类型漏洞居多，这些漏洞都很容易被威胁利用造成安全事件。

2.工业控制系统安全配置较弱。

由于工业控制系统在运行维护过程中，主要考虑其可用性和方便性，未对工业控制系统的安全项进行配置，比如弱口令、开放多余的端口，未删除多余的账号等等，存在一些安全配置上的弱点。

工业控制系统安全管理体系研究_ICS工业控制系统安全风险分析之二工业控制系统安全管理体系研究——ICS 工业控制系统安全风险分析之二张帅针对不同区域间数据通信安全和整体信息化建信息化与工业化深度融合的今天，无论是关乎国计民生的电力、石化、水利、铁路、民航等基础设要求，实施工业控制网络安全建设,首先需要针保障行业，还是逐渐成规模的物联网、移动互联网对ICS 网络管理的关键区域实施可靠的边界安全策等新型行业，交互已成 ICS 系统的重要特性。

互联略，实现分层级的纵深安全防御策略，抵御各种已与交互体验提升的同时，威胁也在与日俱增. 知的攻击威胁。

目前我国 ICS 系统的信息安全管理仍存在诸多问题，例如,大型制造行业普遍存在因设备使用时间较长，安全防护能力缺失等问题 ;而在诸如石化电力等重要基础设施保障行业，又因为应用和新技术的更替，海量的分布式控制组件与业务单元都让电力控制网络变得愈发复杂，在可用性面前安全防御机制难免出现疏漏.因此，在参照国际流行标准以及我国工业控制系统所存在的具体安全风险等因图 1 工业控制系统边界防御思想素后，一种基于终端可用性和安全性兼顾的控制系统安全解决方案被提出，用以从威胁入侵的根源满2 办公网络终端的安全防御足工业控制系统的安全需求. 办公网络相对于工业控制网络是开放,其安全防御的核心是确保各种办公业务终端的安全性和可用性，以及基于终端使用者的角色实施访问控制策略。

办公网络也是最容易受到攻击者攻击并实施进 1 基于终端的工业系统安全防御体系一步定向攻击的桥头堡，实施有效的办公网络终端工业网络中同时存在保障工业系统的工业控制安全策略可最大限度地抵御针对 ICS 系统的破坏. 网络和保障生产经营的办公网络，考虑到不同业务办公网络通用终端安全防御能力建设包括：终端的安全性与故障容忍程度的不同,对其防御的（1) 病毒、木马等威胁系统正常运行恶意软件防策略和保障措施应该按照等级进行划分，实施分层御能力；次的纵深防御体系。