工业控制系统是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工业控制系统通常简称工控系统（Industrial Control System，ICS）。工控系统通常分为离散制造类和过程控制类两大类，控制系统包括SCADA（Supervisory Control And Data Acquisition）系统、分布式控制系统（Distribution Control System，DCS）、过程控制系统（Process Control System，PCS）、可编程逻辑控制器（Programmable Logic Controller，PLC）、远程终端（Master Terminal Unit，RTU）、数控机床及数控系统等。

（1）SCADA系统。即数据采集与监视控制系统。SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备、远程终端单位（RTU）等组成。

（2）分布式控制系统（DCS）。是基于计算机技术对生产过程进行分布控制、集中管理的系统。DCS系统一般包括现场控制级、系统控制级和管理级两／三个层次，现场控制级主要是对单个子过程进行控制，系统控制级主要是对多个密切相关的过程进行数据采集、记录、分析和控制。

（3）过程控制系统（PCS）。是通过实时采集被控设备状态参数进行调节，以保证被控设备保持某一特定状态（---如温度，控制在30℃）的控制系统。PCS系统通常采用反馈控制（闭环控制）方式。

（4）可编程逻辑控制器（PLC）。主要执行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单元。

（5）主终端设备（MTU）。一般部署在调度控制中心，主要用于生产过程的信息收集和监测，通过网络与RTU保持通信。

（6）远程终端设备（RTU）。主要用于生产过程的信息采集、自动测量记录和传导，通过网络与MTU保持通信。

（7）人机界面（Human-Machine Interface，HMI）。---操作界面。

（8）工控通信网络。采取专用的协议来构建，形成封闭网络。目前TCP／IP协议也逐步应用到工业控制系统，如智能设备、智能楼宇、智能工厂等控制系统。

1||| 自然灾害及环境。洪水、雷电等。

2||| 内部安全威胁。人为错误或疏忽大意。

3||| 设备功能安全故障。工业控制设备的质量不合格。

4||| 恶意代码。工业控制网络的开放性增加，恶意代码成为工业控制系统面临的安全挑战难题。根据研究，针对PLC攻击的网络蠕虫已经出现，简称PLCWorm。

5||| 网络攻击。

1||| 工控协议安全。工控协议设计之初．缺乏安全设计。

2||| 工控系统技术产品安全漏洞。

3||| 工控系统基础软件安全漏洞。

4||| 工控系统算法安全漏洞。

5||| 工控系统设备固件漏洞。例如BI0S漏洞。

6||| 工控系统设备硬件漏洞。例如CPU漏洞。

7||| 工控系统开放接入漏洞。接入互联网，后有DDoS／DoS拒绝服务攻击、漏洞扫描、敏感信息泄露、恶意代码网上传播等。互联网上有专用的工控设备扫描等。

8||| 工控系统供应链安全。工控系统依赖多个厂商提供设备和后续服务保障。

工控系统网络信息安全偏重于“可用性-完整性-保密性”需求顺序。

工控系统要根据工控业务的重要性和生产安全，划分安全区域、确定安全防护等级。

1||| 工业控制软硬件所在区域采取访问控制、视频监控、专人值守等。

2||| 拆除或封闭工业主机上不必要的USB、光驱、无线等接口。

工业控制系统划分为若干安全域。一般来说，工业控制系统的开发、测试和生产应分别提供独立环境。

工业企业针对不同的安全域实现安全隔离及防护。其中，安全隔离类型分为物理隔离、网络逻辑隔离等方式。常见的工业控制边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。

对于工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码，并进行定期更新，避免使用默认口令或弱口令。针对内部威胁，工业企业的安全权限管理应遵循最小特权原则。

严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。

确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。

采用虚拟专用网络（VPN）等远程接入方式进行。安全审计。

安全配置策略，略...

略...

《工业控制系统信息安全防护指南》对恶意代码防范的相关安全要求如下：

（1）在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

（2）工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制。

（3）密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。

常见的工业数据类型有研发数据（研发设计数据、开发测试数据等）、生产数据（控制信息、工况状态、工艺参数、系统日志等）、运维数据（物流数据、产品售后服务数据等）、管理数据（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据（与其他主体共享的数据等）。具体防护措施相关要求如下：

（1）根据风险评估结果对数据信息进行分级分类管理。加密存储，加密传输。

（2）定期备份关键业务数据。

（3）对测试数据进行保护。如签订保密协议、回收测试数据等。

部署网络安全监测设备。制定工控安全事件应急响应预案。一些具体要求如下：

（1）在工业控制网络部署网络安全监测设备。

（2）在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备。

（3）制订工控安全事件应急响应预案，发生安全事件后要逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。

（4）定期对工业控制系统的应急响应预案进行演练。

（5）对关键主机设备、网络设备、控制组件等进行冗余配置。

2017年工业和信息化部发布了《工业控制系统信息安全事件应急管理工作指南》。

1||| 建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置规则。

2||| 对关键主机设备、网络设备、控制组件等进行冗余配置。

3||| 安全软件选择与管理。一是在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件。其中，离线环境指的是与生产环境物理隔离的环境。二是建立防病毒和恶意软件入侵管理机制。

4||| 配置和补丁管理。一是建立工业控制系统配置清单，定期进行配置审计。二是对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。其中，重大配置变更是指重大漏洞补丁更新、安全设备的新增或城少、安全域的重新划分等。三是及时采取补丁升级措施。

5||| 供应链管理。一是优先考虑具备工控安全防护经验的企事业单位，签订合同。二是签订保密协议。

6||| 落实责任。建立工控安全管理机制等。

1||| 防护类型

2||| 物理隔离类型

3||| 审计与监测类型

4||| 检查类型。

5||| 运维和风险管控类型

电力监控系统的安全策略是“安全分区、网络专用、横向隔离、纵向认证”。

（1）安全分区。产控制大区和管理信息大区。其中，生产控制大区又细分为控制区和非控制区，管理信息大区分为若干业务安全区。控制区与非控制区之间应采用逻辑隔离措施。生产控制大区应当选用安全可靠的硬件防火墙。

（2）网络专用。采用专用网络。

（3）横向隔离。是电力二次安全防护体系的横向防线。在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。

（4）纵向认证。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施，重要业务可以采用双向认证。

在工业交换机旁路部署①工业集中监控管理平台，通过私有安全协议建立安全加密的长连接，实现对工业防火墙及工业监控设备的集中管理和监控。

在工业以太网交换机及控制网交换机旁路部署②ICS 信息安全监控设备，实现网络结构风险和活动的即时可见，对网络中的可疑行为或攻击行为产生报警。同时，对网络通信行为进行翔实的审计记录。

该方案主要包含以下几部分：

（1）InTrust工控可信计算安全平台。

（2）Guard工业防火墙。

（3）中央管理平台（CMP）：窗口化的中央管理平台系统及数据库。

（4）安全管理平台（SMP）。