《【最新】工控安全自查工作报告-word范文模板-(10页).docx》由会员分享,可在线阅读,更多相关《【最新】工控安全自查工作报告-word范文模板-(10页).docx(9页珍藏版)》请在第壹文秘上搜索。
1、也如有异议或侵权以=本文为Word格式,下载后可方便编辑和修改!=工控安全自查工作报告篇一:信息安全自查报告信息系统安全自查工作的报告一、注重信息安全工作及规章制度建设公司自开业以来以XXX公司信息系统运行管理制度XXX公司计算机信息系统安全、保密管理规定等相关内控制度为基准制定了信息安全工作的安全策略、支撑安全策略实现的各项安全管理规定以及操作规程等构成的全面的信息安全管理制度体系;制订了安全组织的设立、人员的安全管理,系统建设及运维相关安全管理制度;制订了安全管理人员或操作人员执行的管理操作规程;明确了安全管理各个岗位的岗位职责;按监管机构的要求严格实施了机房管理、外来人员管理和信息数据安
2、全管理。此次自查工作主要分为三个环节逐步开展。第一个环节是以行政人事部为主,从安全管理制度、设施、人员、岗位职责等方面整体梳理总结;分公司的系统管理员在权限之内负责全省的员工权限的相关配置,各中心支公司的系统管理员没有配置系统的权限,实现辖内员工的权限由分公司统一配置,各中心支公司系统管理负责维护本机构的机器、网络、桌面维护以及系统问题的上报。第二个环节是联合分公司各部门、各中心支公司开展信息安全自查工作讨论,补充现有制度的缺陷;第三个环节是由信息检查小组再次梳理整体信息安全1工作,并修正检查出的工作错误。在检查中我公司发现中支信息员对部分规定、通知执行力度不够,无法引起足够的重视,我公司针对
3、此类情况准备下发严格的管控及奖惩措施。我公司大部分电脑按照总公司要求加入域集中管理,安装了网络版防病毒软件,使用上网行为管理设备对与工作无关的网站及软件进行了封锁,及时更新系统补丁、修复漏洞,通过以上措施,大大降低了系统文件被篡改、中病毒等风险,但是通过自查发现分公司对此项工作的执行力度较强,各中心支公司存在没有进入域管理的情况,针对此类情况,我公司再次下发相关文件要求各中支必须对每台电脑进入域管理,以实现集中管理。三、信息系统的安全管控为了确保电子信息系统安全、稳定、可靠的运行,网络机房建设严格参照国家机房标准建设,我分公司至总公司网络采用联通SDH专线,备线采用电信SDH专线(互为备份)。
4、机房内现有设备:防火墙、3层交换机、上网行为管理设备、服务器、工控机各一台,路由器2台、二层交换机5台,配备有长效型UPS,目前设备运行状况良好。机房面积12平方米,配备门锁、中央空调,由信息管理人员专人管理,做到每月打扫卫生、每天到场巡视。公司业务、财务、辅助系统采用B/S模式开发,所有数据均集中在总公司服务器,系统界面友好、客户端不需各分公司维护。系统开发、维护由总公司掌控,分公司只有使用权,但各省公司或中支可以提需求,总公司评审后视情况落实。系统账号权限实行分级管理,分公司仅有部分账号设置权,并可以单独设置账号的岗位权限及机构权限。系统账号权限分工明确,收付费等系统运行正常。财务系统和业
5、务系统可以无缝实时对接,数据信息流转畅通。在业务系统数据控制方面,系统会对录入项目的完整性进行检测,如未完成必填项目,系统不会流转。分公司有权在业务流程未完成的情况下对部分数据进行修正,同时也对有修正权的账号做了严格限制。四、数据管理和灾备建设我公司的业务数据都不储存在本地,由总公司统一储存,我公司提供网络介质及部分系统的数据(呼叫中心),对于在我公司存取的数据采用双击备份加光盘存储方式进行数据的备份,并且在服务器发生故障时,紧急启用呼叫转移的方式保证呼叫中心系统的畅通。五、应急响应体系建设情况为保障系统稳定、网络畅通,要求信息管理人员手机24小时开机,随时处理各种突发情况并及时与总公司联系沟
6、通。近期经演练,在人为断电后,UPS能够实时切换至后备电池供电状态并坚持12小时以上,确保网络畅通。根据通知具体要求,在自查过程中我们也发现了一些不足之处,同时结合公司实际,今后要在一下几个方面进行整改。1、通过自查,发现员工信息安全意识不强,今后要继续加强对信息安全工作的安全意识教育,提高做好安全工作的主动性和自觉性。加强员工信息安全意识教育和防范技能训练,充分认识到信息安全的重要性,把信息安全保护意识真正融入工作中。2、通过自查,部分机构制度建设不完善,或存在制度落实性较差。今后分公司将加强制度建设及落实,完善应急预案制定,为信息安全管理工作有序开展提供保障。3、将全辖全部办公电脑加入域管
7、理。篇二:工控系统信息安全报告工业控制系统信息安全一、工业控制系统安全分析工业控制系统(IndUStriaIControlSystems,ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU),智能电子设备(IED),以及确保各组件通信的接口技术。典型的ICS控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维护工具确保ICS能够稳定持续运行。1.1工业控制系统潜在的风险1 .操作系
8、统的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。2 .杀毒软件安装及升级更新问题用于生产控制系统的WindOWS操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。3 .使用U盘、光盘导致的病毒传播问题。由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。4 .设备维修时笔记本电脑的随便接入问题工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大
9、的威胁。5 .存在工业控制系统被有意或无意控制的风险问题如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。6 .工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。1.2 “两化融合”给工控系统带来的风险工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情
10、况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。1.3 工控系统采用通用软硬件带来的风险工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太
11、环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。?2、MES层与工业控制层之间的安全防护通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:?区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故隙会被控制在最初发生的区域内,而不会影响到其它部分。?实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在
12、原始发生区域被迅速的发现和解决。MES层与工业控制层之间的安全防护如下图所示:2.1.3 工控系统安全防护分域安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。在管理层、制造执行层、工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示:如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。2.1.4 工控
13、系统安全防护分等级根据安全域在信息系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障信息的安全。安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。二、工业控制系统安全防护设计通过以上对工业控制系统安全状况分析,我们可以看到,工控系统采用通用平台,加大了工控系统面临的安全风险,而“两化融合”和工控系统自身的缺陷造成的安全风险,主要从两个方面进行安全防护。?通过“三层架构,二层防护”的体系架构
14、,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。?通过工控系统安全管理平台,确保HMI、管理机、控制服务工控通信设施安全可信。2.1 构建“三层架构,二层防护”的安全体系工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护,否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面,层次不清,你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很容易对工控系统造成损害,网络风暴和拒绝式服务攻击很容易消耗系统的资源,使得正常的服务功能无法进行。2.1.1 工控系统的三层架构一般工业企业的信息系统,可以划分为管理
15、层、制造执行层、工业控制层。在管理信层与制造执行系统层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示:通过上图可以看到,我们把工业企业信息系统划分为三个层次,分别是计划管理层、制造执行层、工业控制层。管理系统是指以ERP为代表的管理信息系统(MIS),其中包含了许多子系统,如:生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等,管理信息系统融信息服务、决策支持于一体
16、。制造执行系统(MES)处于工业控制系统与管理系统之间,主要负责生产管理和调度执行。通过MES,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。2.1.2 工控系统的二层防护1、管理层与MES层之间的安全防护管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据,抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。也就是说,管理层与
